security

資安宣導 — 用 secure_filename 強化檔案上傳的安全

現代很多應用都需要實作檔案上傳的功能,例如上傳使用者圖像、上傳 CSV 表格等等,不過檔案上傳也是很容易造成資安漏洞的一項功能,一旦寫得不好,就會給惡意人士製造機會入侵系統,甚至成為散佈惡意軟體的中繼站。

本文將說明 1 個檔案上傳功能的資安問題以及如何進行防禦。

Posted on  Jan 18, 2024  in  Python 程式設計 - 中階 , Python 資訊安全  by  Amo Chen  ‐ 2 min read

靜態程式碼弱點掃描工具 - CodeQL

最近看到有專案的 GitHub Actions 在用 CodeQL, 所以查了一下什麼是 CodeQL 。 原來 CodeQL 是 1 套開源靜態程式碼弱點掃描工具,每個人都可以使用這套工具對程式碼進行弱點掃描,例如 SQL

Posted on  Aug 8, 2023  by  Amo Chen  ‐ 1 min read

白話文解說 Side Channel Attack

Side Channel Attack 是 1 種攻擊手法,只要符合收集並利用額外資訊進行推算或破解成功的手法,都可以稱為 Side Channel Attack 。 這種攻擊最經典的例子是用運算時間的資訊破解密碼,

Posted on  Jul 15, 2023  by  Amo Chen  ‐ 1 min read

白話文解說惡意軟體(malware)偵測技術 - YARA

不知道大家有沒有想過防毒軟體是怎麼運作的,當我們在進行所謂的系統掃描時,到底是怎麼知道哪些檔案是病毒/惡意軟體,哪些是正常檔案? 本文科普 1 項

Posted on  Jul 9, 2023  by  Amo Chen  ‐ 1 min read

白話文解說 CTF - Capture The Flag

Capture The Flag (又稱 CTF) 是 1 種資安界經常舉辦的競賽,最早在 1993 年的 DEFCON 出現, DEFCON 是資安界相當有名的研討會(如果有人說要去參加 DEFCON 一定要給他讚賞一下),能在 DEFCON 發

Posted on  Jun 17, 2023  by  Amo Chen  ‐ 1 min read

資安新議題 - Prompt Injection

隨著大家開始在產品內導入一些 LLM(Large Language Model)讓使用者可以透過輸入提示詞(prompt)的方式操作系統功能,就衍伸出一個新的資安議題 —— Prompt Injection 字

Posted on  May 17, 2023  by  Amo Chen  ‐ 1 min read

trivy - 你的資安守門員

資訊安全除了程式的漏洞之外,最常見的就是不當設定(misconfiguration),例如授予一般使用者最高權限,就是很常見的一種漏洞。 不當

Posted on  Apr 3, 2023  by  Amo Chen  ‐ 1 min read