Documents my learning experiences

弱點風險 Checkmarx 弱點掃描掃出，使用 DirectorySearcher 建立 LDAP 查詢句，其中 search.Filter 使用沒有被處理過不受信任的字串，可能會有被注入攻擊的機會。 DirectorySearcher search = new DirectorySearcher(directoryEntry); // 搜尋 AD 帳號名稱為 USER_ID 的項目 search.Filter = "(SAMAccountName=" + Obj.USER_ID + ")"; 這邊在 AntiXSS 4.0 Released 程式庫中有提供 LDAP Encoding changes 的方法，可以透過 Encode 的... Read More

SQL 語法將 ％ 字元視為萬用字元 系統在做模糊查詢時，如果要查詢的字串包含有 ％ 字元，會被 SQL 認為是萬用字元 所以針對使用者輸入的變數，檢查是否有 % 字元，將其使用跳脫符號避免結果與預期不同 Ms sql 使用 [] 跳脫 將 % 替換成 [%] Oracle 需要在 LIKE 參數後面使用 ESCAPE 關鍵字，定義符號 \ 為跳脫符號 ... Read More

Aspose.Words 自造字無法顯示問題 套印 word 文件時，EUDC 自造字無法正確顯示 根據不同類型檔案設定 .TTE 設定字型檔案與系統字型連結 當拿到字造字型檔放到電腦後，要設定機碼讓它連結到系統字型 使用 Administrator 在開始中輸入「regedit」開啟登陸編輯程式 機碼目錄為 電腦\HKEY_CURRENT_USER\EUDC\950 ... Read More

Introduction 使用純文字帳號密碼驗證機制，現在會被軟體掃出中風險如下 The remote Advanced Message Queuing Protocol (AMQP) service supports one or more authentication mechanisms that allow credentials to be sent in the clear. 建議修改方式 Disable cleartext authentication mechanisms in the AMQP configuration. 將連線與認證方始改用 External 機制，強制使用 SSL ... Read More

Generate Root CA 產生 RootCA.key & RootCA.pem CN 主機名稱 days 憑證期限 openssl req -x509 -nodes -new -sha256 -days 1024 -newkey rsa:2048 -keyout RootCA.key -out RootCA.pem -subj "/C=TW/CN=MockRoot-CA" 將 RootCA.pem 轉為 RootCA.crt 格式 openssl x509 -outform pem -in RootCA.pem -out RootCA.crt Generat... Read More