Category Archives: 資訊安全

那些台灣軟體產業所缺少的 – 自動化測試

你是否有計算過,你在寫專案的過程中,測試過了多少次的程式? 我想是沒有,我也沒有,但是你是否有曾想過,或是感覺過,隨著專案的膨漲,你要測試的項目也跟著變多了? 這是理所當然的事情,當專案小,測試還算很輕鬆,因為程式的功能不外乎就那幾樣,一轉眼就測完了,常見的寫程式流程會像這樣 撰寫新功能 測試新功能 當然,也有修正bug的情況 修正bug 測試bug 如此一直循環,當你寫了新功能,理所當然地會去測試新功能,看是否如你預期地執行,那舊功能呢? 或許你記憶力不錯,在寫新功能的同時,想到先前某個舊功能是依賴現在改的東西,這麼一改可能會造成舊的功能出問題,於是你也順便測了一下舊的功能,當程式還小 撰寫新功能 測試新功能 測試舊功能 嘿,不怎麼樣吧? 只佔了開發時間的三分之一,好吧那如果有更多的舊功能要測呢? 撰寫新功能 測試新功能 測試舊功能 測試舊功能 測試舊功能 …. 發現了沒有? 隨著你的專案越來越大,如果要確保整個系統所有的功能都是正常運作的,無可避免地,在你修改程式之後要測試的項目會越來越多 這表示你每寫一行新程式的成本增加了,身為以減低成本為傲的島國 國民: 台灣人…,你說,簡單! 不要測舊功能不就好了? 是的,我想這可能就是最常見的情況,不要測試舊功能理所當然地,每寫一行的程式成本都保持一樣很低,但這代表著舊程式可能出錯的風險也跟著增加了,當你喜滋滋地覺得你幫公司省了成本,結果在一個月後因為舊程式缺乏測試,因改動了核心的部份造成舊的功能將所有資料外洩,公司損失慘重,這就是不重視軟體品質的後果 舉真實生活上發生過的例子,PTT曾經有過改程式未經好好地測試,造成每個人都能以管理員的權限登入的事情,知名的檔案同步平台Dropbox,也曾經發生過因為認證的程式改版有bug,造成任何人都可以登入別人帳號的事,我也有曾聽聞一些網站因為工程師為了測試方便,把認證的函數暫時改成 function authenticate(user_id, password) { return true; // do authentication here // … Continue reading

Posted in 中文文章, 分享, 嘴砲, 資訊安全 | Tagged , , , , , , | 5 Comments

Now.in 遭受到來自歐洲的殭屍DDOS攻擊

Now.in這兩天遭到來自歐洲各國的殭屍DDOS攻擊,來源國家有羅馬尼亞、土耳其、捷克共合國、德國、法國 為了讓服務能正常運行,我花了一個晚上寫了一個防火牆,自從掛上去之後對方的攻擊都是無效的 我也不知道明明是無效的攻擊為什麼這位小朋友還要繼續試,從手法來看對方應該只是個script kid,攻擊的Request從一開始全部是這樣 GET /radio/musicfm Host: en.now.in 變成 GET /radio/musicfm Content-Type: text/plain Host: en.now.in 或是 GET /radio/musicfm Connection: keep-alive Host: en.now.in 他大概蠢到以為加了keep-alive之後我的伺服器就會蠢到把連線開著讓他吃免錢的資源? 或是改變request的內容我的防火牆就會認不出來? 在他猜到防火牆設的規則前攻擊都是無效的,說真的,我想不到有什麼無聊的理由可以浪費時間在攻擊別人的網站,這樣一直狂送request就會高潮嗎? 如果有效就算了,還是這種無力的三流攻擊,我統計了一下記錄檔他十幾台殭屍聯合攻擊的request/seconds數量也才200多,連防火牆的1%CPU使用率都撐不起來 不過,網路上神經病何其多,架網站遇到這種莫名奇妙的攻擊也是遲早的事,感謝這位小朋友讓我有機會寫個防火牆,之後還一直有機會遇到神經病的攻擊,也算是經驗的一種,而這防火牆是因為殭屍而生的,所以就把它命名為 Molotov吧。

Posted in WTF, 中文文章, 資訊安全 | Tagged , , , | 3 Comments

Google大暴炸! 這個網站可能會損害您的電腦

Google大暴炸! 所有網站都出現這個網站可能會損害您的電腦的字樣 Continue reading

Posted in 中文文章, 分享, 資訊安全 | Tagged , | Comments Off on Google大暴炸! 這個網站可能會損害您的電腦

資訊安全的策略 : 深度防禦

介紹深度防禦,和在資訊安全的應用 Continue reading

Posted in 中文文章, 資訊安全 | Tagged , , , , , | Comments Off on 資訊安全的策略 : 深度防禦

別讓危險成為預設的行為,讓危險的行為比安全的行為更麻煩

危險的行為 對於寫程式而言,很多預設的行為都是相當危險的,舉一些最常見的例子SQL Injection、XSS、Buffer overflow,我們可以從這些幾個最常出現被攻擊的類形,都有一個共同的特點,就是它們通常都是因為預設的行為很危險,我們一個一個來看

Posted in 中文文章, 資訊安全 | Tagged , , , , | 6 Comments