Page 105 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 105
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย :บทที่ 9 Unix/Linux, Windows Server, Webmail, Website
การใช้ Stored Procedure หรือ Trigger ก็เป็นทางออกหนึ่งในการเขียนโปรแกรม
สั่งงานไปยังระบบฐานข้อมูล SQL ซึ่งมีความปลอดภัยมากกว่าการใช้ Dynamic SQL
Statement กับฐานข้อมูล SQL ตรงๆ
7. Improper Error Handling
หมายถึง มีการจัดการกับ Error message ไม่ดีพอ เวลาที่มีผู้ใช้ Web
Application หรืออาจจะเป็นแฮกเกอร์ลองพิมพ์ Bad HTTP Request เข้ามาแต่ Web
Server หรือ Web Application ของเราไม่มีข้อมูล จึงแสดง Error message ออกมา
ทางหน้า Browser ซึ่งข้อมูลที่แสดงออกมาทําให้แฮกเกอร์สามารถใช้เป็นประโยชน์ ใน
การนําไปเดาเพื่อหาข้อมูลเพิ่มเติมจากระบบ Web Application ของเราได้ เนื่องจาก
เมื่อการทํางานของ Web application หลุดไปจากปกติ ระบบมักจะแสดงค่า Error
Message ออกมาแสดงถึงชื่อ user ที่ใช้ในการเข้าถึงฐานข้อมูล, แสดง File System
Path หรือ Sub Directory Name ที่ชี้ไปยังไฟล์ฐานข้อมูล ตลอดจนทําให้แฮกเกอร์รู้ว่า
เราใช้ระบบอะไรเป็นฐานข้อมูลเช่น ใช้ MySQL เป็นต้น
- วิธีการแก้ปัญหา
ควรมีการกําหนดนโยบายการจัดการกับ Error message ให้กับระบบ โดยทํา
watermark
หน้า Error message ที่เตรียมไว้รับเวลามี Bad HTTP Request แปลกๆ เข้ามายัง
Web Application ของเราโดยหน้า Error message ที่ดีไม่ควรจะบอกให้ผู้ใช้รู้ถึงข้อมูล
ระบบบางอย่างที่ผู้ใช้ทั่วไปไม่ควรรู้ และถ้าผู้ใช้คนนั้นเป็นแฮกเกอร์ซึ่งย่อมมีความรู้
มากกว่าผู้ใช้ธรรมดา การเห็นข้อมูล Error message ก็อาจนําไปใช้เป็นประโยชน์
สําหรับแฮกเกอร์ได้
8. Insecure Storage
หมายถึง การเก็บรหัสผ่าน (password), เบอร์บัตรเครดิตลูกค้า หรือ ข้อมูลลับ
ของลูกค้า ไว้อย่างไม่มีความปลอดภัยเพียงพอ ส่วนใหญ่จะเก็บแบบมีการเข้ารหัส
(Encryption) ไว้ในฐานข้อมูลหรือ เก็บลงในไฟล์ที่อยู่ใน Web server และคิดว่าเมื่อ
97
