security

資安宣導 — 用 secure_filename 強化檔案上傳的安全

現代很多應用都需要實作檔案上傳的功能，例如上傳使用者圖像、上傳 CSV 表格等等，不過檔案上傳也是很容易造成資安漏洞的一項功能，一旦寫得不好，就會給惡意人士製造機會入侵系統，甚至成為散佈惡意軟體的中繼站。

本文將說明 1 個檔案上傳功能的資安問題以及如何進行防禦。

對於任何來自未受信任來源的資料，我們都必須假設它可能含有惡意的內容。

就連 YAML 檔也是一樣的！

最近看到有專案的 GitHub Actions 在用 CodeQL, 所以查了一下什麼是 CodeQL 。原來 CodeQL 是 1 套開源靜態程式碼弱點掃描工具，每個人都可以使用這套工具對程式碼進行弱點掃描，例如 SQL

Posted on Aug 8, 2023 by Amo Chen ‐ 1 min read

Side Channel Attack 是 1 種攻擊手法，只要符合收集並利用額外資訊進行推算或破解成功的手法，都可以稱為 Side Channel Attack 。這種攻擊最經典的例子是用運算時間的資訊破解密碼，

Posted on Jul 15, 2023 by Amo Chen ‐ 1 min read

不知道大家有沒有想過防毒軟體是怎麼運作的，當我們在進行所謂的系統掃描時，到底是怎麼知道哪些檔案是病毒/惡意軟體，哪些是正常檔案？本文科普 1 項

Posted on Jul 9, 2023 by Amo Chen ‐ 1 min read

Capture The Flag (又稱 CTF) 是 1 種資安界經常舉辦的競賽，最早在 1993 年的 DEFCON 出現， DEFCON 是資安界相當有名的研討會（如果有人說要去參加 DEFCON 一定要給他讚賞一下），能在 DEFCON 發

Posted on Jun 17, 2023 by Amo Chen ‐ 1 min read

隨著大家開始在產品內導入一些 LLM(Large Language Model)讓使用者可以透過輸入提示詞(prompt)的方式操作系統功能，就衍伸出一個新的資安議題 —— Prompt Injection 字

Posted on May 17, 2023 by Amo Chen ‐ 1 min read

資訊安全除了程式的漏洞之外，最常見的就是不當設定(misconfiguration)，例如授予一般使用者最高權限，就是很常見的一種漏洞。不當

Posted on Apr 3, 2023 by Amo Chen ‐ 1 min read