IIS Crypto 軟體說明 IIS Crypto 是一個免費軟體，可以利用圖形介面關閉舊的加密協定或是不安全的加密演算法 下載點 https://www.nartac.com/Products/IISCrypto/Download 懶人包：打開後該怎麼勾選? 2024年建議參考 中正大學資訊處-弱點掃描常見問題修補建議 image

如果擔心版權問題，請見 素材使用注意事項 fontawesome https://fontawesome.com/ 可商業使用，皆為圖片字型 Foundation Icon Fonts 跟fontawesome差不多，可商業使用 MIT-LICENSE https://zurb.com/playground/foundation-icon-fonts-3 MIT授權 https://github.com/zurb/foundation-icons

:::info 提醒，mvc core 中預設沒有bundle了，需要額外下載套件，可以參考這篇 軟體主廚的程式料理廚房-[食譜好菜] BundleConfig 在 ASP.NET Core 還存在嗎？ ::: 問題 常常有 user 遇到問題 因為js沒有更新到，需要按重新整理 但可以在 script src="my.js?q=當下日期" 這樣就100%更新了，可是這樣變成每次user都重新下載js，浪費頻寬速度又慢，有沒有辦法自動生成? 這邊可以使用 asp.net MVC 的 bundle 功能，來完成這個目標，還能順便把js css壓縮

問題 IIS 的網站會有一個檔案 web.config，通常裡面會放一些設定或是機密資料，例如資料庫連線字串，甚至包含帳號密碼。 為了避免這些資訊被竊取，理想的情況是使用另一個程式將字串加密，有許多教學或開發人員會分享自己開發的加解密程式，雖然安全性高，但管理上較不方便，比方說 遺失加解密工具或遺失使用方法 開發人員離職後無人維護(加解密演算法過時未更新) 教導新人需要特別學習這套獨一無二的程式增加學習成本 解決方法 使用 ASP .NET IIS 註冊工具 (Aspnet_regiis.exe) 把 web.config 加密

使用情境 因應各種資安規範，常常需要針對個人電腦進行檢測，這邊整理了使用 cmd 或 powershell 方式取得電腦所有設定，減少要手動進去看設定的時間，也減少人員操作教學的繁瑣 適用環境 Windows 10, Windows Server 2012R或其他有支援愛Powershell的作業系統 使用方式 點擊 windows 開始工具列的放大鏡圖案 輸入 powershell 點擊後開啟應用程式 直接複製以下內文全文，貼到 powershell，觀看執行結果

前一天 Day10 後一天 Day12 台北車站南一門0840集合，0900發車 領取導覽器 (提早到接客人是導遊工作的基本，你是來上班不是來玩的) 分組（喊號碼 測試導覽器 長按+-鈕，之後按上下可以切換頻道 早10分鐘到是準時，準時就是遲到

介紹 王漢宗字體是很知名的免費中文字型，不過網路上都是四處轉傳的，雖然都有說可以免費使用，但都沒找到王漢宗本人(?)親自說明，授權的使用方式也沒寫很清楚。 我在這邊整理了比較像正式的相關紀錄，幫助想使用又怕侵權的人 :::info 提醒：我覺得資料量還不夠完整，如果有人找到新的東西請留言給我 ::: 應該是最早的紀錄

拿到 SBOM 之後? 如果只是產完 SBOM 就結束，那差不多就是去醫院健檢，拿到一疊報告後就收進櫃子，只是單純花時間精力，沒有真正獲得想要的結果 安全。 這篇要講的是拿到 SBOM 之後，怎麼從這一大堆文字中找出有風險的元件，並且安排下一步的更新計畫。 如果你是還不知道 SBOM 是什麼，或是不知道怎麼從你的軟體專案中產生SBOM，可以看我之前寫過的另一篇 使用微軟開源工具 sbom-tool 自動產生 SBOM軟體物料清單 先產出 SBOM，再回頭來看這篇。 使用 Google 的 OSV-Scanner 掃描漏洞 OSV-Scanner 是一個 Google 提供的自動掃描工具，可以自動檢查的 SBOM，是否和 OSV database 這個開源漏洞資料庫內的紀錄相符，幫助開發人員更新有風險的元件。 可以在 OSV-Scanner官方網站下載 命令列執行工具(CLI) 進行掃描。

使用目的 為了檢查檔案是否有被修改或是傳輸有問題，有時候檔案提供者會提供原始檔案的雜湊值，當使用者取得檔案後，可以用同樣的方法執行雜湊，看看是否可以得到與原始提供者相同的雜湊值，假設結果相同，就可以確認檔案的完整性。 windows 10 有內建工具 certutil 就是用來計算雜湊值的，只要開啟cmd命令提示列，就可以使用以下指令 支援的雜湊演算法有 MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512 指令 certutil -hashfile <檔名> <hash型別> 使用範例

=== 01 資安安全概論及資安法規 02 資安風險盤點 03 網路流量威脅分析 04 駭客的網頁攻擊手法 05 從搜尋引擎探索資安的世界 06 API應用程式介面安全 07 弱點掃描及滲透測試I 08 弱點掃描及滲透測試II

說明 有些人總覺得密碼破解需要很多駭客工具，其實不見得，這篇文章會介紹如何使用 windows 內建的 powershell 指令以及 7zip 解壓縮軟體，實作zip壓縮檔密碼暴力破解。 如果已經對 powershell 有一定熟悉程度，可以直接跳到 完整 powershell 語法 ，還不熟悉或是執行時遇到問題的話，請跟著以下步驟慢慢執行。 使用前準備 需要安裝 7zip 解壓縮軟體，請到官方網站下載 安裝後(或是已經有安裝的人)，找到 7zip 的安裝路徑，以我來說我的路徑是 C:\Program Files (x86)\7-Zip\7z.exe 準備好密碼的字典檔，字典檔就是蒐集了一大堆的常見密碼的 txt 檔案，也可以追加你自己覺得比較有可能的密碼，會更有效率。這邊推薦一個 1000萬組常用密碼字典檔清單，點進去後選右上角的 ... ，再選 Download 即可下載。

在瀏覽網頁時，其實會用各種Http方法去與Web伺服器取資料或是送資料，最常見的方法是Get；其次則是Post 兩者對一般人來說最大的差異就是 GET會在網址列上顯示參數，Post不會 但Http的方法其實不只Get和Post，以下有更多說明 HTTP/1.1 協定 HTTP定義了八種方法，以不同方式操作指定的資源： OPTIONS：這個方法可使伺服器傳回該資源所支援的所有 HTTP 請求方法。

CIA 三個觀點 GRC CIA機密可用完整已經被講爛了 Govermance 治理 Risk 風險 Complience 遵循性 新的議題 ESG，離資安比較遠，但 ESG 的 G 也是治理 Professional Ethics 職業道德 投影片 P7

前言 這邊主要放置專有名詞的解釋或是一些參數，讓看考題不清楚專有名詞的時候可以有一些初步的了解 更新：中級考過後補上考試心得 考iPAS資安有用嗎? iPAS資安初級沒有到期時間 多數證照其實都有到期年限，iPAS資安初級是少數沒有有效期限的證照 iPAS資安中級是行政院認可的資安證照(民國111年寫這篇的當下都還適用) 中級最大的價值就是行政院認可，因為資安法規定適用範圍公務機關與關鍵基礎設施有規定，資訊服務受託者(委外廠商)應該要有經驗or證照，但經驗很難認可，證照比較好認，所以如果有接公家機關專案具有這個證照比較方便。

我是民間企業 twcert 台灣電腦網路危機處理暨協調中心 https://www.twcert.org.tw/ TWCERT/CC在行政院資通安全處及國家通訊傳播委員會指導下，推動企業資安事件通報協處、產品資安漏洞通報、惡意檔案檢測服務及舉辦資安推廣宣導活動等重點工作。 我是政府機關 國家資通安全通報應變網 https://www.ncert.nat.gov.tw/ 通報應變網站提供各政府機關一個記錄資安事件的平台，各機關的資安聯絡人可透過這個平台，依循國家資通安全會報通報與應變作業流程，將資安事件呈報相關單位 特定產業需要通報指定單位 資安聯防與情資分享整理 如果有網址錯了或是又有新的可以留言或是直接幫我修改喔

實作上常常需要用一次收多筆資料給Controller，因為input可能是動態產生的 這邊附上可執行範例，底下逐一說明 https://dotnetfiddle.net/5ryBVA 範例程式碼 input區域 <input type="text" name"p[0].id" /> <input type="text" name"p[0].name" />

章節標題 要剛好兩個#才能用在投影片 一行內的某些重點文字 分頁符號 投影片換頁，前後最好空一行 selet * from 程式碼 where tip='可以多行且有行號' 補充 次要說明的灰字

介紹 Boss Of The SOC 是 splunk 出的模擬資安log分析用的訓練網站 可以下載一整包的檔案，之後跟著題目一步步找出惡意組織進行攻擊的軌跡 image 進入位置 裝好virtualbox https://cyberdefenders.org/labs/15 抓vm檔案 Download Challenge 解壓縮匯入後開機

使用情境 希望每次資料"被"更新時，自動補上日期的時候會使用 雖然也可以透過程式AP端呼叫時傳入日期，但有幾個問題 程式的日期和資料庫會有些微落差 如果程式人員手殘忘記加 想檢查資料庫是否被程式端以外的方式異動(如資料庫管理人員未透過程式自行操作) 因此需要使用 觸發Trigger 的方式來自動補上日期

無法建立Controller 或 無法新增View 這同時包含兩類問題 在舊專案建立 Controller會出現 缺少 searchFolder 在舊專案自動生成 View 的按鈕是反灰按不下去的狀態 原因 這版在安裝時勾選Web預設不會勾專案範本，要手動勾選下面這三項 可以參考這張圖勾選 或是參考操作影片