ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: รีบทำก่อนโดนแฮก!!!  (อ่าน 1832 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
jeen705
Global Moderator
หัวหน้าแก๊งเสียว
*****

พลังน้ำใจ: 208
ออฟไลน์ ออฟไลน์

กระทู้: 2,662



ดูรายละเอียด
« เมื่อ: 25 ธันวาคม 2012, 08:04:34 »

ความรู้งูๆปลาๆนะ
ตั้ง user pass ให้ไม่ตรงกันแล้วอย่าตั้งแบบเราจำง่าย สำหรับ FTP นะครับแล้วก็admin
 (อ่านเสริมมา)
ป้องกันอะไรบ้าง

SQL Injections
Remote URL/File Inclusions
Remote Code Executions
XSS Based Attacks!

ซึ่งมีปลั๊กอินป้องกันแต่ไม่ทั้งหมด
ส่วนมากแล้วแฮกเกอร์มีการเข้าไปต่างๆนาๆ แต่อย่างฐานข้อมูลควรเข้า MD5 ไว้เบื้องต้น
สำคัญมากอย่ามักง่ายแล้วมาบ่น เรื่องCHMOD 777 ระวังกันหน่อย ดูว่าตอนติดตั้งมันให้ CHMOD จริง แต่ใช้งานจริงไม่จำเป็นต้องทุกไฟล์
ยิ่งสคริปเขียนเอง ยิ่งแฮกง่าย
ผมเคยศึกษาเว็บธรรมดาผมแฮกได้โดยง่ายมากๆ แต่ไม่เคยเข้าไปทำอะไรกับเค้า เพราะผมแค่ศึกษาเพื่อป้องกัน

ขอบคุณสมาคมแฮกเกอร์ บางกลุ่มที่แฮกเพื่อศึกษาและแนะนำเจ้าของเว็บเพื่อแก้ไข
จุดนี้ละครับที่สำคัญเพราะแฮกเกอร์จะมีปัญหากับพวกเว็บพวกนี้ จะบ่นว่าแล้วคุณจะมาแฮกทำไม!!!

ฝากกันไว้ด้วยนะคับ หากพี่ๆท่านใดเสนอแนะได้ครับมาช่วยกันป้องกัน

วิธีการป้องกันช่องโหว่ Sql injection
วิธีการป้องกันช่องโหว่ Sql injection



วิธีการป้องกัน

SQL Injection
คือ การที่ในเวปมีการรับข้อมูลจากผู้ใช้ แล้วนำไปใช้ในการสั่งให้ฐานข้อมูลทำงาน แล้ว ผู้ใช้พยายามที่จะหลอกโปรแกรมให้ทำงานนอกเหนือจากที่เราต้องการ หรือ หลอกให้โปรแกรมทำงานโดยผ่านการตรวจสอบเงื่อนไขบางอย่าง
Injection Flaws
หมายถึง แฮกเกอร์สามารถที่จะแทรก Malicious Code หรือ คำสั่งที่แฮกเกอร์ใช้ในการเจาะระบบส่งผ่าน Web Application ไปยังระบบภายนอกที่เราเชื่อมต่ออยู่ เช่น ระบบฐานข้อมูล SQL โดยวิธี SQL Injection หรือ เรียก External Program ผ่าน shell command ของระบบปฎิบัติการ เป็นต้น
ส่วนใหญ่แล้วแฮกเกอร์จะใช้วิธีนี้ในช่วงการทำ Authentication หรือการ Login เข้าระบบผ่านทาง Web Application เช่น Web Site บางแห่งชอบใช้ “/admin” ในการเข้าสู่หน้า Admin ของ ระบบ ซึ่งเป็นช่องโหว่ให้แฮกเกอร์สามารถเดาได้เลยว่า เราใช้  http://www.mycompany.com/admin   ในการเข้าไปจัดการบริหาร Web Site ดังนั้นเราจึงควรเปลี่ยนเป็นคำอื่นที่ไม่ใช่ “/admin” ก็จะช่วยได้มาก
วิธีการทำ SQL injection
ก็คือ แฮกเกอร์จะใส่ชื่อ username อะไรก็ได้แต่ password สำหรับการทำ SQL injection จะใส่เป็น Logic Statement ยกตัวอย่างเช่น ‘ or ’1′ = ’1 หรือ ” or “1″= “1 หรือ a’ or 1=1–
Query = “SELECT * FROM product WHERE Password=’$input’”;
แต่ผู้ใช้ทำการใส่ ข้อมูลเป็น a’ or 1=1–
ดังนั้น query ที่ได้จะเป้น
Query = “SELECT * FROM product WHERE Password=’a’ or 1=1–’”;
จะเห็นว่าเมื่อนำไช้งานแล้ว จะสามารถเรียกดูข้อมูลได้เสมอ เนื่องจาก 1=1 เป็นจริง
สมมุติว่า มีโค้ดต่อไปนี้ใน application และ parameter “userName” ซึ่งประกอบด้วย
ชื่อผู้ใช้ ช่องโหว่แบบ SQL Injection เกิดขึ้นในโค้ดนี้:
statement := “SELECT * FROM users WHERE name = ‘” + userName + “‘;”
ถ้าป้อน “a’; DROP TABLE users; SELECT * FROM data WHERE name LIKE ‘%”
เข้าไปในส่วน “userName” จะทำให้เกิด SQL statement ต่อไปนี้
SELECT * FROM users WHERE name = ‘a’; DROP TABLE users; SELECT * FROM data WHERE name LIKE ‘%’;
ฐานข้อมูลจะเอ็กซิคิวท์ statement ตามลำดับ คือ select data, drop user table
และ select data ทำให้ผู้ใช้เว็ปสามารถดูหรือแก้ไขข้อมูลใด ๆ ที่อยู่ในฐานข้อมูล
ที่ผู้ใช้ที่เชื่อมโยงกับฐานข้อมูลสามารถอ่าน หรือแก้ไขได้
วิธีการป้องกัน
นักพัฒนาระบบ (Web Application Developer) ควรจะระมัดระวัง input string ที่มาจากทางฝั่ง Client (Web Browser) และไม่ควรใช้วิธีติดต่อกับระบบภายนอกโดยไม่จำเป็น
ควรมีการ “กรอง” ข้อมูลขาเข้าที่มาจาก Web Browser ผ่านมาทางผู้ใช้ Client อย่างละเอียด และ ทำการ “กรอง” ข้อมูลที่มีลักษณะที่เป็น SQL injection statement ออกไปเสียก่อนที่จะส่งให้กับระบบฐานข้อมูล SQL ต่อไป
การใช้ Stored Procedure หรือ Trigger ก็เป็นทางออกหนึ่งในการเขียนโปรแกรมสั่งงานไปยังระบบฐานข้อมูล SQL ซึ่งมีความปลอดภัยมากกว่าการใช้ “Dynamic SQL Statement ” กับฐานข้อมูล SQL ตรงๆ
ช่องโหว่แบบ SQL Injection สามารถแก้ไขได้ใน programming language ส่วนใหญ่
ในภาษา Java ควรมีการใช้ PreparedStatement class
แทนที่จะใช้
Connection con = (acquire Connection)
Statement stmt = con.createStatement();
ResultSet rset = stmt.executeQuery(“SELECT * FROM users WHERE name = ‘” + userName + “‘;”);
ให้ใช้โค้ดต่อไปนี้แทน
Connection con = (acquire Connection)
PreparedStatement pstmt = con.prepareStatement(“SELECT * FROM users WHERE name = ?”);
pstmt.setString(1, userName);
ResultSet rset = stmt.executeQuery();

เครดิต
โค๊ด:
http://www.mycools.in.th
« แก้ไขครั้งสุดท้าย: 25 ธันวาคม 2012, 08:09:26 โดย jeen705 » บันทึกการเข้า
puensanit
ก๊วนเสียว
*

พลังน้ำใจ: 43
ออฟไลน์ ออฟไลน์

กระทู้: 233



ดูรายละเอียด
« ตอบ #1 เมื่อ: 25 ธันวาคม 2012, 08:05:47 »

ขอบคุณครับ  wanwan017
บันทึกการเข้า
mm_su
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 93



ดูรายละเอียด
« ตอบ #2 เมื่อ: 25 ธันวาคม 2012, 08:10:50 »

ขอบคุณความรู้ดีๆ ครับ
บันทึกการเข้า
dearzakub
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 322
ออฟไลน์ ออฟไลน์

กระทู้: 1,851



ดูรายละเอียด
« ตอบ #3 เมื่อ: 25 ธันวาคม 2012, 08:14:43 »

มีประโยชน์ครับ ช่วงนี้ทีมHackerทั้งหลายกำลังทำผลงาน ต้องระวัง
บันทึกการเข้า
Optimus
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 321
ออฟไลน์ ออฟไลน์

กระทู้: 2,675



ดูรายละเอียด
« ตอบ #4 เมื่อ: 25 ธันวาคม 2012, 08:15:43 »

ขอบคุณครับ
บันทึกการเข้า

รับสอน Android Re-Skin Apps & Games | สอนแบบ 1 ต่อ 1 ผ่าน TeamViewer สนใจ PM สอบถามเลยครับ

รับรีสกิน Apps Android 1 ชุด 15 แอพ 2900 บาท ท่านสามารถนำไปอัพขึ้น Play Store หารายได้ได้เลยครับ สนใจ PM ครับ

ขาย Account Skimlinks ปั่น Amazon ได้ (ตอนนี้คนไทยสมัครไม่ผ่านแล้ว) 4500  บาท PM ครับ
kingkong701
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 451
ออฟไลน์ ออฟไลน์

กระทู้: 3,970



ดูรายละเอียด
« ตอบ #5 เมื่อ: 25 ธันวาคม 2012, 08:16:01 »

ตอนนี้ เห็นสแกนเข้ามาทาง uploadify

โดนสแกนเข้ามาทุกวัน ยังรอดอยู่

/blog/wp-content/plugins/sintic_gallery/js/uploadify-2.1.4/uploadify.css?
/modules/pm_advancedsearch4/js/uploadify/uploadify.css?
บันทึกการเข้า
jeen705
Global Moderator
หัวหน้าแก๊งเสียว
*****

พลังน้ำใจ: 208
ออฟไลน์ ออฟไลน์

กระทู้: 2,662



ดูรายละเอียด
« ตอบ #6 เมื่อ: 25 ธันวาคม 2012, 08:53:00 »

ตอนนี้ เห็นสแกนเข้ามาทาง uploadify

โดนสแกนเข้ามาทุกวัน ยังรอดอยู่

/blog/wp-content/plugins/sintic_gallery/js/uploadify-2.1.4/uploadify.css?
/modules/pm_advancedsearch4/js/uploadify/uploadify.css?

ผมก็รู้แบบงูปลาๆน่ะครับ แต่พอมีคนปรึกษาอยู่
ปล.ขอบคุรสำหรับลายเซ็นกำลังตามล่ารายชื่ออยู่มีอีPM มาบ้างนะท่านอิอิ
บันทึกการเข้า
taedexde
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 109
ออฟไลน์ ออฟไลน์

กระทู้: 1,726



ดูรายละเอียด
« ตอบ #7 เมื่อ: 25 ธันวาคม 2012, 09:05:57 »

ช่วงนี้โดนกันบ่อยซะด้วย

ขอบคุณมากๆนะครับ

 wanwan017
บันทึกการเข้า

Taurusz
Verified Seller
ก๊วนเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 256



ดูรายละเอียด
« ตอบ #8 เมื่อ: 25 ธันวาคม 2012, 09:10:06 »

พวก Theme แจกฟรี! ควรระวังเป็นพิเศษ มักจะมีของแถมติดมาด้วยเสมอ
บันทึกการเข้า
vampirecuesan
สมุนแก๊งเสียว
*

พลังน้ำใจ: 43
ออฟไลน์ ออฟไลน์

กระทู้: 804



ดูรายละเอียด
« ตอบ #9 เมื่อ: 25 ธันวาคม 2012, 10:15:02 »

ขอบคุณมากครับ                 
บันทึกการเข้า

lexurous
คนรักเสียว
*

พลังน้ำใจ: 48
ออฟไลน์ ออฟไลน์

กระทู้: 126



ดูรายละเอียด
« ตอบ #10 เมื่อ: 25 ธันวาคม 2012, 10:45:04 »

เลิกใช้ ftp ไปใช้ protocol ที่ปลอดภัยกว่านี้  wanwan009
บันทึกการเข้า

flash
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 16
ออฟไลน์ ออฟไลน์

กระทู้: 1,022



ดูรายละเอียด เว็บไซต์
« ตอบ #11 เมื่อ: 25 ธันวาคม 2012, 10:51:54 »

ขอบคุณครับ ช่วงนี้มีโดนกันบ่อย  wanwan035
บันทึกการเข้า

ครีมหมอจุฬา ผ่าน อย. อยากหน้าใส ไร้รอยด่างดำ ครีมหมอจุฬาซื้อที่ไหน หาไม่ยากเลย แต่ระวังของปลอมนะ ของเราเป็น ครีมหมอจุฬาของแท้ 100% มาดูสินค้าก่อนได้

kman1000
ก๊วนเสียว
*

พลังน้ำใจ: 17
ออฟไลน์ ออฟไลน์

กระทู้: 254



ดูรายละเอียด เว็บไซต์
« ตอบ #12 เมื่อ: 25 ธันวาคม 2012, 11:02:50 »

ขอบคุณครับ
บันทึกการเข้า

nabid999
สมุนแก๊งเสียว
*

พลังน้ำใจ: 46
ออฟไลน์ ออฟไลน์

กระทู้: 764



ดูรายละเอียด
« ตอบ #13 เมื่อ: 25 ธันวาคม 2012, 11:29:30 »

แจ่ม +1  เลย
บันทึกการเข้า

holidaytours
Verified Seller
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 291
ออฟไลน์ ออฟไลน์

กระทู้: 7,581



ดูรายละเอียด เว็บไซต์
« ตอบ #14 เมื่อ: 25 ธันวาคม 2012, 12:09:36 »

ขอบคุณครับ
 wanwan017
บันทึกการเข้า

adjobb
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 320
ออฟไลน์ ออฟไลน์

กระทู้: 2,877



ดูรายละเอียด
« ตอบ #15 เมื่อ: 25 ธันวาคม 2012, 12:11:39 »

ขอบคุณครับ ช่วงนี้โดนแฮกกันเป็นแถวๆเลย สังเกตุได้ว่าเว็บไทยจะโดนมากที่สุด
บันทึกการเข้า
beerqazasa
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 121
ออฟไลน์ ออฟไลน์

กระทู้: 1,575



ดูรายละเอียด เว็บไซต์
« ตอบ #16 เมื่อ: 25 ธันวาคม 2012, 12:11:52 »

ขอบคุณครับ ใจดีจัง  wanwan012
บันทึกการเข้า
หน้า: [1]   ขึ้นบน
พิมพ์