【踩雷分享】升級至 TLS 1.3 的注意事項 - 實戰經驗總整理
前言最近在處理資安弱點掃描時,常常收到建議「關閉 TLS 1.1 和 TLS 1.2,只開啟 TLS 1.3」的要求。這個改動看似簡單,但實際執行時可能會遇到很多意想不到的問題。本文將分享實戰經驗,幫助大家順利完成升級。 為什麼要升級到 TLS 1.3?資安考量 TLS 1.3 提供更強的加密演算法 移除了舊版本中不安全的加密方式 改善了握手過程的安全性 法規要求 新版 PCI DSS 要求使用 TLS 1.3 資安弱點掃描工具會標記較舊版本為風險 符合最新的安全標準 可能遇到的問題1. 遠端桌面連線 (RDP) 問題 Windows Server 2016 之前的版本可能無法連線 需要安裝更新才能支援 TLS 1.3 舊版 RDP 客戶端可能完全無法使用 2. SQL Server 連線問題 SQL Server 2016 之前的版本預設不支援 TLS 1.3 連線字串可能需要調整 某些舊版管理工具可能無法連線 3. 應用程式相容性 部分舊版 .NET Framework 應用程式可能無法運作 Java 8 之前的版本不支援 TLS...
IISCrypto - 資安弱掃的救星!一鍵搞定 TLS 設定
前言在進行資安弱點掃描時,是否經常遇到 SSL/TLS 相關的問題?手動修改 Windows 註冊表來調整加密設定,不僅繁瑣還充滿風險。今天要介紹的 IISCrypto 工具,讓你輕鬆解決這些問題! 什麼是 IISCrypto?IISCrypto 是一款由 Nartac Software 開發的免費工具,專門用於管理 Windows 伺服器的 SSL/TLS 設定。它提供了直覺的圖形化介面,讓管理員能夠輕鬆調整加密協定、加密套件和雜湊演算法的設定,無需直接修改系統註冊表。 為什麼需要 IISCrypto?資安合規需求現代的資安標準(如 PCI DSS)要求停用過時的加密協定(如 SSL 2.0/3.0),並強制使用更安全的 TLS 1.3。 弱點掃描需求常見的資安掃描工具(如 Qualys、Acunetix)會檢查伺服器是否使用不安全的加密設定,這些問題都能透過 IISCrypto 輕鬆解決。 效率提升相較於手動修改註冊表,使用 IISCrypto 可以: 大幅減少人為錯誤風險 節省設定時間 方便進行設定備份和還原 主要功能 協定管理 停用不安全的 SSL...
IIS 網站突然狂丟403錯誤!原來是安全性設定在搞鬼
IIS 網站突然狂丟403錯誤!原來是安全性設定在搞鬼前言某一天,系統突然開始出現詭異的現象:使用者報告網站時好時壞,重新整理一次可能好,但下一秒又壞了。查看錯誤日誌發現大量的 403 Forbidden 錯誤,但最讓人困惑的是 ,同一個檔案,有時候能載入,有時候卻被封鎖。這到底是怎麼回事?然後就開始尋找問題可能的原因 1. 檔案/資料夾權限設定問題: 確認網站資料夾的 NTFS 權限是否正確 IIS_IUSRS 和 IUSR 使用者需要有讀取權限 Application Pool 身份對網站目錄需要有讀取權限 2. IIS 設定檢查: 在 IIS 管理員中確認網站的身份驗證設定 檢查是否啟用了正確的驗證方式(如匿名驗證) 確認網站綁定設定是否正確 結果確認之後都無法解決。 問題的關鍵:動態 IP...
Content Security Policy 安全性與實用性平衡指南
Content Security Policy 安全性與實用性平衡指南前言Content Security Policy 是一個額外的安全層,用於檢測和減輕特定類型的攻擊,包括跨站腳本 (XSS) 和數據注入等。通過仔細配置 CSP,可以大幅降低網站被攻擊的風險。本指南旨在提供一個實務上的 CSP 配置方案,在確保網站安全性的同時,也顧及開發效率與維護性。此配置適用於大多數企業級網站專案,並提供與資安稽核單位溝通的建議。 基本配置方法1. 透過 HTTP Header 設定1Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trusted-cdn.com; style-src 'self' 'unsafe-inline' https://trusted-cdn.com; img-src...
防駭客必學!一次搞懂 IIS HSTS 設定,告別 HTTPS 降級攻擊
防駭客必學!一次搞懂 IIS HSTS 設定,告別 HTTPS 降級攻擊你的網站已經設定 HTTPS 了嗎?但是否知道光設定 HTTPS 還不夠安全?今天要和大家分享一個超重要的網站安全防護機制:HTTP Strict Transport Security (HSTS),讓你的網站安全性更上一層樓! 問題發現:弱點掃描警告最近在進行專案的弱點掃描時,發現了一個低風險的問題: 弱點說明提到:應用程式未設定 HTTP Strict Transport Security (HSTS) 標頭。這可能讓攻擊者有機會進行 HTTPS 降級攻擊,竊取敏感資訊。 什麼是 HSTS?為什麼這麼重要?HSTS 全名是 HTTP Strict Transport Security,是一種由網際網路工程任務組(IETF)發布的網路安全政策。它的主要功能是: 強制瀏覽器使用 HTTPS 與網站進行通訊 有效防禦 SSL 剝離攻擊 保護使用者的敏感資訊 避免憑證警告被忽略 HSTS 運作原理讓我們看看 HSTS 是如何運作的: 使用者第一次存取網站 伺服器在回應中加入 HSTS...
IIS中COOKIE的安全設置
IIS中COOKIE的安全設置在當今的網絡安全環境中,保護使用者連線和敏感資料變得越來越重要。作為開發人員和系統管理員,我們必須采取一切必要的措施來確保我們網站的安全性。本文將深入探討IIS(Internet Information Services)中COOKIE的兩個關鍵安全設置:httpOnlyCookies和requireSSL。 問題背景最近,專案在進行弱點掃描時發現了一個與ASP.NET_SessionId有關的弱點。掃描結果顯示,這個重要的Session...
CORS 都有哪些解決方法?
CORS 都有哪些解決方法?在前後端分離的開發過程中,跨來源資源共用(Cross-Origin Resource Sharing, CORS)是一個常見的問題。當前端和後端運行在不同的網域或連接埠時,瀏覽器的同源政策會阻止前端對後端的請求。以下我們將探討幾種解決 CORS 問題的方法,特別是在使用 .NET Core 作為後端的情況下。 1. 在後端配置 CORS在 .NET Core 中,你可以通過以下步驟來配置 CORS: 在 Startup.cs 文件的 ConfigureServices 方法中添加 CORS 服務: 123456789101112public void ConfigureServices(IServiceCollection services){ services.AddCors(options => { options.AddPolicy("AllowSpecificOrigin", builder =>...