Web Application Security ตอนที่ 1 - 10 อันดับเทคนิคที่นิยมใช้แฮ็กเว็บไซต์ในปี 2013
หน้าแรก PHP MySQL เกร็ดความรู้ Web Application Security ตอนที่ 1 - 10 อันดับเทคนิคที่นิยมใช้แฮ็กเว็บไซต์ในปี 2013
ความจริงเรื่อง web security นั้นหากจะมองก็คงจะต้องทำในหลาย ๆ มิติในการป้องกันเว็บไซต์ของเราให้ปลอดภัย ไล่มาตั้งแต่ Web Server , Database , Source Code เรียกว่า ถ้างานซีเรียสจริงๆ คงต้องดูตั้งแต่ต้นน้ำจนปลายน้ำเลย
แต่หากจะมองในมุมนักเขียนโปรแกรมอย่างเรา ๆ ท่าน ๆ เราคงจะต้องให้ความสำคัญกับวิธีัการเขียนโปรแกรมของเราให้ปลอดภัยเสียก่อน แล้วค่อยไปว่าเรื่องอื่น ๆ ทีหลังหรือให้ผู้ที่เก่งกว่าเราในด้านอื่นๆ ช่วยเหลืออีกที
แล้วเราต้องคำนึงถึงอะไรบ้างล่ะ
ถ้าจะพูดเอาง่ายเลย ก็คือ ทุกส่วนที่เราติดต่อกับผู้ใช้งานนะแหละ เช่น ฟอร์มรับข้อมูลต่าง ๆ , การอัพโหลดไฟล์ อะไรก็ตามที่ติดต่อกับผู้ใช้งาน สามารถกรอกข้อมูลหรืออัพข้อมูลขึ้น Server นั่นเอง
ถามว่าทำไม
การแฮ๊กเว็บไซต์นั้นในปัจจุบันนิยมทำผ่าน port 80 หรือ port 443(SSL) คือพอร์ทเว็บที่นิยมใช้กัน คือสามารถผ่านเข้า Server ไ้ด้โดยตรง ผ่าน Firewall ได้สบาย ๆ โดยไม่ต้องเป็นผู้ที่มีความเชี่ยวชาญด้าน TCP/IP protocol suite ที่นิยมเขียนโปรแกรมภาษา C ที่มักจะใช้ Exploit ในการเจาะระบบผ่านทาง Port ต่างๆ เหมือนสมัยก่อนอีกแล้ว ซึ่งในปัจจุบันก็โดนพวก firewall ปิดไว้หมดเรียบร้อย เพราะใคร ๆ ก็เปิดพอร์ทเว็บกันอยู่แล้ว ถ้าปิดพอร์ทพวกนี้ก็ไม่มีใครเข้ามาดูเว็บไซต์ของเราได้ ว่าไหมล่ะ
การแฮ็กโดยฝังมากับข้อมูลธรรมดาที่ผู้ใช้งานกรอกหรืออัพโหลดเข้า อาจเป็น Script ต่าง ๆ หรือแม้กระทั่งไฟล์ Shell Script ถ้าเราปล่อยให้อัพโหลดขึ้นมาได้ โดยไม่มีการตรวจสอบประเภทไฟล์เสียก่อน ช่อง 3 โดนมาแล้วด้วยเหตุนี้
10 อันดับเทคนิคที่นิยมนำมาใช้ในการแฮ็กเว็บไซต์ในปี 2013
1. SQL Injection
2. Broken Authentication and Session Management
3. Cross-Site Scripting (XSS)
4. Insecure Direct Object References
5. Security Misconfiguration
6. Sensitive Data Exposure
7. Missing Function Level Access Control
8. Cross-Site Request Forgery (CSRF)
9. Using Known Vulnerable Components
10. Unvalidated Redirects and Forwards
ก็มีหลายอย่างที่ชอบใช้กันอยู่แล้ว เทคนิคเดิม ๆ อย่าง SQL Injection, XSS , CSRF ก็ยังใช้ได้อยู่เสมอ ๆ บทความนี้เปิดหัวเอาไว้ก่อน มีเวลาจะเขียนให้อ่านกันอีกทีว่า แต่ละข้อเป็นอย่างไร
หรือจะตามอ่านจากแหล่งที่มาก็ได้ครับ อธิบายละเอียดมาก The Open Web Application Security Project หรือ OWASP ที่เรา ๆ ท่านรู้จักกันเป็นอย่างดีล่ะ
รู้แล้วอย่ามาลองกับเว็บผมนะ เจอกันบทความหน้า จะเขียนเรื่อง 10 อันดับเทคนิคที่นิยมนำมาใช้ในการแฮ็กเว็บไซต์ในปี 2013 ในแต่ละข้ออีกที
ที่มา/เครดิต : OWASP
ขึ้นไปด้านบน