Category Archives: Security

Install CKAN 2.5 on Ubuntu 14.04 LTS

Author: Jyun-Yao Huang (Allen; allen501pc@gmail.com)System Environment: Ubuntu Linux 14.04 LTS (64bits) 1. Update the metadata of packages $ sudo apt-get update 2. Install apache2, nginx, apache’s module wsgi and the library of postgres- libpq5. $ sudo apt-get install -y nginx … Continue reading

Posted in CKAN, Security | Leave a comment

[eID] The short survey of electronic ID cards.

[Chinese]根據新版台灣國民身分證的新聞報導[1],大部分人會擔心這類措施的相關問題。像是: 為什麼我們政府要遵循國際民航組織ICAO(International Civil Aviation Organization)的標準呢? 為什麼機讀碼這麼像中國政府的台胞證形式呢? 我在此做了一些關於電子身分證(electronic ID, eID)的研究: ICAO的策略目標強烈地與United Nations Sustainable Development Goals (SDGs)做連結,滿足17項中的13項。包含了確保健康的生命、達到性別平等、建立彈性的基礎設施、確保可承受的消耗與產製樣式、降低國與國之間的不平等性等等。[2]為了達到這些目標,其中的一個解決方案是推動可機讀旅行文件,稱為ICAO Doc 9303.[3] 為什麼ICAO Doc 9303這麼重要?因為它可讓機器容易讀取你的個人資訊,包含姓名、出生日期、出生地與其他欄位。為了保護這些隱私資料,一系列的安全措施也被採用 (請見[3] 的Part 11與Part 12)。 為了建立eID,德國的新版身分證也採用ICAO Doc 9303 [4]。(事實上,它採用其他方案 ISO/IEC standard 14443 [5],但也使用ICAO Doc 9303的部分標準[6]) 這就是為何我們政府聲稱eID遵循ICAO的國際規範。 另一個問題:「為什麼機讀碼這麼像中國政府的台胞證形式呢?」可機讀護照(Machine Readable Passport, MRP)採用可機讀區域(Machine Readable … Continue reading

Posted in eID, ICAO, Security, 科技, 軟體(Software) | 3 Comments

[PHP] Be discreet to use crypt function

Recently, the PHP’s crypt function crashed in my designed new system. In fact, in my database design, the length of password field is 64. It ran fine at CentOS 5.5 with PHP 5.2.x. However, when I moved this system to … Continue reading

Posted in Linux, PHP, Programming, Security, 程式設計, 資訊安全 | Leave a comment

遠通電收的查詢系統,黑客的聰明選擇

【編按】:目前遠通電收已經把驗證碼機制換成Session-based驗證機制,安全性比較高一些了。我來幫忙補完好了。MouseMs 的文章指出,遠通eTag的驗證碼產生方式,是使用Authentication Code + Plaintext 的方式來做驗證。 看樣子沒什麼問題。但是它最大的敗筆在於三個部分:1. 把Authentication Code的圖片檔及其相關驗證碼資訊「存到伺服器」 (也就是把輸入的驗證碼存起來的意思)。    【小實驗】:    各位可以輸入 https://css.fetc.net.tw/CS/Ajax/GetAuthImage/ohMt1pFQ0is1 ,會得到一個VCode.png1,把這個檔案副檔名改為.png,    看看是不是都是「XR8DJ」?2. 把驗證碼的「密文」交給使用者的瀏覽器網頁表單保管(見下圖)。 3. 每次驗證碼產生的「密文」與驗證碼「輸入值」都是一對一對應,產生方式都是固定不變的。 而在伺服器端的驗證碼驗證工作就是:1. 拿到使用者手動輸入的「驗證碼」以及使用者瀏覽器網頁表單的「密文」2. 把上面的「驗證碼」與「密文」進行比對;若比對正確,則驗證碼驗證成功。若比對失敗,則驗證碼輸入無效。 但如前所述,它產生的「驗證碼」與「密文」都是一對一對應,無論輸入多少次驗證碼,產生結果都一樣。 亦即無法抵擋「重送攻擊」。 所以黑客只要在驗證碼中輸入「XR8DJ」,密文則填入「ohMt1pFQ0is1」。按照上面的驗證碼處理工作,就一定破解掉驗證碼。 既然驗證碼可以被破解,黑客的工作就只剩下怎麼破解「車牌號碼」與「車牌證號」了。 提示:用最暴力的做法「字典攻擊法」應該可以破得掉。

Posted in Security, 資訊安全 | 3 Comments

SDP, SDN?

Today, I find that CSA(Cloud Security Alliance) have started the SDP(Software Defined Perimeter). The SDP is a framework of security controls to mitigates netowkr-based attacks on Internet-accessible applications by easing conectivities to those until devices/users are authenticated and authorized. The … Continue reading

Posted in Programming, Security, 資訊安全 | Leave a comment