Network & Security
สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling Attack Surface – Attack Surface Analysis Threat Modeling – How to Threat Modeling สรุป
สำหรับ Feature นี้ตอบโจทย์กับหลายๆคนเลยครับ มี Email อาจจะทำสำหรับแจ้งเตือนบางเรื่อง เช่น จาก Use-Case ทั้ง 3 เรื่อง หลายคนอาจจะแยกเป็น 3 Email แต่ 1. เปิดใช้งาน Two step verification 2. กำหนด App Password 3. Enable external access ให้กับ Google Account สรุป
สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process คนที่เกี่ยวข้องกับ Security Test Security Testing สามารถทดสอบอะไรได้บ้าง ส่วนมาก Application / Business Condition and Logic มักถูกละเลยกัน รูปแบบการทำ Security…
จาก BLOG: mailx ส่งเมล์จาก Linux แบบ command line หากสังเกตุตรง Config ดีๆ จะมีในส่วนของ set smtp-auth ครับ ที่เห็นว่ามันมีค่าเท่ากับ login จริงแล้วมันมีค่าได้หายแบบครับ แต่คำสั่งมัน Low-Level อยู่พอสมควร Doc เลยหายากนิดนึงครับ โดย AUTH COMMAND มี 3 แบบครับ AUTH PLAIN AUTH PLAIN : Client ส่ง username / password ไปยัง…
ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…
พอดีผลลัพธ์ของ VA Scan แล้วเจอคำแนะนำแปลกๆ ครับ เลยต้องลองไปอ่านดูครับ จากรูปบอกว่า ควรกำหนด System-wide cryptographic policies ให้เป็นค่า Default ถึงผ่านกฏของ VA Scan ถึงแม้ว่ามันมีแนวทางการแก้ไข พร้อม Script มาแล้ว แต่ ทำความเข้าใจก่อนครับ แก้แล้วไปแล้วบางครั้งมาแก้ไขกลับไม่ได้ครับ ฉันเอง T__T ทำความเข้าใจ System-wide cryptographic policies สำหรับ System-wide cryptographic policies เป็นนโยบานกลางของระบบ เพื่อช่วยตั้งค่า Lib ต่างๆ เช่น OpenSSH ให้รองรับการเข้ารหัส…
ช่วงนี้ผมได้ไป Implement HW ที่ SITE นึงด้วย RedHat 8X ครับ พบปัญหาว่าตัว FTP Server ของลูกค้าไม่ได้สักทีครับ ติด ERROR sign_and_send_pubkey no mutual signature supported ทบทวนกันก่อนว่าทำอะไรบ้าง หนทางสุดท้ายลองพ่น Log ออกมาครับ ECDSA มันดีแบบนี้แล้ว เราก็ถูกสิ แก้ไขปัญหา Reference (เขียน Blog ตอนนี้ได้ความรู้เยอะมากครับ)
หลายคนที่ใช้ Putty อาจจะไม่รู้ว่า เจ้าตัว Putty ที่เราใช้ SSH เข้าไปจัดการกับ Server เนี่ย จริงๆ มันสามารถบันทึกการทำงานได้ โดยมีขั้นตอนง่ายๆ ดังนี้ เข้า Putty กำหนด IP:Port ที่ต้องการ เข้าไปที่ Session > Logging เลือกรูปแบบ Log ที่ต้องการได้เลยครับ ปกติผมเลือก All Session Output เอาจากหน้าจอดำๆออกมาครับ (Option อื่นๆที่เกี่ยวกับ Packets ผมไม่เคยใช้นะ 555) กำหนดชื่อไฟล์สำหรับเก็บ Log ครับ โดยสามารถกำหนดรูปแบบได้…
พอดีได้ดู หนึ่งดาวฟ้าเดียว ย้อนหลังครับ ตอนนี้ละครน่าจะฉายจบแล้วมั่ง ตอนแรกผมก็กลบท น่าจะเหมือนกับพวกกฏเกณฑ์ของการประพันธ์โครงฉันท์ กาพย์กลอน ให้มีความไฟเราะครับ แต่ตอนนี้ กลบท มันไม่ใช่แฝงความไพเราะ ลองดูได้ ํYoutube ตอนนี้ มาดูความแรกจากในละครกัน กลบท “ไทหลง” ที่มีกฏเกณฑ์ของการแทนตัวอักษรโดยขยับไปที่ตัวถัดไปอีก 3 ตัวอย่าง เช่น มันคุ้นๆสำหรับเด็กสายคอมอย่างๆเรา ผมเคยได้ยินตอนเรียนปี 1 วิชา CP121 เรื่องของ โอ้โห กลบท มันเป็น Idea การเข้ารหัสที่แฝงไปด้วยความไฟเราะครับ กลบท “ไทหลง” ถ้าเอาตัวอักษรมาทำ Look Up Table ก็จะได้ ดังนี้ ก…
Vulnerability Assessment Penetration Test หมายเหตุ ข้อมูลนี้ได้จากการพูดคุยกับทีมตรวจสอบความปลอยภัยที่ได้
