SQL Injection เป็นเทคนิคที่ใช้ประโยชน์จากส่งคำสั่ง SQL ผ่านทางเว็บแอพพลิเคชันเพื่อไปโจมตีระบบฐานข้อมูลหลังบ้าน โดยอาศัยช่องโหว่ของการใส่ข้อมูล input ของผู้ใช้ ซึ่งการโจมตีรูปแบบนี้ถูกค้นพบมานานหลาย 10 ปีแล้ว แต่ยังคงนำความปวดหัวมาให้แก่เหล่าผู้ดูแลระบบฐานข้อมูลมาจนถึงปัจจุบันนี้
Read More »ฟรี !! 6 เครื่องมือสแกนช่องโหว่บนระบบเครือข่าย
สำหรับทีมรักษาความปลอดภัยขององค์กร คงเป็นเรื่องยากลำบากในการตรวจสอบว่า ระบบเครือข่ายของตนเองมีช่องโหว่ หรือความเสี่ยงที่อาจจะถูกโจมตีตรงจุดไหนบ้าง อุปกรณ์สำหรับสแกนช่องโหว่จึงเป็นหนึ่งในเครื่องมือสำคัญที่ใช้การตรวจสอบ เนื่องจากมีเคสในการทดสอบ และการจำลองสถานการณ์ที่หลากหลาย บางชนิดสามารถแพทช์ระบบให้โดยอัตโนมัติได้อีกด้วย อย่างไรก็ตาม บางองค์กรอาจไม่สามารถจัดสรรงบประมาณให้เพียงพอต่อการใช้งานอุปกรณ์ชื่อดังในตลาด ทางทีมงาน TechTalkThai จึงรวบรวมเครื่องมือสแกนช่องโหว่ที่ไม่จำเป็นต้องเสียค่าใช้จ่ายมาไว้ ณ ที่นี้แล้ว
Read More »10 อันดับภัยคุกคามบนระบบฐานข้อมูล
Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. บริษัทชั้นนำทางด้านระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2013 ดังนี้ 1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)
Read More »CC EAL4+ / ICSA / FCC / RoHS มาตรฐานเหล่านี้คืออะไร ?
หลายท่านเมื่ออ่าน Data Sheet ของผลิตภัณฑ์ประเภท IT Enterprise-grade หรือในเอกสารข้อกำหนดโครงงาน (Term of Reference) แล้วเจอการบรรยายคุณสมบัติ เช่น “ผ่านการประเมิน Common Criteria EAL4+”, “ได้รับการรับรองจาก ICSA” หรือ “ผ่านมาตรฐานสินค้า CE, FCC หรือเทียบเท่า” คงมีข้อสงสัยหรือคำถามเกิดขึ้นในใจแน่นอนว่า ตัวอักษรย่อ การรับรอง หรือมาตรฐานเหล่านี้คืออะไร มีความหมายว่าอย่างไร แล้วมันสำคัญขนาดนั้นเลยหรือ ทางทีมงาน TechTalkThai จึงรวบรวมข้อมูลมาตรฐานเหล่านี้มาเพื่อให้ทุกท่านที่เกี่ยวข้องกับ Enterprise IT ได้เข้าใจถึงความหมายและความสำคัญของมาตรฐานดังกล่าว โดยขอแบ่งออกเป็น 2 ประเภทใหญ่ๆ คือ มาตรฐานความปลอดภัยทางด้าน IT และเครื่องหมายรับรองผลิตภัณฑ์
Read More »7 สิ่งที่ต้องทำถ้าคุณเป็นผู้ดูแลระบบฐานข้อมูล
เนื่องจากในปัจจุบันนี้ องค์กรส่วนใหญ่ในประเทศไทยเน้นการรักษาความปลอดภัยที่หน้าบ้านเป็นสำคัญ ไม่ว่าจะใช้ Next Generation Firewall, Next Generation IPS หรือ Web Application Firewall ราคาหลายล้านบาท โดยคาดหวังไว้ว่าระบบเครือข่ายของตนเองนั้นปลอดภัยจากการแฮ็คหรือการขโมยข้อมูล โดยไม่ได้ตระหนักเลยว่า ภัยคุกคามที่เป็นอันตรายต่อองค์กรมากที่สุด ไม่ใช่แฮ็คเกอร์ภายนอก แต่เป็นคนภายในบริษัทด้วยกันเอง โดยเฉพาะอย่างยิ่ง บริษัทที่จ้าง Outsource หรือ SI มานั่งทำงานโดยที่ไม่มีการกำหนดสิทธิ์ในการเข้าถึงระบบเครือข่ายภายในใดๆเลยแม้แต่น้อย
Read More »