ภัยการโจมตี Web Server และ Web Application
(Web Server and Web Application Attack)
การโจมตีเว็บไซต์โดยโจมตีผ่านทางช่องโหว่ของ Web Server หรือ Web Application ที่เขียนโปรแกรมโดยไม่มี "Security Awareness" ทำให้แฮกเกอร์สามรถเข้ามาแก้ไขข้อมูลในเว็บไซต์ เช่น เปลี่ยนหน้า Web Page ที่เรานิยมเรียกว่า "Web Defacement" หรือ การเข้ามาแอบขโมยไฟล์ข้อมูลที่สำคัญ ๆ ในเว็บไซต์เพื่อนำไปทำประโยชน์ในทางมิชอบ โดยการโจมตี Web Server และ Web Application ดังกล่าว สามารถทำได้ทั้งหมด 10 วิธีตามคำแนะนำของ OWASP (Open Web Application Security Project) TOP 10 Web Hacking ซึ่งผมเคยเขียนอธิบายทั้ง 10 วิธีนี้โดยละเอียดไว้แล้วในบทความก่อนหน้านี้ (ดูได้ที่ www.acisonline.net) การโจมตีที่นิยมมากที่สุด 2 วิธีคือ Injection Flaw หรือ "SQL Injection" และ Cross-Site Scripting หรือ "XSS Attack" การแก้ปัญหาที่ถูกต้อง คือ การให้ความรู้กับ Web Application Developer ให้เขียนโปรแกรมอย่างมีความเข้าใจและตระหนักเรื่องการโจมตีทั้ง 10 แบบ ตลอดจนก่อนที่จะเปิดให้บริการ Web Application ควรทำการตรวจสอบ หรือ "Audit" ด้วยวิธี Penetration Testing หรือ Ethical Hacking โดยการเจาะระบบของเราเองก่อนที่แฮกเกอร์จะเข้ามาเจาะระบบเรา จากนั้นให้ทำการแก้ไข Source Code ของ Web Application ให้มีความปลอดภัยมากขึ้น ถ้าหากไม่มีเวลาพอในการแก้ไข Source Code ของ Web Application ดังกล่าว เพราะระบบต้องเปิดใช้งานตามเวลาที่กำหนด แนะนำว่าให้ลงทุนติดตั้ง Web Application Firewall ที่มีความสามารถในการป้องกันวิธีการเจาะระบบทั้ง 10 วิธีของ OWASP แต่วิธีนี้ต้องใช้งบประมาณในหลักล้านบาทจึงไม่เหมาะกับองค์กรขนาดเล็ก
Refer to http://www.acisonline.net/article_prinya_eweek_010150.htm
싼야민공- Phomthong's LiveTV 3G+ Online
phomthong on livestream.com. Broadcast Live Free
Virus Computer Killer Chat
Tuesday, 2 February 2010
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment