Category Network & Security

Network & Security

[SECURITY] เมื่อ GitHub ของตัวเอง โดนมองว่ามี Wording ที่สุ่มเสี่ยง

เคสนี้เป็นเคสที่ผมเจอหลายเดือนก่อนครับ ตัว GitHub ที่ร้างๆของผมได้รับแจ้งว่ามี Keyword ที่ไปตรงกับระบบตรวจสอบความปลอดภัยของบริษัทแห่งหนึ่งครับ ตอนแรกที่ได้เมล์ สุดท้าย

[OWASP] สรุป Secure Design: Threat Modelling

สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling Attack Surface – Attack Surface Analysis Threat Modeling – How to Threat Modeling สรุป

[OWASP] สรุป Security Testing Tools for QA/Tester จากงาน OWASP Monthly (07/2021)

สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process คนที่เกี่ยวข้องกับ Security Test Security Testing สามารถทดสอบอะไรได้บ้าง ส่วนมาก Application / Business Condition and Logic มักถูกละเลยกัน รูปแบบการทำ Security…

[SECURITY] ทดสอบ Secure Configuration บน RedHat 8.X โดย OpenSCAP

ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…

[RHEL] รู้จักกับ System-wide cryptographic policies ของ REDHAT กันครับ

พอดีผลลัพธ์ของ VA Scan แล้วเจอคำแนะนำแปลกๆ ครับ เลยต้องลองไปอ่านดูครับ จากรูปบอกว่า ควรกำหนด System-wide cryptographic policies ให้เป็นค่า Default ถึงผ่านกฏของ VA Scan ถึงแม้ว่ามันมีแนวทางการแก้ไข พร้อม Script มาแล้ว แต่ ทำความเข้าใจก่อนครับ แก้แล้วไปแล้วบางครั้งมาแก้ไขกลับไม่ได้ครับ ฉันเอง T__T ทำความเข้าใจ System-wide cryptographic policies สำหรับ System-wide cryptographic policies เป็นนโยบานกลางของระบบ เพื่อช่วยตั้งค่า Lib ต่างๆ เช่น OpenSSH ให้รองรับการเข้ารหัส…

[RHEL] แก้ปัญหา SSH / SFTP พบ sign_and_send_pubkey no mutual signature supported

RedHat

ช่วงนี้ผมได้ไป Implement HW ที่ SITE นึงด้วย RedHat 8X ครับ พบปัญหาว่าตัว FTP Server ของลูกค้าไม่ได้สักทีครับ ติด ERROR sign_and_send_pubkey no mutual signature supported ทบทวนกันก่อนว่าทำอะไรบ้าง หนทางสุดท้ายลองพ่น Log ออกมาครับ ECDSA มันดีแบบนี้แล้ว เราก็ถูกสิ แก้ไขปัญหา Reference (เขียน Blog ตอนนี้ได้ความรู้เยอะมากครับ)

Putty Save Session Log

หลายคนที่ใช้ Putty อาจจะไม่รู้ว่า เจ้าตัว Putty ที่เราใช้ SSH เข้าไปจัดการกับ Server เนี่ย จริงๆ มันสามารถบันทึกการทำงานได้ โดยมีขั้นตอนง่ายๆ ดังนี้ เข้า Putty กำหนด IP:Port ที่ต้องการ เข้าไปที่ Session > Logging เลือกรูปแบบ Log ที่ต้องการได้เลยครับ ปกติผมเลือก All Session Output เอาจากหน้าจอดำๆออกมาครับ (Option อื่นๆที่เกี่ยวกับ Packets ผมไม่เคยใช้นะ 555) กำหนดชื่อไฟล์สำหรับเก็บ Log ครับ โดยสามารถกำหนดรูปแบบได้…

[Security] กลบทการเข้ารหัสแบบไทย ที่แฝงความนัย แต่คงด้วยความไพเราะสละสวย

พอดีได้ดู หนึ่งดาวฟ้าเดียว ย้อนหลังครับ ตอนนี้ละครน่าจะฉายจบแล้วมั่ง ตอนแรกผมก็กลบท น่าจะเหมือนกับพวกกฏเกณฑ์ของการประพันธ์โครงฉันท์ กาพย์กลอน ให้มีความไฟเราะครับ แต่ตอนนี้ กลบท มันไม่ใช่แฝงความไพเราะ ลองดูได้  ํYoutube ตอนนี้ มาดูความแรกจากในละครกัน กลบท “ไทหลง” ที่มีกฏเกณฑ์ของการแทนตัวอักษรโดยขยับไปที่ตัวถัดไปอีก 3 ตัวอย่าง เช่น มันคุ้นๆสำหรับเด็กสายคอมอย่างๆเรา ผมเคยได้ยินตอนเรียนปี 1 วิชา CP121 เรื่องของ โอ้โห กลบท มันเป็น Idea การเข้ารหัสที่แฝงไปด้วยความไฟเราะครับ กลบท “ไทหลง” ถ้าเอาตัวอักษรมาทำ Look Up Table ก็จะได้ ดังนี้ ก…