Posts

[Web] RESTful 敏感性 GET 參數

網址列參數洩漏風險目前網頁後端資源存取大多以 RESTful Api 開發， REST 標準下 API 的設計需符合冪等性(idempotent)， SSL 連線連接 TCP 層與 HTTP 層，因此透過 HTTPS 傳輸的網頁，網址進入 TCP 層之後是被加密的，即使封包被截取也只能看見要傳送的目標主機那麼敏感性資料可以透過 GET 參數傳送嗎？如果將機敏性資料夾帶於網址列當中會有洩漏的安全性風險，諸如：被 Shoulder surfers 竊取。(你的螢幕被偷看) 隨著頁面列印被印出。使用者將連結加入書籤。儲存在瀏覽器瀏覽歷史紀錄。被記錄在 Web Server 的 Log，而 Log 本身可能不安全。隱藏 RESTful GET 參數因此避免這些資料外洩的可能，根本的做法就是讓機敏性資料從網址列消失，最好的做法是依據 OWASP 的建議把參數夾帶在 Header 裡面，其他手段整理：將機敏性資料加密，但加密也會破壞 API RESTful 特性，在後端需要先解密無法直接對應回物件。以 POST 的一部份傳輸(透過 HTTPS)，但會直接破壞 API 的 RESTful 特性。根據 OWASP REST Security Cheat Sheet，應該把敏感性參數夾帶在 GET 請求的 HTTP Header 裡面透過 HTTPS 傳輸。 P.

July 11, 2022 Read

[SQL] Ranking

先建立一個練習表格： CREATE TABLE Department ( id SERIAL PRIMARY KEY, name VARCHAR NOT NULL ); CREATE TABLE Employee ( id SERIAL PRIMARY KEY, name VARCHAR NOT NULL, salary INT, dep_id INT, ); INSERT INTO Employee(name, salary, dep_id) VALUES ('Mandy', 45000, 2); INSERT INTO Employee(name, salary, dep_id) VALUES ('Emily', 43000, 1); INSERT INTO Employee(name, salary, dep_id) VALUES ('Sylvia', 26000, 2); INSERT INTO Employee(name, salary, dep_id) VALUES ('Eva', 48000, 3); INSERT INTO Employee(name, salary, dep_id) VALUES ('Sandra', 33000, 3); INSERT INTO Employee(name, salary, dep_id) VALUES ('Lily', 28000, 2); INSERT INTO Employee(name, salary, dep_id) VALUES ('April', 50000, 1); INSERT INTO Employee(name, salary, dep_id) VALUES ('Cindy', 43000, 1); INSERT INTO Employee(name, salary, dep_id) VALUES ('Kay', 40000, 3); INSERT INTO Department(name) VALUES ('IT'); INSERT INTO Department(name) VALUES ('RD'); INSERT INTO Department(name) VALUES ('QA'); 資料排序直接用 ORDER BY 無法得到秩(排名)

June 17, 2022 Read

[SQL] MERGE

一段神奇的語法，可以指定對舊資料、新的資料分別進行不同的動作(通常是更新、新增)，不指定的話預設是 BY TARGET，動作目標都是 TARGET。在更新清單的時候特別好用。 MERGE INTO TABLE1 DEST -- 目標表格 USING( SELECT :K1 K1, :K2 K2, :K3 K3, :K4 K4, FROM DUAL) SRC ON( DEST.K1 = SRC.K1 AND DEST.K2 = SRC.K2 AND DEST.K4 = SRC.K4 ) -- TARGET 有，SOURCE 沒有，更新 TARGET 裡面的紀錄 WHEN MATCHED THEN UPDATE SET F1 = SRC.F1, F2 = SRC.F2, -- TARGET 沒有，SOURCE 有，SOURCE 新增到 TARGET WHEN NOT MATCHED THEN INSERT ( K1, K2, K4, K3, F1, F2 ) VALUES ( :K1, :K2, :K4, :K3, :F1, :F2) Reference [StackOverflow] Performing MERGE with Dapper.

June 14, 2022 Read

[Container] 學習資源

DockerHub Docker文件 K8S

April 25, 2022 Read

[Docker] Docker Basic Command

執行容器 docker run [image] [overwrite defalut commain] 列出正在執行的容器， –all 可以列出曾經執行過的容器 docker ps [--all] docker run docker ps --all docker create docker start (what different from docker run?) docker system prune docker logs docker stop (send sigterm) 10s then docker kill docker kill docker build -t <dockerid>/<project>:latest . docker exec -it <containerId> /bin/bash (i, t stands for?) # execute new command build context! port mapping 是為了處理 into docker，docker 出來從來沒有被限制 Docker Compose 所有的 docker-compose 都要在 yml 資料夾下作用可啟動多個 Contailner 並連接 Container 之間的網路 docker-compose.

April 25, 2022 Read

[SQL] 用 CTE (Common Table Expression) 達成遞迴查詢，建立 MenuTree

建立一個暫存表 testCTE，並暫存查詢語句(所有資料)的結果 MSSQL CTE 名稱前不需加上 RECURSEIVE 關鍵字，必須使用 UNION ALL PostgreSQL：CTE 名稱前需加上 RECURSIVE 關鍵字，可用 UNION 或 UNION ALL WITH CTE (id, name, parentId, lvl) AS ( -- 取得第一層的資料(Anchor member)(假設沒有 parentId 的是第一層) SELECT id, name parentId, 0 AS lvl FROM menus WHERE parentId IS NULL UNION ALL -- 遞迴取得 Recursive member ( SELECT A.id, A.name, A.parentId, B.lvl + 1 AS lvl FROM menus A INNER JOIN CTE B on A.parentIdi = B.d ) ) SELECT * FROM CTE WHERE id=1 ORDER BY LEVEL Reference [StackOverflow] How to create a query from a menu tree using RECURSIVE CTE?

April 25, 2022 Read

[DevOps] CI/CD-01 安裝 Jenkins

環境硬體部分官方提到: RAM > 256NB，最好 2GB，空間留至少 10GB 放置 Docker 映像檔。環境部分需要安裝 Java (8 或 11) 和 Docker 安裝 Docker # 卸載舊的 docker sudo apt-get remove -y docker docker-engine docker.io containerd runc # 安裝必要的套件 # apt-transport-https 讓套件管理程式可以透過 https 協定使用 repo sudo apt-get update sudo apt-get install -y \ apt-transport-https \ ca-certificates \ curl \ gnupg \ lsb-release # 添加 Docker 官方 GPG key curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.

October 18, 2021 Read

[Security] 利用免費開源資安檢測軟體 SonarQube 檢測 .NET Core 程式碼

弱點掃描時常使用 owasp top 10 作為報告，然而 owasp 軟體一年要價不菲，委外掃一次也是非常貴，使用免費的 SonarQube 將弱點掃描整合到 CI/CD 階段，要交付前再花錢委外掃一次似乎是個折衷的作法，避免一次檢測出來的弱點過多改動過大。 SonarQube 分為兩個部分 SonarQube Server、Scanner (Client 端程式)。 Scanner 負責進行掃描並將結果上傳 Server，而 Server 作為負責處理和儲存分析報告的 compute engine 會分析上傳的結果，並提供 Web 使用者介面、搜尋功能，因此分析完成後就可以直接在 Web 上查看報告， Scanner 除了能夠在 locale 端使用，還能直接整合到 CI/CD Server 上進行程式碼品質掃描。雖說可以拿 localhost 直接作為 Server 使用，這裡還是紀錄如何在虛擬機器上實際安裝 SonarQube，以後在實際機器上安裝就可以作為參考，準備 Linux Server 硬體個人使用或小規模的團隊在一台機器上安裝就足夠使用了，如果需要架設提供大量服務的伺服器，官網也提供 Cluster 的安裝方式方便做 Loading Balance。這裡紀錄在一台 Ubuntu 20.04 上架設。關於 Linux 安裝過程在這裡不加贅述，官方提到硬體有幾個注意事項，對現代的硬體來說其實都還好，比較要注意的是硬碟空間： RAM 至少要 2G；free RAM 至少要 1G (所以用 Windows server 就要準備大很多喔)。上傳報告需要一定的空間，因次對硬碟的空間與效能有一定的要求，不夠的話容易太慢。 server side 不支援 32-bit 作業系統；但 Scanner 可以支援 32-bit systems。安裝 OpenJDK 11 sudo apt update sudo apt upgrade sudo apt install openjdk-11-jdk # 確認 java 版本 java --version 然後在 .

September 22, 2021 Read

[Web] 把電腦的難字造字檔用 FontForge 轉為字型放到網頁上使用

Web 在顯示姓名的時候常會遇到中文難字無法顯示，此時開發者在本機端如果有安裝造字檔 EUDC.TTE 就可以轉為 woff、woff2、ttf 讓網頁正確顯示難字。過程需要字型工具軟體 FontForge，步驟如下：拿到造字檔 EUDC.TTE 用 cmd 打開 regedit (win10 搜尋圖示點下後，輸入 cmd，出現小黑窗後再輸入 regedit) 找到機碼 HKEY_CURRENT_USER -> EUDC -> 950 資料夾下的 SystemDefaultEUDCFont 設定檔。從設定檔的值就是 EUDC 的存放位址取出 EUDC.tte，我這裡是 C:\CIBEN\EUDC.tte 安裝 FontForge，找到 fontforge.exe 的位址 (注意，跟桌面捷徑呼叫的執行檔不一樣！)，我的是在 C:/Program Files (x86)/FontForgeBuilds/bin/fontforge.exe 建立一個轉檔腳本 tte-extract.pe，內容如下 # Open EUDC TTE Open("EUDC.tte", 4) # CHANGE TTFNAME 2 EUDC SetTTFName(0x409,1,"EUDC") SetTTFName(0x409,2,"EUDC") SetTTFName(0x409,3,"EUDC") SetTTFName(0x409,4,"EUDC") SetTTFName(0x404,1,"EUDC") SetTTFName(0x404,2,"EUDC") SetTTFName(0x409,3,"") SetTTFName(0x404,4,"EUDC") SetFontNames("EUDC", "EUDC", "EUDC", "Regular", "655", "1.0.0") Generate("EUDC.ttf") Generate("EUDC.

August 24, 2021 Read

[DIY] Vue Router 使用 Navigation Guard 加入查詢參數

工作上需要把每一個路由都加上同一個 query string 第一直覺就是直接寫成這樣： router.beforeEach(async (to, from, next) => { next({ path: path, query: {...to.queryl ,token: tokenStr} }) }) 結果卻跳出 Maximum call stack size exceeded 的錯誤，判斷程式出現無窮迴圈： runtime.js?96cf:285 Uncaught (in promise) RangeError: Maximum call stack size exceeded 第一個反應是傻眼貓咪，為什麼 next() 不傳入參數的時候不會出現無窮迴圈，但塞進參數就會，難道說 next() 在傳入參數與不傳入參數的行為並不相同！！因此去翻閱官網對 next() 的說明： next: Function: this function must be called to resolve the hook. The action depends on the arguments provided to next: next(): move on to the next hook in the pipeline.

August 19, 2021 Read

[.NET Core] 在 Ubuntu 20.04 上部署 .NET (使用 Nginx 反向代理)

設置 Ubuntu 安裝 .NET Core Runtime wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb sudo apt update sudo apt install apt-transport-https sudo apt install dotnet-runtime-3.1 安裝 Nginx 新增套件來源，新增檔案 /etc/apt/sources.list.d/nginx.list #/etc/apt/sources.list.d/nginx.list. deb https://nginx.org/packages/ubuntu/ focal nginx deb-src https://nginx.org/packages/ubuntu/ focal nginx 安裝 sudo apt update sudo apt install nginx -y 啟動、設定開機啟動 # 啟動 nginx sudo systemctl start nginx # 設置 nginx 開機啟動 sudo systemctl enable nginx # 確認 nginx 運行狀態 sudo systemctl status nginx 設置 Nginx 反向代理本機的 5000 連接埠(之後 Kestrel 的 http 服務端口)

August 11, 2021 Read

[.NET] JsonDocument 與 DataTable 的互相轉換

在 LINQ 當道的時代雖然 DataTable 比較少用了，但還是難免會碰到，下面紀錄如何在.NET Core 裡面把 DataTable 的資料轉成 JsonElement， public JsonElement jsonFromDataTable(DataTable dt) { using (var stream = new MemoryStream()) { using (var writer = new Utf8JsonWriter(stream)) { // 起始一個裝 JElement 的陣列 writer.WriteStartArray(); foreach (DataRow row in dt.Rows) { // 開始寫入每個 Row 各自對應的 JElement 寫入程序 writer.WriteStartObject(); foreach (DataColumn column in row.Table.Columns) { // 先寫入屬性名稱 writer.WritePropertyName(column.ColumnName); // 判斷欄位值是否為 DBNull 來寫入值或 Null if (row[column.ColumnName] == DBNull.Value) writer.WriteNullValue(); else JsonSerializer.Serialize(writer, row[column]); } // 結束一列資料對應的 JElement 寫入程序 writer.

August 6, 2021 Read