IIS – 安裝免費 SSL 憑證(SSL For Free)

介紹 現在網站基本上都需要有 HTTPS,是以安全為目標的 HTTP 通道,簡單講是 HTTP 的安全版,即 HTTP 下加入 SSL 層,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL。 因為最近常用前後端分離的開發方式(.net core + Vue),通常開發時還是會習慣先把後端上版到 IIS 上面,方便端工程師可以做串接。後端程式如果在上版後使用 HTTPS 卻沒安裝 SSL 憑證的話,前端在串接上可能會出現問題,會出現不安全的警告。但是在開發的過程中,我們不希望花錢買昂貴的 SSL 憑證,因此本篇將在 IIS 上安裝免費 SSL 憑證。 預先設置 首先在你的 Wi

閱讀更多

如何解決網站弱點掃描的 Cross-Site Scripting 問題?(PHP)

介紹 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了 HTML 以及使用者端手稿語言。 XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是 JavaScript,但實際上也可以包括 Java,VBScript,ActiveX,Flash 或者甚至是普通的 HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些

閱讀更多

如何解決 Apache 上網站弱點掃描的 Cross-Frame Scripting 問題?

介紹 網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。 解決方法 依照伺服器類型會有不同的解法,可參考以下文章 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options 在 Ubuntu 的 Apache 伺服器解決方法 Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。

閱讀更多

Packet Sniffer:使用 Python 撰寫 「封包偵測」,並嗅探同網域下其他電腦的封包

Note: 此教學可應用在大部分的 Linux 作業系統。 介紹 利用 ARP 欺騙(ARP spoofing)的技術,駭客使用自己網卡的 MAC 地址來「毒害(或竄改)」通訊雙方主機的 ARP 快取區,因此又稱為 ARP 快取區中毒(ARP cache poisoning)。 一旦 ARP 快取區被成功地毒害(或竄改),受害主機在與其他主機進行通訊時,就會將其所有的數據封包發送給駭客。 這會使得駭客成為中間人,可以輕鬆地監視受害主機之間的所有通信,目的在於攔截和查看在兩個受害主機之間傳遞的信息,並因此竊取機密信息,這就是所謂的「被動式」的中間人攻擊。 實作 如果要嗅探同網域下其他電腦的封包,

閱讀更多

Packet Sniffer:使用 Python 撰寫 「封包偵測」

Note: 此教學可應用在大部分的 Linux 作業系統。 什麼是封包偵測 (Packet Sniffer)? 偵測(Sniffers)是一種網絡流量數據分析的手段,常見於網絡安全領域使用,也有用於業務分析領域,一般是指使用偵測器對數據流的數據截獲與封包分析(Packet analysis)。 用途: 分析網絡問題 分析網絡信息流通量 探測企圖入侵網絡的攻擊 探測由內部和外部的用戶濫用網絡資源 探測網絡入侵後的影響 監測網絡使用流量(包括內部用戶,外部用戶和系統) 監測網際網路和用戶電腦的安全狀態 滲透與欺騙 參考連結:維基百科 使用 Python 撰寫 「封包偵測」(Packet

閱讀更多

[教學][Ubuntu 架站] 如何配置 SFTP 以允許用戶上傳到網頁伺服器的文檔根目錄(Document Root)

前言 SSH檔案傳輸協定(英語:SSH File Transfer Protocol,也稱Secret File Transfer Protocol,中文:安全檔案傳送協定,英文:Secure FTP或字母縮寫:SFTP)是一數據流連線,提供檔案存取、傳輸和管理功能的網路傳輸協定。由網際網路工程任務組(IETF)設計,透過SSH 2.0 的擴充提供安全檔案傳輸能力,但也能夠被其他協定使用。即使IETF在網路草案資料階段時,這個協定是在SSH-2檔案中描述,它能夠使用在許多不同的應用程式,例如安全檔案傳輸在傳輸層安全(TLS)和傳輸資訊管理於虛擬私人網路應用程式。這個協定是假設執行在安全信道,例

閱讀更多

[教學][Ubuntu 架站] 為 Ubuntu 20.04 上的 Apache 配置 Let’s Encrypt SSL 憑證

前言 Let’s Encrypt 是一個證書頒發機構,它提供與當前付費證書一樣安全的免費 SSL 證書。在本指南中,我們將為 Ubuntu 20.04 上的 Apache 配置 SSL 證書。 Let’s Encrypt 是一個於 2015 年三季度推出的數位憑證認證機構,旨在以自動化流程消除手動建立和安裝憑證的複雜流程,並推廣使全球資訊網伺服器的加密連接無所不在,為安全網站提供免費的傳輸層安全性協定(TLS)憑證。(維基百科) 預先準備 1. 安裝 Let’s Encrypt 客戶端(Certbot) 讓我們首先更新軟件包並安裝 Certbot。 $ sudo apt

閱讀更多

[教學][Ubuntu 架站] 在 Ubuntu 20.04 上安裝 phpMyAdmin

在本指南中,我們將在 Ubuntu Server 20.04 上安裝和配置 phpMyAdmin 。 前言 在本指南中,我們將在 Ubuntu Server 20.04上安裝和配置 phpMyAdmin 。在之前教學中([教學][Ubuntu 架站] 在 Ubuntu 20.04 上安裝 MySQL Server),我們將的 MySQL Server 已啟動並運行,但你可能還需要安裝 phpMyAdmin,它可以使你通過瀏覽器界面輕鬆管理您的 MySQL 用戶和資料庫。在安裝 phpMyAdmin 之前,您必須先安裝 Apache/Nginx 和 PHP。 預先準備 1. 安裝 phpMyAd

閱讀更多