2015年3月31日 星期二

OWASP TOP 10 十大網路應用系統安全弱點 Demo 7

OWASP Top 10 主要目的,是將最常見的網路應用系統安全弱點列出,並提供基本的方法保護防止這些弱點,是軟體開發安全計劃最好的開始。

以下針對第七點的弱點,做一些簡單的說明和示範,這一個範例是亞當斯的前輩miles所提供的,所使用的方式就是使用c#自己寫HttpRequest去存取指定的網頁,並將利用程式取回的網頁內容HTML進行解譯,並取得一些特殊格式資料:

2015年3月25日 星期三

OWASP TOP 10 十大網路應用系統安全弱點 Demo 6

OWASP Top 10 主要目的,是將最常見的網路應用系統安全弱點列出,並提供基本的方法保護防止這些弱點,是軟體開發安全計劃最好的開始。

以下針對第六點的弱點,做一些簡單的說明和示範:

6. Information Leakage and Improper Error Handling:應用程式可能洩漏關於程式的configuration訊息,程式內部的運轉模式,或者透過多種應用問題違犯隱私。攻擊者利用這個程式弱點侵犯隱私,或者更進一步的攻擊。

2015年3月20日 星期五

OWASP TOP 10 十大網路應用系統安全弱點 Demo 5

OWASP Top 10 主要目的,是將最常見的網路應用系統安全弱點列出,並提供基本的方法保護防止這些弱點,是軟體開發安全計劃最好的開始。

以下針對第五點的弱點,做一些簡單的說明和示範:

5. Cross Site Request Forgery(CSRF):CSRF攻擊強迫受害者登入的瀏覽器傳輸pre-authenticated request 給有弱點的網路應用程式,接著強迫受害者瀏覽器執行對攻擊者有好處的的行為。

How to Hidden OverwriteFile on DiscussionBoard Upload Page in SharePoint

在SharePoint 的討論區清單中,當使用者新增一個討論主題的時候,可以在編輯內容時,使用Ribbon上的插入選項,新增欲上傳的檔案:

clip_image002

以下是按下上傳功能時的畫面,但是因為同一個網站中的所有討論區都可以讓使用者上傳文件至指定的清單,這時候會產生一個問題,當不同的討論區上傳檔案時,檔名為相同時就會預設將前一個使用者上傳的文件覆蓋掉。

clip_image003

舉個例子:不同的討論區中發表主題時,上傳同一個檔名至:網站資產,此時勾選「複寫現有的檔案」,就會將之前的檔案直接覆寫掉,並且在本文中持續加入新檔案參考:

clip_image005

那麼如果不勾選「複寫現有的檔案」,就會有以下的訊息提示使用者。

clip_image006

有些情境因為考量到不讓使用者可以自行勾選「複寫現有的檔案」,因此必須將「複寫現有的檔案」選項設定為不顯示,並且預設是不勾選,該如何完成此需求呢? 執行步驟如下:

1. 找到C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\TEMPLATE\LAYOUTS下的RteUploadDialog.aspx

2. 進入編輯模式,找到

<asp:CheckBox id="OverwriteFile" Checked="true" Text="<%$Resources:wss,upload_document_overwrite_file%>" runat="server" />

3. 修改為以下的設定:

<asp:CheckBox id="OverwriteFile" Checked="false" Visible="false" Text="<%$Resources:wss,upload_document_overwrite_file%>" runat="server" />

4. 重新新增討論主題並上傳文件,可以檢視畫面已被修改:

clip_image003[7]

5. 針對相同的清單上傳已存在名稱的文件時,將預設會判斷已存在,不得重複上傳,如下圖所示:

clip_image004