Skip to content

Zeroplex 生活隨筆

小 縮小字型大小。 中 重設字型大小。 大 放大字型大小。

標籤: 資訊安全

設計密碼要考慮的事情

Posted on 2022 年 10 月 30 日2022 年 11 月 3 日 By 日落 在〈設計密碼要考慮的事情〉中尚無留言

最近想要換掉主密碼,整理一下建立密碼需要注意的事項。

  • 電腦鍵盤 (以前) 算是傳統輸入工具,密碼常用的字元大多可以在 85% 鍵盤上直接輸入,頂多就是一次按二個按鍵 (組合鍵)
  • 行動裝置應該算是目前最多人使用的裝置吧,觸控螢幕通常會使用螢幕鍵盤作為輸入工具 (GBoard、超注音等等)。
    • 行動裝置螢幕不夠大,如果使用到特殊符號就一定會需要切換鍵盤,這會讓輸入密碼速度變慢、難度增加
  • IoT、專用裝置等,通常只會輸入一次密碼,或是改用 access token,但用來輸入的平台可能很簡陋,甚至遇過密碼輸入欄位不會隱藏輸入的字元。另外有些專用裝置沒有螢幕、輸入設備,搞不好要輸入特殊字元都有問題 XD

Share this…
  • Facebook
  • Twitter
  • Telegram
  • Line
  • WordPress
Tags:資訊安全

DOOM CAPTCHA – 玩毀滅公爵才能過關的圖形驗證碼

Posted on 2021 年 5 月 25 日2021 年 5 月 25 日 By 日落 在〈DOOM CAPTCHA – 玩毀滅公爵才能過關的圖形驗證碼〉中有 1 則留言

自從 OCR 技術越來越精準後,文字類型的驗證碼 (CAPTCHA) 和圖形類的驗證碼就越來越容易被電腦辨識出來,反而真人進行辨識的時間有時還比電腦要長。

剛看到別人轉的訊息,有人把毀滅公爵做進的驗證碼中,被驗證者必須殺掉怪物才會被識別成真人:

來源:DOOM CAPTCHA

試玩後發現 DOOM CAPTCHA 有一定的 pattern,再來就是怪物長的都一模一樣。其實這種規律和圖形,專為遊戲設計的辨識工具,辨識速度會比人還要快 …. XD

Share this…
  • Facebook
  • Twitter
  • Telegram
  • Line
  • WordPress
Tags:XD, 資訊安全

Nginx 將 deny all 換成 return 404

Posted on 2021 年 5 月 9 日2021 年 5 月 9 日 By 日落 在〈Nginx 將 deny all 換成 return 404〉中尚無留言

以往不想要讓人索引、讀取的目錄和檔案都會設定成 deny all:

在新分頁中預覽

location ~ /\.git {
    deny all;
}

這樣設定的話,開啟該目錄就會收到 HTTP 403 Forbidden。這個訊息有二個含意:主機上面的確有這份資料、你沒有權限打開。

也就是,檔案在 URL 的連結已經確定了,只要繞過權限管理即可讀取檔案。

與其這樣,不如直接讓主機回傳 HTTP 404,這樣便無法知道檔案是否存在:

location ~ /\.git {
    return 404;
}
Share this…
  • Facebook
  • Twitter
  • Telegram
  • Line
  • WordPress
Tags:Nginx, 資訊安全

master.php.net 的使用者資料庫可能已經外洩

Posted on 2021 年 4 月 9 日2021 年 4 月 9 日 By 日落 在〈master.php.net 的使用者資料庫可能已經外洩〉中尚無留言

看到 Hacker News 的新聞「PHP Site’s User Database Was Hacked In Recent Source Code Backdoor Attack」:

While this was initially treated as a compromise of the git.php.net server, further investigation into the incident has revealed that the commits were a result of pushing them using HTTPS and password-based authentication, leading them to suspect a possible leak of the master.php.net user database.

從伺服器的記錄猜測,攻擊者是透過 HTTP authentication 的方式,在 git repository 偷偷藏入 backdoor。若猜測是正確的,表示攻擊者可能已經取得 master.php.net 的使用者資料庫。另外也提到網站運作的環境太老舊,攻擊者也可能已經找到軟體上的弱點並透過這些弱點來設計攻擊。

官方已將網站改用 TLS 1.2,並將密碼儲存方式從 MD5 更新為 bcrypt 雜湊。比較好奇如果沒有保留密碼,要怎麼從 MD5 更新為 bcrypt?Hash 二次嗎? XD

Share this…
  • Facebook
  • Twitter
  • Telegram
  • Line
  • WordPress
Tags:PHP, 新聞, 資訊安全

Self-build Metasploitable 3 Virtualbox image

Posted on 2021 年 2 月 26 日2022 年 10 月 26 日 By 日落 在〈Self-build Metasploitable 3 Virtualbox image〉中尚無留言

Did not found any download, so build it my own …. TAT

I need to say the Metasploitable 3 build script is really awesome !
Build information:
  • from https://github.com/rapid7/metasploitable3
  • build type: manually build with “–only=virtualbox-iso”
  • build date: 2021-02-25
torrents:
  • ubuntu1404 image: https://zeroplex.tw/tmp/metasploitable3-u1404-20210225.torrent
  • windos 2008 r2 image: https://zeroplex.tw/tmp/metasploitable3-w2k8r2-20210225.torrent

Share this…


  • Facebook


  • Twitter



  • Telegram



  • Line



  • WordPress

Tags:Metasploitable, 資訊安全

文章導覽

1 2 ... 9 下一頁

其他

關於我  (About me)

小額贊助

  文章 RSS Feed

  留言 RSS Feed

3C Apache AWS Bash C/C++ docker FreeBSD Git Google Java JavaScript Laravel Linux Microsoft MSSQL MySQL Nginx PHP PHPUnit Python Qt Ubuntu Unix Vim Web Windows WordPress XD 作業系統 分享 好站推薦 專題 小提琴 攝影 新奇搞笑 新聞 旅遊 生活雜記 程式設計 網路架站 網頁設計 資訊學習 資訊安全 遊戲 音樂


創用 CC 授權條款
本著作係採用創用 CC 姓名標示-相同方式分享 4.0 國際 授權條款授權.

Go to mobile version