Checkmarx Log_Forging

前言

當系統有將外部資料(Post or Get or Session … 的值)寫入Log時,
就會被 Checkmarx 找出有 Log_Forging 的問題。
因為怕該內容裡面放了換行符號,
導致 Log 被偽造,例如原本使用者登入會寫一個 Log 為
login ok rm 或是 login fail rm
那如果帳號的內容改成 “admin” + NewLine + “login ok admin”,
而 Log 就會變成

more >>

ASP.NET 中如何保護靜態檔案,例如 XLS, DOC or TXT 等檔案?

前言

在 ASP.NET 中,透過 URL 取得靜態檔案(例如: http://rm.com/download/d1.txt) 並不會透過 ASP.NET Handler 去處理,
所以當透過 Browser 直接輸入 URL 時,會直接依 IIS 中針對附檔名的設定,選取對應的處理常式(可查看 IIS 中的 處理常式對應)來處理,
預設是 StaticFile ,所以這些靜態檔案會依 IIS 中 MIME 的設定來決定在 Browser 直接顯示內容,還是下載檔案。
那要讓 TXT, XLS 等檔案在透過 URL 下載時,先驗證是否有登入系統才可下載要如何做呢?
當然是寫個客製化的 HttpHandler 來處理。
但是應用程式在 傳統模式 or 整合模式 的設定是不同的。

more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安黑箱(AppScan)、白箱(Checkmarx)等問題的解決。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw