Browsing: XSS

    相信對於有建立網站提供對外服務的公司來說,如何強化網站的防護一直都是重要的課題,除了基本的防火牆、定期更新和維護、安全漏洞掃描,有些公司也會額外採購 WAF(Web Application Firewall),以強化網站在 SQL injection,XSS 攻擊的額外保護。 但是如果要防止爬蟲或是使用機器人與自動化程式進行的惡意行為,就需要使用人機辨識對連線來源作區分,分辨合理連線,並只允許合法使用者進行操作。 在網站上使用的人機辨識為 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart),中文翻譯為「全自動區分計算機與人類的圖靈測試」,…

    唔少人都鍾意玩「抖音」(TikTok),特別係後生仔女,時不時都會拍片上傳。不過,早排多個美軍部隊就指出抖音存在嚴重保安漏洞,禁止士兵喺軍用手機上安裝使用。到底有乜咁嚴重呢?謎題終於開估喇。 以色列網絡安全服務供應商Check Point 嘅專家,早兩日就發表研究報告,指出佢哋原來喺上年 11 月,已經就抖音嘅安全漏洞,去信佢哋嘅母公司 ByteDance。專家發現只要通過假扮抖音向用家發送內含惡意連結嘅短訊,一旦用家唔小心開啟,黑客就可以通過漏洞嚟控制用家嘅帳戶,代用家發布及刪除短片、公開用家嘅私人短片,甚至攞到用家登記嘅電郵地址等等。唔單只手機 app 有漏洞,就連抖音嘅網站亦唔安全,其中一個搜尋欄位可以俾黑客插入惡意程式碼,發動 Cross-site Scripting 攻擊,從而去盜取其他用戶嘅登入資料。 Check Point 專家將漏洞報告交咗俾抖音後,抖音嘅網絡安全部門即刻修補,並喺 12 月中推出嘅更新版中,將漏洞全部堵塞。佢哋嘅安全部門主管 Luke Deshotels 事後就多謝…

    以為响手機裝防毒軟件就冇問題?點知原來個防毒本身就有問題…… 網絡安全公司 Comparitech 最近為 21 款 Android 免費防毒軟件進行分析,結果真係嚇死人,發現當中竟然有 3 款存有嚴重安全漏洞、7 款根本無能力偵測樣本病毒;整體上,47% 產品未能成功達標,真係唔裝好過裝喇。 Comparitech 從安全性、私隱度及廣告推送三方面進行測試,發現大多數 App 都貨不對辦:首先有三分之一嘅 app 根本無能力準確偵測病毒,而且幾乎所有 app 都响度監察緊你嘅行為。咁都未算,研究員仲發現有…

    老闆成日同我講,公司budget好緊架,應慳則慳啦,IT嘅嘢夠用就得啦,唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇,佢睇完就即刻轉晒軚,話一間公司嘅網絡保安其實好緊要架,仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉?咪就係英航俾人判罰天價罰款囉!事緣舊年9月,英航俾一個名為Magecart嘅黑客組織睇中,佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式,於是搵方法拎到英航網頁嘅登入權限,再將card skimmer 嘅 script 植入俾錢買機票嘅網頁,結果成功喺舊年8月21號到9月5號期間,偷走約38萬客戶嘅名字、電郵地址、信用卡等資料,詳細案情可以睇番我哋舊文(https://bit.ly/2CPy0f7 )。 經過一輪調查之後,英國資訊專員辦公室(ICO)早兩日就決定向英航罰款1.8億英鎊,係ICO歴來開出最大額罰款,差唔多係英航2017財政年度全球營業額嘅1.5%,諗起都好肉赤!英航行政總裁Alex Cruz當然立即出嚟呼冤,話對ICO嘅決定感到驚訝和失望,英航對偷取客戶資料嘅犯罪行為作出快速反應,並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅,或者可以減到罰款都未定。 可能大家會問,點解今次判得咁甘?之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦,點解都係罰50萬英鎊就搞掂?原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則(GDPR)》之後,加重咗罰則,最高罰款可以去到全球營業額嘅4%,所以今次英航其實係未去到最高罰款嘅,但撞正事件喺GDPR通過之後先發生就冇法子啦,但亦都俾到教訓各大小企業嘅老闆們,唔好睇少保護客人資料呢樣嘢,唔係分分鐘賺埋都唔夠交罰款! 相關文章:【謎底已經解開!】英航資料洩露案真相大白?

    當上網已成習慣,網民最講求上網要快要方便,最緊要唔使成日入密碼或做機械人認證,如果 Load 個網站要等多過三秒鐘?隨時已經無興趣再等。但你有無諗過,方便快捷嘅背後,你犧牲咗啲乜?就係付出太多個人私隱訊息,唔想咁可以點? TOR 幫到你。 瀏覽器洩密真危機 成日講上網會洩露好多個人訊息,究意有幾多?講多無論,試下入呢個網站 (webkay.robinlinus.com)先。試完係咪好驚驚?抑或睇完都無乜感覺?不妨抽幾樣嚟睇睇。首先係地圖位置,如果罪犯掌握到你實時位置,即係知道你行蹤,唔單只女士會好危險,如對方有你屋企地址,更可以肆無忌憚等待良機爆格。 跟住就係用緊嘅上網裝置作業系統同瀏覽器版本,作業系統及軟件供應商成日叫大家更新系統版本,就係為咗堵塞一啲已知嘅漏洞,如果黑客知道你未更新,要攻擊你就容易好多啦。再嚟就係 Auto-Fill Phishing,如果你貪方便啟用咗,黑客有機會通過唔同方法例如 Cross-Site Scripting (XSS)嚟盜取你嘅登入資料,所以話如果你嘅瀏覽器透露咗咁多訊息,係咪好危險? TOR網絡 遊花園消痕跡 如果你唔想乜都俾人𥄫實,可以點做?你可以試用 TOR(The Onion Router)洋蔥路由器。…