Web Application Tag

HIGHLIGHT   - หากคุณต้องการให้ “Web Application” ของคุณสามารถค้นหาช่องโหว่ได้อย่างถูกต้อง จะต้องอาศัยกระบวนการรวบรวมข้อมูลที่อาจจะต้องจะต้องสูญเสียเวลาของเหล่าทีมไอที ในการเดินลุยหาข้อมูลกันไปบ้าง   - และอีกหนึ่งวิธีก็คือ “ตัวคุณเองก็จะต้องเริ่มต้นตอบให้ได้ก่อนว่า “Web Application” มีความถูกต้องหรือไม่ในการตรวจค้นหาช่องโหว่ได้มากน้อยแค่ไหน ซึ่งสามารถตรวจเช็คได้จากความสามารถในการรับมือ Open Web Application Security หรือ OWASP Top 10   Open Web Application Security หรือ OWASP Top 10 Vulnerabilities ประกอบไปด้วย:     Injection: การโจมตีในรูปแบบที่ผู้โจมตีจะส่งข้อมูลที่ไม่น่าเชื่อถือไปยัง SQL, OS หรือ LDAP โดยสั่งการด้วยคำสั่งปลอม เพื่อเรียกใช้คำสั่งในการเข้าถึงข้อมูลที่สำคัญภายใน   Broken Authentication and Session Management: แฮกเกอร์จะใช้กระบวนการตรวจสอบสิทธิ์และการจัดการเซสชั่น เพื่อขโมยรหัสผ่านโทเค็น หรือคีย์ที่จะช่วยให้ระบุตัวตนของผู้ใช้ “จึงทำให้สามารถแฮ็กเข้าถึงเครือข่ายของคุณได้อย่างอิสระไม่แตกต่างกับบุคคลในองค์กรเลยทีเดียว”   Cross-Site Scripting: แฮ็กเกอร์จะแฮ็กผู้ใช้ให้เปลี่ยนเส้นทางไปยังเว็บไซด์ที่เป็นอันตราย หรือทำให้เกิดความผิดพลาดในเว็บไซด์ โดยอาศัยข้อบกพร่องใน XSS.   “ Application” จะใช้ข้อมูลที่ไม่น่าเชื่อถือส่งไปยัง “Web Brower” โดยไม่มีกระบวนการตรวจสอบ ทำให้ Scrip ที่ไม่พึ่งประสงค์เกิดขึ้นใน “Web Brower” ของเหยื่อ   Insecure Direct Object References: ความเสี่ยงที่เกิดจาก “นักพัฒนาซอฟต์แวร์”...

Read More

Web Application Security and Scanning การรักษาความปลอดภัยและการสแกนบนเว็บแอปพลิเคชั่น อีกระดับการป้องกันภัยคุกคาม     HIGHLIGHT   - การสแกน Web Application คือมาตรฐานในการรักษาความปลอดภัยบนเครือข่ายของคุณ ซึ่งภัยจำเป็นที่จะสแกนเพื่อตรวจสอบภัยคุกคาม เมื่อมีความเสี่ยงจะเกิดขึ้น แต่สแกนเพื่อสร้างความมั่นใจว่าระบบยังคงมีความปลอดภัยอยู่เสมอ   - ก่อนที่จะเริ่มใช้ Web Application คุณเองจะต้องเข้าใจการทำงานก่อนว่า Web Applicationคืออะไร ? ทำงานอย่างไร ? และสาเหตุใดถึงต้องมี Web Application ?   - ลองนึกภาพง่ายๆ “Web Application” จะคล้ายกับประตูสู่ธุรกิจของคุณ เสมือนตัวเชื่อมโยงในการสื่อสารกับผู้ใช้เว็บและลูกค้าทั่วไป ไม่ว่าจะเป็นอีเมลไซต์สำหรับการขาย หรือจะเป็นบริการสตรีมมิ่งให้ความรู้และเพื่อความบันเทิง   - การทำงานหลักของ “Web Application” จะต้องสามารถโต้ตอบกับเครือข่ายของโฮสต์เพื่อให้บริการเนื้อหาข้อมูลระหว่างธุรกิจของคุณ และตัวผู้ใช้เว็บ แน่นอนว่า หากมีสิ่งแปลกปลอมที่เป็นอันตรายอยู่บน “Web Application” ความเสียหายจะต้องเกิดขึ้นกับธุรกิจของคุณไปจนถึงตัวลุกค้าอย่างแน่นอน       Why Security Is Critical   “Web Application” จำเป็นที่จะต้องอนุญาตเปิดการเข้าชมผ่านทางพอร์ตต่างๆ ซึ่งแต่ละส่วนมักต้องมีการตรวจสอบสิทธิ์ในการเข้าถึงด้วยเช่นเดียวกัน ซึ่งหมายความว่า “การสแกนเว็บไซด์จะต้องสามารถปิดการเข้าออกให้กับภัยคุกคาม และการเจาะข้อมูลของเหล่าแฮกเกอร์ที่จ้องจะโจมตีพอร์ต รวมไปถึงความเสี่ยงที่จะพบบ่อยมากที่สุดเหล่านี้”   Port 80 (HTTP): สำหรับการเข้าชมเว็บไซด์ที่ไม่ปลอดภัย   Port 443 (HTTPS): สำหรับการเข้าชมเว็บไซด์ที่ไม่ปลอดภัย   Port 21 (FTP): สำหรับโปรโตคอลในการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์ของคุณ   Ports 25 (SMTP) :...

Read More