發表文章

目前顯示的是 七月, 2012的文章

資安JAVA(三十): Authentication

圖片
來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 30 – AUTHENTICATION
作者:John Melton
What is it and why should I care?
鑑別(Authentication)是一個確認你的身分是否為真的過程。通常使用者會以自己的ID和相關證據以證明身分。實際的情況是,使用者用代號和密碼來通過系統的認證。鑑別是應用程式安全中最重要的部分,因為他是使用者所有行為的起點。許多資安解決方案都是基於使用者身分已通過鑑別的前提,也就是假設使用者身分無誤。然而鑑別身分是有難度的,需要花很多心力來做。

以 MSNPsharp v5 實作間單的 MSN robot(二):互動對答

圖片
繼續上一篇的 介紹文章 後,若是我們想要跟機器人互動該怎麼作?身為一個稱職的MSN機器人,必定要學會互動文字對答,提供特定服務。今天就來試試看如何互動。

怎麼實作?

MSN機器人互動最方便的作法就是文字應答。輸入特定指令後,機器人依據指令進行特定服務(例如:檢查server狀態、檢查聯若人清單、找尋檔案等等)。除了文字應答,另外一個重要的互動功能就是檔案傳輸,依據指令找尋檔案並自動傳輸檔案。

以下為我的應答流程:
1.傳送指令
2.機器人讀取指令
3.回應結果

資安JAVA(二九): Manage Resources

圖片
來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 29 – MANAGE RESOURCES
作者:John Melton
What is it and why should I care?
資源管理長久以來都是程式設計中一個重要議題,而且跟資安三大目標CIA中的Availability更是息息相關。資源管理好壞影響著你存取時系統是否順利的回傳,故你不會隨意的釋放相關資源(硬碟空間、記憶體、網路連線等等)。

雖然不像是因為使用者帳戶和密碼的加密機制過於簡單(像是 ROT-13)而被破解一樣受人注目,但是資源洩漏造成的系統當機也頗為尷尬。不良的資源管理機制將導致系統崩潰、不穩定。若你剛好是每天凌晨兩點因為機器崩潰被主管狂 call 的工程師,那你應該懂我的意思。

帶來Shell.CMruPidlList和_SHuassist.mtx的郵件

圖片
發生什麼事?

這些年,收到垃圾郵件、釣魚郵件都見怪不怪,反正hotmail、gmail會幫我過濾那些郵件。但如果是好朋友們的信就無法第一時間過濾掉,因此某些msn的內含惡意聯結的郵件仍持續散佈。



今天我收到的惡意郵件沒有主旨,只有寄件人和收件人,內容只有一行
http://cr.site-sales.biz/blog/不要點喔wp-content/plugins/zaieccpauio/google.html?otv=fgfh.psml&ygu=onnm.hkml&gwyj=tjbm

資安JAVA(二七): Penetration Testing

圖片
來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 27 – PENETRATION TESTING
作者:John Melton
What is it and why should I care?

滲透測試( Penetration testing )是藉由模擬的攻擊行為來評估電腦系統或網路安全性的方法。此方法主動的分析系統所有弱點的可能性,並揭露潛在攻擊者。通常又被稱作 pen testing 或ethical hacking。

滲透測試類似於雇用駭客去探測實際運作的系統,且努力找出安全問題。測試結果很有價值也很有說服力,不僅顯示弱點存在,也可以被利用。根據經驗,誠實的測試結果可以成為開發者和資訊安全之間溝通橋梁,並設定可達成的目標促使開發者修正問題。而該如何處理人人都討厭的誤報(False Positive)結果也是很有趣的議題。