security

靜態程式碼弱點掃描工具 - CodeQL

最近看到有專案的 GitHub Actions 在用 CodeQL, 所以查了一下什麼是 CodeQL 。 原來 CodeQL 是 1 套開源靜態程式碼弱點掃描工具,每個人都可以使用這套工具對程式碼進行弱點掃描,例如 SQL

Posted on  Aug 8, 2023  by  Amo Chen  ‐ 1 min read

白話文解說 Side Channel Attack

Side Channel Attack 是 1 種攻擊手法,只要符合收集並利用額外資訊進行推算或破解成功的手法,都可以稱為 Side Channel Attack 。 這種攻擊最經典的例子是用運算時間的資訊破解密碼,

Posted on  Jul 15, 2023  by  Amo Chen  ‐ 1 min read

白話文解說惡意軟體(malware)偵測技術 - YARA

不知道大家有沒有想過防毒軟體是怎麼運作的,當我們在進行所謂的系統掃描時,到底是怎麼知道哪些檔案是病毒/惡意軟體,哪些是正常檔案? 本文科普 1 項

Posted on  Jul 9, 2023  by  Amo Chen  ‐ 1 min read

白話文解說 CTF - Capture The Flag

Capture The Flag (又稱 CTF) 是 1 種資安界經常舉辦的競賽,最早在 1993 年的 DEFCON 出現, DEFCON 是資安界相當有名的研討會(如果有人說要去參加 DEFCON 一定要給他讚賞一下),能在 DEFCON 發

Posted on  Jun 17, 2023  by  Amo Chen  ‐ 1 min read

資安新議題 - Prompt Injection

隨著大家開始在產品內導入一些 LLM(Large Language Model)讓使用者可以透過輸入提示詞(prompt)的方式操作系統功能,就衍伸出一個新的資安議題 —— Prompt Injection 字

Posted on  May 17, 2023  by  Amo Chen  ‐ 1 min read

trivy - 你的資安守門員

資訊安全除了程式的漏洞之外,最常見的就是不當設定(misconfiguration),例如授予一般使用者最高權限,就是很常見的一種漏洞。 不當

Posted on  Apr 3, 2023  by  Amo Chen  ‐ 1 min read

用 gpg 指令加密帳號密碼,安心共享機敏資訊

除了口耳相傳或利用像 1Password 等密碼管理器(password manager)共享帳號、密碼之外,不知道大家是怎麼分享帳號、密碼或是極機密資訊的呢?

本文分享如何透過 gpg (GNU Privacy Guard) 產生公私鑰(public & private key)並對帳號、密碼等機密資訊進行加密,加密後的密文也僅有當初加密時指定的使用者才能解開,藉此增加分享機密資訊時資訊安全程度。

Posted on  Oct 11, 2022  in  資訊安全  by  Amo Chen  ‐ 5 min read

用 Bandit 靜態掃描工具,掃描 Python 專案中的安全性問題

這陣子看了 10 common security gotchas in Python and how to avoid them , 該文章主要介紹幾種撰寫 Python 程式時需注意的安全問題,例如處理來自外部的 XML, YAML 檔案等可能會面臨的安全性問題,相當值得一讀,保證精彩。

該文的最後也介紹一款 Python 的靜態掃描工具 Bandit , 幫助我們找出程式內可能的漏洞或問題。

Posted on  Mar 24, 2019  in  Python 模組/套件推薦  by  Amo Chen  ‐ 2 min read