Latest article
Home >> Security >> พัฒนา Web Application ต้องคำนึงถึงอะไร ในมุมมองของ Web Application Security
พัฒนา Web Application ต้องคำนึงถึงอะไร ในมุมมองของ Web Application Security

พัฒนา Web Application ต้องคำนึงถึงอะไร ในมุมมองของ Web Application Security

การพัฒานาเว็บไซต์แต่ละครั้งนั้น สิ่งที่ต้องคำนึงถึงนอกจากเรื่อง ประสิทธิภาพและการทำงานแล้ว ยังมีอีกส่วนหนึ่งที่ต้องคำนึงถึงเป็นพิเศษคือ ความปลอดภัยและการทำงานที่ถูกต้องตามที่ออกแบบไว้ สำหรับความปลอดภัยในการพัฒนาเว็บไซต์นั้น ได้มีมาตรฐานกลางได้กำหนดไว้ ซึ่งเรียกว่า OWASP ( Open Web Application Security Project) โดยหน่วยงานที่ดูแล OWASP ได้จัดลำดับความสำคัญของช่องโหว่และความเสี่ยงที่ผู้ประสงค์ร้ายนิยมเจาะระบบมากที่ สุด 10 อันดับเป็นประจำทุกปี ซึ่งเรียกว่า  OWASP  TOP 10  ถ้าหากนักพัฒนาได้พัฒนาเว็บไซต์ให้ผ่านมาตรฐาน OWASP TOP 10 ก็ถือว่า ระบบเรามีความปลอดภัยในระดับที่น่าเชื่อถือได้ โดย TOP 10 มีดังนี้ (OWASP Top 10  2013)

  1. A1 – Injection
  2. A2 – Broken Authentication and Session Management
  3. A3 – Cross-Site Scripting (XSS)
  4. A4 – Insecure Direct Object References
  5. A5 – Security Misconfiguration
  6. A6 – Sensitive Data Exposure
  7. A7 – Missing Function Level Access Control
  8. A8 – Cross-Site Request Forgery (CSRF)
  9. A9 – Using Known Vulnerable Components
  10. A10 – Unvalidated Redirects and Forwards

สำหรับรายละเอียดและวิธีในการเจาะระบบ ของแต่ละหัวข้อนั้น จะอธิบายกันต่อไป รอติดตามกันนะครับ

What Are Application Security Risks?

security_rists

อ้างอิงจาก : https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

สิ่งที่ต้องคำนึงถึงต่อมา คือ การตั้งชื่อระบบจัดการด้านหลัง หรือที่เรียกว่า Backoffice นั้น ไม่ควรตั้งคำที่สื่อความหมายว่า เป็น Backoffice เช่นคำเหล่านี้

  1. backoffice
  2. cp
  3. admin
  4. administrator
  5. cms

เป็นต้น และมีอีกหลายคำ ที่ไม่ควรตั้ง เพราะคำเหล่านี้ เป็นคำที่เหล่าแฮกเกอร์สามารถคาดเดาได้ ทำให้เป็นช่องทางในการเจาะระบบเข้าถึงการจัดการข้อมูล เนื่องจากระบบ Backoffice นั้นโดยมาก เมื่อ Login เข้าไปได้แล้วจะมีสิทธิ์ในการทำงานหลาย ๆ อย่าง และไม่ได้ให้ความสำคัญกับความปลอดภัยเท่าที่ควร เพราะคิดว่า เป็นระบบที่ใช้สำหรับบุคคลที่จำกัดไม่กี่คน สามารถแนะนำการใช้งานกันได้ และเป็นบุคคลภายในองค์กร

สิ่งที่ต้องทำสำหรับ Backoffice

  1. ควรกำหนดสิทธิ์ในการเข้าถึง ของแต่ละส่วน หรือแต่ละหน้าที่ของการทำงาน เพื่อลดความเสี่ยง เมื่อ Account ของ User โดนแฮก
  2. รหัสผ่านควรกำหนดให้ตั้งรหัสผ่าน อย่างน้อย 8 ตัว และควรมีการผสมระหว่างอักขระตัวเลขและอักขระพิเศษด้วย เพื่อป้องกันการ Brute force
  3. รหัสผ่านของแต่ละ User ควรมีวันหมดอายุ คือ ต้องกำหนดให้มีการเปลี่ยนรหัสผ่านอยู่เรื่อย ๆ
  4. ถ้าหากเว็บไซต์ที่มีระบบสมาชิก Account สำหรับการใช้งานหน้าเว็บไซต์ทั่วไป ไม่ควรเป็น Account เดียวกันกับ Account ของ Backoffice ซึ่งตรงนี้ เห็นมีหลายเว็บทำเช่นนี้ ถือว่าอันตรายพอสมควร เพราะทำให้แฮกเกอร์มุ่งโจมตีเฉพาะเจาะจงตัวบุคคลได้

ตัวอย่างที่เห็นได้เยอะ คือ เว็บโดยมาก จะมีเจ้าหน้าที่ที่คอยตอบคำถามกับสมาชิกผ่านทางเว็บบอร์ด หรือผ่านทางหน้าเว็บ โดยจะใช้ชื่อ Account ที่บ่งบอกว่า เป็นเจ้าหน้าที่ของเว็บไซต์ เช่น administrator หรือ ชื่ออื่น ๆ ที่สงวนสิทธิ์ไม่ให้สมาชิกทั่วไปใช้ตอนสมัครสมาชิก ตรงจุดนี้ ก็ถือว่าเป็นอันตราย เพราะทำให้แฮกเกอร์รู้ว่า ควรจะมุ่งโจมตีใคร เพื่อให้ได้มาซึ่งสิ่งที่หวัง  ผ่านช่องทางและวิธีการต่าง ๆ

ฉะนั้น สิ่งเล็ก ๆ น้อย ๆ อย่ามองข้ามครับ เพราะบางทีเรามองว่าเล็ก ๆ น้อย ๆ แต่ว่ามันเป็นช่องที่จะให้แฮกเกอร์ใช้เป็นช่องทางในการโจมตีได้

วันนี้แค่นี้ก่อนล่ะกัน ค่อยมาคุยกันในครั้งต่อ ๆ ไป ว่า การที่แฮกเกอร์จะโจมตีระบบนั้น จะมีขั้นตอนและแนวคิดอย่างไรบ้าง รู้เขารู้เรา รบร้อยครั้งชนะร้อยครั้ง

Incoming search terms:

  • Ramคือ
  • owasp top 10 2013 คือ
  • https://www geekbase in th/พัฒนา-web-application-ต้องคำนึงถึงอะไ/
  • owasp top 10 application security risks 2017 คืออะไร
  • owasp คือ
  • web security คืออะไร
  •  Open Web Application Security Project (OWASP) คือ
  • ขั้นตอนของ owasp
  • ตัวอย่างมาตรฐาน OWASP
  • มาตรฐาน OWASP Top 10
The following two tabs change content below.
Error: Unable to create directory wp-content/uploads/2018/11. Is its parent directory writable by the server?

Do-(A)-nG

Facebook Iconfacebook like buttonTwitter Icontwitter follow button
Copy Protected by Chetan's WP-Copyprotect.