亂馬客

有時白箱工具會掃出 Client Cross Frame Scripting Attack ，

可以在 Header 中加入設定 X-FRAME-OPTIONS 

但是這樣有些 白箱工具並不知道，

客戶還是會要你改到 Report 看不到，

那怎麼辦呢?

我們有程式被掃出 Missing XML Validation 的問題，
發生的地方是在 XmlReader.Create(  ...

要如何解決呢?

在「Cross Site History Manipulation (XSHM)」中有使用 Random 來解決 Page History 的問題。

但卻又被掃出有「Use of Cryptographically Weak PRNG」的問題。

在原始碼掃描的Report之中，有一些 Heuristic 開頭的 Issue，

例如 Heuristic SQL Injection, Heuristic 2nd Order SQL Injection 。

Cross Site History Manipulation (XSHM) 要如何解呢?

透過 IsLocalUrl 來過濾 Path ，是否可以避掉 Open Redirect issue呢?

用到 function() {...} 也中「Dynamic Code Evaluation」?

使用到 Math.random() 會被一些原始碼掃描工具掃出「Insecure Randomness」。

被檢測到「XML External Entity Injection」的Issue，
要如何調整呢?

最近公司的程式有被掃到「Data Filter Injection attack」的問題，
是什麼造成「Data Filter Injection attack」的問題呢?
又該如何解決呢?

最近有遇到一個「Path Traversal」的問題，
是透過 Hidden欄位 來組出要存取的檔案Path，然後取得該檔案的資訊。

本篇介紹如何解決Open Redirect(Input Validation and Representation, Data Flow)問題

針對 Path Manipulation flow，我們也可以使用 Regex 來驗證檔名哦!

針對 Path Manipulation(Input Validation and Representation, Data flow) 的問題，
可以提供一個 GetValidateFileName Method (透過DirectoryInfo來Filter檔名)，來取得合法的檔案名稱。
然後再針對這個Method回傳的檔案進行操作。

公司開發的 Label 控制項，在Text屬性中使用 AntiXss 的 Encoder.HtmlEncode ，結果會發生「2014/4/24 下午 05:05:32 為不支援的日期格式」錯誤 !
是什麼問題呢?

jQuery安全檢測的Issues?

[ASP.NET]Value Shadowing

[.NET]Portability Flaw:File Separator

當程式被原始碼安全檢測工具掃出「Path Manipulation」的 issue ，要怎麼辦呢?

最近收到客戶寄來的資安Report，裡面說我們的Web Server允許OPTIONS method。
那要如何關閉它呢?