เว็บแอปพลิเคชั่นหมายถึง แอปพลิเคชั่นที่สามารถเข้า
ใช้งานผ่านเว็บบราวเซอร์ หรือ HTTP(s) agent
(พอร์ต 80 หรือ 443) องค์ประกอบของเว็บแอปพลิเคชั่น
นั้นประกอบด้วย
• Web Application เป็นซอฟต์แวร์หลักที่ให้ผลลัพธ์เป็นข้อมูลและการทำงานต่างๆ ทำงานอยู่ใน
Application Server
• Web Server เป็นเซิร์ฟเวอร์ที่ให้บริการคือการตอบสนองต่อการร้องขอการทำงานต่างๆ ผ่านเว็บ
• Application Server เป็นเซิร์ฟเวอร์ที่ Web Application ทำงาน
• Database Server เป็นเซิร์ฟเวอร์ฐานข้อมูลที่เก็บข้อมูลต่างๆ ของ Web Application
การโจมตีระบบ
ในการโจมตีระบบเว็บแอปพลิเคชั่นนั้นสามารถโจมตีได้หลายๆ อย่าง โดยมีสาเหตุจาก
• ความผิดพลาดของผู้ดูแลระบบที่ติดตั้งและตั้งค่าระบบต่างๆ ไม่ดีพอ
• ความผิดพลาดจากผู้เขียนซอฟต์แวร์ที่เกี่ยวข้องกับการทำงานเช่น MS IIS เป็นต้น
• ความผิดพลาดจากผู้เขียนเว็บแอปพลิเคชั่นและองค์ประกอบที่เกี่ยวข้องอื่นๆ ที่ไม่ได้ตระหนักถึงการ
ทำงานให้เกิดความปลอดภัยในระบบ
ตัวอย่างเทคนิคต่างๆ ที่ใช้ในการโจมตีเว็บแอปพลิเคชั่น
• Hidden Field Manipulation
• Cookie Poisoning
• Backdoors and debug options
• Application buffer overflows
• Stealth commanding
• 3rd party misconfigurations
• Known vulnerabilities
• Parameter tempering
• Cross site scripting
• Forceful browsing
• Hacking over SSL
• Sourcecode Disclosure
• Web Server Architecture Attack
• SQL Injection
• Java Script Injection
Application Buffer Overflow
การโจมตีเว็บแอปพลิเคชั่นในอีกรูปแบบหนึ่งคือ
การทำ Buffer Overflow โดยจะทำตรงส่วนของ text
box ที่รับข้อมูลจากผู้ใช้งานเว็บเพจนั้นๆ การโจมตี
ทำได้โดยการป้อนอินพุทที่ระบบไม่สามารถจัดเก็บข้อมูลได้
ลงในช่อง หรือส่วนในการรับอินพุทจากหน้าเว็บเพจ
เมื่อเว็บเพจนั้นส่งข้อมูลไปยังเซิร์ฟเวอร์แล้ว ข้อมูลที่มี
ขนาดมากกว่าที่กำหนดไว้ จะไปทำให้แอปพลิเคชั่น
หยุดการทำงานได้ การป้องกันก็คือที่ฝั่งเซิร์ฟเวอร์ควรมีการ
ตรวจสอบขนาดของข้อมูลที่รับเข้ามาด้วย ไม่ให้เกินจาก
ค่าที่กำหนดไว้
การสร้างความปลอดภัยในระบบ
จากสาเหตุที่ทำให้เกิดการโจมตี 3 ข้อที่ได้กล่าวมาแล้วนั้น
การที่เราจะสร้างความปลอดภัยในระบบจึง
ต้องมีกระบวนการเพื่อแก้ปัญหาสองข้อคือ
• ใช้ System Scanner and Security Infrastructure Software
• Secure Coding
System Scanner and Security Infrastructure Software
ในการตรวจสอบทั้งความผิดพลาดจากการตั้งค่าต่างๆ
ในระบบ และความผิดพลาดของจากผู้เขียน
ซอฟต์แวร์ที่เกี่ยวข้องกับการทำงาน เราจะใช้เครื่องมือช่วย
ตรวจสอบที่เรียกว่า System Scanner ในการ
ตรวจสอบการตั้งค่าต่างๆ ไม่ว่าจะเป็น permission ต่างๆ ,
การตั้งค่าความปลอดภัยในระบบ และเว็บเซิร์ฟเวอร์
ตัวอย่าง Scanner ที่ใช้เช่น Whisker , Nikto , Stealth , Twwwscanและ AppScan เป็นต้น โดยการทำงานของ
เครื่องมือเหล่านี้จะสแกนหารายละเอียดต่างๆ ในเว็บไซต์
แล้วเปรียบเทียบกับฐานข้อมูลว่ามีจุดอ่อนในระบบตรง
จุดไหนบ้าง และจะรายงานผลการตรวจสอบพร้อมวิธี
แก้ไขปัญหา
ไม่มีความคิดเห็น:
แสดงความคิดเห็น