Web Security Upload File

Web Security

http://zone-h.org ยังเคยโดน hack แล้วจะเอาอะไรกับเว็บไทย

สวัสดีครับ ช่วงนี้ผมเองวุ่นๆ มาก งานเข้ามากมาย ก็ต้องค่อยๆ แกป้ญหากันไปครับ ..
ยิ่งเจอปัญหายากๆ ย่ิงสนุก จะทำให้เรากล้าแกร่ง และมีประสบการณ์ ขอบคุณปัญหา

วันนี้มีเรื่อง web security มาพูดกันสักนิดนึงครับ 98% ของการ hack web ในปัจจุบัน
มาจากความผิดพลาดของ web application หรือพูดกันแบบบ้านๆ ก็คือ program
ที่เขียนมีจุดอ่อน ทำให้ hacker สามารถใช้ช่องโหว่เข้ามาโจมตีและลักลอบขโมยข้อมูล
ไปได้ ไม่ว่าจะเป็นวิธี injection, cross site script ที่หนักสุดก็คือ upload php shell ..
Injection คือการใช้จุดอ่อนในการเขียน sql เข้ามากระทำต่างๆ กับ database
Cross site script คือการส่ง parameter ต่างๆ ที่สามารถทำงานที่ต้องการผ่าน script
PHP Shell คือ file php เพียง 1 file ที่ upload ขึ้นไปแล้วสามารถทำอะไรก็ได้บน server

สำหรับผมเองจะ stick กับเรื่องพวกนี้มาก เพราะว่าถ้าปล่อยให้หลุดไป ปัญหามันแก้กัน
ลำบาก ไม่รู้ว่ามีคนแอบเอา PHP Shell ไปวางไว้ตรงไหนบ้าง อะไรแบบนี้ file บน server
มีเป็นจำนวนมาก ไล่หาคงไม่เจอแน่ๆ ซึ่งถ้าโดนเข้าไปแล้ว ต่อให้ลง server ใหม่ก็ไม่หาย
เว็บไทย ส่วนใหญ่ไม่ค่อยสนใจเรื่องพวกนี้ ทำให้เว็บใหญ่ๆ ดังๆ หลายที่มีข่าวว่าโดน hack ..

สำหรับท่านที่เป็นโปรแกรมเมอร์ ผมมีวิธีแนะนำในการตรวจสอบและป้องกันง่ายๆ ก่อนที่จะ
upload file ขึ้น server ให้ test ต่างๆ ประมาณนี้ ก็จะทำให้มั่นใจว่าปลอดภัยระดับหนึ่ง ..
1.กรองการส่งค่าแบบ GET เข้ามาทาง URL และอย่าลืมทำการ addslashes() ค่าที่รับมา
ก่อนทุกครั้ง เพื่อป้องการการ injection และการ cross site script
2.อันนี้สำคัญมากคือพวกโปรแกรมที่ปล่อยให้ upload file ขึ้นมาบน server ได้ เท่าที่พบ
บ่อยที่สุด ก็คือพวกประกวดรูปภาพ แล้วให้คนมาโหวต ผมยังไม่เห็นเว็บไหนที่โกงไม่ได้
เพราะว่าพวกที่จะ hack ก็จ้องอยู่แล้วว่าเมื่อไรจะมี event พวกนี้ จะได้ส่งไปโหวตบ้างได้ของ
วิธีการปั่นโหวต ก็มีสารพัดวิธี แล้วแต่ใครถนัด แต่ก็ยังมีอีกพวก ที่ไม่ชอบปั่นแต่ hard core
คือ hack เข้าไปที่เว็บนั้นๆ เลย วิธีการก็โดยการพยายาม upload PHP Shell ขึ้นไป
ในเมื่อเว็บมีที่ให้ upload อยู่แล้ว การจะ upfile ขึ้นไป ก็ไม่ใช่เรื่องยากเท่าไรนัก ในมุมมอง
ของโปรแกรมเมอร์ อาจจะคิดว่าทำทุกอย่าง กันทุกอย่างแล้ว จะ upload เข้ามาได้อย่างไร
แต่อย่าลืมว่า hacker คือคนที่รู้และมีประสบการณ์ เรื่องพวกนี้ดีกว่า จุดอ่อนและวิธีการ
มีสารพัดวิธี แล้วแต่ใครถนัด ขนาดใช้ MySQL upload file ยังสามารถทำได้เลย ..
ที่จะแนะนำก็คือ ให้เชคให้ละเอียดว่า file ที่ให้ upload เป็น images ที่ไม่เป็นอันตราย
ไม่ใช่ check แค่ extensions หรือใช้ $_FILES เพราะว่าพวกนี้ปลอม header เข้ามาได้
ให้ใช้ getimagesize() แทนจะแน่นอนกว่า สำหรับตัวอย่างสามารถหาดูได้ที่
URL :
http://php.net/manual/en/function.getimagesize.php

ปล.วันนี้มาเขียนแค่นี้ก่อนครับ วันหลังเดี๋ยวมาเขียนต่อ รอติดตามกันนะครับ 🙂

มนต์รัก นักกลอน

สมัยก่อนเคยเป็นคนเจ้าบทเจ้ากลอน แต่ลืมๆ ไปหมดละ ไว้รวมรวมได้
จะเอามาลงครับ โดยเฉพาะที่แต่งให้หญิงนี่อย่างคม มีเพียบ ..

อันนี้แต่งล่าสุดสมัยเรียน วิศวะ ลาดกระบัง

จบมอปลาย มีจุดหมาย ที่ใฝ่ฝัน ต้องผลักดัน ตัวเอง ให้สดใส

ต้องมีหน้า มีตา กว่าใครใคร เรียนอะไร จึงจะเด่น กว่าทุกคน

จึงคิดว่า น่าจะเรียน วิศวะ มุมานะ พากเพียร เรียนฝึกฝน

คะแนน Ent ออกมา มากเหลือล้น แข่งกับคน อื่นได้ สบายใจ

ฉันจึงเลือก วิศวะ ลาดกระบัง ด้วยมุ่งหวัง เรียนสนุก สุขสดใส

ชื่อเสียงก็ ดีมีค่า กว่าที่ใด ถ้าเรียนไป น่าจะดี มีงานทำ

เข้ามาเรียน ที่นี่ได้ ดังใจคิด ทุ่มชีวิต ละอบาย ไม่ถลำ

เพื่อนก็ดี น้ำใจดี ไมตรีงาม กิจกรรม ฉันร่วมด้วย ช่วยทุกงาน

แล้วเทอมแรก ก็ผ่านไป ในไม่ช้า เพื่อนบอกว่า เอ็งเก่ง เอ็งสร้างสรร

ฉันก็แสน สดใส ใจเบิกบาน อีกไม่นาน คงจบได้ ด้วยใจปอง

พอเทอมสอง ฉันเริ่ม ทำงานอื่น แสนสดชื่น รื่นรมณ์ใจ ไม่เศร้าหมอง

เรียนก็ดี งานก็เด่น เป็นครรลอง ใครเขามอง ก็ชื่นชม นิยมเรา

ขึ้นปีสอง เทอมหนึ่ง ซึ่งฉันคิด ว่าชีวิต เท่านี้หนา น่าอดสู

ยังมีอีก หลายวิชา น่าจะรู้ จะมัวอยู่ อย่างนี้ไป ทำไมกัน

เรียนให้ดี ไม่ว่าใคร ก็ทำได้ เกรดมากมาย จบออกไป ใช่สุขสันต์

น่าจะหา ประสบการณ์ ไปด้วยกัน ช่วยผลักดัน ตัวฉันไป ให้มั่นคง ..

JailBreak iPhone 3GS True Move

JailBreak iPhone 3GS True Move

JailBreak iPhone 3GS True Move with Blackra1n

สวัสดีครับ ไม่ได้พูดถึง iPhone มานาน วันนี้มีโอกาสมาเขียนไว้ให้เพื่อนๆ
ที่ search เข้ามาอ่านเกี่ยวกับเรื่อง JailBreak iPhone 3GS ของ True Move
ได้อ่านกันครับ สำหรับ iPhone 3GS ที่ออกมาหลัง Week 40 นั้นตัว Blackra1n
เองยังไม่สามารถ JailBreak ได้สมบูรณ์แบบ คือสามารถ JailBreak ได้
ลง Cydia ได้ แต่ว่าเวลา boot จะไม่สามารถ boot ได้ ต้องต่อกับคอม ที่มี
Blackra1n อยู่ แล้วใช้ Blackra1n make it ra1n อีกครั้ง ..

สำหรับการดูว่า iPhone 3GS ของท่าน ผลิต Week  ไหน ให้ดูที่ตัวเลขลำดับ
ที่ 4-5 ของ Serial Number (ที่ผมขีดสีแดง) จากรูปของผมเป็น Week 45
ซึ่งยังไม่สามารถใช้ Blackra1n ทำการ JailBreak ได้สมบูรณ์ ก็รอกันต่อไป ..

ส่วนถ้าของใครผลิต ก่อน Week 40 ก็สามารถทำการ JailBreak กันได้เลยครับ
เพียง download Blackra1n มาแล้วคลิก make it ra1n ก็เป็นอันเสร็จสิ้นครับ ..

วิธีการ Jailbreak สามารถอ่านได้จาก กระทู้นี้ของคุณโรจน์ ได้เลยครับ
URL : http://www.smart-mobile.com/forum/viewtopic.php?f=153&t=175667

โดยส่วนตัวแล้วถ้าเครื่องคุณหลัง Week 40 ผมไม่แนะนำให้ Jailbreak นะครับ
เพราะว่าถ้าเกิดไปแบตหมด หรือต้องการ reboot เครื่อง จะไม่สามารถทำได้
ต้องไปต่อกับคอม ที่มี Blackra1n แล้วทำการ make it ra1n อีกรอบ ..
แต่ถ้าต้องการใช้งานโปรแกรมบน Cydia อันนี้ก็ต้องยอมเสี่ยงกับตรงนี้ครับ
ตอนนี้โปรแกรมที่มีอยู่ใน App Store ก็เพียงพอสำหรับการใช้งานของผมละ 🙂

OmniGraffle for Mac

OmniGraffle

OmniGraffle http://www.omnigroup.com/

สวัสดีครับ ไม่ได้ update blog มาหลายวัน เพราะว่าวุ่นๆ แล้วก็ไม่ค่อยมีเรื่องจะเขียน
วันนี้พอดีต้องเขียน Network Diagram ก็เลยนึกถึง OmniGraffle ครับสามารถ
download ได้จาก URL ด้านบนครับ ผมเคยใช้สมัย version 4.xx ตอนนี้เป็น 5.2.1
แล้วครับ หลายๆ ส่วนยังเหมือนเดิม เพียงแต่ stencils ที่เกี่ยวกับ server ให้มาน้อย
แต่ตรงนี้ไม่ต้องเป็นห่วงครับ สามารถไป download stencils เพิ่มเติมมากมายได้จาก
http://graffletopia.com/ มี stencils ให้เลือกมากมายหลายหมวดหมู่ครับ ..

OmniGraffle เมื่อเราวาดเสร็จแล้วสามารถ export ได้หลาย format สามารถ
ใช้งานร่วมกับ Visio ของทาง M$ ได้ ใครที่ใช้ Mac แล้วต้องการทำงานเกี่ยวกับ
เขียน Flow Chart, Network Diagram, แผนผังต่างๆ แนะนำครับดีมาก 🙂

Engineering Thailand

Engineering Thailand

Meinhardt Engineering Thailand.

วันนี้มีเว็บมาแนะนำครับ สำหรับท่านที่ต้องการงานทางด้านวิศวกรรม
Consulting Engineer, Design Engineer, Design Consultant, LEED
สามารถเข้าไปหาข้อมูล รายละเอียดต่างๆ ได้ภายในเว็บครับ ..

URL : http://www.meinhardt.net/

New Year 2010

Desktop Wallpaper 2010

Desktop Wallpaper 2010 สวัสดีปีใหม่ 2010 ครับ
ที่มา : http://www.smashingmagazine.com/

จานเหลาและเพื่อนญี่ปุ่น ร้าน Mango Tangoเดินหาซื้อของฝากที่สวนลุมไนท์

พาเพื่อนที่ญี่ปุ่นไปกิน MK ที่ สยามพารากอน พาเดินเล่นแถวสยาม แล้วไปสวนลุุมไนท์

Happy New Year 2010 ที่ Central Worldคนรอ count down เยอะมากที่ Central World (CTW)

ไปชมบรรยากาศ count down กับเพื่อน ที่ Central World คนเยอะมาก 🙂

ปีนี้เป็นปีแรก ที่ผมอยู่ count down ที่ กทม. เพราะว่ามีงานต้องร้บผิดชอบ
หลายอย่าง จะไปปีนเขา ปีนดอย ไปต่างจังหวัด ไปต่างประเทศ อาจจะไม่
สะดวกในการใช้งาน internet ก็เลยอยู่ที่ กทม. นั่งคิด นั่งทำอะไรไปเรื่อย
ดีที่ช่วงนี้บ้าเขียน App บน iPhone ก็เลยไม่เบื่อ มีอะไรให้ทำได้ทั้งวัน ..

สำหรับ Plan ต่างๆ ของผมในปี 2010 ที่วางไว้ คร่าวๆ ไว้เตือนตัวเอง มีประมาณนี้
– ทำรายรับ-รายจ่ายในการใช้เงินทุกวัน ใช้จ่ายประหยัดขึ้น
– ปั้นเว็บที่มีอยู่และกำลังจะทำอย่างเต็มที่ ก่อนกลางปี 2010
– ทำ SMS Gateway ให้มี function ต่างๆ มากกว่านี้ และเป็นอันดับ 1 ของไทย
– ทำ hosting ที่มีอยู่แล้ว ให้มีลูกค้าเพิ่มขึ้น และหันไปเล่นตลาดล่าง ราคาถูก
– รับทำ SEO ให้เป็นรายได้หลัก ตามเป้าหมายที่วางไว้
– เปิดอบรมเชิงสัมมนาเกี่ยวกับการทำ SEO และแนวโน้ม SEO ของโลก
– รับพัฒนา App บน iPhone และพัฒนา App ดีๆ ไปขาย App Store
– ดูแลสุขภาพร่างกาย ตัวเองมากขึ้น งด drink งดเที่ยว (กลางคืน) ให้น้อยลง
– ออกกำลังกายสม่ำเสมอ ปั่น MTB ทุกเสาร์-อาทิตย์
– เดินทาง ท่องเที่ยว ถ่ายรูป ทั่วไทย และ ตปท. ให้มากขึ้น
– พยายามหาคนมาช่วยในส่วนที่ตัวเองไม่ถนัด

การตั้งเป้าหมายประจำปี เป็นสิ่งที่ดี ที่ทำให้เราสามารถประเมินตัวเองได้
ว่าที่เราตั้งเป้าหมายไว้ ในปีนี้ แล้วท้ายปี เราทำได้ดีขนาดไหน มีอะไร
ที่ยังไม่ถึงเป้า และต้องปรับปรุงตรงส่วนไหน ยังขาดตรงไหนบ้างที่ต้องเพิ่ม
ผมก็ก็มีทั้งที่ทำได้ตรงเป้าหมาย และไม่ถึงเป้า ยังไงปีนี้สู้ๆ ครับ ..

ปล.ปีนี้ผมจะรับงานดูระบบเว็บหนักๆ ใหญ่ๆ, งาน audit และงานที่ปรึกษาเรื่องเว็บ
เรื่อง SEO เพิ่มอีกสัก 2 ที่ แต่ไม่เข้าออฟฟิตนะครับ ใครสนใจ ติดต่อเข้ามาได้ครับ 🙂