![Page 1: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/1.jpg)
งานสมมนา “ยกระดบความมนคงปลอดภยของเวบไซตใหไดมาตรฐาน”
โดย นายพรพรหม ประภากตตกล
Security+ ,ISO27001 Lead auditor ,GPEN ,GCIH
วทยากรจากทม ThaiCERT ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
![Page 2: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/2.jpg)
แนวโนมการโจมตระบบคอมพวเตอรจากอดตถงปจจบน
สถานการณการโจมตของโลกทเปลยนไป จากเดมเจาะผานบรการ มาเจาะผานเครอขาย และสดทายมาจบลงทเจาะเวบไซต
![Page 3: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/3.jpg)
เปดเวบโรงเรยนอนบาลกยงโดนแฮก
เปดเวบโรงเรยนอนบาลกยงโดนแฮก
![Page 4: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/4.jpg)
แฮกเกอรเปนกนงาย มบทเรยนออนไลนและไซตทดสอบ
เดกทไหนกเปนแฮกเกอรได แคเปดวดโอแลวท าตามกบเวบไซตเปาหมาย
![Page 5: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/5.jpg)
หาเปาหมายดวย GHDB (Google Hacking Database)
สวรรคของ Script kiddies
![Page 6: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/6.jpg)
Hall of frame ของแฮกเกอรทวโลก
• http://dark-h.org • http://www.zone-h.org • http://zone-hc.com/ • http://www.hack-mirror.com/ • …..
ป 2557 ไทยเซรตรวบรวมขอมล Web defacement หนวยงานภายในประเทศไทยถง 2500 รายการ โดย 70% เปนหนวยงานภาครฐของไทย
![Page 7: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/7.jpg)
https://www.youtube.com/watch?v=cIs1oRgWEE8
H A C K any website with only one click !! Try it this amazing new hack software !!
![Page 8: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/8.jpg)
What Does a Malicious Hacker Do?
![Page 9: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/9.jpg)
วตถประสงคของการโจมตเวบไซตมหลากหลาย
• ใชเปนตวแทนในการโจมตระบบอนๆตอไป • Botnet
• เหตผลทางการสงคม/การเมอง • Discredit , Squeeze (Sony haked) • DoS / DDoS
• ท าเพอสนก อยากลองวชา • เผยแพรมลแวร
• 1,735 เคสในป 2557 • หลอกลวงเอาเงน / หาผลประโยชน
• Phishing (1,010 เคสในป 2557) • SEO
• อยากใหมคนรจก • Hall of frame
![Page 10: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/10.jpg)
ปจจยของการถกแฮกเวบไซต
• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต
• ไมมการควบคมเรองการใชงาน USB Drive จนท าใหตดมลแวรบนเครองใหบรการเวบไซต
• ไมมอปกรณดานการปองกนการโจมตเวบไซต
![Page 11: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/11.jpg)
สถานการณปญหาเกยวกบการโจมตเวบไซตในประเทศไทย
• เวบไซตสวนใหญทถกแฮกอยในสวนของภาครฐและภาคการศกษา • ผพฒนาเวบไซตพฒนาโดยค านงถงแตฟงกชนการใชงาน ไมค านงถงเรองความมนคงปลอดภย
สงผลใหเวบไซตทพฒนามชองโหว • ผดแลเครองบรการเวบไมมความตระหนกในเรองความมนคงปลอดภย
ท าใหการแกไขปญหาไมไดรบความรวมมอ
• การขาดบคคลากร โดยบางแหงมแตเพยง เวบมาสเตอร หรอในบางแหงไมมเจาหนาทดานสารสนเทศเลย ท าให ไมสามารถตรวจสอบและแกไขปญหาเวบไซตทตนเหต • ท าไดเพยงแกปญหาทปลายเหต ซงปญหาของการแฮกเขา
มานนยงคงอยและเกดเหตซ าอยตลอดเวลา
![Page 12: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/12.jpg)
วเคราะหปจจยของการถกแฮกเวบไซต
• ตอใหมกระบวนการทดแตคนไมปฎบตตามก “ไมเกดประโยชน”
• ตอใหมเทคโนโลยการปองกนเวบไซตทดแคไหน แตถาคนใชงานไมเปนก “ไมเกด
ประโยชน”
• คนเปนปจจยทท าใหเกดปญหา แตในขณะเดยวกนกเปนปจจยเดยวทถกใชในการ
แกปญหาอยางมประสทธภาพได
• หากทมม “คนทมประสทธภาพ” ปจจยทกอยางจะถกเชอมโยงและแกไขใหดขน
• ศกยภาพไมไดเกดขนเอง “ตองพฒนา”
![Page 13: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/13.jpg)
เมอ “คนมประสทธภาพ”
• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต • แตถามกระบวนการและการควบคมทดยอมชวยแกไขปญหา
ได
• ไมมการควบคมเรองการใชงานระบบจนท าใหตดมลแวรบนเครองใหบรการเวบไซต • แตถามการระบเรองแนวทางการปฎบตงานดานความมนคง
ปลอดภยไวชด ยอมชวยแกไขปญหาได
• ไมมอปกรณปองกนดานการโจมตเวบไซต • แตถาคนมความร บางเรองกไมจ าเปนตองจดหาอปกรณใดๆ
รวมถงคนทมประสทธภาพยอมหมนแสวงหาความรเพมเตมอยตลอดเวลา
![Page 14: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/14.jpg)
แลวจะปองกนการถกแฮกเวบไซตไดยงไง แนวทาง เวลา เงน ประสทธภาพ
เรยนรวธการโจมต และน ามาลองประยกตทดสอบกบเวบไซต
มาก มาก ปานกลาง
เรยนรจากประสบการณทเคยพบ แลวแกไขในแตละจด
ปานกลาง นอย ปานกลาง
เรยนรวธการปองกนจากสงทมคนรวบรวม แลวน ามาประยกตใช
ปานกลาง นอย มาก
จดหาอปกรณดานการปองกนการโจมตเวบไซต นอย มาก ปานกลาง
หมายเหต : ตารางดงกลาวจดท าขน เพอเปนตวอยางในการพจารณาแนวทางการแกไขปญหา ซงสามารถประยกตน าไปประยกตใชเพอการประเมนแนวทางการปองกนการถกแฮกเวบไซตไดตอไป
![Page 15: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/15.jpg)
Website Security Standard (WSS) คออะไร • ชอภาษาไทย : มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต • เวอรชนเอกสาร : 1.0 • สถานะเอกสาร : ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส • วนทประกาศ : 30 กนยายน 2557 • รหสเอกสาร : ขมธอ.1 – 2557 • ประกาศโดย : ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวง
เทคโนโลยสารสนเทศและการสอสาร • ลงกดาวนโหลด : https://standard.etda.or.th/wp/wp-
content/uploads/2014/09/Website-Security-Standard_V6E6.2.pdf • จดประสงค : เพอสงเสรมใหผทเกยวของกบการบรหารจดการและดแลเวบไซตสามารถพฒนา
หรอจดท าเวบไซตใหมความมนคงปลอดภย และด าเนนมาตรการในการปองกน ตรวจสอบ ลดความเสยง หรอสามารถรบมอกบภยคกคามทมตอเวบไซต เพอสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกส
![Page 16: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/16.jpg)
• NIST SP 800-44 Guidelines on Securing Public Web Servers
• OWASP Open Web Application Security Project
• ขอแนะน าแกไขและปองกนขอบกพรองหรอจดออนของเวบไซตของไทยเซรต (ThaiCERT)
• คมอ “How to Secure Your Website” ของ ส านกงานสงเสรมเทคโนโลยสารสนเทศ
ประเทศญปน (Information-Technology Promotion Agency (IPA), Japan)
แหลงขอมลอางองของ WSS
![Page 17: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/17.jpg)
• ใหหนวยงานมความรและความตระหนกถงเรองการแฮกหรอการโจมตเวบไซต • ใหหนวยงานมความรเกยวกบแนวทางการปองกนการแฮกเวบไซต ครอบคลมทงการ
ดแลและการพฒนาเวบไซตใหมความมนคงปลอดภย
• ใหหนวยงานมความรในเรองการรบมอสถานการณภยคกคามทอาจเกดขนตอเวบไซตและสามารถน าไปประยกตใชกบการท างานได
• ใหหนวยงานมแนวทางในการประเมนตนเอง (Self-assessment) เกยวกบความ
มนคงปลอดภยของเวบไซตทอยในความดแล
ความตองการของการจดท า WSS
![Page 18: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/18.jpg)
• ใหหนวยงานสามารถยนยนความสอดคลองกบมาตรฐาน เพอใหในการประกาศการรบรองตนเองกบหนวยงานภายนอก
• ใหหนวยงานสามารถขอรบการรบรอง (Certification) มาตรฐานการรกษาความ
มนคงปลอดภยส าหรบผดแลและพฒนาเวบไซตจากหนวยตรวจสอบและรบรอง (Conformity assessment body)
ความตองการของการจดท า WSS (ตอ)
![Page 19: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/19.jpg)
(1) การวางแผน (Planning) ไดแก การวางแผนดานความมนคงปลอดภยของเวบไซตแนวทางการเลอกผรบจดทะเบยนชอโดเมน แนวทางการเลอกผใหบรการเวบโฮสตง และ แนวทางในการเลอกใชระบบบรหารจดการเวบไซต (CMS)
(2) การตดตงและการตงคาทเกยวของกบเวบไซต (Installation and Configuration) เปนขอก าหนดทมงเนนใหมการตดตงและการตงคาของ โปรแกรมส าาหรบใหบรการเวบ ระบบบรหารจดการเวบไซต ระบบฐานขอมลและ Server-side script engine
(3) การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย เนนการปองกนการโจมตดวยเทคนคตางๆ ทพบบอยจากไทยเซรต (ThaiCERT) แนวทางการปองกนจากเอกสารของ IPA และ OWASP
(4) การรบมอเหตภยคกคาม (Incident Handling) เนนใหผดแลเครองบรการเวบสามารถรบมอกบเหตภยคกคามดานความมนคงปลอดภยทเกดขนกบเวบไซตไดแก กรณเวบไซตถกบกรกและควบคม (Intrusions) กรณการถกโจมตในลกษณะ (Denial of services: DoS) และ กรณโดเมนถก ขโมย (Domain Hijack) เปนตน
ความครอบคลมเนอหา WSS
![Page 20: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/20.jpg)
ความคลอบคลมเนอหา WSS (ตอ)
• ครอบคลมกลมคนส าคญทตองเขารวมการปองกน • ผดแลเครองบรการเวบ (เครองแมขายเวบ โฮสตงส เวบมาสเตอร)
• มผลตอการตงคาของสภาพแวดลอมทเกยวของกบเวบไซต • ผพฒนาเวบไซต (ผพฒนาและจดท าเวบไซต)
• มผลตอเวบไซตและฐานขอมล • ครอบคลมอปกรณและปจจยตางๆทตองปองกน
• เครอขาย • บรการบนเครองแมขาย • เวบไซต • ฐานขอมล
![Page 21: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/21.jpg)
![Page 22: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/22.jpg)
การแฮกเวบไซตทพบบอย (1)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • ตวอยางเชน
• FTP • Remote desktop • SSH • Database • Web server • Server-side script Engine
![Page 23: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/23.jpg)
การแฮกเวบไซตทพบบอย (1) (ตอ)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • สาเหต เชน
• ไมอปเดตซอฟตแวรทใชส าหรบใหบรการ • ตงคาบรการทไมปลอดภย
• เชน ก าหนดรหสผานเปน 123456 • เปดการใชงานซอฟตแวรหรอบรการทไมจ าเปน และไมมการดแล • ใชงานการตงคาเรมตนของบรการทตดตงมาทนท
• เชน Default password ของบรการ การเปดใหม Anonymous login
![Page 24: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/24.jpg)
การตงคาเครองบรการเวบอยางมนคงปลอดภย
1. การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software) 2. การตงคาระบบบรหารจดการเวบไซต (CMS) 3. การตงคาฐานขอมล (Database system) 4. การตงคา Server-side Script Engine 5. การก าหนดและรกษารหสผาน
![Page 25: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/25.jpg)
การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server)
1. อปเดตโปรแกรมอยางสม าเสมอ 2. ปดการแสดงขอความแสดงขอผดพลาด (Error Message) 3. ก าหนดสทธในการเขาถงไฟลทเกยวของทงหมดใหเหมาะสมกบการใชงาน
เชน ไมเปดโหมด Directory listing 4. ลบไฟลตวอยางโปรแกรม ตวอยางไฟลขอมล บญชผใชทไมไดใชงาน
เชน บญชซงมการใชงานระหวางกระบวนการตดตงเครองบรการเวบทงหมด 5. ในกรณทเวบไซตมความส าคญและตองการจ ากดการใชงาน ใหจ ากดหมายเลขไอพปลายทางท
อนญาตใหเชอมตอ (Whitelist IP) 6. ปดบรการตางๆ ทไมจ าเปนบนเครองบรการเวบ เชน Phpmyadmin เปนตน รวมถงโปรแกรมบรการประเภท Remote Access เชน Remote Desktop, VNC, SSH, Telnet
![Page 26: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/26.jpg)
การตงคาระบบบรหารจดการเวบไซต (CMS)
1. ก าหนดสทธการใชงานไฟลตางๆใหเหมาะสม 2. ตรวจสอบวามไฟลหรอโปรแกรมเสรม รวมถงบญชการใชงานทไมจ าเปน
หรอไมไดใชงานปรากฏอยหรอไมถามใหลบทงเพอลดโอกาสทอาจถกโจมต 3. อปเดตเวอรชนของ CMS อยเสมอ โดยดาวนโหลดไฟลจากเวบไซตหลกของผใหบรการระบบบรหาร
จดการเวบไซตเทานน 4. ตงคารหสผานของบญชใชงานใหเปนรหสผานทมความมนคงปลอดภย 5. เปลยน table prefix ของฐานขอมลทมาในระหวาง การตดตงระบบบรหารจดการเวบไซต เนองจาก อาจถกใชเปนชองทางใหผประสงครายสามารถทราบถง โครงสรางและตารางในฐานขอมลได
![Page 27: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/27.jpg)
การตงคาฐานขอมล (Database system)
1. จ ากดการใชงานจากเครองทมสทธการเขาถงฐานขอมล (Whitelist IP) 2. ลบบญชผใชทไมไดมการใชงานออกจากระบบฐานขอมล หรอเปลยนรหสผานของบญชผใชดงกลาว
ใหเปนรหสผานทมความมนคงปลอดภย 3. ตงคาฐานขอมล โดยตองไมอนญาตใหใชงานรหสผานทมคาวาง (Null password) 4. แยกสทธการใชงานโดยสรางบญชผใชงานแยกกนในแตละแอปพลเคชนทเชอมตอเขามา และ
ก าหนดสทธโดยยดหลก Least Priviledge 5. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล 6. รหสผานทเกบในฐานขอมล ตองมการเขารหสเสมอ 7. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล
![Page 28: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/28.jpg)
การตงคา Server-side Script Engine
1. อปเดตโปรแกรมอยางสม าเสมอ 2. ก าหนดคาตดตงไมให Server-side Script Engine แสดงขอมลเวอรชนทใชงานเนองจากอาจเปน
ชองทางใหผประสงครายลวงรเวอรชนและคนหาชองโหวตอไป 3. ก าหนดคาตดตง Server-side Script Engine ใหตรงกบการท างานของระบบ เพอลดความจากการ
ถกโจมต
Example : Secure configuration for PHP expose_php = off file_uploads = off allow_url_fopen = off allow_url_include = off disable_functions = shell_exec,system,passthru,exec,curl_exec,proc_open,parse_ini_file open_basedir = /var/www magic_quotes_gpc = On register_globals off
![Page 29: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/29.jpg)
การก าหนดและรกษารหสผาน
1. ตงคารหสผานใหมความมนคงปลอดภย (Strong password) โดยรหสผานควรประกอบดวยตวอกษรทงตวเลกและตวใหญผสมกน มตวเลขและสญลกษณพเศษอยางนอย 1 หลก และตองมความยาวทงหมดไมนอยกวา 8 หลก
2. ก าหนดใหมการเปลยนรหสผานอยางสม าเสมอจะชวยลดโอกาสจากการถกคาดเดารหสผาน 3. ไมเกบรหสผานทไมมการเขารหสลบบนเครองบรการเวบ หากจ าเปนตองมการเกบรหสผานควรอย
ในรปทมการเขารหส เชน เกบเปนคาแฮช (Hash value) ควรใชขนตอนวธ(Algorithm) โดยใชอลกอรทมทไดรบความเชอถอ เชน SHA-224 SHA-256 SHA-384 SHA-512 เปนตน
http://www.passwordmeter.com/
![Page 30: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/30.jpg)
การแฮกเวบไซตทพบบอย (2)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ 2. แฮกผานชองโหวของเวบไซตและโปรแกรม
• เทคนคทพบบอย เชน • Malicious injection (SQL Injection ,Command Injection ,….) • Session Hijacking • Cross-site Scripting • CSRF • Sensitive Data Explosure
![Page 31: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/31.jpg)
สถตการแฮกเวบไซตดวยเทคนคตางๆจาก Trustwave
ในป 2556 พบรปแบบการโจมตเวบไซตดวยเทคนค DoS (17.5%) SQL Injection (17%) และ Cross-site scripting (6.2%) ถกแจงใน 3 อนดบแรก ตามล าดบ จากรายงานของ Trustwave
![Page 32: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/32.jpg)
Malicious injection
![Page 33: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/33.jpg)
เทคนคการโจมตดวยเทคนค SQL Injection
โจมตโดยการสงคาซงเปนค าสง SQL อนตรายผาน Input ของเวบไซต เพอไปประมวลผลโดยตรงยงฐานขอมล
ผลของการโจมตท าใหสามารถ Bypass การตรวจสอบเชน การลอกอน การเขาถงและปรบปรงขอมลภายในฐานขอมล รวมถงการสงค าสงไปประมวลผลยงระบบปฏบตการได เชน การสงเปด Firewall บนระบบปฏบตการ
![Page 34: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/34.jpg)
เทคนคการโจมตดวยเทคนค Command Injection
โจมตโดยการสงคาซงเปนค าสง เพอไปประมวลผลโดยตรงยงฐานระบบปฎบตการ เชน การสงดไฟลบนระบบ หรอสงโจมตระบบอนๆดวยการ Ping เปนตน
ผลของการโจมตท าใหผไมประสงคดสามารถสงค าสงไปประมวลผลยงระบบปฏบตการไดโดยตรง เชน สงให Attack ระบบเครอขายอนๆดวยค าสง Ping เปนตน
![Page 35: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/35.jpg)
การปองกนการโจมตดวยเทคนค Malicious injection
1. มการท า Prepared Statement และ/หรอ Stored Procedure ซงเปนวธการทจะแยกค าสงในการประมวลผลและคาทจะน าไปประมวลผลบนฐานขอมลออกจากกน
2. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist
3. มการท า Encoding หรอท า Sanitization กอนน าคามาประมวลผล เพอปองกนการโจมตดวยเทคนคตาง ๆ ขอมลทผานกระบวนการดงกลาวจะถกแปลงรปแบบของขอมลทสง มาจากฝงผใชบรการใหอยในรปแบบทระบบน าไปประมวลผลไดโดยไมอนตราย เชน เปลยนจาก ' OR 1=1 --' เปน \' OR 1=1 --\'
![Page 36: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/36.jpg)
Cross-site scripting
![Page 37: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/37.jpg)
เทคนคการโจมตดวยเทคนค Reflected XSS
โจมตโดยการสง Script อนตรายไปประมวลผลตอครง
![Page 38: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/38.jpg)
เทคนคการโจมตดวยเทคนค Persistent XSS
โจมตโดยการสง Script อนตรายไปประมวลผลและเกบลงฐานขอมล
![Page 39: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/39.jpg)
ตวอยางการโจมตดวย Cross-site scripting ในอดต
เวบไซตอยาง Google กยงมชองโหว XSS (APRIL 07, 2014)
![Page 40: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/40.jpg)
การปองกนการโจมตดวยเทคนค Cross-site scripting
1. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist รวมถงท า Encoding กอนน าคามาประมวลผล ควรแปลงพวก "Non-alphanumeric data" ใหกลายเปน HTML character เสยกอน เชน เครองหมายนอยกวา "<" ควรถกแปลงเปน "& l t ;" เปนตน
2. มการท า Output validation ในลกษณะ Sanitization เพอปองกนการแสดงผลขอมลทไมพงประสงคยงฝงผใชบรการ ตวอยางเชนการใชงานฟงกชน ตวอยางเชน การใชงานฟงกชน htmlentities ในภาษา PHP
3. มการใชงาน HTTPOnly Cookie flag เปนรปแบบการก าหนดคาเพมเตม (Flag) ส าหรบปองกนไมใหฝงผใชบรการสามารถการเขาถงคา Cookie ของระบบได หากระบบมชองโหว XSS แฮกเกอรอาจสงค าสงใชเกดการขโมยคาเซสชน แตหากมการก าหนดคา HTTPOnly จะสามารถปองกนการกระท าดงกลาวได
![Page 41: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/41.jpg)
Session Hijacking
![Page 42: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/42.jpg)
เทคนคการโจมตดวยเทคนค Session Hijack
โจมตโดยการประยกตคาเซสชนทแฮกเกอรไดรบ ใหกบผใชงาน และเมอผใชงานลอกอนระบบ กจะท าใหแฮกเกอรสามารถสวมรอยเปนผใชงานทานนนไดทนท (Session fixation)
โจมตโดยการดกรบขอมลทางเครอขายในลกษณะทเปน HTTP (Clear-text) สงเมอไดคาเซสชนแลวกน ามาก าหนดลงทบราวเซอรของแฮกเกอรเพอสวมรอยเขาใชงานแทน
![Page 43: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/43.jpg)
การปองกนการโจมตดวยเทคนค Session hijacking
1. มการใช Session ID ทเปนคาสม (Random session ID) คาดเดาไมได และเปนคาทไมมการน ากลบมาใชซ า เพอปองกนการคาดเดา
2. การสงคา Session ID ตองรบสงในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) เชน การสงขอมลผานโพรโทคอล HTTPS เพอปองกนการลกลอบดกรบขอมล
3. มการเชคคา Session ID รวมกบปจจยอนๆ เชน IP-Address User-Agent HTTP-Referer เพอปองกนการสวมรอยคาเซสชนจากแฮกเกอร
![Page 44: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/44.jpg)
CSRF (Cross-site script forgery)
![Page 45: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/45.jpg)
CSRF
เทคนคการโจมตดวยเทคนค CSRF
โจมตในลกษณะคลายกบ XSS คอท าใหผใชงานประมวลผล Scriptอนตราย เชน สงใหสงอเมล หรอแมแตสงใหโอนเงน ซงปญหาเกดขนเนองจากเวบไซตหรอระบบปลายทางไมมการตรวจสอบเซสชนทด เชน ไมมการใชงาน Captcha
ผลของการโจมตท าใหผใช งาน สามารถถกหลอกใหประมวลผลค าสงอนตรายใดๆ บนเวบไซตทมชองโหวดงกลาว
![Page 46: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/46.jpg)
การปองกนการโจมตดวยเทคนค CSRF
1. มการใชงาน Unique Token และ/หรอตรวจสอบ Referrer รวมกบการสงขอมล หรอค าสงผานแบบฟอรม เพอใหแนใจวาขอมลในแบบฟอรมทจะสงมาประมวลผลในแตละครงนนเปนขอมลทเกดมาจากการทผใชบรการจรง ไมใชโปรแกรมอตโนมตหรอสครปททใชในการโจมตแตอยางใด
2. มการใชงาน Captcha เพอเปนการยนยนการใชงานจากผใชงานจรง ในการใชงานฟงกชนทส าคญ เชน เปลยนจากสถานะเลอกซอสนคา เปน จายเงนช าระคาสนคา ระบบควรจะใหผใชบรการ ยนยนตวตนอกครง เชน ใหกรอกรหสผานใหม พรอมกบใช Captcha เปนตน
![Page 47: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/47.jpg)
Sensitive Data Exposure
![Page 48: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/48.jpg)
เทคนคการโจมตดวยเทคนค Sensitive Data Exposure
โจมตโดยการสงคาทดสอบไปยงเวบไซตและดผลลพธจากการประมวลผล เชน ขอมลแสดงขอความ Error หรอสถานะของ HTTP Header เพอน ามาใชในการโจมตเวบไซตตอไป
ผลของการโจมตท าใหแฮกเกอรไดขอมลส าคญ เพอมาใชในการโจมตเวบไซตไดตอไป เชน ท าใหทราบวาเวบไซตมการเชอมตอกบฐานขอมล MySQL และเวบไซตดงกลาวมชองโหว SQL Injection เปนตน
![Page 49: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/49.jpg)
การปองกนการโจมตดวยเทคนค Sensitive data exposure
1. มการออกแบบและควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Notification or Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย เชน ขอมลเวอรชนของโปรแกรมบรการตางๆ
2. ไมใชงาน Autocomplete ในแบบฟอรมส าคญ เชน แบบฟอรมส าหรบการลงทะเบยนการใชงานระบบทมรหสผาน หรอ แบบฟอรมทเกยวของกบการช าระเงน เปนตน
3. ไมใชชอ URL ทคาดเดาไดงายซงใชในการเขาถงหนาเวบส าหรบผดแลเครองบรการเวบ เชน admin.php หรอ login.php เปนตน
![Page 50: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/50.jpg)
![Page 51: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/51.jpg)
![Page 52: งานสัมมนา ยกระดับความมั่นคงปลอดภัยของเว็บไซต์ให้ได้มาตรฐาน...หมายเหตุ](https://reader033.vdocuments.site/reader033/viewer/2022042105/5e8447a37c1e605af117427c/html5/thumbnails/52.jpg)