昨天一路塞車塞回家 坎尼到家時已經快七點半了
然後看到忘了帶出門的手機.....老板 call 了四通啊 囧>
今天又要早起下高雄出差 所以昨晚吃過東西 盥洗完就上床了
好啦 交待完畢
今天就來回顧一下昨天的owasp第二天 (可是好多東西都沒印象了 orz
第一場是坎尼期待的 RSnake所講的 Clickjacking
本來坎尼只以為和之前看到的 就是控制使用者端的 Webcam 及 Microphone
但 Robert Hansen 提出來一些用法真的讓坎尼豁然開朗
像是設計一個 text input 利如 1 + 1 = [ Here is the TextBox ]
利用iFrame及css的排版方式 讓 allow button 位於這個位置
一般的使用者如坎尼...會有種很強烈的想點它的慾望...
此時....Webcam可能已經被人偷偷的開啟了.....
當然 Clickjacking 只是個手法
你可以利用 iFrame 的方式 令其他人將你加入他們社交網站的好友
也可以讓使用者點了下載按鈕
或是#@%$#$%$% click anything what you want
Wow....我只能這麼讚嘆.....
如同新聞稿所講 這東西是尚無解決方法的.....
即時你將 javascript關掉也是一樣 (如何 恐怖吧~~~
現在能做的 只是消極的更新及盡量使用 no script 的環境
還有上網時自己小心了
坎尼等這幾天忙完了也想來研究 clickjack的程式面
不過坎尼會很好心的先用幾個好友來測試啦 XDDD
(囧興 才一個人就講這麼一大篇了
第二場是 Chenxi Wang 博士
王博士有提到Web 2.0的進步其實不只增加了大家的便利性
也增加了更多采多姿的攻擊方式
Web App Security確是目前坎尼所看到的開發缺失
案子在規劃階段從不會將此議題納入 總是等到事情鬧大了才去補東補西
今天坎尼去出差時也順便看了一下這個案子的程式碼
囧興~ 程式碼裡竟然有 SQL Injection的危險存在
由於要改的數量可能不少 坎尼都不敢跟承辦人提起這件事
從這邊來看 我猜應該公司部分案子都有被入侵的危險
(有空是該跟同事交流一下coding的方式和觀念了
第三場是來自 Hong Kong 的 Anthony
不過 Anthony 自認中文不太好 所以還是全程講英文
讓坎尼避免了和 Tim 去 TechED 時相同的命運 XDDD
Anthony示範了如何利用工具去 Exploit
這段也讓坎尼嚇到屁滾尿流
坎尼知道駭客們多多少少會有些工具 不過這些工具也太厲害了
不僅寄存在對方的 process 中 還可以隨意變換
當然對方電腦裡的東西都一目了然 還可以做 upload & download
連同對方的 MS Sql server 的 Table Schema 下個指令就跑出來了
還可以分析弱點 囧興~ (這是坎尼派出的第幾隻囧烏龜??
Anthony講話也很好笑 尤其是開場的快速自我介紹令人印象十分深刻
還有那個改變自己寄存的process 導致 IE 自動關閉
「使用者只會以為IE又掛了。Thanks Microsofx」 (消音中)
可惜Anthony時間不是很足夠 只好匆匆的結束整個演說
這篇真的太長了 坎尼只好默默的在標題上補個 『上』
當然 有任何講錯的也請給與意見指教 感謝 :p
訂閱:
張貼留言 (Atom)
Google Spreadsheet 裡用規則運算式
最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D
-
今天坎尼去上課老師講了一題很有趣的題目 所以回到家坎尼就順手試驗了一下 I. XOR (exclusive OR) XOR 是邏輯運算子之一,定義為: 當兩數的值不同才為 true,相同則為 false 其他相關說明可以參考 維基百科:XOR II. 程式 以往的做法會宣...
-
好久沒開 Chart Control 議題了 剛好前陣子 Codeplex 出現可以輕鬆建立 Excel 檔案的 Library- NPOI 於是坎尼想說研究一下,看能不能把 Chart Control 匯出圖片到 Excel 中 沒想到只花了不到1小時就研究...
-
上個週末打開一個影片檔,發現字幕檔是中英文混合的,造成字幕吃掉畫面很大的空間, 打開字幕檔一看,果然每一段時間都有先英文後中文的字幕: 因此我想要自己作成「只有中文」&「只有英文」兩個字幕檔,但這個檔案有6418 行,如果要手動一行一行的刪除...
沒有留言:
張貼留言