[OWASP] เมื่อผลการทดสอบบอกว่าระบบมีโอกาสเกิด Sensitive Data Exposure

พอดีได้รับ Service Incident จาก Site ลูกค้า เมื่อวันจันทร์ที่ผ่านมา โดยที่ Site ลูกค้ามีการจ้างทีมงานภายนอกเข้าทำ Penetration Test(ทดลองเจาะระบบ เพือดูระบบเรามีความมั่นคงในระดับไหน) โดยผลที่ได้รับ คือ Sensitive Data Exposure(SSH Weak Algorithms Supported) โดยในวันนี้วันพุธ ผมเลยเข้ามาประชุมที่ Site ครับ เพื่อมาดูตัวรายงานฉบับสมบูรณ์ครับ มันเลยเป็นที่มาของ Blog นี้แหละ ที่จะมาสรุปสิ่งที่ได้จากการเข้าประชุมนะครับ Sensitive Data Exposure คือ อะไร Root Cause ของ Sensitive Data Exposure มาจากไหน การป้องกันหละ กลับมาที่ปัญหาของระบบที่ผมดูบ้าง Sensitive Data Exposure(SSH Weak Algorithms Supported) ก่อนอื่นมารู้คำศัพท์กันก่อน แล้วค่อยมาดูวิธีการแก้ปัญหากันครับ SSH(Secure Shell) คือ อะไร หลังจากทราบรายละเอียดของปัญหาแล้วมาดูขั้นต่อไปกันเลยครับ การปรับปรุงระบบ Reference : Top 10 2013-A6-Sensitive Data Exposure

[CI] ทำ Jenkins BOT ให้ Rocket.Chat กัลเถอะ

หลังจากบริษัทได้เปลี่ยนตัว chat ที่มีอายุ 20 ปี ซึ่งมีนามว่า iChat(ไม่ใช่ของ Apple นะ 555) มาเป็น Rocket.Chat คราวนี้ได้เวลาลองเอาคุณลุง Jenkins มาเชื่อมครับ สิ่งที่ต้องเตรียม ลุยกันเลยยย เชื่อม BOT ให้รู้จักกับ Jenkins Job ทดสอบ Build ครับ เดี๋ยวของลองใช้งานจริงสัก 3-4 เดือน แล้วจะมาเขียน Blog สรุปอีกทีครับ

[CUSE] สอบ Midterm ในรอบหลายปี

ตอนนี้เป็นช่วงที่ผ่านการเรียนปริญญาโทมาแล้ว 2 เดือนครับ เข้าส่วนเดือนที่ 3 เป็นช่วงที่สอบ Midterm ครับ โดยวิชาที่สอบมี 3 ตัวครับ สำหรับการสอบครั้งนี้ ก็ได้เห็นอะไรหลายๆอย่างนะ แล้วก็น่าจะพิธีกรรมอย่างนึงหลังสอบ กินแหลก นำทีมโดยน้อง PM จอมอืด ตอนเช้าห้องฉุกเฉิน บ่ายกลับไปทำงาน พบลูกค้า

The three logicians problem

ปัญหานี้มีผู้เชี่ยวชาญตรรกะ 3 คน เข้าไปกิน Beer ที่ร้าน พอเข้าไปในร้าน คำถาม คือ ทำไมผู้เชี่ยวชาญตรรกะคนสามตอบ Yes เค้ารู้ได้อย่างไรว่าอีก 2 คนจะกิน ฺBeer ด้วย คำตอบ คือ

[Jenkins] SVN Command line Commit

ยุคนี้ใครก็พูดถึง Git แต่องค์กรของผมยังใช้ตัว SVN อยู่นะครับ หลังจากทำ CI มานึงระดับนึงแล้ว เราจะใช้ตัว Jenkins Commit Lib ที่ Update ไปให้อีก Repository ใช้ครับ ก็ลองๆหาดูตัว SVN มีพวก Command line ให้ใช้นะ แต่พวก Resource จะหายากนิดนึงครับ ทำเสร็จแล้ว ผมเขียน Blog แปะไว้ เผื่อกลับมาอ่านวันหลัง แล้วมันเกี่ยวกับ Jenkins ตรงไหน อ๋อมันเกี่ยว ตรงที่หลัง Commit เสร็จ ผมจะให้ตัว Jenkins จัดการครับ หลายอาจจะสงสัย ทำไมผมถึงไม่ใช้พวก Dependency Management อย่างพวก Maven, NuGet ก็เพราะว่าตัว Repository ที่ผมจะ Commit เป็นตัว Legacy Code นะครับ ปล. หากดูจากรูป Feature ของ Blog นี้ ผมใช้ Plug-in Multijob Plugin เพื่อเอามาจัดการแต่ละ Component ที่มันมี Dependency มีลำดับต้องทำก่อน-หลังครับ

[ChatOps] ลง Rocket Chat Client

หลังจากได้เสนอให้บริษัทใช้ Rocket.Chat แทน iChat (รุ่นโบราณ) แล้วคราวนี้มาลองดู App ในฝั่ง Client ดีกว่าครับ ขั้นตอนการลง มา Set ให้รู้จักกับ Host ใช้งานได้แย้ววว

[CR] Fami Strawberry Jelly

พอดีวันนี้ Family Mart เค้ามีตู้แช่อันใหม่ แล้วก็มีขนมอันใหม่ ผมเลยหยิบติดมาลองกอนเป็นของหวาน เอาไว้ทานล้างปากหลังกินบะหมี่เกี้ยวหน้าบริษัทพอดีเลยครับ มา Review กันเลยดีกว่าครับ

[CR] ดอยคำ เครื่องดื่มเจียวกู้หลานผสมดอกคำฝอย

หลังจากจ่าพิชิตแห่ง Drama-addict ได้แชร์ข้อมูลเครื่องดื่มเจียวกู้หลานผสมดอกคำฝอยไป ในช่วงเดือน พ.ย. 2559 ปรากฏว่าสินค้าชิ้นนี้ขาดตลาดไป 2 เดือนกว่าๆ จนผมเพ่งมาเจออีกครั้งในวันนี้แแหละ ผมเลยเหมามา 12 กล่องเลยครับ เก็ฐมากินในที่ทำงาน และที่บ้านครับ มาดูรายละเอียดของเครื่องดื่มเจียวกู้หลานผสมดอยคำฝอยกันครับ สถานที่ขาย ตอนนี้น่าจะมีเยอะแล้วครับตามร้านค้าชั้นนำ อย่าง 7/11, Family Mart, Tops, Lotus, Big C เป็นต้นครับ หลังจากบรรยายลักษณะทั้งไปแล้ว คราวนี้มาที่รสชาติบ้างดีกว่าครับ สำหรับสรรพคุณของเจียวกู้หลาน ลองมาดูได้จาก บทความนี้ครับ “ทำไมเจียวกู้หลานจึงเป็นสมุนไพรที่น่าใช้” (เขียนมานานหลายปีแล้ว เรามีของดีๆ แต่เราไม่เสาะหามากินกัน) Reference    

VSCode เปิดรูปได้ด้วยนะ

ตอนนั้นเบลอๆครับ ระหว่าง Copy ไฟล์ ผมดันเอารูป Image The Voice ไป Drag & Drop ลง Visual Studio Code (vscode) ซะงั้น ผลมันเลยเป็นอย่างที่เห็นครับ อยากจะอวด Image ฮ่าๆ แค่นี้แหละครับ