Page 138 - คู่มือหลักสูตรมาตรฐานอาชีพ สาขาวิชาชีพเทคโนโลยีสารสนเทศและการสื่อสารและดิจิทัลคอนเทนต์ สาขาเครือข่ายและความปลอดภัย (Network & Security)
P. 138
การพัฒนาองค์ความรู้และอบรมพัฒนาบุคลากรทางด้านดิจิทัลและหุ่นยนต์
มาตรฐานอาชีพและคุณวุฒิวิชาชีพ สาขาวิชาชีพเทคโนโลยีสารสนเทศและการสื่อสาร และดิจิทัลคอนเทนต์
สาขาเครือข่ายและความปลอดภัย (Network & Security)
• Buffer Overflow: โปรแกรมได้รับ Input ที่มีขนาดใหญ่กว่าที่ก าหนดท าให้ Buffer ไม่
สามารถเก็บข้อมูลได้ทั้งหมด ท าให้ข้อมูลบางส่วนไปทับข้อมูลในหน่วยความจ าของ Process อื่น อาจท าให้ผู้
โจมตีสามารถ Run Process อื่นแทนโปรแกรมที่ก าลัง Run อยู่ได้
• Boundary Condition Error: ระบบได้รับ Input ที่มีขนาดใหญ่เกินขอบเขตที่โปรแกรม
ก าหนดไว้อาจโดยผู้ใช้หรือจากโปรแกรมเอง อาจท าให้เกิดการใช้ Resource จนหมด หรือเกิดการ Reset ค่า
ของตัวแปร หรือปัญหา Division by Zero (0/0)
• Access Validation Error กลไกควบคุมการเข้าถึงระบบ (Access Control) ท างาน
ผิดพลาดซึ่งเกิดจากตัวระบบเอง
• Exception Condition Handling Error การจัดการเกี่ยวกับเงื่อนไขที่ยกเว้นของการท างาน
ของโปรแกรม
• Environmental Error ระบบที่ติดตั้งในสภาวะแวดล้อมที่ไม่เหมาะสม เช่น โปรแกรมอาจ
ท างานได้ไม่ดีบนระบบปฏิบัติการบางตัวหรือบางรุ่น การท างานที่ขัดกันของโปรแกรมที่อยู่บนระบบเดียวกัน
ตรวจพบปัญหาในขั้นตอนการพัฒนาระบบได้ยาก
• Configuration Error ระบบที่ไม่ถูกต้อง ไม่ สมบูรณ์ หรือหละหลวม เช่น ก าหนดให้เป็นค่า
Default เพื่อง่ายต่อการใช้งาน แต่อาจกลายเป็นช่องโหว่
• Race Condition เกิดขึ้นเมื่อมี Delay ในการท างานของระบบรักษาความปลอดภัย เช่น มี
การเขียนข้อมูลลงในระบบ โดยระบบเข้าใจว่าผู้ใช้นั้นมีสิทธิ์แต่ที่จริงแล้วระบบรักษาความปลอดภัยอาจยังไม่
ถึงเวลาท างาน
ขั้นตอนการเจาะระบบ
การเลือกใช้เครื่องมือ
ค้นหาได้จากอินเทอร์เน็ต ทั้งจาก Website และ IRC เช่น
- http://insecure.org
- www.antionline.com
- http://ftp4.de.freesbie.org/pub/misc/www.rootshell.com/
- http://packetstormsecurity.org/
- www.nmap.org
- www.nessus.org
รายงานการพัฒนาองค์ความรู้และอบรมพัฒนาบุคลากรทางด้านดิจิทัลและหุ่นยนต์ หน้า 136
