จากที่เคยพูดเรื่อง Application Security Testing ไปแล้ว ทุกๆท่านน่าจะเข้าใจใน SAST และ DAST ไปแล้วว่ามันทำงานอย่างไร และแตกต่างกันอย่างไร ทีนี้เราจะมาว่ากันด้วยเรื่องว่า Vulnerability Assessment และ Penetration Test แตกต่างกันยังไง Vulnerability Assessment Vulnerability Assessment (บางครั้งจะเรียกว่า Vulnerability Scan) หรือเรียกสั้นๆว่า VA. นั้น เป็นการใช้เครื่องมือในการทดสอบหาช่องโหว่ของ Service…
เมื่อ 2-3 วันก่อนมีการเปิดเผยจากเว็บไซด์ haveibeenpwned ของ Troy Hunt เซเลปในโลก security ชื่อดังว่าได้ไปซื้อข้อมูลในเว็บไซด์ private แห่งหนึ่งในราคา 40$ แล้วได้ข้อมูลมาประมาณ 87GB ซึ่งมีข้อมูลของ user ที่ถูกแฮ็คจากเว็บไซด์มาจำนวนมากรวมทั้งสิ้นประมาณ 1,160,253,228 account และ password โดยเป็น email ที่ไม่ซ้ำกันเลยประมาณ 772,904,991 email และ password ที่ไม่ซ้ำกันเลยประมาณ…
การเก็บ Log ตามพรบ. คอมพิวเตอร์ จริงๆแล้วถ้าจะยกพรบ. คอมพิวเตอร์ฉบับเต็มๆมามันก็คงยาวเกิน ก็เลยยกจาก iLaw ที่เค้าทำสรุปไว้ให้แล้วละกัน โดยจาก ภาคผนวก ก. แนบท้ายประกาศกระทรวงไอซีทีเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจราคอมพิวเตอร์ พ.ศ. 2550 ผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ ดังนี้ 1.1 ผู้ให้บริการแก่บุคคลทั่วไปในการเข้าสู่อินเทอร์เน็ต โดยจะแบ่งกลุ่มคนที่มีหน้าที่ออกเป็น ก. ผู้ประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication and Broadcast Carrier) ข. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access…
ต่อจากตอนที่ 1 ที่ว่าด้วยเรื่องการทำงานของ LM กับตัวอย่างของ Application สำหรับการ crack LM hash กันไปแล้ว มาวันนี้เป็น NTLM และ NTLMv2 กันบ้างครับ NTLM และ NTLMv2 NTHash สำหรับ LM นั้นเป็น Format ของการเก็บ password ใน Windows ก่อนรุ่น Windows…
วันนี้เราจะมาทำความเข้าใจเกี่ยวกับรูปแบบการเก็บ password ของ Windows โดยแต่ก่อนจนถึงปัจจุบันก็มีพัฒนาการมาเรื่อยๆครับ ซึ่งจะเริ่มจาก LM (Lan Manager) hash โดย LM นั้นเป็นรูปแบบดั้งเดิมในการเก็บ password ของ Windows ตั้งแต่ยุค 1980 ซึ่งในช่วงนั้นยังมีจำนวน charset ที่ยังจำกัดอยู่(16-bits characters) ซึ่งทำให้การ crack password นั้นทำได้ง่ายมากโดยดึงจาก SAM database บน Windows…
Kerberos Unconstrained Delegation เป็น feature นึงของ Windows มาตั้งแต่ Windows Server 2000 โดยมี scenario ประมาณว่า หากมีการใช้งานที่ authenticate ผ่าน web server ด้วย Kerberos แล้วต้องการไปบอกให้ database server ได้รับทราบด้วย ตัว Web Server จะทำการ update…
พอดีช่วงก่อนหน้านี้ผมไปหาลูกค้ามาหลายๆที่พบว่า ยังคงมีความไม่เข้าใจในเรื่องเครื่องมือสำหรับทำ Application security testing ว่าเครื่องมือต่างๆที่ใช้ในการตรวจสอบความปลอดภัยนั้นมีความแตกต่างกันยังไง วันนี้ก็เลยมาเล่าให้ฟังครับ Application Security Testing Category โดยปกติแล้วเครื่องมือที่ใช้ในการตรวจสอบความปลอดภัยของ Application จะแบ่งการตรวจสอบแบ่งเป็น 2 แบบคือ 1. Static Analysis Static Analysis คือการตรวจสอบ source code ซึ่งยังไม่ได้อยู่ขณะ runtime โดยปกติมักจะดู pattern ของ source…
วันนี้ได้แวบไปงาน Google Cloud Summit 2018 ที่ Siam Paragon มา แน่นอนว่าเป็นงานใหญ่งานนึงของ Google ที่พยายามจะทำตลาดในไทยซึ่งถูก AWS ยึดครองไปเยอะมากแล้ว มันก็มีหลายๆเรื่องที่เค้าพยายามจะเน้น ไม่ว่าจะเป็น Machine Learning, Enterprise Integration, G Suite, Kubernete ตัวผมเองก็ได้เข้าร่วมงานด้วย แต่เสียดายอยู่ได้แค่ช่วง 10:00 – 13:00 ไม่สามารถอยู่ช่วงบ่ายได้ สืบเนื่องด้วยมีนัดต่อในช่วงบ่ายนั่นเอง โดยใน…
โดยปกติแล้วธรรมชาติของ PHP เวลามีการใช้งาน == เพื่อทำการเปรียบเทียบค่าของ 2 parameter ตัว PHP จะมีการพยายามแปลงสภาพของ parameter ให้เป็นลักษณะของข้อมูลเดียวกัน เช่น การเปรียบเทียบปกติ
ผลลัพธ์คือ ตัวอย่างต่อมาถ้าเป็น int แต่ค่าไม่เท่ากัน เราจะเขียนเป็น
ผลลัพธ์คือไม่เท่ากัน เพราะค่า a และ b ไม่เท่ากัน ตัวอย่างต่อมาถ้าเป็น string เราจะเขียนเป็น…
1 2 3 4 5 6 7 8 9 10 11 |
<?php $a = 1; $b = 1; var_dump($a); var_dump($b); if ($a == $b) { print "a and b are the same\n"; } else { print "a and b are NOT the same\n"; } ?> |
1 2 3 4 5 6 7 8 9 10 11 |
<?php $a = 1; $b = 0; var_dump($a); var_dump($b); if ($a == $b) { print "a and b are the same\n"; } else { print "a and b are NOT the same\n"; } ?> |
พอดีเมื่อวานผมได้เห็นมีการแชร์เรื่อง Security UX/UI ซึ่งโดยส่วนตัวผมไม่เคยได้ยินมาก่อน แล้วพอดีพี่ @Yannarak แนะนำ link รายละเอียดเกี่ยวกับงานแบบนี้มาผมก็เลยลองอ่านดูแล้วก็รู้สึกว่าอยากแชร์ความรู้น่ะครับ Security UX จะแตกต่างกับ UX/UI Programmer โดยพูดให้เข้าใจง่ายๆก็คือ security UX จะเป็นคนออกแบบการแจ้งเตือนใดๆทางด้าน security โดย link ที่ผมได้มาคือการออกแบบการแจ้งเตือนใดๆของ Google Chrome ให้กับ user ที่ใช้งานเว็บไซด์อันตราย, phishing website, malware…
Recent Comments