อันนี้จดจากมุมมองของ Dev อาจจะมีจดมาผิด หรือ เข้าใจผิดไป ต้องอภัยก่อนนะครับ อ๋อและก็ผมมาถึงงานสายนิดนึง อาจจะจดไม่ครับ Vocab A zero trust architecture (ZTA) is an enterprise’s cyber security plan that utilizes zero trust concepts and encompasses component relationships, workflow planning, and access policies. Perimeter defense vs Zero Trust Zero…
ทำไมถึงต้องมี Security เพราะการสื่อสาร (Communication) มันไม่เป็นความลับ หรือ ผู้ส่งกับผู้รับอีกต่อไป มือที่สามอ่านได้ และเอาไปทำอะไรต่อ เช่น หลอกในโอนเงิน ปลอมเป็นอีกคนเป็นต้น จึงการเพิ่มในส่วน ciphertext ซึ่งเป็นตัวเข้ารหัสนี่เอง โดยผู้ส่งเข้ารหัส (Encryption) / ผู้รับถอดรหัส (Decryption) ตอนนี้จะเป็นต้ว ตอนที่เรายิง request ไปยังเว็บ มันเกิดกระบวนการ Validate SSL/TLS ซึ่งมีพื้นฐานมาจาก Asymmetric cryptography (public key / private key) Secure connection is enough? ถึงแม้ว่ามีการเข้ารหัสของการสื่อสารแล้ว…
สำหรับ Blog นี้เป็นเดินทางมาไกลเลย จากวงเวียนใหญ่ มาตรง MFEC กว่าจะออกมาได้ CI Test พังด้วย 555 แต่พอเดาสาเหตุได้และ เลยรีบมาฟัง OWASP Top 10 CI/CD Security Risks ที่จัดโดยทาง OWASP Bangkok Chapter และ 2600Thailand ครับ แชร์โดยคุณณัฐวรพงษ์ ลอยไสว จาก Shipty ครับ สำหรับหัวข้อที่จดๆมาประมาณนี้ครับ CI / CD คือ อะไร ? CI /…
สำหรับงานนี้เป็น On-Site อีกงานที่ทาง OWASP Bangkok Chapter / 2600 Thailand / Microsoft Thailand จัดงานร่วมกันครับ และเป็นงานที่ Dev อย่างผมน่าจะฟังเข้าใจด้วยครับ เลยลองมาดู OWASP Top 10 API Risk ซึ่งแชร์โดย คุณ Krischat Thataristorai จาก Secure D Center Co., Ltd. อ้างอิงจาก OWASP API Security Project 2023RC สำหรับที่ผมลองจดๆมาจะมีดังนี้ครับ API…
สำหรับ Course นี้เป็น 2 วัน โดยจัดในรูปแบบ online ผ่าน WebEx Meeting (รู้สึกว่าดีขึ้นอย่างเห็นได้ชัด เมื่อก่อนโคตรกระตุก) โดยการสอนมีทั้ง Lecture + Lab เล็กๆ ครับ จดมาตามนี้ครับ Lecture Note CIA และจุดไหนที่เราควรป้องกัน อันนี้เจอใน Chat น่าสนใจ CIA is dead, long live CIANAPS (ลองหาดูจะเป็น Confidentiality / Integrity / Availability / Non-repudiation…
ช่วงนี้ผมได้ลองศึกษาพวก Cloud มันจะมีด้าน Security ด้วยนะ และ Feature ที่รองรับ 1 2 3 4 ผมมาเ๊ะใจคำนึงนะ Password Spraying มันดู้ป็นศํพท์ใหม่ที่ Dev อย่างพวกเราไม่น่าจะรู้จักมาก่อนเลย Password Spraying คือ อะไร การใช้รหัสผ่านทีละตัวใน List ทีมี อาจจะเป็น Default Password หรือ Password ที่นิยมใช้กัน 10 อันดับแรก มาไล่โจมตีบัญชี (account) ที่มีอยู่ ที่ละบัญชี ถ้าผ่านก็จดบันทึกไว้ และเมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไป…
เคสนี้เป็นเคสที่ผมเจอหลายเดือนก่อนครับ ตัว GitHub ที่ร้างๆของผมได้รับแจ้งว่ามี Keyword ที่ไปตรงกับระบบตรวจสอบความปลอดภัยของบริษัทแห่งหนึ่งครับ ตอนแรกที่ได้เมล์ ตกใจมากยอมรับว่าไม่มีสติทำงานเลย กลัวจะมีแบบคดีความครับ โดยในเมล์จะขอให้ลบข้อมูลที่ Keyword นั้นออกไปครับ สุดท้าย ผมตัดสินใจลบ Repository นั้นทิ้งไปครับ เพราะตัว Code ใน Repo นั้นเก่ามากๆแล้วครับ แต่มีจุด Check Point ที่ต้องตรวจสอบเพิ่มแทน ว่าตอน Commit Code อะไรเข้า Repository ที่ Public อันนี้ อาจจะต้องตรวจสอบข้อมูล ว่ามี keyword เช่น มีชื่อ / ip…
งานนี้ผมเข้ามาแบบงงๆ นะครับ พอดีมีคนแชร์ลิงค์เค้ามาครับ เลยเข้ามาในฐานศิษย์เก่า ป.โท มาฟังและมีสรุป Blog เล็กน้อยๆกันครับ การทำให้ Application ปลอดภัยต้องเริ่มตั้งแต่ตอนออกแบบระบบ (Secured by Design) ภัยคุกคามส่วนใหญ่มาจากโลก Online มาขึ้น Web Application ในส่วนที่สำคัญ เช่น การเงิน Secure SDLC Planning: Training ให้ / Security Requirement / ที่สำคัญดูกฏด้วย เช่น BOT กลต Design: ทำ Thread Modeling /…
จริงๆผมก็ไม่ได้จบสาย Network นะ แต่บริษัทญาติที่ได้ไปช่วยดูแล และทำ App ใช้งานในองค์กรมาตั้งแต่ปี2 เกิดอยากจะทดสอบระบบขึ้นมา ว่ามีความปลอดภัยมากแค่ไหน ผมเลยลองหาข้อมูลเพิ่มเติม และถามผู้รู้ดูครับ ได้พบกับ keyword 2 คำว่า ได้แก่ Hardening และ Security Audit ซึ่งแค่ละคำมีความหมาย ดังนี้ครับ
หลายคนคงได้อัพ ROM Kitkat ของ Lenovo กันแล้ว อย่างใน Blog ที่แล้วผมได้มีประเด็นอยู่ คือ ตัว Antivirus ที่ให้มา 2 ตัว ได้แก่ Security and NQ Mobile กับ Norton Mobile (ฝังมากับ ROM เลย เอาออกได้ แต่ยากครับ) ซึ่งแต่ละตัวมี Pop up ให้เรากด เพิ่ม Load โปรแกรม หรือ Update ข้อมูล ทำให้เราอาจจะต้องเสียตังค์ฟรี ทำให้เครื่องช้า…
