อ่านข่าวสารทั่วโลก
อีซี่โฮสโดเมน:ไทย อีซี่โฮสโดเมน:อังกฤษ อีซี่โฮสโดเมน:จีน

อีเมล์ หรือ สนทนากับเราได้ทันที่ : 076-367 766

บล็อก

คำถาม

Friendfeed อีซี่ บร๊านเชส
Follow Easy_Branches on Twitter

ข่าวสารทั่วโลก

Dedicated Servers

ความแตกต่างของ WAF และ OWASP

ไฟร์วอลล์สำหรับเว็บแอปพลิเคชั่น

Web Based Administration อธิบายความหมายของ ไฟร์วอลล์สำหรับเว็บแอปพลิเคชั่น:

ไฟร์วอลล์สำหรับเว็บแอปพลิเคชั่น หรือ WAF: เป็นเทคโนโลยีใหม่ที่ช่วยประหยัดเวลาและค่าใช้จ่ายในการคุ้มครองเว็บแอปพลิเคชั่น การปิดกั้นการโจมตี และการป้องกันการถ่ายโอนข้อมูลลับของลูกค้าออกนอกองค์กรโดยไม่ได้รับอนุญาต

“ไฟร์วอลล์สำหรับเว็บแอปพลิเคชั่นมีบทบาทสำคัญในการแก้ไขปัญหาท้าทายด้านความปลอดภัยซึ่งมีการพัฒนาเปลี่ยนแปลงอย่างต่อเนื่อง อย่างไรก็ตามผลิตภัณฑ์เหล่านี้จะต้องถูกใช้งานในฐานะส่วนประกอบหนึ่งของสถาปัตยกรรมการรักษาความปลอดภัยของแอปพลิเคชั่นอย่างครบวงจร ซึ่งประกอบด้วยเทคโนโลยีอื่นๆ เช่น โหลดบาลานเซอร์ และเครื่องเร่งความเร็วของแอปพลิเคชั่น”

“ระบบรักษาความปลอดภัยทางด้านไอทีรุ่นเก่าแก้ไขปัญหาท้าทายเบื้องต้นใน เรื่องการคุ้มครองเครือข่ายขององค์กร แต่ปัจจุบันบุคลากรมีการเคลื่อนที่มากขึ้น ผู้ใช้ในองค์กรจึงเลือกที่จะทำงานในตำแหน่งที่ตั้งอื่นๆ ภายนอกเครือข่ายขององค์กร และด้วยเหตุนี้ ปัญหาท้าทายที่เราต้องรับมือในปัจจุบันก็คือ การปกป้องแอปพลิเคชั่ันโดยตรง แทนที่จะปกป้องเครือข่าย โดยเราจะต้องทำให้ผู้ใช้สามารถเข้าถึงแอปพลิเคชั่นเหล่านี้ได้อย่างปลอดภัย ไม่ว่าผู้ใช้จะอยู่ที่ใดก็ตาม”

นอกจากนี้ การรักษาความปลอดภัยของแอปพลิเคชั่นยังกลายเป็นปัญหาสำคัญเพิ่มมากขึ้น เนื่องจากองค์กรต่างๆ เช่น ธนาคาร และร้านค้าออนไลน์ นำเสนอแอปพลิเคชั่นให้แก่ผู้บริโภคผ่านทางเว็บกันมากขึ้น

การเลือกใช้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชั่น พบว่า การตรวจจับและป้องกันการโจมตี (15%), การปิดกั้นทราฟิก (16%) และการบริหารจัดการ (16%) และนี่้ก็เป็นปัจจัยสำคัญในการตัดสินใจซื้อ

ปัญหาเดิมๆที่เราเจอในการพยายามปกป้อง แอปพลิเคชั่น ก็คือ
1. การปกป้องแอปพลิเคชั่นที่ดีที่สุดคือ การเขียนโปรแกรม ให้ได้มาตรฐานความปลอดภัย แต่ความเป็นจริงแล้วโปรเจค แอปพลิเคชั่้น มักจะล้าช้า หรือไม่เสร็จตามเวลาที่กำหนดไว้

2. โปรเจคแอปพลิเคชั่นต่างๆจะมีการเพิ่ม โมดูล หรือมีการเปลี่ยนแปลงบ่อยก็เลยทำให้ต้องมีการเขียนโปรแกรม กันอยู่เรื่อยๆ และยิ่งเพิ่มโมดูลเยอะ มากเท่าไหร่ การเขียนโปรแกรมก็จะเพิ่มเป็นเงาตามตัว

3. เนื่องจากมีปัญหารการเขียนโปรแกรมเว็บแอปพลิเคชั่่น เลยเป็นที่มาของแอปพลิเคชั่นที่เป็นแบบ แพ็คเกจ ก็มีมากมายหลายยี่ห้อ เช่นกัน เราจะปกป้องระบบเว็บแอปพลิเคชั่นของเราอย่างไรดีให้มีความปลอดภัย ก็เลยเป็นที่มาของ การจัดตั้ง Open Web Application Security Project: OWASP ขึ้นมาซึ่งเป็นสังคม ออนไลน์ ที่ตั้งขึ้นมา จุดประสงค์เพื่อทำให้การป้องกันเว็บแอปพลิเคชั่น มันเป็นความจริงขึ้นมาให้ได้ เพราะฉะนั้นทาง OWASP ก็เลยแนะนำว่าให้ระบบ WAF นั้นจะต้องแก้ไขข้อบกพร่องข้างต้นรวมทั้งยังป้องกันพวกการโจมตีเหล่านี้ได้

Web Based Administration วิธีการเจาะระบบ 10 วิธี ของแฮกเกอร์ และวิธีป้องกันเบื้องต้น

1. การที่ข้อมูลจากฝั่ง ไคลเอ็นท์ ที่ส่วนใหญ่แล้ว จะมาจากอินเตอร์เน็ต ไม่ได้รับการตรวจสอบก่อนถูกส่งมาประมวลผลโดย เว็บแอปพลิเคชั่น ที่ทำงานอยู่บน เว็บเซอร์เวอร์ ทำให้แฮกเกอร์สามารถดักแก้ไขข้อมูลในฝั่ง ไคลเอ็นท์ก่อน ที่จะถูกส่งมายังฝั่ง เซิร์ฟเวอร์ โดยใช้โปรแกรมที่สามารถดักข้อมูลได้ ดังนั้น ถ้าเรารับข้อมูลจากฝั่ง ไคลเอ็นท์ โดยไม่ระมัดระวัง หรือ คิดว่าเป็นข้อมูลที่เราเป็นคนกำหนดเอง เช่น เทคนิคการใช้ซ่อนฟิลล์ หรือ ฟอร์มการกรอกข้อมูล เราอาจจะโดนแฮกเกอร์แก้ไขข้อมูลฝั่ง ไคลเอ็นท์ ด้วย โปรแกรมดังกล่าวแล้วส่งกลับมาฝั่ง เซิร์ฟเวอร์ในรูปแบบที่แฮกเกอร์ต้องการ และมีผลกระทบกับการทำงานของ เว็บแอปพลิเคชั่น ในฝั่ง เว็บเซิร์ฟเวอร์

2. ป้องกันระบบไม่ดีพอเกี่ยวกับการกำหนดสิทธิของผู้ใช้ ที่สามารถจะ Log-in /Log-on เข้าระบบเว็บแอปพลิเคชั่นได้ ซึ่งผลที่ตามมาก็คือ ผู้ที่ไม่มีสิทธิเข้าระบบ สามารถเข้าถึงข้อมูลที่เราต้องการป้องกันไว้ไม่ให้ ผู้ที่ไม่มีสิทธิเข้าระบบ เข้ามาดูได้ เช่น เข้ามาดูไฟล์ข้อมูลบัตรเครดิตลูกค้าที่เก็บอยู่ใน เว็บเซิร์ฟเวอร์ โดยเห็นไฟล์ทั้งหมดที่อยู่ใน เว็บเซิร์ฟเวอร์ ของเรา ปัญหานี้เกิดจากการกำหนดสิทธิ์ ไม่ดีพอ และ อาจเกิดจากปัญหาที่เรียกว่า แฮกเกอร์จะลองสุ่มพิมพ์ ไดเร็กทอรี่ย่อย ลงไปในช่อง ยูอาร์แล นอกจากนี้อาจเกิดจากปัญหาการ แคช ข้อมูลในฝั่ง ไคลเอ็นท์ ทำให้ข้อมูลที่ค้างอยู่ ถูกแฮกเกอร์เรียกกลับมาดูใหม่ได้ โดยไม่ต้อง Log-in เข้าระบบก่อน

3. ระบบการพิสูจน์ตัวตน ที่เราใช้อยู่ในการเข้าถึงเว็บแอปพลิเคชั่น ของเรานั้นไม่แข็งแกร่งเพียงพอ เช่น การตั้ง พาสเวิร์ด ง่ายเกินไป, มีการเก็บ พาสเวิร์ด ไว้ในฝั่ง ไคลเอ็นท์ โดยเก็บเป็นไฟล์ คุกกี้ ที่เข้ารหัสแบบไม่ซับซ้อนทำให้แฮกเกอร์เดาได้ง่าย หรือใช้ชื่อ ยูสเซอร์ ที่ง่ายเกินไป

4. แฮกเกอร์สามารถใช้เว็บแอปพลิเคชั่นของเราได้ เช่น ระบบเว็บบอร์ด เพื่อทำการฝังสคริปแฝงไว้ในเว็บบอร์ดของเรา แทนที่จะใส่ข้อมูลตามปกติ เมื่อมีคนเข้าหน้านั้นใหม่ ก็จะทำให้ สคริปที่ฝังไว้ ทำงานโดยอัตโนมัติ

5. ฝั่งของ ไคลเอ็นท์ และ เซิร์ฟเวอร์ ไม่ว่าจะเป็น IE และ Netscape หรือ Apache ที่เราใช้กันอยู่เป็นประจำ ล้วนมีช่องโหว่ หรือ บั๊ก ที่อยู่ในโปรแกรม เมื่อแฮกเกอร์สามารถค้นพบ บั๊ก ดังกล่าว แฮกเกอร์ก็จะฉวยโอกาสเขียนโปรแกรมเจาะระบบ

6. แฮกเกอร์สามารถที่จะแทรก รหัสที่เป็นอันตราย หรือ คำสั่งที่แฮกเกอร์ใช้ในการเจาะระบบส่งผ่าน เว็บแอปพลิเคชั่น ไปยังระบบภายนอกที่เราเชื่อมต่ออยู่ ส่วนใหญ่แล้วแฮกเกอร์จะใช้วิธีนี้ เข้าระบบผ่านทาง เว็บแอปพลิเคชั่นในการเข้าสู่หน้า Admin ของระบบ เพื่อเข้าไปจัดการบริหารเว็บไซต์

7. มีการจัดการกับ Error message ไม่ดีพอ เวลาที่มีผู้ใช้ เว็บแอปพลิเคชั่น หรืออาจจะเป็นแฮกเกอร์ลองพิมพ์ Bad HTTP Request เข้ามาแต่ เว็บเซิร์ฟเวอร์ หรือ เว็บแอปพลิเคชั่น ของเราไม่มีข้อมูล จึงแสดง Error Message ออกมาทางหน้า Browser ซึ่งข้อมูลที่แสดงออกมาทำให้แฮกเกอร์สามารถใช้เป็นประโยชน์ ในการนำไปเดาเพื่อหาข้อมูลเพิ่มเติมจากระบบ เว็บแอปพลิเคชั่นของเราได้ เนื่องจากเมื่อการทำงานของ เว็บแอปพลิเคชั่้น หลุดไปจากปกติ ระบบมักจะแสดงค่า Error Message ออกมาแสดงถึงชื่อ user ที่ใช้ในการเข้าถึงฐานข้อมูลทำให้แฮกเกอร์รู้ว่าเราใช้ระบบอะไรเป็นฐานข้อมูล

8. ข้อผิดพลาดในการเข้ารหัส เช่น การเข้ารหัสนั้นใช้ อัลกอริทึ่ม ที่อ่อนเกินไป ทำให้แฮกเกอร์แกะได้ง่ายๆ หรือมีการเก็บกุญแจ หรือ รหัสลับ ไว้เป็นไฟล์แบบง่ายๆ ที่แฮกเกอร์ สามารถเข้าถึงได้ หรือ สามารถถอดรหัสได้โดยใช้เวลาไม่มากนัก

9. ระบบเว็บแอปพลิเคชั่น หรือ เว็บเซิร์ฟเวอร์ อาจหยุดทำงานได้เมื่อเจอกับ Bad HTTP แปลกๆ หรือ มีการเรียกเข้ามาอย่างต่อเนื่องจำนวนมาก ทำให้เกิดการจราจรหนาแน่นบนเว็บเซิร์ฟเวอร์

10. เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบ หรือ ผู้ติดตั้ง เว็บเซิร์ฟเวอร์ มักจะติดตั้งในลักษณะ "Default Configuration" ซึ่งยังคงมีช่องโหว่มากมาย หรือบางครั้งก็ไม่ได้ทำการอัปเดต

Perimeter Firewall คราวนี้มาลองดูกันว่าทั้ง Check Point และ NetScreen มี feature อะไรเพิ่มขึ้นมาบ้าง

Check Point Firewall
NetScreen
จำกัดความยาวสูงสุดของ ยูอาร์แอล
แยกความแตกต่างระหว่าง HTTP v1. 1 requests
จำกัดจำนวนสูงสุดของ response header ที่อนุญาต
จำกัดความยาวสูงสุดของ request header
ห้ามให้มี binary characters ใน HTTP response headers
ห้ามให้มี binary ใน HTTP requests
จำกัดวิธีของ HTTP ที่ไม่เป็นไปตาม RFC
บังคับใช้ HTTP บน ports อื่นๆที่ไม่ใช่ port 80(http)
จำกัดคำสั่ง HTTP ที่ไม่ปลอดภัย
จำกัดการ download ไฟล์ชนิดที่ผู้ใช้งานกำหนดขึ้นมาเอง
วิเคราะห์ข้อมูลว่าเป็นไปตาม RFC ของ Protocol ต่างๆไหม
ตรวจสอบจาก signature หรือก็คือรูปแบบการโจมตีที่พบบ่อยๆ
-
-
-
-
-
-
-
-
  • เราจะเห็นได้ว่าส่วนใหญ่ที่ไฟร์วอลล์ทั่วไป ป้องกันการโจมตี เว็บอแปพลิเคชั่น ไม่ได้ เพราะมันไม่รู้ว่าแต่ละหน้าเว็บ แต่ละ ยูอาร์แอล มันมีพฤติกรรมการใช้งานอย่างไร เช่น บางยูอาร์แอล อาจมีการส่ง พารามิเตอร์ เฉพาะของ ยูอาร์แอล นั้นๆ นักโจมตีพยายามแก้ไขค่าและส่งไปยัง ยูอาร์แอล ใดๆ ไฟร์วอลล์ควรจะต้องตรวจจับได้ นั่นคือ การเก็บข้อมูลที่เรียกว่า Profiling และควรรวมไปถึงพวกคำสั่ง SQL ที่ติดต่อกับ ฐานข้อมูล ด้วย เพื่อจะได้มั่นใจได้ว่า ไม่มีการส่งอะไรแปลกๆไปยังฐานข้อมูล เพื่อทำการมิชอบกับฐานข้อมูล
  • ความปลอดภัยของแอปพลิเคชั่้นไฟร์วอลล์



ตลาดลงทุน ซื้อขาย อสังหาริมทรัพย์



ความสำเร็จของคุณคือชัยชนะของเรา และชัยชนะนี้ก็คือความสำเร็จของเราด้วยเช่นกัน
อีซี่ บร๊านเชส
ขอขอบคุณสำหรับความไว้วางใจที่ท่านมีให้เราเสมอมา
ทุกสิ่งง่ายด้วย อีซี่ บร๊านเชส
ทีมงาน อีซี่ บร๊านเชส

คุยกับเจ้าหน้าที่ของเรา
ผ่านระบบ Live Chat ได้ทันทีที่นี่







เช่าเซิร์ฟเวอร์

สิ่งที่ควรรู้ก่อนเช่าเว็บโฮสติ้ง

การใช้งาน (Direct Admin)

บริการของเรา

โฆษณาแบนเนอร์
อีซี่ บร๊านเชส

โฆษณาโดยกูเกิล


Easy Branches
สงวนลิขสิทธิ์ © 2007-2016 อีซี่ บร๊านเชส ถูกต้องตามกฏหมาย
โฮสติ้ง & โปรโมทเว็บไซต์ , ออกแบบ โดย: อีซี่ บร๊านเชส, blackjack21poker Jan Jansen
เว็บโฮสติ้ง อีซี่ บร๊านเชส