Category Secured by Design

[SECURITY] เมื่อ GitHub ของตัวเอง โดนมองว่ามี Wording ที่สุ่มเสี่ยง

เคสนี้เป็นเคสที่ผมเจอหลายเดือนก่อนครับ ตัว GitHub ที่ร้างๆของผมได้รับแจ้งว่ามี Keyword ที่ไปตรงกับระบบตรวจสอบความปลอดภัยของบริษัทแห่งหนึ่งครับ ตอนแรกที่ได้เมล์ ตกใจมากยอมรับว่าไม่มีสติทำงานเลย กลัวจะมีแบบคดีความครับ โดยในเมล์จะขอให้ลบข้อมูลที่ Keyword นั้นออกไปครับ สุดท้าย ผมตัดสินใจลบ Repository นั้นทิ้งไปครับ เพราะตัว Code ใน Repo นั้นเก่ามากๆแล้วครับ แต่มีจุด Check Point ที่ต้องตรวจสอบเพิ่มแทน ว่าตอน Commit Code อะไรเข้า Repository ที่ Public อันนี้ อาจจะต้องตรวจสอบข้อมูล ว่ามี keyword เช่น มีชื่อ / ip…

สรุป Hacker Game Workshop: Surviving your app in the cruel world by KBTG

งานนี้ผมเข้ามาแบบงงๆ นะครับ พอดีมีคนแชร์ลิงค์เค้ามาครับ เลยเข้ามาในฐานศิษย์เก่า ป.โท มาฟังและมีสรุป Blog เล็กน้อยๆกันครับ การทำให้ Application ปลอดภัยต้องเริ่มตั้งแต่ตอนออกแบบระบบ (Secured by Design) ภัยคุกคามส่วนใหญ่มาจากโลก Online มาขึ้น Web Application ในส่วนที่สำคัญ เช่น การเงิน Secure SDLC Planning: Training ให้ / Security Requirement / ที่สำคัญดูกฏด้วย เช่น BOT กลต Design: ทำ Thread Modeling /…

[OWASP] สรุป Secure Design: Threat Modelling

สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling ทำตั้งแต่ช่วง Phase Design เพราะการเจอปัญหาก่อน มันช่วยลด Cost ในการปรับปรุงแก้ไขได่เยอะ Attack Surface จุดเสื่ยงมีเปิดโอกาศในเกิดการโจมตีระบบได้ เพื่อให้ทราบว่า ส่วนไหนของระบบที่ต้องมีการ Review /…

[OWASP] สรุป Security Testing Tools for QA/Tester จากงาน OWASP Monthly (07/2021)

สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process หลายคนมักเข้าใจผิดว่าทำหลัง Software เสร็จ แต่จริงๆ มันมาคู่กันเลยครับ โดยถ้ามีการเก็บ Requirement มีต้องถาม Requirement ในส่วนของ Security Requirement ประกอบคู่กันด้วยครับ การทดสอบ Security Testing…

[SECURITY] ทดสอบ Secure Configuration บน RedHat 8.X โดย OpenSCAP

ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…

CIA + T Triad

Reference https://wallpapercave.com/w/wp2624768

วันนี้ผมมารีวิวหนังอะไร หรือป่าว ขอตอบว่าไม่ใช่ครับ โดยวันนี้ผมมาสรุป เรื่อง CIA + T Triad ที่มาช่วยให้เราพัฒนาระบบให้มีความปลอดภัยตั้งแต่ช่วงการออกแบบ (Design) ครับ โดยที่ตัวอย่างแต่ละตัวมีความหมาย ดังนี้ครับ จริงๆตอนแรกมันมีแต่ CIA แหละครับ แต่จากหนังสือ Secured by Design ผู้เขียนหนังสือขอเพิ่มตัว T เข้ามาด้วยครับ ซึ่งผมเห็นด้วยนะที่เพิ่ม เพราะ มันช่วยทำให้เราทราบปัญหา การเปลี่ยนไปของข้อมูลด้วยครับ ขอปิดท้ายด้วยว่า Security ไม่ใช่ Functional Requirement แต่มันเป็น Non-Functional Requirement (Quality Attribute) ซึ่งส่งผลกับการออกแบบระบบ และการเลือกใช้สถาปัตยกรรม…