คลังเก็บป้ายกำกับ: WEB_SECURITY

local.jpg

25 รหัสผ่านยอดนิยมในปี 2016 … 123456 ยังคงครองตำแหน่งอันดับ 1

Keeper Security ผู้ให้บริการโซลูชัน Password Manager และ Secure Digital Vault ชื่อดังได้ออกมาเปิดเผยถึง 25 รหัสผ่านที่ผู้ใช้นิยมตั้งในปี 2016 โดยเก็บข้อมูลจากรหัสผ่านกว่า 10 ล้านรายการที่เปิดเผยสู่สาธารณะจากเหตุการณ์ Data Breach ทั่วโลก พบว่ารหัสผ่านยอดนิยมยังคงเป็น 123456 มากถึง 17%

25 รหัสผ่านยอดนิยมประกอบด้วย

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e

ผลวิเคราะห์รหัสผ่าน

  • รหัสผ่านที่นิยมมากที่สุด คือ “123456” คิดเป็น 17% ในขณะที่รหัสผ่าน 25 อันดับแรกนี้ กินส่วนแบ่งมากถึง 50% จากรหัสผ่านรวม 10 ล้านรหัสที่ทำการวิเคราะห์
  • เทียบกับปี 2015 รหัสผ่านที่นิยมใช้ยังคงคล้ายๆ เดิม นั่นคือ ผู้ใช้ยังคงไม่ตระหนักถึงความเสี่ยง เป็นหน้าที่ของผู้ดูแลระบบของโอเปอเรเตอร์ในการกำหนดนโยบายการตั้งรหัสผ่านให้แข็งแกร่งเพื่อเพิ่มความมั่นคงปลอดภัย
  • 7 รหัสผ่านจาก 15 อันดับแรก มีความยาวเพียง 6 ตัวอักษรหรือสั้นกว่านั้น ซึ่งแฮ็คเกอร์ใช้เวลาแคร็กเพียงหลักวินาทีก็ประสบความสำเร็จ
  • การปรากฏของรหัสผ่าย “1q2w3e4r” และ “123qwe” แสดงให้เห็นว่าผู้ใช้พยายามทำให้รหัสผ่านตัวเองแข็งแกร่งขึ้นโดยผสมตัวเลขกับตัวอักษร แต่แค่นี้ยังไม่เพียงพอ เพราะ Dictionary-based Password Cracker มีลิสต์ของการเรียงตัวอักษรรูปแบบต่างๆ ไว้รออยู่แล้ว สามารถแคร็กได้ภายในเวลาอันรวดเร็ว
  • รหัสผ่าน “18atcskd2w” และ “3rjs1la7qe” ซึ่งเหมือนเป็นการสุ่มตัวอักษรอย่างแท้จริง กลับปรากฏว่ากลายเป็นรหัสผ่านที่ถูกนำมาใช้บ่อย จากการตรวจสอบพบว่าเกิดจาก Bot ใช้รหัสผ่านเหล่านี้ในบัญชีอีเมลปลอมสำหรับส่ง Spam และ Phishing ผู้ให้บริการอีเมลควรเพิ่มการตรวจสอบและกรอง Bot ให้ดียิ่งขึ้น

สำหรับองค์กรที่ต้องการกำหนดนโยบายรหัสผ่านใหม่ให้มั่นคงปลอดภัย แนะนำให้ลองดูเอกสาร NIST SP 800-63-3 เรื่อง Digital Authentication Guidelines ครับ เอกสารชุดนี้ระบุถึงวิธีการตั้งรหัสผ่านให้แข็งแกร่ง ในขณะที่ยังคงความง่ายและไม่เป็นภาระต่อผู้ใช้มากนัก สามารถดูรายละเอียดได้ที่ https://www.techtalkthai.com/nist-sp-800-63-3-digital-authentication-guideline/

ที่มา: https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/

from:https://www.techtalkthai.com/25-most-popular-passwords-in-2016/

local.jpg

พบช่องโหว่ Cross-Site Scripting บน WooCommerce


Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความปลอดภัยจาก FortiGuard Labs ตรวจพบช่องโหว่ Cross-site Scripting (XSS) บน WooCommerce

WooCommerce เป็นปลั๊กอินสำหรับสร้างระบบ eCommerce บน WordPress ยอดนิยมที่สามารถใช้งานได้ฟรี โดยปัจจุบันมีร้านค้าออนไลน์กว่า 30% ใช้งานระบบตัวนี้อยู่ สำหรับช่องโหว่นี้พบใน WooCommerce 2.6.8 และเวอร์ชันก่อนหน้า โดยช่องโหว่มีอยู่ในกระบวนการตั้งค่า Tax Rates Setting เนื่องจากในแต่ละประเทศมีการตั้งค่าภาษีที่ไม่เหมือนกัน ผู้ดูแลระบบบางรายอาจทำการดาวน์โหลดไฟล์ Template นามสกุล .CSV ตามเว็บไซต์ทั่วไป ซึ่งผู้ไม่ประสงค์ดีอาจทำการฝังสคริปเอาไว้เรียบร้อยแล้ว และเมื่อ Import เข้าไปอาจมีผลทำให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Web Server นั้นได้ทันที

Fortinet ได้ทำการ PoC ช่องโหว่นี้ ด้วยการฝัง VB Script เข้าไป เมื่อเหยื่อทำการเลื่อน Mouse ไปในช่อง Zip/Postcode ก็สามารถสั่งรัน VB Scrtipt บนเครื่องของเหยื่อได้ทันที

ล่าสุด Fortinet ได้ทำการเพิ่ม Signature ในการตรวจจับปัญหาดังกล่าวบน IPS ของตนเองแล้ว นอกจากนี้ WooCommerce ได้ออกอัพเดตเพื่ออุดช่องโหว่นี้ไปแล้วในเวอร์ชัน 2.6.9 ผู้ที่ใช้งานเวอร์ชันต่ำกว่านี้ควรทำการอัพเดตโดยด่วน

ที่มา : http://blog.fortinet.com/2016/12/16/woocommerce-tax-rates-cross-site-scripting-vulnerability2?elq_source=socialmedia&linkId=33361257

from:https://www.techtalkthai.com/woocommerce-tax-rates-cross-site-scripting/

local.jpg

บั๊กเป็นเหตุ GoDaddy สั่งเรียกคืนใบรับรอง SSL เกือบ 9,000 เว็บไซต์

เมื่อวันอังคารที่ผ่านมา GoDaddy ได้ทำการเรียกคืนใบรับรอง SSL กว่า 9,000 ฉบับ เพื่อป้องกันปัญหาที่จะเกิดขึ้นในอนาคต ซึ่งมีสาเหตุมาจากความผิดพลาดในกระบวนการยืนยันโดเมนที่มีสาเหตุมาจากบั๊กบนซอฟต์แวร์

เว็บไซต์ที่ได้รับผลกระทบจากการเรียกคืนใบรับรองดังกล่าวยังคงสามารถให้งานได้ตามปกติ แต่ผู้ที่เยี่ยมชมเว็บไซต์จะเห็นการแจ้งเตือนสีแดงตรง HTTPS ด้านหน้า URL ของเบราเซอร์เนื่องจากใบรับรอง SSL มีปัญหา ซึ่ง GoDaddy ได้ออกแถลงการณ์ว่าจะออกใบรับรอง SSL ให้ใหม่โดยไม่คิดใช้จ่ายแต่อย่างใด พร้อมทั้งขออภัยลูกค้าที่เกิดเหตุผิดพลาดขึ้น

“เนื่องด้วยบั๊กบนซอฟต์แวร์ ใบรับรองที่เพิ่งออกไปให้สำหรับโดเมนของคุณถูกดำเนินการโดยผ่านกระบวนการยืนยันโดเมนอย่างไม่เหมาะสมและไม่เป็นไปตามมาตรฐานของบริษัทในฐานะที่เป็น Certificate Authority บริษัทจึงจำเป็นต้องเรียกคืนใบรับรองดังกล่าวเพื่อเป็นการป้องกันปัญหาที่อาจจะเกิดขึ้น ใบรับรองจะถูกเรียกคืนภายในวันนี้ (10 มกราคม) เวลา 21.00 น. ตามเวลาแปซิฟิก บั๊กบนซอฟต์แวร์ที่ก่อให้เกิดปัญหาดังกล่าวได้ถูกดำเนินการแก้ไขเป็นที่เรียบร้อยแล้ว และบริษัทกำลังติดตามดูแลระบบอย่างใกล้ชิด” — ข้อความบนอีเมลที่ทาง GoDaddy ส่งให้ลูกค้า

GoDaddy ระบุบน Blog ของตนว่า บั๊กที่ค้นพบนี้ แฝงตัวมาตั้งแต่เมื่อ 6 เดือนก่อน และส่งผลกระทบกับใบรับรอง SSL ประมาณ 2% ที่ออกเมื่อวันที่ 29 กรกฎาคม 2016 ถึง 10 มกราคม 2017 ลูกค้าราว 6,100 คนรวมใบรับรอง 8,850 ฉบับได้รับผลกระทบจากบั๊กดังกล่าว

รายละเอียดเพิ่มเติม: https://www.godaddy.com/garage/godaddy/information-about-ssl-bug/

ที่มา: http://www.theregister.co.uk/2017/01/11/godaddy_pulls_unvalidated_digital_certs/

from:https://www.techtalkthai.com/godaddy-revokes-9000-ssl-certificates-due-to-bug/

local.jpg

Adobe ออกแพทช์อุดช่องโหว่บน Acrobat, Reader และ Flash Player

Adobe ออกแพทช์อัปเดตด้านความมั่นคงปลอดภัย อุดช่องโหว่รวม 42 รายการบน Adobe Acrobat, Reader และ Flash Player ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์คอมพิวเตอร์ได้


Credit: ShutterStock.com

ช่องโหว่บน Adobe Flash Player มี 13 รายการ ซึ่ง 12 รายการเป็นช่องโหว่ Remote Code Execution และอีกหนึ่งรายการช่วยให้แฮ็คเกอร์สามารถบายพาสข้อจำกัดด้านความมั่นคงปลอดภัยและขโมยข้อมูลสำคัญออกไปได้ แนะนำให้ผู้ใช้ Windows Mac และ Linux อัปเดต Flash Player เป็นเวอร์ชัน 24.0.0.194 สำหรับ Plug-in บนเว็บเบราเซอร์ ไม่ว่าจะเป็น Chrome, Edge, Firefox หรือ IE จะถูกอัปเดตพร้อมกับการอัปเดตเบราเซอร์เหล่านั้น

ช่องโหว่บน Adobe Acrobat และ Reader รวม 29 รายการ เช่นเดียวกับ Flash Player ช่องโหว่ประกอบด้วย Arbitrary Code Execution 28 รายการ และช่องโหว่การบายพาสระบบความมั่นคงปลอดภัยอีก 1 รายการ แนะนำให้ผู้ใช้ Acrobat Reader DC อัปเกรดซอฟต์แวร์เป็นเวอร์ชัน 15.023.20053 ในกรณีที่ใช้ “Continuous” Track หรือเวอร์ชัน 15.006.30279 ในกรณีที่เป็น “Classic” Track ส่วนผู้ใช้ Acrobat XI และ Reader XI ให้อัปเกรดเป็นเวอร์ชัน 11.0.19

ที่น่าสนใจคือ หลังจากที่ Adobe เพิ่มเทคโนโลยี Sandboxing ลงบนผลิตภัณฑ์ของตน ส่งผลให้การโจมตี Adobe ทำได้ยากขึ้น ระบบรักษาความมั่นคงปลอดภัยสูงขึ้นมากเมื่อเทียบกับหลายปีก่อน

ที่มา: http://www.networkworld.com/article/3156584/security/adobe-patches-critical-flaws-in-flash-player-reader-and-acrobat.html

from:https://www.techtalkthai.com/adobe-patch-update-jan-2017/

local.jpg

WordPress 4.7.1 ออกแล้ว อุดช่องโหว่ด้านความปลอดภัย 8 ประการ แนะนำให้อัปเดตทันที

หลังจากที่ WordPress 4.7 ได้มีการโหลดใช้งานไปแล้วเกินกว่า 10 ล้านครั้ง ทางทีมงาน WordPress ก็ได้ทำการประกาศเปิดตัว WordPress 4.7.1 เพื่ออุดช่องโหว่สำคัญ 8 ประการ รวมถึงแก้ปัญหาเรื่อง PHPMailer ด้วยเช่นกัน

ช่องโหว่ที่ WordPress ได้จัดการอุดไปในครั้งนี้ นอกจาก Remote Code Execution บน PHPMailer แล้ว ก็ได้มีการจัดการปัญหาเรื่องการที่ข้อมูลของผู้ใช้งานถูกเปิดเผยบน REST API, แก้ไขช่องโหว่ Cross-site Scripting (XSS) ด้วยกัน 2 ประการ, แก้ไขช่องโหว่ Cross-site Request Forgery ด้วยกัน 2 ประการ, จัดการปัญหาเรื่อง Email และป้องกันไม่ให้มีการใช้กุญแจเข้ารหัสที่ไม่ปลอดภัยสำหรับ Multisite Activation Key

นอกจากช่องโหว่เหล่านี้แล้ว ทาง WordPress เองก็ได้แก้ไขบั๊กไปด้วยกันถึง 62 ประเด็นด้วยกันอีกด้วย ดังนั้นหากใครใช้งาน WordPress อยู่ก็ขอแนะนำให้อัปเดตไปใช้งาน WordPress 4.7.1 กันทันที โดยสามารถโหลดได้ที่ https://wordpress.org/download/ เลยครับ

ผู้ที่สนใจโซลูชั่น Open Source Software ต่างๆ รวมถึง Linux/Unix/OpenStack, Data Center Infrastructure, VMware vSphere/VSAN/NSX/vCloud, Microsoft Windows Server และระบบ CMS สำเร็จรูปที่มีประสิทธิภาพสูงและปลอดภัยระดับองค์กรพร้อมบริการครบวงจร ทั้ง WordPress และ Magento หรือกำลังมองหาทีมงาน Outsource Linux/VMware/Windows Systems Engineer สามารถติดต่อทีมงาน UnixDev ได้ทันทีที่โทร 081-651-9393 หรืออีเมลล์ info@unixdev.co.th

 

เกี่ยวกับ UnixDev

unixdev-logo-web

UnixDev คือทีมงานผู้เชี่ยวชาญทางด้าน System Engineering ที่ครอบคลุมทั้ง Linux, Unix, Microsoft Windows และ VMware แบบ Full Stack ซึ่งสามารถให้บริการในการตรวจสอบแก้ไขปัญหาและปรับปรุงประสิทธิภาพและความปลอดภัยสำหรับระบบ Hypervisor, Operating System, Application, Web Application ไปจนถึง Database แบบครบวงจร https://www.unixdev.co.th

ที่มา: https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/

from:https://www.techtalkthai.com/wordpress-4-7-1-is-released-with-8-security-issues-fixing/

local.jpg

7 ประเด็นที่ต้องตั้งคำถามก่อนซื้อ Web Application Firewall

ในยุค Digital Economy นี้ หลายองค์กรมีการนำเทคโนโลยีเข้ามาสนับสนุนธุรกิจของตนมากขึ้น หนึ่งในการเปลี่ยนแปลงที่เห็นชัดที่สุดคือการให้บริการลูกค้าออนไลน์ ซึ่งส่วนใหญ่มักกระทำผ่านเว็บแอพพลิเคชัน เช่น การชำระค่าบริการออนไลน์ การซื้อของออนไลน์ หรือการให้บริการ Content ออนไลน์ เป็นต้น กล่าวได้ว่า เว็บแอพพลิเคชันกลายเป็นหน้าบ้านอันแสนสำคัญสำหรับองค์กร

Web Application Firewall ระบบป้องกันภัยคุกคามสำหรับเว็บแอพพลิเคชันโดยเฉพาะ

บริษัทที่ประสบความสำเร็จในยุค Digital Economy ย่อมทราบดีกว่า เว็บแอพพลิเคชันมีความสำคัญต่อแบรนด์และชื่อเสียงของพวกเขามากเพียงใด การปล่อยให้เว็บแอพพลิเคชันถูกแฮ็คหรือถูกโจมตีย่อมส่งผลกระทบต่อความน่าเชื่อถือและความไว้วางใจของลูกค้า การกำหนดนโยบายและวางมาตรการควบคุมจึงกลายเป็นสิ่งสำคัญที่ทำให้เว็บแอพพลิเคชันมั่นคงปลอดภัยอยู่เสมอ หนึ่งในมาตรการที่ใช้รับมือกับการโจมตีไซเบอร์ได้อย่างมีประสิทธิภาพ คือ Web Application Firewall (WAF)

Web Application Firewall ต่างจาก Firewall ทั่วไปตรงที่ถูกออกแบบมาเพื่อตรวจจับและป้องกันภัยคุกคามที่พุ่งเป้ามายังเว็บแอพพลิเคชันโดยเฉพาะ เช่น SQL Injection, Cross-site Scripting, CSRF และอื่นๆ ซึ่งปัจจุบันนี้ มีผู้ให้บริการ Web Application Firewall เป็นจำนวนมาก ทั้งในรูปของอุปกรณ์ฮาร์ดแวร์ Appliance และโซลูชันบนระบบ Cloud … คำถามคือ แล้วเราควรจะเลือกใช้ Web Application Firewall แบบใด ยี่ห้อไหน จึงจะเหมาะสมกับองค์กรมากที่สุด ?

7 ประเด็นที่ต้องพิจารณาเมื่อเลือกซื้อ Web Application Firewall

Akamai ผู้ให้บริการระบบ CDN และโซลูชัน Cloud Security ชั้นนำของโลก ได้ให้คำแนะนำในการเลือกซื้อ Web Application Firewall โดยผู้ใช้ควรพิจารณาถึงคำถามเหล่านี้ขณะ POC หรือก่อนตัดสินใจซื้อกับ Vendor ซึ่งมีทั้งหมด 7 ข้อ ดังนี้

1. Throughput ที่เราจำเป็นต้องใช้มีขนาดเท่าไหร่ ?

WAF ทำหน้าที่ปกป้องเว็บไซต์และแอพพลิเคชันผ่านการตรวจสอบ HTTP และ HTTPS Request ซึ่งช่วยหลีกเลี่ยงการรั่วไหลของข้อมูลสู่ภายนอก การเปลี่ยนหน้าเว็บไซต์ และการเข้าควบคุม Web Server แต่การตรวจสอบเหล่านี้ย่อมมาพร้อมกับความหน่วง (Latency) ซึ่งทำให้เข้าถึงเว็บแอพพลิเคชันได้ช้าลง กล่าวคือ ถ้าขนาดของการโจมตี (หรือทราฟฟิคของการใช้งานปกติ) สูงเกินกว่า Throughput ของ WAF อาจทำให้ WAF ประมวลผลทราฟฟิคได้ช้ากว่าปกติ หรือเลวร้ายที่สุดคือ WAF อาจหยุดการทำงานแล้วปล่อยผ่านทราฟฟิค (Fail Open) หรือบล็อกทราฟฟิคทั้งหมดแทนได้ (Fail Close)

โดยปกติแล้ว Throughput ของ WAF จะถูกจำกัดโดยประสิทธิภาพของฮาร์ดแวร์ ซึ่ง WAF แบบ On-premise จะมี Throughput สูงสุดประมาณ 2 Gbps ในขณะที่ถ้าเป็น WAF แบบ Cloud-based จะสามารถขยาย Throughtput ได้มากกว่านั้น ซึ่งเหมาะสำหรับองค์กรขนาดใหญ่ที่ต้องให้บริการระบบออนไลน์แก่ลูกค้าเป็นจำนวนมาก

2. ความสามารถในการตรวจจับการโจมตีรูปแบบใหม่ๆ เป็นอย่างไร ?

ยิ่ง Vendor และ WAF เฝ้าสังเกตการโจมตีมากเท่าไหร่ ยิ่งสามารถเรียนรู้วิธีการโจมตี รวมไปถึงคุณลักษณะต่างๆ ได้ดีมากเท่านั้น ผู้ใช้ควรถาม Vendor ให้ชัดเจนว่า “มีการเก็บข้อมูลการโจมตีหรือไม่?”, “จากที่ไหนบ้าง?”, “อัปเดตข้อมูลบ่อยแค่ไหน?” และ “เอาข้อมูลมาใช้เพื่อเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”

ส่วนใหญ่แล้ว WAF แบบ On-premise สามารถประมวลผลข้อมูลที่วิ่งมายังเว็บแอพพลิเคชันที่ป้องกันอยู่ได้เท่านั้น ส่งผลให้บาง Vendor ต้องซื้อ Threat Feeds จากผู้ให้บริการรายอื่น หรือพึ่งพาเฉพาะข้อมูลที่ลูกค้าแชร์ให้เพียงอย่างเดียว การรู้ที่มาที่ไปของข้อมูลการโจมตีที่ใช้อัปเดตอุปกรณ์ย่อมช่วยให้ผู้ใช้สามารถประเมินคุณภาพของ WAF ได้เป็นอย่างดี

3. Vendor ที่เราเลือกมีบริการ Threat Intelligence หรือไม่ ?

ข้อมูลการโจมตีนับได้ว่าเป็นส่ิงสำคัญในการสร้าง Threat Intelligence … “ข้อมูลการโจมตีถูกจัดเก็บและนำมาใช้หรือไม่?”, “Vendor นำข้อมูลเหล่านั้นมาเพิ่มความมั่นคงปลอดภัยได้อย่างไร?”, “Vendor มี Framework ในการทดสอบก่อนนำข้อมูลเหล่านั้นมาอัปเดตที่ WAF หรือไม่?” และ “ข้อมูลการโจมตีถูกนำมาใช้เพื่อปรับแต่ง WAF Rules ได้อย่างไร?” … เหล่านี้คือคำถามที่ผู้ใช้ควรถาม Vendor เพื่อให้ทราบถึงศักยภาพด้าน Threat Intelligence และเพื่อให้รู้ว่า WAF ที่เลือกใช้งานสามารถปรับแต่งให้สอดคล้องกับการโจมตีรูปแบบใหม่ๆ ได้อย่างยืดหยุ่นหรือไม่

4. ใครสามารถบริหารจัดการ Web Application Firewall ของเราได้บ้าง ?

WAF แบบ Cloud-based มักถูกบริหารจัดการและดูแลโดยพาร์ทเนอร์ MSSP หรือทาง Vendor เอง ซึ่งปกติแล้วสามารถควบคุม WAF ได้ผ่านทาง Web GUI ไม่ว่าจะเป็นการตั้งค่า Rules การติดตามทราฟฟิค การอัปเดต White/Black Lists และอื่นๆ ในขณะที่ WAF แบบ On-premise ส่วนใหญ่จะเน้นเพียงแค่การขายอุปกรณ์แล้วจบไป ไม่มีบริการเสริมสำหรับบริหารจัดการและปรับแต่งอุปกรณ์ให้สามารถปกป้องเว็บแอพพลิเคชันได้อย่างมั่นคงปลอดภัย ผู้ใช้จำเป็นต้องว่าจ้างพนักงานเข้ามาตั้งค่า บริหารจัดการ และอัปเดต Rules ต่างๆ ที่สำคัญคือต้องสามารถวิเคราะห์แนวโน้มการโจมตีเพื่อให้สามารถป้องกันแบบเชิงรุกได้ ดังนั้น ต้องไม่ลืมคำนวณค่าจ้างพนักงานเพิ่มเติมเป็นส่วนหนึ่งของ OpEx ด้วย

5. อัตราการเกิด False Negative ของ Web Application Firewall ที่เราเลือกสูงแค่ไหน ?

ไม่มี WAF ใดที่สามารถป้องกันภัยคุกคามได้ 100% ตัวชี้วัดประสิทธิผลด้านความมั่นคงปลอดภัยของ WAF ที่สำคัญคืออัตราการเกิด False Negative ซึ่งเป็นตัวเลขที่ระบุจำนวนการโจมตีที่ WAF ไม่สามารถตรวจจับได้และปล่อยผ่านทราฟฟิคอันตรายเข้าสู่เว็บแอพพลิเคชัน ยิ่ง False Negative มีค่ามากเท่าไหร่ WAF ยิ่งมีคุณภาพแย่มากเท่านั้น ผู้ใช้ควรถามวิธีการชี้วัด False Negative จาก Vendor รวมไปถึงอัตราการเกิด False Negative ของซอฟต์แวร์เวอร์ชันล่าสุด

6. แล้วอัตราการเกิด False Positive ล่ะ ?

เช่นเดียวกับ False Negative อีกหนึ่งตัวชี้วัดประสิทธิผลที่สำคัญของ WAF คือ อัตราการเกิด False Positive ซึ่งระบุจำนวน Request ปกติของผู้ใช้ที่ WAF ประมวลผลผิดว่าเป็นภัยคุกคาม ย่ิง False Positive มีค่ามากเท่าไหร่ WAF ยิ่งตรวจจับทราฟฟิคปกติผิดพลาดมากเท่านั้น ซึ่งอาจส่งผลต่อความพึงพอใจในการใช้งานเว็บแอพพลิเคชันของลูกค้าได้

WAF ที่มีอัตรา False Negative ต่ำ มักจะมี False Positive สูง หรือในทางกลับกัน WAF ที่มีอัตรา False Negative สูง ก็มักจะมี False Positive ต่ำ ซึ่งโซลูชัน WAF โดยส่วนใหญ่มักให้ผู้ใช้เป็นคนเลือกระหว่าง 2 ทางเลือกนี้ ผู้ใช้อาจต้องตัดสินใจว่าจะยอมทนบล็อกลูกค้าหรือจะปล่อยให้การโจมตีผ่านไปได้

7. Web Application Firewall ที่เลือกมีการทำ Rate Control, Brute Force Protection และ DDoS Mitigation หรือไม่ ?

WAF แบบ Cloud-based ในปัจจุบันส่วนใหญ่มาพร้อมกับฟีเจอร์ DDoS Mitigation, Rate Control และ Brute Force Protection เนื่องจากแฮ็คเกอร์ในปัจจุบันมักผสานหลายเทคนิคในการโจมตีเว็บแอพพลิเคชัน เช่น เบี่ยงเบนความสนใจเหยื่อด้วยการโจมตีแบบ DDoS ไปก่อน จากนั้นก็สอดแทรกการโจมตีที่ใช้ขโมยข้อมูลแฝงเข้ามาด้วยโดยที่เหยื่อไม่รู้ตัว ในกรณีที่ WAF ที่เลือกไม่มีฟีเจอร์สำหรับรับมือกับการโจมตีแบบ DDoS แนะนำให้ผู้ใช้หาโซลูชันเสริม เพื่อเพิ่มความมั่นคงปลอดภัยแก่เว็บแอพพลิเคชันให้ถึงขีดสุด

Akamai ร่วมกับ WIT พร้อมให้บริการ Web Security ในประเทศไทย

Akamai ได้จับมือเป็นพันธมิตรร่วมกับ บริษัท เวิลด์ อินฟอร์เมชั่น เทคโนโลยี จำกัด (WIT) ผู้มีประสบการณ์ในการติดตั้งและวางระบบ IT Infrastructure มานานกว่า 27 ปี เพื่อให้มั่นใจได้ว่า สามารถส่งมอบบริการ CDN และโซลูชัน Web Security ให้แก่ผู้ใช้ในประเทศไทยได้อย่างมีประสิทธิภาพ และคืนผลกำไรได้อย่างรวดเร็ว

จนถึงวันนี้ Akamai ได้ให้บริการ CDN แบบ Next-generation แก่องค์กรที่มีชื่อเสียงทั่วโลกมากกว่า 1,000 ราย เช่น Standard Chartered, Cathay Pacific, KKBOX, Adobe และ IBM ซึ่งในไทยเอง ด้วยความสนับสนุนจาก WIT ก็ได้ให้บริการแก่บริษัทชั้นนำทั่วประเทศมากกว่า 10 แห่ง ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่อีเมล sales@wit.co.th หรือโทร 02-237-3555

from:https://www.techtalkthai.com/7-questions-ask-before-buying-waf/

local.jpg

เตือนโปรไฟล์ Autofill บนเบราเซอร์ เสี่ยงถูกหลอกขโมยข้อมูลส่วนบุคคล

Viljami Kuosmanen นักพัฒนาเว็บชาวฟินแลนด์ ออกมาแจ้งเตือนถึงการนำโปรไฟล์ Autofill บนเบราเซอร์ที่ช่วยกรอกข้อมูลโดยอัตโนมัติ ไปใช้โจมตีแบบ Phishing เพื่อหลอกขโมยข้อมูลส่วนบุคคลโดยที่ผู้ใช้ไม่รู้ตัวได้

โปรไฟล์ Autofill เป็นฟีเจอร์พื้นฐานที่เบราเซอร์สมัยใหม่ในปัจจุบันเริ่มมีให้บริการ ฟีเจอร์นี้ช่วยให้ผู้ใช้สามารถสร้างโปรไฟล์ที่เก็บข้อมูลส่วนบุคคลสำหรับกรอกลงบนฟอร์มของหน้าเว็บหลายสิบรายการได้ง่ายและสะดวกรวดเร็ว เมื่อเจอฟอร์มที่ต้องกรอกข้อมูลในเว็บไซต์อื่นๆ ผู้ใช้สามารถเลือกโปรไฟล์ Autofill ที่เก็บไว้ไปใช้ได้ทันทีโดยไม่ต้องกรอกข้อมูลทั้งหมดซ้ำอีกครั้ง

อย่างไรก็ตาม Kuosmanen ได้ออกมาแจ้งเตือนผู้ใช้ถึงการนำโปรไฟล์ Autofill นี้ไปใช้ในทางที่มิชอบ โดยแฮ็คเกอร์สามารถซ่อนช่องสำหรับเก็บข้อมูลไม่ให้ผู้ใช้เห็นและหลอกเอาข้อมูลส่วนบุคคลที่ผู้ใช้ไม่ได้กรอกลงบนหน้าเว็บไปใช้ได้ทันที

Kuosmanen สาธิตวิธีการหลอกขโมยข้อมูลโดยอาศัยการสร้างหน้าฟอร์มแบบง่ายๆ ซึ่งผู้ใช้จะเห็นว่าหน้าเว็บดังกล่าวมีเพียงช่องใส่ชื่อ อีเมล และปุ่มกดส่งข้อมูลเท่านั้น แต่ถ้าพิจารณาดูซอร์สโค้ดของหน้าเว็บดีๆ จะพบว่าฟอร์มที่กรอกข้อมูลประกอบด้วยข้อมูลอื่นๆ ที่ซ่อนอยู่อีก 6 รายการ ได้แก่ เบอร์โทร ชื่อองค์กร ที่อยู่ รหัสไปรษณีย์ จังหวัด และประเทศ


ฟอร์มกรอกข้อมูลที่แสดงบนหน้าเว็บ

 


ซอร์สโค้ดที่มีการซ่อนช่องสำหรับกรอกข้อมูลอื่นๆ อีก 6 รายการ

 

ถ้าผู้ใช้มีโปรไฟล์ Autofill เก็บอยู่ในเบราเซอร์ และเลือกที่จะให้เบราเซอร์กรอกข้อมูลทั้งหมดโดยอัตโนมัติ โปรไฟล์ Autofill จะกรอกข้อมูลทั้ง 2 ช่องที่แสดงบนหน้าเว็บ และอีก 6 ช่องที่เหลือที่ซ่อนอยู่ในซอร์สโค้ดเนื่องจากข้อมูลทั้งหมดนี้อยู่บนฟอร์มเดียวกัน เพียงแค่บางรายไม่แสดงให้ผู้ใช้เห็นเท่านั้น ส่งผลให้แฮ็คเกอร์ได้ข้อมูลส่วนบุคคลทั้งหมดที่อยู่ในโปรไฟล์ Autofill โดยที่ผู้ใช้ไม่รู้ตัว ที่น่ากลัวคือ ถ้าผู้ใช้เก็บข้อมูลบัตรเครดิตไว้ในโปรไฟล์ด้วย ก็เสี่ยงที่หมายเลขจะหลุดไปยังแฮ็คเกอร์ด้วยเช่นกัน

ด้านล่างเป็นภาพสาธิตการโจมตีบน Google Chrome

Kuosmanen ระบุว่า เขาได้ทำการทดสอบกับ Google Chrome และ Safari ซึ่งได้ผลเหมือนกัน คือสามารถขโมยข้อมูลส่วนบุคคลอื่นๆ โดยซ่อนฟิลด์ข้อมูลไม่ให้ผู้ใช้เห็นได้ แต่ Safari ยังดีกว่า Chrome ตรงที่มีการแจ้งเตือนให้ผู้ใช้ทราบว่า มีการกรอกข้อมูลลงบนช่องใส่ข้อมูลที่ถูกซ่อนอยู่

จากการตรวจสอบ พบว่าฟีเจอร์โปรไฟล์ Autofill นี้ มีอยู่บน Google Chrome, Safari และ Opera เท่านั้น ซึ่งผู้ใช้สามารถปิดการใช้งานโปรไฟล์ Autofill เพื่อเพิ่มความมั่นคงปลอดภัยในการเล่นอินเทอร์เน็ตได้ ตามภาพด้านล่าง

ที่มา: https://www.bleepingcomputer.com/news/security/browser-autofill-profiles-can-be-abused-for-phishing-attacks/

from:https://www.techtalkthai.com/browser-autofill-profiles-abused/