เมื่อวันพฤหัสบดีที่ผ่านมา (29 กันยายน 2559) ผมได้ไปร่วมงานสัมนาของ OWASP Thailand ในหัวข้อ A7 Missing Function Level Access Control ที่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ภายในงานมีเลี้ยงซาลาเปาหมูแดง(ของวราภรณ์)กับกาแฟ และระหว่างที่รอวิทยากรคุณศรัณยูซึ่งกำลังเดินทางมา คุณกิติศักดิ์ (OWASP Thailand Chapter Leader) ก็ได้ขึ้นมากล่าวแนะนำกลุ่ม OWASP Thailand
OWASP ย่อมาจาก Open Web Application Security Project เป็นองค์กรไม่แสวงหาผลกำไร ตั้งขึ้นในวันที่ 21 เมษายน 2547 ณ ประเทศสหรัฐอเมริกา เพื่อปรับปรุงการพัฒนาเว็บแอปพลิเคชันให้มีความปลอดภัย มีการจัดสัมนาอบรมเกี่ยวกับความปลอดภัยเว็บแอปพลิเคชัน และมีการเผยแพร่ความรู้เกี่ยวกับช่องโหว่ที่พบและวิธีการป้องกันเว็บแอปพลิเคชัน
หลังจาก OWASP ถูกจัดตั้งขึ้นก็ได้มีการจัดตั้ง OWASP Chapter ขึ้นในประเทศต่าง ๆ โดยในประเทศไทยเรียกว่า OWASP Thailand Chapter และทาง OWASP Thailand Chapter ก็มีการจัดสัมนาให้ความรู้ด้านความปลอดภัยของเว็บไซต์ทุก ๆ เดือน
เมื่อวิทยากรมาถึงก็เริ่มเข้าสู่การบรรยาย A7 Missing Function Level Access Control ซึ่ง A7 เป็น 1 ใน 10 อันดับของ OWASP Top 10 ปี 2013 ที่ทาง OWASP ได้จัดอันดับช่องโหว่ที่พบได้บ่อยในเว็บแอปพลิเคชัน 10 อันดับ โดย A7 เป็นช่องโหว่ที่เกี่ยวกับการจำกัดสิทธิ์การเข้าใช้งานเว็บแอปพลิเคชัน เช่น user คนนึงสามารถแฮกเข้าใช้งานเว็บไซต์ในฐานะ admin ได้โดยไม่ได้รับอนุญาต หรือ user คนนั้นสามารถแฮกเข้าไปดูข้อมูลส่วนตัวของบุคคลอื่นได้ ลองจินตนาการถึงใครบางคนที่สามารถลบข้อมูลส่วนตัวหรือแอบเข้ามาดูเงินในบัญชีของเพื่อน ๆ ดูสิ (นึกถึงคนร้ายจากเรื่องโคนันเลยแฮะ ฮา)
สาเหตุที่เกิดช่องโหว่ A7 นั้นมาจากความไม่รอบคอบในการพัฒนาเว็บแอปพลิเคชัน โดยนักพัฒนาลืมใส่ตัวตรวจสอบสิทธิ์การเข้าใช้งานเว็บไซต์หรือใส่ตัวตรวจสอบแล้วแต่ไม่ครบทุกกรณี จึงทำให้คนร้ายผู้ไม่หวังดีสามารถแฮกเข้ามาในเว็บไซต์ได้ เพราะฉะนั้นเวลาพัฒนาเว็บไซต์ เพื่อน ๆ ต้องรอบคอบด้วยล่ะ
หลังจากจบการบรรยาย คุณกิติศักดิ์ก็ขึ้นเวทีมาแจ้งว่าจะมีงานสัมนาใหญ่ปลายปี ส่วนจะเป็นวันอะไรสถานที่ไหน ผมจะนำมาแจ้งให้เพื่อน ๆ ทราบอีกที .....สำหรับอันดับอื่น ๆ ของ OWASP Top 10 ปี 2013 เพื่อน ๆ สามารถอ่านเพิ่มเติมได้ ที่นี่ เลยครับ
Slide ในงานโหลดได้ ที่นี่
เมื่อวิทยากรมาถึงก็เริ่มเข้าสู่การบรรยาย A7 Missing Function Level Access Control ซึ่ง A7 เป็น 1 ใน 10 อันดับของ OWASP Top 10 ปี 2013 ที่ทาง OWASP ได้จัดอันดับช่องโหว่ที่พบได้บ่อยในเว็บแอปพลิเคชัน 10 อันดับ โดย A7 เป็นช่องโหว่ที่เกี่ยวกับการจำกัดสิทธิ์การเข้าใช้งานเว็บแอปพลิเคชัน เช่น user คนนึงสามารถแฮกเข้าใช้งานเว็บไซต์ในฐานะ admin ได้โดยไม่ได้รับอนุญาต หรือ user คนนั้นสามารถแฮกเข้าไปดูข้อมูลส่วนตัวของบุคคลอื่นได้ ลองจินตนาการถึงใครบางคนที่สามารถลบข้อมูลส่วนตัวหรือแอบเข้ามาดูเงินในบัญชีของเพื่อน ๆ ดูสิ (นึกถึงคนร้ายจากเรื่องโคนันเลยแฮะ ฮา)
สาเหตุที่เกิดช่องโหว่ A7 นั้นมาจากความไม่รอบคอบในการพัฒนาเว็บแอปพลิเคชัน โดยนักพัฒนาลืมใส่ตัวตรวจสอบสิทธิ์การเข้าใช้งานเว็บไซต์หรือใส่ตัวตรวจสอบแล้วแต่ไม่ครบทุกกรณี จึงทำให้คนร้ายผู้ไม่หวังดีสามารถแฮกเข้ามาในเว็บไซต์ได้ เพราะฉะนั้นเวลาพัฒนาเว็บไซต์ เพื่อน ๆ ต้องรอบคอบด้วยล่ะ
หลังจากจบการบรรยาย คุณกิติศักดิ์ก็ขึ้นเวทีมาแจ้งว่าจะมีงานสัมนาใหญ่ปลายปี ส่วนจะเป็นวันอะไรสถานที่ไหน ผมจะนำมาแจ้งให้เพื่อน ๆ ทราบอีกที .....สำหรับอันดับอื่น ๆ ของ OWASP Top 10 ปี 2013 เพื่อน ๆ สามารถอ่านเพิ่มเติมได้ ที่นี่ เลยครับ
Slide ในงานโหลดได้ ที่นี่
บทความ
0 comments:
แสดงความคิดเห็น