Page 100 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 100
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย :บทที่ 9 Unix/Linux, Windows Server, Webmail, Website
เราควรจะตรวจสอบข้อมูลที่รับมาจากทั้ง 2 ฝั่ง คือ ข้อมูลที่รับมาจาก client
ผ่านทาง Browser และข้อมูลที่รับมาประมวลผลที่ web server โดยตรวจสอบที่ web
server อีกครั้งก่อนนําไปประมวลผลด้วย Web application เราควรมีการฝึกอบรม
Web Programmer ของเราให้ระมัดระวังในการรับ input จากฝั่ง client ตลอดจนมีการ
Review Source code ไม่ว่าจะเขียนด้วย ASP, PHP หรือ JSP Script ก่อนที่จะ
นําไปใช้งานในระบบจริง ถ้ามีงบประมาณด้านรักษาความปลอดภัย ก็แนะนําให้ใช้
application level firewall หรือ Host-Based IDS/IPS ที่สามารถมองเห็น Malicious
content และป้ องกันในระดับ application layer
2. Broken Access Control
หมายถึง มีการป้ องกันระบบไม่ดีพอเกี่ยวกับการกําหนดสิทธิของผู้ใช้
(Permission) ที่สามารถจะ Log-in /Log-on เข้าระบบ Web application ได้ ซึ่งผลที่
ตามมาก็คือ ผู้ที่ไม่มีสิทธิเข้าระบบ (Unauthorized User) สามารถเข้าถึงข้อมูลที่เรา
ต้องการป้ องกันไว้ไม่ให้ Unauthorized User เข้ามาดูได้ เช่น เข้ามาดูไฟล์ข้อมูลบัตร
เครดิตลูกค้าที่เก็บอยู่ใน Web Server หรือ เข้าถึงไฟล์ข้อมูลในลักษณะ Directory
Browsing โดยเห็นไฟล์ทั้งหมดที่อยู่ใน web Server ของเรา ปัญหานี้เกิดจากการ
watermark
กําหนด File Permission ไม่ดีพอ และ อาจเกิดจากปัญหาที่เรียกว่า Path Traversal
หมายถึง แฮกเกอร์จะลองสุ่มพิมพ์ path หรือ sub directory ลงไปในช่อง URL เช่น
http://www.abc.com/../../customer.mdb เป็นต้น นอกจากนี้อาจเกิดจากปัญหาการ
cache ข้อมูลในฝั่ง client ทําให้ข้อมูลที่ค้างอยู่ cache ถูกแฮกเกอร์เรียกกลับมาดูใหม่
ได้ โดยไม่ต้อง Log-in เข้าระบบก่อน
- วิธีการป้ องกัน
พยายามอย่าใช้ User ID ที่ง่ายเกินไป และ Default User ID ที่ง่ายต่อการเดา
โดยเฉพาะ User ID ที่เป็นค่า default ควรลบทิ้งให้หมด สําหรับปัญหา Directory
Browsing หรือ Path Traversal นั้น ควรมีการ set file system permission ให้รัดกุม
92
