Web Security Lesson #2

สวัสดีครับ ช่วงนี้ผมเจอกับเรื่อง security บ่อยมาก ก็เลยมาเขียน Lesson #2 ซะเลย
สำหรับผู้ที่หัดเขียนโปรแกรมใหม่ หรือว่าเขียนมานานแล้ว แต่ไม่ได้ใส่ใจตรงนี้เท่าไรนัก
ลองมาอ่าน ตอนนี้ดูกันครับ เกี่ยวกับการ upload file ไม่ว่าจะเป็น images, video
หรืออะไรก็ตามที่ต้องใช้ การ upload คือให้ user สามารถ upload อะไรไปไว้ที่ server ได้

สิ่งที่ควรระวัง คือ
– ต้องกันไม่ให้ upload file ที่สามารถทำงานได้ เข้าไปบน server เช่น .php, .pl, .asp, .cgi
– การใช้ java script check ประเภทของ file หรือกันประเภทของ file ไม่ควรทำ เพราะ
hacker สามารถ สั่งไม่ให้ browser รัน javascript ได้
– การ check mine type ของ file นั้นไม่เพียงพอ เพราะ hacker สามารถ save file เป็น
type ต่างๆ ตามที่เค้าต้องการได้ เช่น จาก c99.php เป็น c99.jpg แบบนี้ ก็จะสามารถ
upload file php ขึ้นไปรันบน server ได้แล้ว ถึงจะเป็น .jpg ก็จริง แต่ว่า hacker
มีวิธีในการ rename file มากมาย ที่เกิดจากช่องว่างของโปรแกรมในส่วนต่างๆ
– การ check ว่าเป็นรูป จริงหรือไม่ ควรใช้ การ getimagesize() จะน่าเชื่อถือกว่า
ว่าเป็นรูปจริงๆ
– ใน directory ที่ใช้เก็บรูปหรือ file นั้น จำเป็นอย่างยิ่ง ที่จะต้องให้ พวก script ต่างๆ
สามารถทำงานได้ เพราะว่าโอกาสที่ในส่วนของการ upload มีสูง เราจริงควรดูตรงนี้ให้ดี
สำหรับวิธีง่ายๆ ก็คือ สร้าง .htaccess สำหรับ PHP ถ้าเราจะไม่ให้ทำงานใน directory
นี้ได้ ก็ให้ใส่ค่านี้ลงไป php_flag engine off คราวนี้ .php ต่างๆ ก็จะทำงานไม่ได้แล้ว

สำหรับเรื่องพวกนี้ เราควรใส่ใจมาก เพราะถ้าเกิดมีการหลุดของพวก php shell เข้าไปแล้ว
hacker สามารถทำทุกอย่างใน server ได้อย่างเต็มที่ ที่นิยมกันก็คืือ c99, r57

วันหลังผมจะมาเขียนว่า เราจะสามารถหาพวก php shell อันตรายเหล่านี้ใน server เรา
ได้อย่างไร ท้ายที่สุด อยากฝากว่าอย่าละเลยเรื่อง security เพราะพลาดเพียงนิดเดียว
สิ่งที่ไม่คาดคิด หรือหายนะ อาจจะมาเยือนได้ 🙂

สำหรับ Video สอนเกี่ยวกับเรื่อง Web Security ที่น่าสนใจจาก UC Berkeley
สามารถเข้าดูได้ที่ http://61.90.198.151/ucb/

Web Security Upload File

Web Security

http://zone-h.org ยังเคยโดน hack แล้วจะเอาอะไรกับเว็บไทย

สวัสดีครับ ช่วงนี้ผมเองวุ่นๆ มาก งานเข้ามากมาย ก็ต้องค่อยๆ แกป้ญหากันไปครับ ..
ยิ่งเจอปัญหายากๆ ย่ิงสนุก จะทำให้เรากล้าแกร่ง และมีประสบการณ์ ขอบคุณปัญหา

วันนี้มีเรื่อง web security มาพูดกันสักนิดนึงครับ 98% ของการ hack web ในปัจจุบัน
มาจากความผิดพลาดของ web application หรือพูดกันแบบบ้านๆ ก็คือ program
ที่เขียนมีจุดอ่อน ทำให้ hacker สามารถใช้ช่องโหว่เข้ามาโจมตีและลักลอบขโมยข้อมูล
ไปได้ ไม่ว่าจะเป็นวิธี injection, cross site script ที่หนักสุดก็คือ upload php shell ..
Injection คือการใช้จุดอ่อนในการเขียน sql เข้ามากระทำต่างๆ กับ database
Cross site script คือการส่ง parameter ต่างๆ ที่สามารถทำงานที่ต้องการผ่าน script
PHP Shell คือ file php เพียง 1 file ที่ upload ขึ้นไปแล้วสามารถทำอะไรก็ได้บน server

สำหรับผมเองจะ stick กับเรื่องพวกนี้มาก เพราะว่าถ้าปล่อยให้หลุดไป ปัญหามันแก้กัน
ลำบาก ไม่รู้ว่ามีคนแอบเอา PHP Shell ไปวางไว้ตรงไหนบ้าง อะไรแบบนี้ file บน server
มีเป็นจำนวนมาก ไล่หาคงไม่เจอแน่ๆ ซึ่งถ้าโดนเข้าไปแล้ว ต่อให้ลง server ใหม่ก็ไม่หาย
เว็บไทย ส่วนใหญ่ไม่ค่อยสนใจเรื่องพวกนี้ ทำให้เว็บใหญ่ๆ ดังๆ หลายที่มีข่าวว่าโดน hack ..

สำหรับท่านที่เป็นโปรแกรมเมอร์ ผมมีวิธีแนะนำในการตรวจสอบและป้องกันง่ายๆ ก่อนที่จะ
upload file ขึ้น server ให้ test ต่างๆ ประมาณนี้ ก็จะทำให้มั่นใจว่าปลอดภัยระดับหนึ่ง ..
1.กรองการส่งค่าแบบ GET เข้ามาทาง URL และอย่าลืมทำการ addslashes() ค่าที่รับมา
ก่อนทุกครั้ง เพื่อป้องการการ injection และการ cross site script
2.อันนี้สำคัญมากคือพวกโปรแกรมที่ปล่อยให้ upload file ขึ้นมาบน server ได้ เท่าที่พบ
บ่อยที่สุด ก็คือพวกประกวดรูปภาพ แล้วให้คนมาโหวต ผมยังไม่เห็นเว็บไหนที่โกงไม่ได้
เพราะว่าพวกที่จะ hack ก็จ้องอยู่แล้วว่าเมื่อไรจะมี event พวกนี้ จะได้ส่งไปโหวตบ้างได้ของ
วิธีการปั่นโหวต ก็มีสารพัดวิธี แล้วแต่ใครถนัด แต่ก็ยังมีอีกพวก ที่ไม่ชอบปั่นแต่ hard core
คือ hack เข้าไปที่เว็บนั้นๆ เลย วิธีการก็โดยการพยายาม upload PHP Shell ขึ้นไป
ในเมื่อเว็บมีที่ให้ upload อยู่แล้ว การจะ upfile ขึ้นไป ก็ไม่ใช่เรื่องยากเท่าไรนัก ในมุมมอง
ของโปรแกรมเมอร์ อาจจะคิดว่าทำทุกอย่าง กันทุกอย่างแล้ว จะ upload เข้ามาได้อย่างไร
แต่อย่าลืมว่า hacker คือคนที่รู้และมีประสบการณ์ เรื่องพวกนี้ดีกว่า จุดอ่อนและวิธีการ
มีสารพัดวิธี แล้วแต่ใครถนัด ขนาดใช้ MySQL upload file ยังสามารถทำได้เลย ..
ที่จะแนะนำก็คือ ให้เชคให้ละเอียดว่า file ที่ให้ upload เป็น images ที่ไม่เป็นอันตราย
ไม่ใช่ check แค่ extensions หรือใช้ $_FILES เพราะว่าพวกนี้ปลอม header เข้ามาได้
ให้ใช้ getimagesize() แทนจะแน่นอนกว่า สำหรับตัวอย่างสามารถหาดูได้ที่
URL : http://php.net/manual/en/function.getimagesize.php

ปล.วันนี้มาเขียนแค่นี้ก่อนครับ วันหลังเดี๋ยวมาเขียนต่อ รอติดตามกันนะครับ 🙂