以下防止 SQL Injection 的程式是參考 AppleBOY 這篇文章 : PHP+MySQL 環境下 SQL Injection 攻防戰

//處理 SQL Injection
if( is_array($_POST) && !get_magic_quotes_gpc())
{
    while( list($k, $v) = each($_POST) )
    {
        $$k = checkhtml(mysql_real_escape_string(trim($v)));
    }
    @reset($_POST);
}

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

POODLE ( Padding Oracle On Downgraded Legacy Encryption ) 的攻擊主要是透過中間人攻擊手法,將 TLS 的加密連線降為較不安全的 SSL 3.0,進而可以從中看到明文的資料

但這攻擊已經是去年的新聞了,此篇文章僅是記錄如何利用 NMAP 此套軟體來檢測

1. 首先開啟 NMAP,選取「配置」->「新的配置或命令」

poodle-1.png 

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

  若提到要考電腦專業證照,不外乎會想到像恆逸資訊資策會巨匠電腦等等專業的上課機構。由於本身定期都會進修考證照來提醒自己要一直進步,研究了當時這幾個上課機構的相關課程,最後決定選擇在恆逸上課。為什麼要選擇恆逸呢?其實在恆逸的網站(http://www.uuu.com.tw/)可以看到有許多課程,都已經針對各種領域做好分類了,不論是資料庫、網路、作業系統、虛擬化以及資訊安全等等各類課程都是相當完善齊全了。由於之前已經考過了 CCNA 以及 CEH 這二張證照,因此決定再針對「資訊安全」這個領域著墨,確認了一下課程,最後就選定了「CHFI (Computer Hacking Forensic Investigator),資安鑑識調查專家」這一門課程。說實話這一門課程還蠻精實的,因為總共有五天總共40個小時,為了配合工作的關係,又不能一整個星期都在外面上課,就選了假日班來上,其實也是蠻累人的,一到五要工作,六日要上台北當學生,不過投資自己是值得的!

Posted by bojack at 痞客邦 PIXNET Guestbook(1) 人氣()

前晚打算用 55688 這個 App 叫車時,由於忘了之前申請的密碼就使用了「忘記密碼」的功能

過了二秒密碼便重新發送到我的手機簡訊,但一看就有點讓人傻眼,因為它是直接發送當時設定的密碼給我

這時就會有一點疑惑,那我的密碼是透過什麼方式存在資料庫呢?

若是明碼的話 ... 還是先改一下密碼好了

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

以前總說 iPhone 的 App 比較安全,上架時會經由 Apple 的審核把關,不過看來這個觀念得改了

這邊有篇新聞 : 危險!「網易雲音樂」等多款中國 iOS App 爆Xcode 嚴重木馬危機,在上架前就被植入

原來中國因為網路長城的限制,導致想去存取某些資源時會受限,所以有些工具就會就近取得下載,但無意之間也就誤用了加料的程式,而本次事件就是使用了被人加料過的 Xcode 開發程式

這次中鏢的 App 約有三百多個,不過後續應該還是會持續增加,整理目前的清單如右 : iOS App 大爆漏洞!一次中招 344 款 App!

 

而開發這個 Xcode 的作者僅說明此事件就只是一個「實驗」,在微博發表的說明如下

若有用到上述那些中鏢的 App 還是先暫停使用或移除,此外啟用二階段驗證可大幅降低可能的損失,至於二階段驗證相關教學的方法可以參考下面連結

避免帳號被盜,全面啟用兩步驟驗證! 7大雲端服務設定說明!

[教學]啟用蘋果Apple ID兩步驟驗證,讓帳號更安全

[1] 微信躺著也中槍,iOS 版本遭植入木馬

[2] 危險!「網易雲音樂」等多款中國 iOS App 爆Xcode 嚴重木馬危機,在上架前就被植入

[3] iOS App 大爆漏洞!一次中招 344 款 App!

[4] 受 XCodeGhost 影响应用列表

[5] [Zhi-Wei Cai] 政府推行的 App 資安審核機制到底可不可行?

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

Windows 上,透過 Media Transfer Protocol 這個協定可以把 Android 手機視為一個外接式儲存媒體

但在 MAC 上預設是讀取不到的,好在 Google 提供了一個 Android File Transfer 工具

只要下載安裝好之後就可以很方便的讀取到了

 

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

去年 2014 年曾用 PHPMailer 寫了一支程式讓它透過 Gmail 去發送,這二天又要拿出來用時發現怎麼一直都寄不出去

開啟 Debug Log 發現 PHPMailer 吐了一堆訊息,裡含有這個網址 https://support.google.com/mail/answer/78754

看了裡面的說明原則上注意三件事即可

1. 首先確認您的 Google 帳戶與密碼是正確的

2. 登入 Google 之後去設定允許安全性較低的應用程式存取您的帳戶,把它設定為開啟

3. 最後請到這裡去授權允許存取 ( 感覺只是解開而已 )

這樣就正常啦 !!

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

進入命令提示字元 ( cmd.exe ) 輸入 wmic qfe list full

若要搜尋指定的 Patch ID 請輸入 wmic qfe list full | find "KB3000869"

若要產生出 HTML 檔案請輸入 wmic qfe list full /format:table > c:\hotfixes.htm

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

今天下載了 PHPMailer,版本是 5.2.8

我的環境都是使用 UTF-8,如果想要將信寄出去都也是走 UTF-8 編碼的話,要做下列二件事

1. 在 class.phpmailer.php 裡設成

public $CharSet = 'UTF-8';

2. 在寄信的程式頁面加入這一行

mb_internal_encoding('UTF-8');

 這樣寄信出去就不會是亂碼囉!

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()

去年寫了一篇【iPhone】教您如何用 FlyVPN 跨區去抓 Line 貼圖,而最近學會了用易聯和OpenVPN,就也來寫一篇教學

那您可能會有這疑問,易聯 + OpenVPN 和 FlyVPN 比起來哪個好用?答案絕對是易聯 + OpenVPN

那為什麼還是要用 FlyVPN 呢?因為某些國家在易聯很難被刷出來或是根本沒有,這時就要用 FlyVPN 啦!

1. 確定您的 Line 設定

首先打開您的 Line -> 設定 -> 我的帳號,確認一下已經有設定成功電子郵件帳號未綁定電話號碼綁定 Facebook,這三個條件都要符合喔!

其中比較麻煩的應該是如果電話號碼已經綁定了,請您先綁定信箱與FB帳號之後採取下面其中一種方法都可以取消綁定電話號碼,但是之前聊天的記錄可能都會不見,請自行先備份喔!( 可參考此篇文章用 itools 備份 )

1. 把LINE移除後重新安裝,接著用FB帳號登入 ( 建議用此種方法 )

2. 若不想移除 LINE,請自行下載使用第三方軟體(如:itools)把 plist 刪除再用 FB 帳號登入

Posted by bojack at 痞客邦 PIXNET Guestbook(0) 人氣()