싼야민공- Phomthong's LiveTV 3G+ Online

phomthong on livestream.com. Broadcast Live Free

Virus Computer Killer Chat

Tuesday, 2 February 2010

Web Server & Web Application Attack

ภัยการโจมตี Web Server และ Web Application
(Web Server and Web Application Attack)


การโจมตีเว็บไซต์โดยโจมตีผ่านทางช่องโหว่ของ Web Server หรือ Web Application ที่เขียนโปรแกรมโดยไม่มี "Security Awareness" ทำให้แฮกเกอร์สามรถเข้ามาแก้ไขข้อมูลในเว็บไซต์ เช่น เปลี่ยนหน้า Web Page ที่เรานิยมเรียกว่า "Web Defacement" หรือ การเข้ามาแอบขโมยไฟล์ข้อมูลที่สำคัญ ๆ ในเว็บไซต์เพื่อนำไปทำประโยชน์ในทางมิชอบ โดยการโจมตี Web Server และ Web Application ดังกล่าว สามารถทำได้ทั้งหมด 10 วิธีตามคำแนะนำของ OWASP (Open Web Application Security Project) TOP 10 Web Hacking ซึ่งผมเคยเขียนอธิบายทั้ง 10 วิธีนี้โดยละเอียดไว้แล้วในบทความก่อนหน้านี้ (ดูได้ที่ www.acisonline.net) การโจมตีที่นิยมมากที่สุด 2 วิธีคือ Injection Flaw หรือ "SQL Injection" และ Cross-Site Scripting หรือ "XSS Attack" การแก้ปัญหาที่ถูกต้อง คือ การให้ความรู้กับ Web Application Developer ให้เขียนโปรแกรมอย่างมีความเข้าใจและตระหนักเรื่องการโจมตีทั้ง 10 แบบ ตลอดจนก่อนที่จะเปิดให้บริการ Web Application ควรทำการตรวจสอบ หรือ "Audit" ด้วยวิธี Penetration Testing หรือ Ethical Hacking โดยการเจาะระบบของเราเองก่อนที่แฮกเกอร์จะเข้ามาเจาะระบบเรา จากนั้นให้ทำการแก้ไข Source Code ของ Web Application ให้มีความปลอดภัยมากขึ้น ถ้าหากไม่มีเวลาพอในการแก้ไข Source Code ของ Web Application ดังกล่าว เพราะระบบต้องเปิดใช้งานตามเวลาที่กำหนด แนะนำว่าให้ลงทุนติดตั้ง Web Application Firewall ที่มีความสามารถในการป้องกันวิธีการเจาะระบบทั้ง 10 วิธีของ OWASP แต่วิธีนี้ต้องใช้งบประมาณในหลักล้านบาทจึงไม่เหมาะกับองค์กรขนาดเล็ก

Refer to http://www.acisonline.net/article_prinya_eweek_010150.htm

No comments:

Post a Comment

Malware Fix New Update

Latest Virus Descriptions

Latest Virus News

BitDefender - Latest Threats

Sophos latest virus and spyware detection

ESET Threat Center

Trend Micro - Malware Top10

Avira - Latest Threats Descriptions

CA Security Advisor Virus Alerts

AVG | Virus Database Updates

AVG | Virus Database Updates

Free Download Antivirus & Safety Software

US-CERT Current Activity

Clam AntiVirus

NORMAN:Virus warnings

ข่าวไอทีและโปรแกรมสแกนไวรัส

Top Ten Security Privacy Reviews