พึ่งเคยใช้งานครั้งแรกโปรดอ่านที่นี่! howtouse!
x
  • Register
หางานด้าน IT อยู่เหรอ?

10 OWASP คืออะไรครับ แล้วมีวิธีป้องกันแต่ละข้ออย่างไร ช่วยอธิบายเป็นภาษาไทยพร้อมตัวอย่างด้วยนะครับ

+2 votes
10 OWASP คืออะไรครับ แล้วมีวิธีป้องกันแต่ละข้ออย่างไร ช่วยอธิบายเป็นภาษาไทยพร้อมตัวอย่างด้วยนะครับ
ถามเมื่อ Apr 18, 2012 in Protection Hardening โดย Nickyshox Bst (325 คะแนน)
   

3 Answers

+1 vote
https://www.owasp.org/index.php/Top_10_2010-Main

 

ตามลิ้งนี้ไปครับ
ตอบเมื่อ Apr 18, 2012 โดย anonymous
Copy มาใส่ได้ไหมครับ คืออยากให้คนที่เปิดอ่านคำถามนี้อ่านในนี้เลยอ่ะครับ
+1 vote

เคยเรียกกับเพื่อนเล่นๆว่า ช่องโวว ทั้ง 10 ประการ พวก XSS, CSRF, ............

ถ้าจะให้ อธิบายหมด 10 ข้อนี้สงสัยยาว แน่ๆ

ผมเคยอ่านเจอในเว็บ ครับ ก็มีรายละเอียดคร่าวๆ เบื้องต้นได้ดีเหมือนกัน

 

http://foh9.blogspot.com/2012/01/10-owasp-2010.html

 

ในแต่ล่ะหัวข้อมีรายละเอียด ของมันคร่าวๆ แล้ว ค่อยๆ แตกประเด็นไปที่ล่ะข้อ เพื่อหารายละเอียดลึก อีกทีนึง

ตอบเมื่อ Apr 18, 2012 โดย phanithanj (1,139 คะแนน)
Copy มาใส่ได้ไหมครับ คืออยากให้คนที่เปิดอ่านคำถามนี้อ่านในนี้เลยอ่ะครับ
+1 vote
 
10 อันดับความเสี่ยงด้านเว็บแอพพลิเคชั่นปี 2010 
  1. Injection เป็นการแทรกโค้ดเข้าไปในระบบ เช่น OS SQL และ LDAP ซึ่งเมื่อมีผู้ไม่หวังดีแทรกคำสั่งของระบบ(command) หรือคำสั่งสำหรับการคิวรี่ (query) เข้าไปเพื่อทำให้ระบบทำงานผิดพลาด หรือการเข้าไปถึงข้อมูลที่ไม่ได้รับอนุญาต
  2. Cross-Site Scripting (XSS) เป็นเทคนิคที่แฮกเกอร์จะแอบซ่อนหรือฝังสคริปส์ประสงค์ร้ายผ่านเว็บแอพพลิเคชั่นที่มีช่องโหว่ในเว็บไซต์ต่างๆ จากนั้นเมื่อเหยื่อหลงเข้ามาเยี่ยมชมหน้าเว็บนั้นสคริปส์ของแฮกเกอร์ก็จะถูกเรียกใช้งานที่เว็บเบราเซอร์ของเหยื่อเพื่อขโมยเซสชั่น (session) เปลี่ยนหน้าเว็บ หรือ redirect ไปยังเว็บประสงค์ร้ายได้
  3. Broken Authentication and Session Management ฟังก์ชั่นการระบุตัวตน (Authentication) ของเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถขโมยรหัสผ่าน คีย์ โทคเคน (Token) หรือแอบอ้างปลอมตัวเป็นผู้ใช้งานจริงๆได้
  4. Insecure Direct Object Referencesเกิดจากการอ้างอิงถึง Object ที่ใช้ภายใน เช่น ไฟล์ ไดเรคทอรี่ หรือคีย์ของฐานข้อมูล โดยไม่มีการตรวจสอบสิทธิ์หรือควบคุมการเข้าถึง ซึ่งทำให้ผู้โจมตีสามารถใช้การอ้างอิงนี้เข้าถึงข้อมูลที่ไม่ได้รับอนุญาตได้
  5. Cross-Site Request Forgery (CSRF) หรือเรียกสั้นๆ ว่า?ซีเซิร์ฟ (CSRF) คือรูปแบบการโจมตีที่บังคับให้เว็บเบราเซอร์ของเหยื่อส่ง HTTP request ที่ถูกปรับแต่งแล้ว รวมถึง session cookie และ ข้อมูลเกี่ยวกับการระบุตัวตน(Authentication) ไปยังเว็บแอพพลิเคชั่นที่มีช่องโหว่ ทำให้ผู้โจมตีสามารถสร้าง request ที่แอพพลิเคชั่นคิดว่ามาจากผู้ใช้ที่ถูกต้องได้ (สวมรอยสิทธิ์การใช้งานของผู้อื่น)
ตอบเมื่อ Apr 20, 2012 โดย Nickyshox Bst (325 คะแนน)
Security Misconfiguration หมายถึง เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบที่ไม่ได้คอนฟิกระบบให้มีความปลอดภัย ซึ่งรวมไปถึงการอัพเดตซอฟต์แวร์และโค้ดต่างๆที่ถูกใช้โดยแอพพลิเคชั่น
Insecure Cryptographic Storage หลากเว็บแอพพลิเคชั่นไม่ได้คำนึงถึงการป้องกันข้อมูลสำคัญเช่น รหัสผ่าน (password) หมายเลขบัตรเครดิตลูกค้า หรือ ข้อมูลลับของลูกค้า ด้วยการเข้ารหัส (encryption) หรือการทำแฮช (hashing) ซึ่งผู้โจมตีสามารถเข้าถึงและอาจแก้ไขข้อมูลที่สำคัญเหล่านี้ได้
Failure to Restrict URL Access ความผิดพลาดในการจำกัดการเข้าถึงเว็บ ซึ่งอาจจะมีการควบคุมการเข้าถึงโดยใช้ url เพื่อเข้าไปยังหน้าเว็บที่ถูกซ่อนไว้ อย่างไรก็ตามผู้โจมตีสามารถปลอมแปลงชื่อ URL เพื่อหลอกเข้าไปยังหน้าเว็บที่ซ่อนไว้ได้
Insufficient Transport Layer Protection เว็บแอพพลิเคชั่นส่วนใหญ่ละเลยที่่จะรักษาความลับและความถูกต้องของข้อมูลในเครือข่าย หรือบางครั้งใช้อัลกอริทึ่มในการเข้ารหัสที่อ่อนแอ ใบประกาศนียบัตรที่หมดอายุหรือไม่ถูกต้อง ทำให้ผู้โจมตีสามารถขโมยและแอบเปลี่ยนแปลงข้อมูลระหว่างการส่งได้
Unvalidated Redirects and Forwards เป็นเทคนิคที่ผู้โจมตีทำให้ผู้ใช้ไปเข้าถึงยังหน้าเว็บที่ไ่ม่พึงประสงค์ เช่น หน้าเว็บฟิชชิง (phishing) หรือเว็บที่มีโปรแกรมประสงค์ร้ายฝังอยู่ หรือส่งต่อเพื่อเข้าถึงหน้าเว็บที่ผู้อื่นไม่ได้รับอนุญาตได้
Credit : http://foh9.blogspot.com/2012/01/10-owasp-2010.html

Related questions

+3 votes
2 คำตอบ
521 views ถามเมื่อ May 16, 2012 in Protection Hardening โดย Muninthorn Thongnuch (140 คะแนน)
0 votes
0 คำตอบ
177 views ถามเมื่อ Nov 8, 2013 in programing-ทั่วไป โดย SnEv Erdies (173 คะแนน)
+2 votes
0 คำตอบ
+2 votes
1 คำตอบ
2,322 views ถามเมื่อ Jun 16, 2012 in Network-Server โดย HuaNaa (455 คะแนน)
+1 vote
0 คำตอบ
875 views ถามเมื่อ Jun 8, 2012 in คำถาม IT ทั่วไป โดย Benz Kittipat (107 คะแนน)
...