Category Network & Security

Network & Security

Configuring Network between Host and Guest VM in VirtualBox

หลังจากพยายามลองใช้ทุกอย่างโดยไม่ใช้ VM เลย ใช้ WSL แล้วมีบางเคสที่เจอแล้ว ว่ามันควรใช้ VM มากกว่า ถ้าไปลง docker ใน WSL แล้วตัว docker desktop มันเอ๋อๆ วันนี้เลย แยก VM ดีกว่า โดยใน VM แยก 2 Network Card ต่อไปมาเริ่มลงมือทำกันเลยครับ Virtual Box VM จำได้ว่าเมื่อก่อนเวลา Config Network ต้องไปแก้ที่ไฟล์ Config ของ Network เอง (ประมาณพวก…

สรุป OWASP Top 10 CI/CD Security Risks

สำหรับ Blog นี้เป็นเดินทางมาไกลเลย จากวงเวียนใหญ่ มาตรง MFEC กว่าจะออกมาได้ CI Test พังด้วย 555 แต่พอเดาสาเหตุได้และ เลยรีบมาฟัง OWASP Top 10 CI/CD Security Risks ที่จัดโดยทาง OWASP Bangkok Chapter และ 2600Thailand ครับ แชร์โดยคุณณัฐวรพงษ์ ลอยไสว จาก Shipty ครับ สำหรับหัวข้อที่จดๆมาประมาณนี้ครับ CI / CD คือ อะไร ? CI /…

มาเล่าหลังไปเรียน MUICT-depa Penetration Testing รุ่น 2

สำหรับ Course นี้เป็น 2 วัน โดยจัดในรูปแบบ online ผ่าน WebEx Meeting (รู้สึกว่าดีขึ้นอย่างเห็นได้ชัด เมื่อก่อนโคตรกระตุก) โดยการสอนมีทั้ง Lecture + Lab เล็กๆ ครับ จดมาตามนี้ครับ Lecture Note CIA และจุดไหนที่เราควรป้องกัน อันนี้เจอใน Chat น่าสนใจ CIA is dead, long live CIANAPS (ลองหาดูจะเป็น Confidentiality / Integrity / Availability / Non-repudiation…

Note จากตั้งวงเล่า DevSecOps คือ อะไร ?

มาฟังระหว่างหลบฝนครับ และมาลอง Notion Note ด้วย ว่าจดแล้วเป็นไงบ้าง ลองดูกันได้เลยครับ DevSecOps คือ ? มาที่ DevOps ก่อน ? Dev + Ops คุยกันให้งานมันไหลลื่น ยกตัวอย่าง เช่น Non-Functional Requirement ที่ต้องจับ Ops มาคุยกับ Dev เพื่อลดงานด้วย Ops ให้ลดลงตอนใช้จริง จิ๊กซอส จาก Flow การทำงานในองค์กร วิธีการ ที่ช่วยทำให้ Release ของได้เร็ว แต่ไม่ได้เกี่ยวกับ Agile มาเสริมกัน…

[SECURITY] Password Spraying คือ อะไร

ช่วงนี้ผมได้ลองศึกษาพวก Cloud มันจะมีด้าน Security ด้วยนะ และ Feature ที่รองรับ 1 2 3 4 ผมมาเ๊ะใจคำนึงนะ Password Spraying มันดู้ป็นศํพท์ใหม่ที่ Dev อย่างพวกเราไม่น่าจะรู้จักมาก่อนเลย Password Spraying คือ อะไร การใช้รหัสผ่านทีละตัวใน List ทีมี อาจจะเป็น Default Password หรือ Password ที่นิยมใช้กัน 10 อันดับแรก มาไล่โจมตีบัญชี (account) ที่มีอยู่ ที่ละบัญชี ถ้าผ่านก็จดบันทึกไว้ และเมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไป…

[SECURITY] เมื่อ GitHub ของตัวเอง โดนมองว่ามี Wording ที่สุ่มเสี่ยง

เคสนี้เป็นเคสที่ผมเจอหลายเดือนก่อนครับ ตัว GitHub ที่ร้างๆของผมได้รับแจ้งว่ามี Keyword ที่ไปตรงกับระบบตรวจสอบความปลอดภัยของบริษัทแห่งหนึ่งครับ ตอนแรกที่ได้เมล์ ตกใจมากยอมรับว่าไม่มีสติทำงานเลย กลัวจะมีแบบคดีความครับ โดยในเมล์จะขอให้ลบข้อมูลที่ Keyword นั้นออกไปครับ สุดท้าย ผมตัดสินใจลบ Repository นั้นทิ้งไปครับ เพราะตัว Code ใน Repo นั้นเก่ามากๆแล้วครับ แต่มีจุด Check Point ที่ต้องตรวจสอบเพิ่มแทน ว่าตอน Commit Code อะไรเข้า Repository ที่ Public อันนี้ อาจจะต้องตรวจสอบข้อมูล ว่ามี keyword เช่น มีชื่อ / ip…

[OWASP] สรุป Secure Design: Threat Modelling

สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling ทำตั้งแต่ช่วง Phase Design เพราะการเจอปัญหาก่อน มันช่วยลด Cost ในการปรับปรุงแก้ไขได่เยอะ Attack Surface จุดเสื่ยงมีเปิดโอกาศในเกิดการโจมตีระบบได้ เพื่อให้ทราบว่า ส่วนไหนของระบบที่ต้องมีการ Review /…