Vulnerability Assessment ต่างกับ Penetration Test อย่างไร

ฺฺจาก Blog ตอนที่แล้ว “[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure” ทางผมคิดว่าอ่านเอกสารการทดสอบ Penetration Test และไม่น่าจะมีปัญหาอะไร แต่ตอนประชุมกลับมีเอกสารของการทำ Vulnerability Assessment โผล่ขึ้นมา ผมเลยถามทางทีมงานมาทดสอบเรื่องนี้ ว่า 2 คำนี้มันต่างกันอย่างไร Vulnerability Assessment การประเมินหาความเสี่ยงที่ระบบจะถูกโจมตี โดยเอาข้อมูลจากฐานข้อมูลแหล่งต่างๆ หรือเป็นช่องโหว่ทีเปิดเผยสู่สาธารณะแล้ว CVE (Common Vulnerabilities and Exposures) การทดสอบแบบนี้มักจะใช้ Tools เข้ามาช่วย  Penetration Test การทดสอบเจาะระบบ โดยใช้คน เข้ามาโจมตีจริงๆ เพื่อพยายามหาช่องโหว่ที่ยังไม่มีใครเจอ หรือ Tools ไม่สามารถหาพบได้ การทำ Penetration Test เอาข้อมูลบางส่วนจาก Vulnerability Assessment มาวิเคราะห์ความเสี่ยง ความเป็นไปได้ของการโจมตี และเลือกเฉพาะที่สำคัญมาทำครับ หมายเหตุ ข้อมูลนี้ได้จากการพูดคุยกับทีมตรวจสอบความปลอยภัยที่ได้เขียนไว้ใน Blog ที่แล้ว ครับ

[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure

พอดีได้รับ Service Incident จาก Site ลูกค้า เมื่อวันจันทร์ที่ผ่านมา โดยที่ Site ลูกค้ามีการจ้างทีมงานภายนอกเข้าทำ Penetration Test(ทดลองเจาะระบบ เพือดูระบบเรามีความมั่นคงในระดับไหน) โดยผลที่ได้รับ คือ Sensitive Data Exposure(SSH Weak Algorithms Supported) โดยในวันนี้วันพุธ ผมเลยเข้ามาประชุมที่ Site ครับ เพื่อมาดูตัวรายงานฉบับสมบูรณ์ครับ มันเลยเป็นที่มาของ Blog นี้แหละ ที่จะมาสรุปสิ่งที่ได้จากการเข้าประชุมนะครับ Sensitive Data Exposure คือ อะไร ตัว Sensitive Data Exposure(SDE) คือ ช่องโหว่ที่ยอมให้ผู้ไม่หวังดีเข้าถึงข้อมูลของระบบที่เป็นความลับได้ (ข้อมูลที่เป็นความลับ เช่น เงินเดือน รหัสบัตรเครดิต เป็นต้น) Root Cause ของ Sensitive Data Exposure มาจากไหน การใช้ค่าตั้งต้นที่เป็น Default พอว่าผ่านไป Algorithm อาจจะตกยุคไป ทำให้ถูกล้วงข้อมูลได้ง่าย ไม่มีการทำ Secure Coding เช่น Session_Id ส่งเป็น Plain Text เลย ผลพวงมาจากช่องโหว่อื่นๆ เช่น Injection Attack (พวก SQL Injection), XSS เป็นต้น การป้องกันหละ พยายามใช้ Strong Encrpytion Algorithm ใช้ตัว HTTPS แทน HTTP ข้อมูลสำคัญ ควรมีการจัดระดับความสำคัญ และถ้าข้อมูลนั้นมันสำคัญมาก ไม่ควรเก็บไว้ที่เครื่อง Serverไว้ เช่น เลข CV ของบัตรเครดิต มีการกำหนดสิทธิการใช้งาน (Authorization) กลับมาที่ปัญหาของระบบที่ผมดูบ้าง Sensitive Data Exposure(SSH Weak Algorithms Supported)…

[CI] ทำ Jenkins BOT ให้ Rocket.Chat กัลเถอะ

หลังจากบริษัทได้เปลี่ยนตัว chat ที่มีอายุ 20 ปี ซึ่งมีนามว่า iChat(ไม่ใช่ของ Apple นะ 555) มาเป็น Rocket.Chat คราวนี้ได้เวลาลองเอาคุณลุง Jenkins มาเชื่อมครับ สิ่งที่ต้องเตรียม WebHook – URL ที่สร้างมาจาก Rocket.Chat Channel – ใน Rocket.Chat ICON – เอาไว้เป็น Avatar ของ Chat BOT ครับ ของผมก็เอาอันนี้เลย (น่ารักดี) ลุยกันเลยยย ไปที่ Jenkins เข้ามาจัดกับพวก Plugins ผ่านทางเมนู Manage Jenkins >> Manage Plugins ครับ ลอง Search หาดู Plugins เลยครับ ผมจะ Mattermost Notification Plugin อ่านมาทุกคนน่าจะสงสัยสิ ทำไมผมใช้ของ Mattermost หละ (ตัว Mattermost เป็น Chat อีกค่ายนึงครับ) เพราะ มันใช้ Idea เดียวกันในการทำ BOT ครับ คือ WebHook จริงๆลองไปส่ง Code กับ UI ใน GitHub ผมว่าคล้ายๆกันนะครับ (Mattermost Notification, Rocketchat Notifier) ลงโลดดดดครับ เชื่อม BOT ให้รู้จักกับ Jenkins Job ลองมา Edit Job เดิมที่ทำไว้ครับ โดยผมจะลองแก้ Auto Build ของฝั่ง VB6 ก่อน (เดี๋ยวทำเสร็จไปลองในฝั่ง .NET) กด…

[CUSE] สอบ Midterm ในรอบหลายปี

ตอนนี้เป็นช่วงที่ผ่านการเรียนปริญญาโทมาแล้ว 2 เดือนครับ เข้าส่วนเดือนที่ 3 เป็นช่วงที่สอบ Midterm ครับ โดยวิชาที่สอบมี 3 ตัวครับ Software Design & Development – วิชาที่คิดว่าน่าจะทำได้ดี มันเอาภาพการทำงานมาแปะเป็นตัวอย่างได้ Software Metric – เป็นวิชาที่ส่วนตัวกลัวที่สุดว่าจะตก สูตรมันเยอะ Software Engineering Process Improvement – ตอนเรียนรู้สึกว่าหลายๆอย่างมันออกมาจาก Inner ตอนสอบก็เช่นกัน โดยวิชานี้ผมเปลี่ยนปากกาไป 3 แท่ง รู้สึกว่ามันเขียนไม่ทันกับช่วงเวลาที่สอบเลย หรือว่าหัวปากกามันหนืดก็ไม่รู้ สำหรับการสอบครั้งนี้ ก็ได้เห็นอะไรหลายๆอย่างนะ การติวสำคัญมากครับ เหมือนการเติมเต็ม แต่เติมถูกหรือเติมผิดก็ไม่รู้นะครับ ฮ่าๆ มีหลายหัวช่วยกัน Cross Check ครับ จัดเวลาให้ดีในการอ่านหนังสือ ช่วงสอบผมแบกหนังสือทุกวิชาไปทำงาน และแบกกลับมา แต่ได้อ่านจริงๆประมาณ 30 นาทีเอง ทำให้ร่างกายอ่อนล้าลงไปอีก ผมเข้ามาเทอม 2 เห็น เพื่อนเทอมแรก ขยันกันมาก มีทำสรุปจด บันทึกกันด้วย รู้สึกว่า Final ต้องหาเวลามาทำเก็บไว้และ ตอนสอบ Compre จะได้สบาย ^__^ ส่วนวิชาเรียนต่างๆในเทอมนี้ น่าจะช่วงปลายเดือน 5 ผมมาเขียน Blog สรุปอีกที ว่ามันตรงกับปัญหาที่ผมเจอ หรือป่าว ? เรียนอะไรกันบ้าง เผื่อไว้เป็นข้อมูลให้คนอื่นๆก่อนตัดสินใจเข้ามาเรียนครับ ตอนสอบผมว่าดีกว่าตอนเรียนปริญญาตรีอยู่นะ สามารถเอาน้ำ ลูกอมไปกินได้ สำหรับของเบรกทางพี่ที่ภาค เอามาแจกในที่โต๊ะสอบเลย ห้องสมุดของคณะวิศวฯ จุฬาฯ The Box – ร้อนมากครับ หรือ เพราะวันหยุดเลยไม่ได้เปิดแอร์เต็มทั้งระบบหว่า ? ห้องประชุม – ไฮโซมากๆ Projector มีระบบ Touch Screen ใช้นิ้วเขียน…

The three logicians problem

ปัญหานี้มีผู้เชี่ยวชาญตรรกะ 3 คน เข้าไปกิน Beer ที่ร้าน พอเข้าไปในร้าน พนักงานเสิร์ฟ : ทุกๆคน รับ Beer ไหม ผู้เชี่ยวชาญตรรกะคนแรก : ฉันไม่รู้ ผู้เชี่ยวชาญตรรกะคนสอง : ฉันไม่รู้ ผู้เชี่ยวชาญตรรกะคนสาม : ใช่เลยยยยย คำถาม คือ ทำไมผู้เชี่ยวชาญตรรกะคนสามตอบ Yes เค้ารู้ได้อย่างไรว่าอีก 2 คนจะกิน ฺBeer ด้วย คำตอบ คือ ผู้เชี่ยวชาญตรรกะคนแรก ไม่ชัวร์ว่า 2 คนจะกินไหมเลยตอบ I don’t know ผู้เชี่ยวชาญตรรกะคนสอง รู้เลยว่าคนแรกกินเบียร์ ถ้าทุกๆคนไม่กิน ก็ต้องตอบ No แล้ว สำหรับตัวเค้าเองอยากกิน แต่เค้าไม่รู้ว่าคนที่สามจะกินไหมเลยตอบ I don’t know. ผู้เชี่ยวชาญตรรกะคนสาม สองคนแรกปูมาซะขนาดนี้แล้ว ตัวเองอยากกินด้วยเลยตอบ Yesss ไป

[Jenkins] SVN Command line Commit

ยุคนี้ใครก็พูดถึง Git แต่องค์กรของผมยังใช้ตัว SVN อยู่นะครับ หลังจากทำ CI มานึงระดับนึงแล้ว เราจะใช้ตัว Jenkins Commit Lib ที่ Update ไปให้อีก Repository ใช้ครับ ก็ลองๆหาดูตัว SVN มีพวก Command line ให้ใช้นะ แต่พวก Resource จะหายากนิดนึงครับ ทำเสร็จแล้ว ผมเขียน Blog แปะไว้ เผื่อกลับมาอ่านวันหลัง แล้วมันเกี่ยวกับ Jenkins ตรงไหน อ๋อมันเกี่ยว ตรงที่หลัง Commit เสร็จ ผมจะให้ตัว Jenkins จัดการครับ หลายอาจจะสงสัย ทำไมผมถึงไม่ใช้พวก Dependency Management อย่างพวก Maven, NuGet ก็เพราะว่าตัว Repository ที่ผมจะ Commit เป็นตัว Legacy Code นะครับ ปล. หากดูจากรูป Feature ของ Blog นี้ ผมใช้ Plug-in Multijob Plugin เพื่อเอามาจัดการแต่ละ Component ที่มันมี Dependency มีลำดับต้องทำก่อน-หลังครับ

[ChatOps] ลง Rocket Chat Client

หลังจากได้ลองให้ที่บริษัทใช้ Rocket.Chat แทน iChat (รุ่นโบราณ) แล้วคราวนี้มาลองดู App ในฝั่ง Client ดีกว่าครับ ขั้นตอนการลง Download Program กันก่อนครับ ในที่นี้ผมเลือก Windows ครับ ตามรูปเลยครับ มา Set ให้รู้จักกับ Host ใส่ IP/Domain ของ Host เข้าไป กด Connect แล้วรอสักพัก หน้า Log-in มาแล้วครับ ใช้งานได้แย้ววว มันทำได้ทุกอย่างเกือบเหมือน Slack (Slack like) โดย Core หลักน่าจะเป็น Electron Javascript Framework ที่ทำให้เขียนได้หลาย Platform สำหรับ Client App ผมเข้าใจว่าเป็นหน้ากาก ไปเรียก webview อีกทีนะ

[CR] Fami Strawberry Jelly

พอดีวันนี้ Family Mart เค้ามีตู้แช่อันใหม่ แล้วก็มีขนมอันใหม่ ผมเลยหยิบติดมาลองกอนเป็นของหวาน เอาไว้ทานล้างปากหลังกินบะหมี่เกี้ยวหน้าบริษัทพอดีเลยครับ มา Review กันเลยดีกว่าครับ ปริมาณ พอดีคำครับ มี Strawberry เยอะอยู่ ราคา 20 บาท ถูกกว่าของ S&P อยู่ประมาณ 9-10 บาท รสชาติ อาจจะไม่หวานมากนะครับ แต่ยังไม่กลมกล่อมเท่าของ S&P ถ้าปรับสูตรอีกนิดได้จะดีมากครับ

[CR] ดอยคำ เครื่องดื่มเจียวกู้หลานผสมดอกคำฝอย

หลังจากจ่าพิชิตแห่ง Drama-addict ได้แชร์ข้อมูลเครื่องดื่มเจียวกู้หลานผสมดอกคำฝอยไป ในช่วงเดือน พ.ย. 2559 ปรากฏว่าสินค้าชิ้นนี้ขาดตลาดไป 2 เดือนกว่าๆ จนผมเพ่งมาเจออีกครั้งในวันนี้แแหละ ผมเลยเหมามา 12 กล่องเลยครับ เก็ฐมากินในที่ทำงาน และที่บ้านครับ มาดูรายละเอียดของเครื่องดื่มเจียวกู้หลานผสมดอยคำฝอยกันครับ ราคากล่องละ 30 บาท ขนาด 500 มล. พลังงาน 25 Kcal./กล่อง น้ำตาล 0 กรัม สถานที่ขาย ตอนนี้น่าจะมีเยอะแล้วครับตามร้านค้าชั้นนำ อย่าง 7/11, Family Mart, Tops, Lotus, Big C เป็นต้นครับ หลังจากบรรยายลักษณะทั้งไปแล้ว คราวนี้มาที่รสชาติบ้างดีกว่าครับ สีออกเหมือนน้ำชา หรือน้ำเก็กฮวยครับ รสชาติ ขมนำ หวานตามครับ กินเพลินแทนน้ำอัดลม หรือพวกหวยชาเขียวได้เลยครับ แพงกว่านิดหน่อย แต่สรรพคุณดีกว่าเยอะครับ สำหรับสรรพคุณของเจียวกู้หลาน ลองมาดูได้จาก บทความนี้ครับ “ทำไมเจียวกู้หลานจึงเป็นสมุนไพรที่น่าใช้” (เขียนมานานหลายปีแล้ว เรามีของดีๆ แต่เราไม่เสาะหามากินกัน)      

VSCode เปิดรูปได้ด้วยนะ

ตอนนั้นเบลอๆครับ ระหว่าง Copy ไฟล์ ผมดันเอารูป Image The Voice ไป Drap&Drop ลง VSCode ซะงั้น ผลมันเลยเป็นอย่างที่เห็นครับ อยากจะอวด Image ฮ่าๆ แค่นี้แหละครับ