Azure AD 地端的 Web App 透過 RBAC 存取 Azure Key Vault

2021-11-28

前言

我們在 Azure AD 中註冊一個地端 Web App (myapp)，而它註冊後，同時也會有一個 azure service principal 叫 myapp。
如果要在 myapp 中取得放在 Azure Key Vault 中的 Secret 要怎麼設定呢?

more >>

在 Jenkins 中取回使用者密碼

2021-11-28

前言

很多公司都會透過 Jenkins 去執行許多 CI 的 Job，
而那些 Job 大多需要權限去執行，
所以你是設定使用者帳號/密碼，還是使用 Token 呢?
當使用帳/密時， Jenkins 會將存起來的密碼解回來送給需要的 Task ，
所以如果忘了某個帳號的密碼，就可以透過以下的方式取回它!

more >>

Checkmarx Insufficient_Connection_String_Encryption

2021-11-18

前言

web.config 的 Oracle connectionString 被 Checkmarx 掃出 Insufficient_Connection_String_Encryption。
因為 Checkmarx 從 Connection String 檢查連到 Oracle 不是走 TLS 協定。
註: 如果 MSSQL 就是判斷 Encrypt=true;

more >>

Checkmarx Client_Heuristic_Poor_XSS_Validation

2021-11-18

前言

系統被 Checkmarx 掃出有 Client_Heuristic_Poor_XSS_Validation 的問題要怎麼解呢?
Checkmarx 說 Client 端的 Poor_XSS_Validation 表示在 JavaScript 處理 DOM base XSS 時，
使用了不夠完整的過濾 Method，例如，escape, encodeURI 等等…

more >>

ASP.NET 從 NLog 到 Grafana Loki

2021-11-12

前言

最近一個系統中，拆成許多小小的 Service 專案，從前端UI操作如果發生問題時，
要查問題時，往往要去每個 Service 的 Log 檔案查看。
因為是實體檔案，所以要到主機上去看才行。
實在是蠻不方便的，不知有沒有更好的工具來幫忙呢?

more >>

'TRIPLE_DES' 之處的語法不正確。

2021-10-31

前言

同事參考為資料做加解密處理在建立對稱金鑰，並設定演算法為 TRIPLE_DES ，
SQL 發生 ‘TRIPLE_DES’ 之處的語法不正確。 的錯誤訊息。

more >>

在 Checkmarx V9.2.0 HF16 總是掃出 Unencrypted_Web_Config_File 問題

2021-10-22

前言

最近系統透過 Checkmarx V9.2.0 HF16 掃時，
居然多出了 Unencrypted_Web_Config_File 的風險問題。
使用 aspnet_regiis.exe 去加密連線字串區段還是會噴那個風險。

more >>

Function return string 被掃出 Reflected_XSS_All_Clients 問題

2021-10-14

前言

我們有系統是從 DB 讀取資料放到 DataTable 之中，再透過 JsonConvert.SerializeObject 將字串傳出去，如下，

more >>

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true