Howto: แก้ไข systemd เมื่อ upgrade Ubuntu 18.04

พอดีว่าวันนี้ได้ update เครื่อง techsuii จาก 18.04 ไปเป็น version ล่าสุดด้วยคำสั่ง แล้วเจอปัญหากับ Systemd ว่ามัน install ไม่ได้เจอ log error ว่า “Unsafe symlinks encountered” ก็เลยเช็ค / ดูว่าเกิดอะไรขึ้น พบว่าขณะทำการ  update พบว่ามันมี  process อะไรซักอย่างไปเปลี่ยน owner…
View Post

ตรวจสอบ SSL issue

เราทราบกันดีอยู่แล้วว่า ณ ปัจจุบันเว็บไซด์ส่วนใหญ่เป็น HTTPS ไปหมดแล้ว ซึ่ง HTTPS ที่ว่าคือการใช้งาน protocol ssl/tls นั่นเอง ซึ่งแน่นอนว่าเมื่อมีการใช้งาน protocol ที่แตกต่างจากเดิม ปัญหาที่อาจจะเกิดขึ้นนั้นก็ต้องทดสอบแตกต่างไปจากเดิมเช่นกัน โดยปกติตัวผมเองมักจะใช้ testssl.sh ในการทดสอบหาปัญหา (issue) ของ HTTPS ต่างๆ ซึ่งเราสามารถตรวจสอบผลที่ได้จาก testssl.sh ได้โดยทำตามแต่ละ issue ดังต่อไปนี้ *** หมายเหตุ 1#…
View Post

ว่าด้วยเรื่อง Vulnerability Assessment และ Penetration Test

จากที่เคยพูดเรื่อง Application Security Testing ไปแล้ว ทุกๆท่านน่าจะเข้าใจใน SAST และ DAST ไปแล้วว่ามันทำงานอย่างไร และแตกต่างกันอย่างไร ทีนี้เราจะมาว่ากันด้วยเรื่องว่า Vulnerability Assessment และ Penetration Test แตกต่างกันยังไง Vulnerability Assessment Vulnerability Assessment (บางครั้งจะเรียกว่า Vulnerability Scan) หรือเรียกสั้นๆว่า VA. นั้น เป็นการใช้เครื่องมือในการทดสอบหาช่องโหว่ของ Service…
View Post

มาเล่น reverse shell ผ่าน Ngrok กันเถอะ

ก่อนที่จะไปคุยกันว่า Ngrox คืออะไร เรามาย้อนทำความเข้าใจกับ Reverse Shell และ Bind Shell กันก่อนดีกว่าครับ ปัญหาใน Reverse Shell x Bind Shell จริงๆแล้วความหมายของ Reverse Shell และ Bind Shell นั้นจำกัดความง่ายมากครับ เมื่อเราสามารถทำการโจมตีไปยังเครื่องเป้าหมายได้สำเร็จ เราก็ต้องการจะควบคุมเครื่องนั้นๆใช่มั้ยครับ ซึ่งการจะควบคุมเครื่องนั้นๆได้มันก็จำเป็นที่เราจะต้องเชื่อมต่อไปยังเครื่องดังกล่าว โดยการเชื่อมต่อดังกล่าวนั้นก็มี 2 แบบคือ ไม่เราติดต่อไปหาผ่าน…
View Post

Cyber Security and Privacy Foundation ออก course สอนการเขียน code อย่างไรให้ปลอดภัย

เราทราบกันดีว่าจุดสำคัญสุดของช่องโหว่ของ Application คือการเขียน code ออกมาไม่ปลอดภัย อาจจะด้วยความที่เวลาของโปรเจคนั้นน้อยหรืออย่างไรก็แล้วแต่ ปัจจัยหนึ่งที่ทำให้เกิดช่องโหว่คือ developer ไม่รู้ว่าจะเขียนยังไงให้ปลอดภัย จึงทำให้เกิดผลกระทบในระยะยาว ทาง Cyber Security and Privacy Foundation เล็งเห็นในจุดดังกล่าวจึงได้ออก course สำหรับการเขียนโค้ดอย่างไรให้ปลอดภัยพร้อมกับให้ตัวอย่างการโจมตีแต่ละช่องโหว่นั้นๆ โดยตอนนี้มี course สำหรับภาษา php และ Java ครับ Link ของ Course https://github.com/CSPF-Founder?tab=repositories…
View Post