Security should be Simple
Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่น่าสนใจเป็นอันดับต้น ๆ เพราะว่าเป็นช่องโหว่ที่สามารถพบเจอได้ง่าย สามารถสร้างความเสียหายให้กับผู้ใช้งานได้โดยที่ไม่ต้องใช้เทคนิคที่ซับซ้อน CSRF เคยถูกจัดให้อยู๋ในอันดับที่ 5 ใน OWASP TOP 10 2010 และถูกลดลำดับลงมาให้อยู่ในอันดับ 8 ใน OWASP TOP 10 2013 อันเนื่องมาจากความตื่นตัวของผู้พัฒนาเว็บแอปพลิเคชัน ในบทความนี้จะอธิบายถึงการทำงานและ YouTube case study ของช่องโหว่ประเภท CSRF
Missing Function Level Access Control (MFLAC) เป็นช่องโหว่ที่ส่วนใหญ่เกิดจากความผิดพลาดในการทำ authorization เช่น มีการทำตรวจสอบการ login แต่ไม่ได้ตรวจสอบว่ามีสิทธิ์ในการเข้าใช้งานในส่วนผู้ดูแลระบบ ทำให้ผู้ใช้งานทั่วไปสามารถเข้าไปใช้งานในส่วนของผู้ดูแลระบบได้ MFLAC เป็นช่องโหว่ที่เกิดขึ้นได้บ่อยโดยเฉพาะเว็บแอปพลิเคชันที่มีความซับซ้อน บทความนี้จะอธิบายถึงลักษณะของช่องโหว่และแนวทางในการป้องกัน
Sensitive Data Exposure เป็นช่องโหว่ที่เกิดขึ้นกับข้อมูลเป็นหลัก ช่องโหว่ประเภทนี้เกิดได้การที่เว็บแอปพลิเคชันมีช่องโหว่ที่อนุญาตให้ผู้ไม่หวังดีเข้าถึงข้อมูลที่เป็นความลับ ซึ่งเกิดได้จากหลายกรณี เช่น การใช้ encrpytion algorithm ที่ไม่แข็งแรง ไม่เข้ารหัสข้อมูลขณะส่ง (ไม่ใช้ HTTPS) และ การเก็บข้อมูล backup ไม่ปลอดภัยเป็นต้น ในบทความนี้จะอธิบายถึงช่องโหว่ประเภทนี้และวิธีการป้องกันเบื้อต้น
Security Misconfiguration เป็นช่องโหว่ที่ถูกจัดให้อยู่ในลำดับที่ 5 ของ OWASP TOP 10 2013 ช่องโหว่ประเภทนี้เป็นช่องโหว่ที่เกิดจากการตั้งค่าที่ผิดพลาดของระบบ เนื่องจากเว็บแอปพลิเคชันประกอบไปด้วยหลายส่วนประกอบ ทุกส่วนต้องได้รับการดูและและตั้งค่าอย่างถูกต้องมิฉะนั้นก็จะกลายเป็นช่องโหว่ที่นำความเสียหายมาสู่ระบบทั้งระบบ ในบทความนี้จะอธิบายตัวอย่างช่องโหว่ประเภทนี้และผลกระทบที่อาจจะเกิดขึ้นต่อระบบ
HTTP over SSL หรือ HTTPS นั้นเป็นเทคโนโลยีที่ถูกคิดค้นขึ้นมาเพื่อทำให้เว็บแอปพลิเคชันมีความปลอดภัยจากการดักจับข้อมูล โดย HTTPS ได้นำ Secure Socket Layer (SSL) มาใช้ในการเข้ารหัสข้อมูลที่ต้องการส่ง บทความนี้จะอธิบายถึงหลักการทำงานของ SSL/TLS และการทำงานของ HTTPS เพื่อเป็นพื้นฐานความรู้ในการทำเว็บแอปพลิเคชันให้มีความปลอดภัย
Insecure Direct Object Reference (IDOR) เป็นหนึ่งในช่องโหว่ที่พบได้บ่อยในเว็บแอปพลิเคชันที่มีการรับข้อมูลจากผู้ใช้งานผ่าน URL ทำให้ถูกจัดเป็นช่องโหว่ที่อยู่ในลำดับที่ 4 ของ OWASP TOP 10 2013 ช่องโหว่ประเภทนี้อาจจะมีชื่อที่ไม่คุ้นเคยเหมือน SQL Injection หรือ Cross-Site Scripting แต่ความร้ายแรงของช่องโหว่นั้นไม่ได้ยิ่งหย่อนไปกว่ากันสักเท่าไร บทความนี้จะอธิบายหลักการและสาเหตุของช่องโหว่ประเภทนี้
XSS เป็นช่องโหว่ที่เป็นอันตรายต่อผู้ใช้งานเว็บแอปพลิเคชัน เพราะเป็นช่องทางให้ผู้ไม่หวังดีสามารถขโมยข้อมูลที่เป็นความลับด้วยการใส่ JavaScript ลงไปในเว็บแอปพลิเคชัน การป้องกัน XSS นั้นสามารถทำได้ไม่ยากแต่ต้องใช้รอบคอบอย่างมาก บทความนี้จะอธิบายถึงสาเหตุและขั้นตอนการป้องกันการโจมตีชนิด Cross-Site Scripting (XSS)
Cross-site Scripting ชื่อย่อว่า XSS เป็นชนิดของการช่องโหว่ที่ถูกจัดให้อยู่ในลำดับที่ 3 ของ OWASP TOP 10 2013 โดยเว็บแอปพลิเคชันที่มีช่องโหว่ประเภทนี้ อนุญาตให้ผู้ไม่หวังดีสามารถใส่ JavaScript ให้ทำงานภายใต้ domain ของเป้าหมาย ดังนั้น ผู้ไม่หวังดีสามารถใช้ XSS เพื่อขโมยข้อมูลของผู้ใช้งานคนอื่นได้ บทความนี้จะอธิบายรายละเอียดของสาเหตุของการเกิดช่องประเภทนี้
ปัจจุบันเรียกได้ว่าไม่มีใครที่เล่นอินเทอร์เน็ตไม่รู้จัก username และ password ซึ่งอาจะเรียกได้ว่าเป็นเครื่องมือมาตรฐานของเว็บแอปพลิเคชันที่ใช้ในการยืนยันตัวบุคคล (login) เพื่อใช้งานเว็บไซต์ การเข้าใช้งานเว็บแอปพลิเคชันเช่น Email Facebook Pantip ต่างใช้กระบวนการ login เป็นหลัก ผู้พัฒนาเว็บแอปพลิเคชันที่ดีควรมีความรู้เกี่ยวกับการจัดการ username และ password อย่าถูกต้อง บทความนี้จะอธิบายวิธีการเก็บ password ในฐานข้อมูลให้ถูกต้องปลอดภัย
Ubuntu เป็น Linux Operating System ที่ถูกพัฒนาต่อจาก Debian ปัจจุบัน Ubuntu เป็น Linux OS ที่ได้รับความนิยมสูงที่สุดเนื่องจากมี user interface ที่ใช้งานง่ายและเป็น opensource ในบทความนี้จะอธิบายถึงการเข้าใช้งาน ubuntu ด้วย SSH Secure Shell Client คำสั่งพื้นฐานของ Linux และ การใช้งาน VIM