靜態程式碼弱點掃描工具 - CodeQL
最近看到有專案的 GitHub Actions 在用 CodeQL, 所以查了一下什麼是 CodeQL 。 原來 CodeQL 是 1 套開源靜態程式碼弱點掃描工具,每個人都可以使用這套工具對程式碼進行弱點掃描,例如 SQL
Posted on Aug 8, 2023 by Amo Chen ‐ 1 min read
security
白話文解說 Side Channel Attack
Side Channel Attack 是 1 種攻擊手法,只要符合收集並利用額外資訊進行推算或破解成功的手法,都可以稱為 Side Channel Attack 。 這種攻擊最經典的例子是用運算時間的資訊破解密碼,
Posted on Jul 15, 2023 by Amo Chen ‐ 1 min read
白話文解說惡意軟體(malware)偵測技術 - YARA
不知道大家有沒有想過防毒軟體是怎麼運作的,當我們在進行所謂的系統掃描時,到底是怎麼知道哪些檔案是病毒/惡意軟體,哪些是正常檔案? 本文科普 1 項
Posted on Jul 9, 2023 by Amo Chen ‐ 1 min read
白話文解說 CTF - Capture The Flag
Capture The Flag (又稱 CTF) 是 1 種資安界經常舉辦的競賽,最早在 1993 年的 DEFCON 出現, DEFCON 是資安界相當有名的研討會(如果有人說要去參加 DEFCON 一定要給他讚賞一下),能在 DEFCON 發
Posted on Jun 17, 2023 by Amo Chen ‐ 1 min read
資安新議題 - Prompt Injection
隨著大家開始在產品內導入一些 LLM(Large Language Model)讓使用者可以透過輸入提示詞(prompt)的方式操作系統功能,就衍伸出一個新的資安議題 —— Prompt Injection 字
Posted on May 17, 2023 by Amo Chen ‐ 1 min read
trivy - 你的資安守門員
資訊安全除了程式的漏洞之外,最常見的就是不當設定(misconfiguration),例如授予一般使用者最高權限,就是很常見的一種漏洞。 不當
Posted on Apr 3, 2023 by Amo Chen ‐ 1 min read
用 gpg 指令加密帳號密碼,安心共享機敏資訊
除了口耳相傳或利用像 1Password 等密碼管理器(password manager)共享帳號、密碼之外,不知道大家是怎麼分享帳號、密碼或是極機密資訊的呢?
本文分享如何透過 gpg (GNU Privacy Guard) 產生公私鑰(public & private key)並對帳號、密碼等機密資訊進行加密,加密後的密文也僅有當初加密時指定的使用者才能解開,藉此增加分享機密資訊時資訊安全程度。
用 Bandit 靜態掃描工具,掃描 Python 專案中的安全性問題
這陣子看了 10 common security gotchas in Python and how to avoid them , 該文章主要介紹幾種撰寫 Python 程式時需注意的安全問題,例如處理來自外部的 XML, YAML 檔案等可能會面臨的安全性問題,相當值得一讀,保證精彩。
該文的最後也介紹一款 Python 的靜態掃描工具 Bandit , 幫助我們找出程式內可能的漏洞或問題。
Posted on Mar 24, 2019 in Python 模組/套件推薦 by Amo Chen ‐ 2 min read