สรุปบทที่ 8 WEB APPLICATION SECURITY

WEB APPLICATION SECURITY

เว็บแอปพลิเคชั่นหมายถึง แอปพลิเคชั่นที่สามารถเข้า

ใช้งานผ่านเว็บบราวเซอร์ หรือ HTTP(s) agent

(พอร์ต 80 หรือ 443) องค์ประกอบของเว็บแอปพลิเคชั่น

นั้นประกอบด้วย

• Web Application เป็นซอฟต์แวร์หลักที่ให้ผลลัพธ์เป็นข้อมูลและการทำงานต่างๆ ทำงานอยู่ใน

Application Server

• Web Server เป็นเซิร์ฟเวอร์ที่ให้บริการคือการตอบสนองต่อการร้องขอการทำงานต่างๆ ผ่านเว็บ

• Application Server เป็นเซิร์ฟเวอร์ที่ Web Application ทำงาน

• Database Server เป็นเซิร์ฟเวอร์ฐานข้อมูลที่เก็บข้อมูลต่างๆ ของ Web Application

การโจมตีระบบ

ในการโจมตีระบบเว็บแอปพลิเคชั่นนั้นสามารถโจมตีได้หลายๆ อย่าง โดยมีสาเหตุจาก

• ความผิดพลาดของผู้ดูแลระบบที่ติดตั้งและตั้งค่าระบบต่างๆ ไม่ดีพอ

• ความผิดพลาดจากผู้เขียนซอฟต์แวร์ที่เกี่ยวข้องกับการทำงานเช่น MS IIS เป็นต้น

• ความผิดพลาดจากผู้เขียนเว็บแอปพลิเคชั่นและองค์ประกอบที่เกี่ยวข้องอื่นๆ ที่ไม่ได้ตระหนักถึงการ

ทำงานให้เกิดความปลอดภัยในระบบ

ตัวอย่างเทคนิคต่างๆ ที่ใช้ในการโจมตีเว็บแอปพลิเคชั่น

• Hidden Field Manipulation

• Cookie Poisoning

• Backdoors and debug options

• Application buffer overflows

• Stealth commanding

• 3rd party misconfigurations

• Known vulnerabilities

• Parameter tempering

• Cross site scripting

• Forceful browsing

• Hacking over SSL

• Sourcecode Disclosure

• Web Server Architecture Attack

• SQL Injection

• Java Script Injection

Application Buffer Overflow

การโจมตีเว็บแอปพลิเคชั่นในอีกรูปแบบหนึ่งคือ

การทำ Buffer Overflow โดยจะทำตรงส่วนของ text

box ที่รับข้อมูลจากผู้ใช้งานเว็บเพจนั้นๆ การโจมตี

ทำได้โดยการป้อนอินพุทที่ระบบไม่สามารถจัดเก็บข้อมูลได้

ลงในช่อง หรือส่วนในการรับอินพุทจากหน้าเว็บเพจ 

เมื่อเว็บเพจนั้นส่งข้อมูลไปยังเซิร์ฟเวอร์แล้ว ข้อมูลที่มี

ขนาดมากกว่าที่กำหนดไว้ จะไปทำให้แอปพลิเคชั่น

หยุดการทำงานได้ การป้องกันก็คือที่ฝั่งเซิร์ฟเวอร์ควรมีการ

ตรวจสอบขนาดของข้อมูลที่รับเข้ามาด้วย ไม่ให้เกินจาก

ค่าที่กำหนดไว้

การสร้างความปลอดภัยในระบบ

จากสาเหตุที่ทำให้เกิดการโจมตี 3 ข้อที่ได้กล่าวมาแล้วนั้น 

การที่เราจะสร้างความปลอดภัยในระบบจึง

ต้องมีกระบวนการเพื่อแก้ปัญหาสองข้อคือ

• ใช้ System Scanner and Security Infrastructure Software

• Secure Coding

System Scanner and Security Infrastructure Software

ในการตรวจสอบทั้งความผิดพลาดจากการตั้งค่าต่างๆ 

ในระบบ และความผิดพลาดของจากผู้เขียน

ซอฟต์แวร์ที่เกี่ยวข้องกับการทำงาน เราจะใช้เครื่องมือช่วย

ตรวจสอบที่เรียกว่า System Scanner ในการ

ตรวจสอบการตั้งค่าต่างๆ ไม่ว่าจะเป็น permission ต่างๆ , 

การตั้งค่าความปลอดภัยในระบบ และเว็บเซิร์ฟเวอร์

ตัวอย่าง Scanner ที่ใช้เช่น Whisker , Nikto , Stealth , Twwwscanและ AppScan เป็นต้น โดยการทำงานของ

เครื่องมือเหล่านี้จะสแกนหารายละเอียดต่างๆ ในเว็บไซต์

แล้วเปรียบเทียบกับฐานข้อมูลว่ามีจุดอ่อนในระบบตรง

จุดไหนบ้าง และจะรายงานผลการตรวจสอบพร้อมวิธี

แก้ไขปัญหา

สรุปบทที่ 7 การจัดทำเว็บไซต์สำเร็จรูปด้วยโปรแกรม Joomla!

การจัดทำเว็บไซต์สำเร็จรูปด้วยโปรแกรมJoomla!

Joomla คือ

• Joomla คือระบบที่ช่วยในการจัดการเนื้อหา(Content Management
System: CMS) บนเว็บไซต์ เพื่อช่วยในการอำนวยความสะดวก ลด
ขั้นตอน และความยุ่งยากในการบริหารจัดการเว็บไซต์ โดยที่ ผู้ใช้
ไม่จำเป็นต้องมีความรู้ในด้านการเขียนโปรแกรม หรือออกแบบ
เว็บไซต์ ก็สามารถจัดทำเว็บไซต์ด้วยตัวเองได้
• Content Management System หรือ CMS คือ ระบบบริหารการ
จัดการเนื้อหา CMS ส่วนใหญ่ถูกนำมาใช้เรียกงานทางด้านเว็บไซต์
จึงเรียกระบบนี้ว่าเป็นระบบบริหารจัดการเว็บไซต์


ประโยชน์ของ CMS
• ควบคุมรูปแบบของเว็บไซต์ได้ดี (ฟอนต์ สไตล์ การจัดวางเลย์เอาต์)
• อัปเดตเว็บไซต์ได้จากทุก ๆ ที่
• ไม่ต้องติดตั้งโปรแกรม
• ไม่ต้องมีความรู้ภาษา HTML และ Script
• รองรับการทำงานจากผู้ใช้งานหลายคนได้พร้อม ๆ กัน


เหตุผลในการใช้ Joomla!

• ฟรี , ติดตั้งง่าย
• ควบคุมหน้าตาเว็บด้วย Template
• สร้างและจัดการเนื้อหาได้ง่าย
• รองรับกับการทำงานหลายๆ คนพร้อม ๆ กันได้
• เสถียร ปลอดภัย อัปเดตได้สม่ำเสมอ
• ไม่ต้องยึดติดกับคอมพิวเตอร์หรือซอฟต์แวร์ใด ๆ
• มีสังคมออนไลน์ที่มีข้อมูลช่วยเหลือจำนวนมาก
• มีผู้พัฒนาภาษาไทยอย่างเป็นทางการ
• สมบูรณ์ด้วยโปรแกรมเสริมที่หลากหลาย

ตัวอย่าง joomla 

เข้าใจกับ Joomla

• Joomla ถูกพัฒนาขึ้นด้วยภาษา PHP และฐานข้อมูล MySQL การที่

จะใช้งานได้นั้นจำเป็นต้องมี web server (เครื่องคอมพิวเตอร์ที่

ให้บริการเผยแพร่ข้อมูลทางอินเตอร์เน็ต) ซึ่งต้องรองรับการทำงาน

ของ PHP และ MySQL

ความต้องการของระบบ

• ระบบปฏิบัติการ Windows XP

• โปรแกรม Joomla

• โปรแกรม Appserv

สรุปบทที่ 6 การประชาสมั พนั ธ์ เว็บไซต์ ด้วย SEO

การประชาสัมพันธ์เว็บไซต์ด้วย SEO

Search Engine คืออะไร?
• แหล่งรวบรวมขอ้ มูลที่ใหญ่ที่สุดใน internet : มีจำนวน
ขอ้ มูลนับพันลา้ น
• ตัว search engine จะทำการคน้ หาขอ้ มูลที่คุณกำลังมอง
หา โดยคัดเลือกจากขอ้ มูลนับลา้ นเว็บไซต์
• โดยปกติแลว้ search engine จะทำการสรา้ งตัว index
จากเว็บไซต์ต่างๆ เพื่อหาผูใ้ ชง้ านสามารถป้อนคำที่
ตอ้ งการคน้ หามาคน้ ในตัว index

Search Engine ?

 จากขอ้ มูลของ Wall Street Journal ไดบ้ อกไวว้ ่า 85%

ของผูใ้ ชง้ านอินเตอร์เน็ตทั่วโลก ใช ้Search Engine

 87% ของผูใ้ ชง้ านอินเตอร์เน็ต จะหาเว็บไซต์จาก Search

Engine (ผลการวิเคราะห์ขอ้ มูลจาก Georgia Tech)

 70% ของการซื้อขายอีคอมเมิร์ซเริ่มตน้ จากการใชเ้สิร์ชคน้

หา

(Source: Forrester/IAB)

 85% ของผูใ้ ชใ้ นกลุ่มประเทศสหภาพยุโรปพบเว็บไซต์

ต่างๆ ไดด้ ว้ ยเสิร์ชเอนจิน

(Source: Graphics, Visualization & Usability (GVU)

Center User Study)

Search Engine Trends

• ทำอันดับใน S earch Engine สามารถสรา้ งยอดขาย

มากกว่าลงโฆษณาโดย Banner มากกว่าถึง 2-3 เท่า (

ขอ้ มูล : NPD Group)

• การทำอันดับใน Search Engine หรือ Search Engine

Optimization เป็นวิธีที่สามารถสรา้ ง Traffic เขา้ เว็บไซต์

◌ุ 66% ตามดว้ ย E-mail Marketing (54%)

(ขอ้ มูลจาก D irect Marketing Association Study)

• ผูเ้ ขา้ ชมจะจดจำมากกว่า 2 ครั้งหากเว็บไซต์ไดไ้ ปติด

อันดับภายในอันดับ 3 มากกว่าที่แสดงผลใน banner

(ขอ้ มูลจาก : NPD Group Study)

การทำงานของ Search Engine 

• ในคำว่า Search engine ถูกนำมาใชเ้ รียกทั้งแบบ crawler-based

search engines และแบบ directories ซึ่งจัดขอ้ มูลโดยคน

• Crawler-based search engine จะทำการส่งโปรแกรมที่เรียกว่า

Spider ไปยังเว็บเพจต่างๆ หรือจะเรียกว่า Indexer ก็ได ้ทั้งสอง

ตัวนี้มีหนา้ ที่เขา้ ไปอ่านขอ้ มูลในเว็บไซต์ต่างๆ แลว้ นำไปสรา้ ง

เป็น I ndex บนพื้นฐานของขอ้ มูลแต่ละตัว

• Directories จะใชค้ นในการจัดขอ้ มูล เพื่อใหข้ อ้ มูลนั้นมีคุณภาพ

และอยู่ตามหมวดต่างๆ ก่อนที่จะนำเว็บไซต์เหล่านั้นไปแสดงผลใน

Directory

• Search Engine บางตัวใช ้hybrid combination โดยแสดงผลทั้ง

สองแบบใน Search engine ตัวเดียวกัน

• Search engine แต่ละตัวใช ้Algorithms ทางคณิตศาสตร์ที่

แตกต่างกัน เพื่อทำการแปลเอกสารจากตัว Index โดยเป็น

ตัวกำหนดความสำคัญในการแสดงผล

ประเภทของการทำการตลาดบน Search Engine

 Natural Search Engine Optimization (SEO)
การทำการตลาดโดยอาศัยการทำอันดับใน Search Engine
e.g. Google , Yahoo
 Paid Search Advertising (Pay Per Click Advertising,
PPC)
การทำการตลาดโดยลงโฆษณากับ Search Engine เช่น
Google Adwords, Overture

สรุปบทที่ 5 เทคนิคการวิเคราะห์และพัฒนาเว็บไซต์

เทคนิคการวิเคราะห์และพัฒนาเว็บไซต์

กลยุทธ์ในการนำข้อมูลและสถิติต่างๆ ไปประยุกต์ใช้

การเก็บค่าสถิติและข้อมูลการใช้งานเว็บไซต์มีทัง้ หมด 4 ระบบ ได้แก่

• ระบบ Hit counter

• ระบบ Page counter

• ระบบ Web counter

• ระบบ Tracking

ระบบ Hit counter

• เป็นระบบที่ใช้ในการนับ และจัดแสดงจำนวนครัง้ ที่ผู้เข้าชมเว็บไซต์ เข้า
ชมหน้าใดหน้าหนึ่งของเว็บไซต์
• ส่วนใหญ่แล้วจะถูกติดตัง้ ในหน้าแรกของเว็บไซต์
• ระบบ hit counter มีรูปแบบการจัดแสดงผล 2 รูปแบบด้วยกัน คือ
– จัดแสดงผลโดยเปิดเผยให้ผู้เข้าเว็บไซต์ได้ทราบ
– ปกปิดไว้เป็นความลับ ซึ่งจะมีเพียงเว็บมาสเตอร์ของเว็บไซต์เท่านัน้ ที่สามารถ
ตรวจสอบข้อมูลและสถิติข้างต้นได้
• โดยที่ระบบ hit counter จะทำการจัดเก็บข้อมูลและสถิติดังกล่าว
โดยนับจากจำนวนครัง้ ของการร้องขอของบราวเซอร์ไปยังเซิร์ฟเวอร์เพื่อ
เปิดหน้าเว็บไซต์


ระบบ Page counter

• ระบบ page counter มีหลักการทำงานเช่นเดียวกันกับระบบ hit
counter คือ เป็นระบบที่ใช้ในการนับ และจัดแสดงจำนวนครัง้ ที่ผู้เข้า
ชมเว็บไซต์เข้าชมหน้าใดหน้าหนึ่งของเว็บไซต์
• ข้อแตกต่างระหว่างระบบ page counter กับระบบ hit counter มี
เพียงประการเดียวเท่านัน้ ซึ่งก็คือ ระบบ page counter ได้รับการ
ติดตัง้ ลงในหน้าเว็บไซต์ได้มากกว่า 1 หน้าต่อ 1 เว็บไซต์ ในขณะที่
ระบบ hit counter ได้รับการติดตัง้ ลงในหน้าเว็บไซต์ได้เพียงแค่ 1
หน้าเท่านัน้ ต่อ 1 เว็บไซต์


ระบบ Web counter

• ระบบ web counter ก็เป็นระบบที่มีหลักการทำงานเช่นเดียวกันกับ
ระบบ hit counter และระบบ page counter โดยจะเป็นระบบ
ที่ทำการรวมบรรทัดของโปรแกรมเข้ากับกราฟิกเพื่อนับ และจัดแสดง
จำนวนครัง้ ที่ผู้เข้าชมเว็บไซต์เข้าชมหน้าใดหน้าหนึ่งของเว็บไซต์ ซึ่ง
ระบบดังกล่าวอาจจะถูกติดตัง้ ลงในหน้าเว็บไซต์มากกว่า 1 หน้าต่อ 1
เว็บไซต์ก็เป็นได้


ระบบ Tracking

• เป็นระบบที่ใช้โค้ดจาวาสคริปทำงาน ให้มีการสร้าง cookies ไว้ยัง
เครื่องของผู้เข้าชม และ จะทำการตรวจสอบ cookies ในบราวเซอร์
ของผู้เข้าชมเว็บไซต์รายนัน้ ๆ ถ้าในกรณีที่ค้นพบ cookies แสดงว่า ผู้
เข้าชมเว็บไซต์รายนัน้ เป็นผู้เข้าชมเว็บไซต์รายเดิม ซึ่งบริการ tracking
จะทำการจัดเก็บข้อมูลและสถิติต่างๆ ของการเข้าชมเว็บไซต์ในครัง้ นี ้
รวมกับการเข้าชมก่อนหน้านี ้แล้วทำการจัดแสดงในรูปแบบเส้นทางการ
เข้าชมเว็บไซต์ โดยต้องติดตัง้ ลงในหน้าเว็บไซต์ที่ต้องการเก็บค่าสถิติ


วิธีการนำข้อมูลและสถิติต่างๆ จากบริการ tracking
ไปประยุกต์ใช้กับเว็บไซต์
• ข้อมูลและสถิติต่างๆ ที่คุณได้รับจากบริการ tracking จะช่วยให้
สามารถกำหนดเป้าหมายให้กับเว็บไซต์ได้อย่างเหมาะสม โดยใช้
กระบวนการดังต่อไปนีใ้ นการทดสอบความพึงพอใจของผู้เข้าชม
เว็บไซต์:
1. ศึกษาข้อมูลและสถิติต่างๆ ของเว็บไซต์
2. คิดค้นกลยุทธ์
3. นำกลยุทธ์ที่คิดค้นได้มาพัฒนาเว็บไซต์
4. วัดประสิทธิภาพการเปลี่ยนแปลงที่เกิดขึน้
5. เริ่มต้นที่ขัน้ ตอนที่ 1 อีกครัง้

ตัวอย่าง Google Analytic

ลักษณะของเว็บที่มีโครงสร้างที่ดี 

1. มีการกำหนดขอบเขตของเว็บไซต์อย่างชัดเจน เช่น หากเป็นเว็บไซต์ที่

เกี่ยวกับคอมพิวเตอร์ จะมีเนือ้ หาที่เกี่ยวกับคอมพิวเตอร์เท่านัน้ ไม่

สร้างลิงค์ไปยังเว็บที่ไม่เกี่ยวข้อง เช่น รถยนต์หรือ การจัดสวน

2. ควรมีการจัดทำ Sitemap สำหรับเว็บไซต์ มีไฟล์

sitemap.html หรือ sitemap.php สำหรับ search

engine โดยอาจใช้วิธีสร้างอัตโนมัติจากเว็บไซต์ เช่น xml‐

Sitemaps.com นอกจากนัน้ sitemap ยังช่วยให้ผู้ใช้งาน

เว็บไซต์ค้นหาหน้าเว็บได้สะดวกมากขึน้

3 เว็บไซต์ควรมีข้อมูลของบริษัท หรือ เมนู about us ซึ่งจะประกอบไป

ด้วยเนือ้ หาเกี่ยวกับ

• วิสัยทัศน์ พันธกิจ ประวัติขององค์กร

• ผู้จัดทำ หรือทีมงานที่พัฒนาเว็บไซต์

• ข้อมูลการติดต่อ ที่อยู่ เบอร์โทรศัพท์

• ซึ่งควรมีลิงค์ไว้บนหน้าแรกของเว็บไซต์ทัง้ ในส่วนหัว และท้ายเว็บไซต์

ดังเช่นเว็บไซต์ www.seomoz.org

4. ควรมีการกำหนดนโยบายความเป็นส่วนตัว (Privacy Policy)
เพื่อเป็นการรับประกันเกี่ยวกับข้อมูลต่างๆ ที่ทางเว็บไซต์ได้รับไป โดยมี
เว็บไซต์ที่ช่วยสร้าง เช่น www.freeprivacypolicy.com และ
www.the‐dma.org
5. เนือ้ หาบนเว็บไซต์ที่ทันสมัยตลอดเวลา มีการอัพเดทอย่างสม่ำเสมอ