Network & Security
สำหรับ Feature นี้ตอบโจทย์กับหลายๆคนเลยครับ มี Email อาจจะทำสำหรับแจ้งเตือนบางเรื่อง เช่น จาก Use-Case ทั้ง 3 เรื่อง หลายคนอาจจะแยกเป็น 3 Email แต่ 1. เปิดใช้งาน Two step verification 2. กำหนด App Password 3. Enable external access ให้กับ Google Account สรุป
สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process หลายคนมักเข้าใจผิดว่าทำหลัง Software เสร็จ แต่จริงๆ มันมาคู่กันเลยครับ โดยถ้ามีการเก็บ Requirement มีต้องถาม Requirement ในส่วนของ Security Requirement ประกอบคู่กันด้วยครับ การทดสอบ Security Testing…
จาก BLOG: mailx ส่งเมล์จาก Linux แบบ command line หากสังเกตุตรง Config ดีๆ จะมีในส่วนของ set smtp-auth ครับ ที่เห็นว่ามันมีค่าเท่ากับ login จริงแล้วมันมีค่าได้หายแบบครับ แต่คำสั่งมัน Low-Level อยู่พอสมควร Doc เลยหายากนิดนึงครัีบ โดย AUTH COMMAND มี 3 แบบครับ AUTH PLAIN : Client ส่ง username / password ไปยัง Mail Server…
ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…
พอดีผลลัพธ์ของ VA Scan แล้วเจอคำแนะนำแปลกๆ ครับ เลยต้องลองไปอ่านดูครับ จากรูปบอกว่า ควรกำหนด System-wide cryptographic policies ให้เป็นค่า Default ถึงผ่านกฏของ VA Scan ถึงแม้ว่ามันมีแนวทางการแก้ไข พร้อม Script มาแล้ว แต่ ทำความเข้าใจก่อนครับ แก้แล้วไปแล้ว บางครั้งมาแก้ไขกลับไม่ได้ครับ ฉันเอง T__T ทำความเข้าใจ System-wide cryptographic policies สำหรับ System-wide cryptographic policies เป็นนโยบานกลางของระบบ เพื่อช่วยตั้งค่า Lib ต่างๆ เช่น OpenSSH…
ช่วงนี้ผมได้ไป Implement HW ที่ SITE นึงด้วย RedHat 8X ครับ พบปัญหาว่าตัว FTP Server ของลูกค้าไม่ได้สักทีครับ ติด ERROR sign_and_send_pubkey no mutual signature supported ทบทวนกันก่อนว่าทำอะไรบ้าง Generate Private / Public Key เพื่อใช้สำหรับ SSH และ SFTP เพื่อทดสอบ การทดสอบ ทดสอบเชื่อมระหว่าง RedHat 8.X สามารถใช้งานได้ เมื่อส่ง Public Key ไปใช้…
หลายคนที่ใช้ Putty อาจจะไม่รู้ว่า เจ้าตัว Putty ที่เราใช้ SSH เข้าไปจัดการกับ Server เนี่ย จริงๆ มันสามารถบันทึกการทำงานได้ โดยมีขั้นตอนง่ายๆ ดังนี้ เข้า Putty กำหนด IP:Port ที่ต้องการ เข้าไปที่ Session > Logging เลือกรูปแบบ Log ที่ต้องการได้เลยครับ ปกติผมเลือก All Session Output เอาจากหน้าจอดำๆออกมาครับ (Option อื่นๆที่เกี่ยวกับ Packets ผมไม่เคยใช้นะ 555) กำหนดชื่อไฟล์สำหรับเก็บ Log ครับ โดยสามารถกำหนดรูปแบบได้…
พอดีได้ดู หนึ่งดาวฟ้าเดียว ย้อนหลังครับ ตอนนี้ละครน่าจะฉายจบแล้วมั่ง ตอนแรกผมก็กลบท น่าจะเหมือนกับพวกกฏเกณฑ์ของการประพันธ์โครงฉันท์ กาพย์กลอน ให้มีความไฟเราะครับ แต่ตอนนี้ กลบท มันไม่ใช่แฝงความไพเราะ ลองดูได้ ํYoutube ตอนนี้ มาดูความแรกจากในละครกัน เข้ารหัส ถอดรหัส กลบท “ไทหลง” ที่มีกฏเกณฑ์ของการแทนตัวอักษรโดยขยับไปที่ตัวถัดไปอีก 3 ตัวอย่าง เช่น ก == ง ข == ค ฃ == ฅ ฆ == ฌ เป็นต้น มันคุ้นๆสำหรับเด็กสายคอมอย่างๆเรา ผมเคยได้ยินตอนเรียนปี 1 วิชา CP121…
ฺฺจาก Blog ตอนที่แล้ว “[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure” ทางผมคิดว่าอ่านเอกสารการทดสอบ Penetration Test และไม่น่าจะมีปัญหาอะไร แต่ตอนประชุมกลับมีเอกสารของการทำ Vulnerability Assessment โผล่ขึ้นมา ผมเลยถามทางทีมงานมาทดสอบเรื่องนี้ ว่า 2 คำนี้มันต่างกันอย่างไร Vulnerability Assessment การประเมินหาความเสี่ยงที่ระบบจะถูกโจมตี โดยเอาข้อมูลจากฐานข้อมูลแหล่งต่างๆ หรือเป็นช่องโหว่ทีเปิดเผยสู่สาธารณะแล้ว CVE (Common Vulnerabilities and Exposures) การทดสอบแบบนี้มักจะใช้ Tools เข้ามาช่วย Penetration Test การทดสอบเจาะระบบ โดยใช้คน เข้ามาโจมตีจริงๆ เพื่อพยายามหาช่องโหว่ที่ยังไม่มีใครเจอ หรือ Tools ไม่สามารถหาพบได้ การทำ…
พอดีได้รับ Service Incident จาก Site ลูกค้า เมื่อวันจันทร์ที่ผ่านมา โดยที่ Site ลูกค้ามีการจ้างทีมงานภายนอกเข้าทำ Penetration Test(ทดลองเจาะระบบ เพือดูระบบเรามีความมั่นคงในระดับไหน) โดยผลที่ได้รับ คือ Sensitive Data Exposure(SSH Weak Algorithms Supported) โดยในวันนี้วันพุธ ผมเลยเข้ามาประชุมที่ Site ครับ เพื่อมาดูตัวรายงานฉบับสมบูรณ์ครับ มันเลยเป็นที่มาของ Blog นี้แหละ ที่จะมาสรุปสิ่งที่ได้จากการเข้าประชุมนะครับ Sensitive Data Exposure คือ อะไร ตัว Sensitive Data Exposure(SDE) คือ ช่องโหว่ที่ยอมให้ผู้ไม่หวังดีเข้าถึงข้อมูลของระบบที่เป็นความลับได้…
