資訊安全

[PHP] Be discreet to use crypt function

Feb 22, 2014 AllenComment

Recently, the PHP’s crypt function crashed in my designed new system. In fact, in my

遠通電收的查詢系統，黑客的聰明選擇

Jan 8, 2014 Allen3 Comments

【編按】：目前遠通電收已經把驗證碼機制換成Session-based驗證機制，安全性比較高一些了。我來幫忙補完好了。MouseMs 的文章指出，遠通eTag的驗證碼產生方式，是使用Authentication Code + Plaintext 的方式來做驗證。看樣子沒什麼問題。但是它最大的敗筆在於三個部分：1. 把Authentication Code的圖片檔及其相關驗證碼資訊「存到伺服器」 (也就是把輸入的驗證碼存起來的意思)。【小實驗】：各位可以輸入 https://css.fetc.net.tw/CS/Ajax/GetAuthImage/ohMt1pFQ0is1 ，會得到一個VCode.png1，把這個檔案副檔名改為.png，看看是不是都是「XR8DJ」？2.

Programming Security 資訊安全

SDP, SDN?

Dec 6, 2013 AllenComment

Today, I find that CSA(Cloud Security Alliance) have started the SDP(Software Defined Perimeter). The SDP

Big Data cloud computing hadoop 程式設計資工資訊安全軟體(Software)

收穫滿滿的Hadoop Taiwan 2013

Sep 29, 2013 AllenComment

此次參加2013 Hadoop Taiwan Conference，收穫很多。(以下是手動隨便寫寫，請勿拘泥writing format) 業界方面的進展比學界又更加跨出一大步，也代表著我們之後如果要發表雲端相關運算的論文或是發展技術，要特別小心注意這類工具。由於Big Data時代的來臨，現在的雲端運算處理偏重於「即時」運算，而非「批次」運算。我們目前所學的hadoop map/reduce只能算是非常基本而已。對於即時運算的需求恐怕還不太夠(Hive/Pig 也不例外)。 Google先看到這個嚴重情形，繼2009年以來，陸續發表Google Caffeine

3C產品資訊安全

小米 vs. HTC: 從市場、資安與專利議題分析

Sep 8, 2013 AllenComment

最近一直在想小米機(MIUI) 跟宏達電(HTC) 為什麼比起來給使用者的感受度(無論價格、行銷力道與研發速度)，就硬是差了這麼多呢？筆者就以下觀點做些微分析：一、市場小米科技主要市場都在中國，就算不用走出國際，靠本國廣大的市場消費力就可以直接吃下大部分的市場了。因此，它只要把費用多多挹注在行銷力道上，搞飢餓行銷。而HTC的市場除了中國亞洲地區外，還有歐美國家，因此需要分散研發能量，因應國情做出不同的客製化，且通路來源主要都來自電信商，成本自然提高。二、資安由於小米機的主要市場來自中國，在中國只要乖乖配合政府就沒事了。所以很多(剽竊)服務都可以胡搞瞎搞，只要消費者接受就可以了(這也是我極力反對此類機種的原因)。但是能不能順利輸出到歐美國家，在個人資料蒐集與保護上，恐怕有重重疑慮。但是反觀HTC，市場是在全世界，每個機種出貨都要符合當地政府的資訊安全法規，在軟體研發與硬體選擇上都要特別費一番工夫，是故研發成本也拉高許多。三、專利在中國，小米機幾乎可以不用考慮專利佈局的問題，只要市場吃得下去就OK。但是HTC一開始的研發方向就是瞄準全球市場，專利佈局也要能夠撐得過歐美國家當局檢驗，否則一出貨就卡在海關過不了，研發經費整個泡湯。

C Programming visual studio 程式設計資訊安全軟體(Software)

[.NET] 防止反組譯工具

Mar 11, 2013 AllenComment

由於.NET程式為了跨平台，導入CLR(Common Language Run-time)，讓所有.NET程式編成MSIL(Microsoft Intermediate Language)程式碼，使其在CLR上運作(簡單來說，就是MS版的JVM)。也正因如此，其編譯出來的程式碼，都有一定的規則可以做逆向工程，進行反組譯。知名的反組譯工具有：.NET Reflector(要錢), ILSpy (筆者測試過，若程式碼不加以防護的話，用這套很容易把程式碼完全還原回來…) 以及Telerik的JustDecompiler 但是，在販賣軟體產品的開發人員，應該不想要讓自己的程式碼被輕易地破解吧？就目前讀到的參考資料，可將防止反組譯方法分為以下：1. 混淆保護(Obfuscating) ：將程式碼變數命名或是方法做混淆，或是加入無意義的文字，使其無法輕易破解。此類工具較為知名的有微軟合作夥伴PreEmptive推出的Dotfuscastor (Community版本內建於Visual

PHP 程式設計網頁撰寫資訊安全

[PHP] PEAR、MVC、ZendFramework相關教學資源

Aug 2, 2012 AllenComment

PEAR 教學資源 Testing PHP Code with PHPUnit Caching PHP Programs with PEAR [Web] 連結分享 Package

apache Linux PHP 網頁撰寫資訊安全

[Apache] htaccess 入門/進階教學資源

Apr 22, 2012 AllenComment

.htaccess是什麼？.htaccess幾個簡單應用 Apache .htaccess Guide & Tutorial Apache Tutorial:.htaccess file .htaccess Tutorial THE Ultimate Htaccess Advanced

C/C++ Linux 程式設計資工資訊安全

[C++] 大數運算好用的函式庫GNU MP (GMP)

Jan 2, 2012 AllenComment

GNU MP(簡稱GMP)是一個可以進行大數運算(Big number operation)的函式庫，使用C++實作，要應用此函式庫開發的話，要注意它使用LGPL3的License。這個函式庫的出現，對於資訊安全研究領域的人員，是一大利多，可以讓開發人員輕鬆使用大數運算，進行各種資料加解密或簽章的資安技術開發。目前最新版本是5.0.2版，筆者建議讀者可到它的官網下載，閱讀開發文件後，便可輕鬆開發程式。參考文獻 GNU MP官網酷！學園 “什麼是GMP?” Multiprecision arithmetic library (64bit library)

PHP 程式設計網頁撰寫資訊安全

[PHP] 實作時應注意的SQL Injection

Dec 25, 2011 AllenComment

SQL Injection一直是Web Designer 頭痛的問題，所幸我們可透過一些習慣設定、檢查與驗證機制，來防堵SQL Injeciton攻擊手法。例如，在「PHP SQL Injection 和 XSS 的偵測程式和程式撰寫注意事項 – 2008」這篇文章中，對於php.ini設定檔、參數傳遞、DB操作等事項，逐一簡要列出要點，有興趣的讀者，可以看一看。

彙整

分類