TDOH

@2015建北暑訓

TDOH

@2015建北暑訓

靠北，誰把燈給關了

日常生活中的資安

HTTP/HTTPS

蛤？加 s ？複數型膩？

登入頁面要用HTTPS

這是國際禮儀

Why？

因為密碼會噴出來

備註：純戲劇效果

4G吃到飽

才不屑用免費WiFi

誰說4G就攔不到

2015 烏雲白帽大會 綿羊牆實況

那…我該怎辦？

用HTTPS

可是，成本？

2015年8月14日 SSL憑證報價

國小數學

• 北一女一屆1000人
• 三屆共3000人
• 8639/3000 = 2.88元/人

那…用HTTPS就可以高枕無憂？

殺老師笑你

HTTPS的有效性

HTTPS的有效性

• 時效性
• 不可否認性

出現警示的原因

• 網站的憑證過期
• 網站的憑證是自簽的
• 你的連線被人劫持，且他偽造了一張憑證

沒有出現警示，但卻被取得資料

• 該網站的憑證外流
• 連到不該連的網路，並被跳轉到釣魚頁面

所以我們應該……

• 呼籲常用的網路服務使用HTTPS
• 時常注意自己的網路環境與警示訊息
• 在情況允許下，盡可能使用HTTPS

中場休息

漏洞利用與軟體安全

其實我個人比較愛講範例

你們不覺得實際去黑站比較有成就感嗎？

CVE 2014-6332

 CVE 2014-6332

• 從Win95就存在
• WinXP並未修補
• 簡單好用、威脅性大

CVE 2014-6332 攻擊方式

根本比好自在還貼心

防範方法？

• 改Linux/Unix-Like作業系統
• 更新Windows
• 打死不用Internet Explorer

人在江湖

身不由己

你總要開 IE 下載Chrome吧？

真正的問題出自於程式

C# WebBrowser

WebBrowser 應用

• 軟體註冊畫面

WebBrowser 應用

• 廣告元件

有WebBrowser元件就會中獎

很難利用嗎？

大概比分辨漂流木還要簡單一點

到底怎麼解決？

更新一次不夠，不會更新兩次哦

至於Windows更新更到當機

又是另一個故事了

快點拋棄M$啦