Vulnerability and Risk Management

Vulnerability Management, Vulnerability Assessment, Risk Management, Risk Assessment

Sponsored Webinar: เสริมศักยภาพระบบ Security เตรียมความพร้อมรับมือภัยคุกคามไซเบอร์ด้วย Threat Intelligence

TechTalkThai ขอเรียนเชิญผู้ที่สนใจทางด้าน Cyber Security เข้าร่วมฟัง Sponsored Webinar ในหัวข้อเรื่อง “เสริมศักยภาพระบบ Security เตรียมความพร้อมรับมือภัยคุกคามไซเบอร์ด้วย Threat Intelligence โดย FireEye ประเทศไทย” ในวันศุกร์ที่ 24 มีนาคม 2017 ผ่านทาง Live Webinar ฟรี ไม่มีค่าใช้จ่าย

Read More »

ให้เพิ่ม 2 เท่า !! Google และ Microsoft ปรับรางวัล Bug Bounty Program ใหม่

สัปดาห์ที่ผ่านมา ทั้ง Google และ Microsoft ต่างออกมาประกาศปรับรางวัลของผู้ที่รายงานช่องโหว่ผ่าน Bug Bounty Program ใหม่ โดยให้เงินตอบแทนมากกว่าเดิมสูงสุดถึง 2 เท่า มีผลแล้ววันนี้

Read More »

พบช่องโหว่บน Android เสี่ยงถูกขโมยข้อมูลผ่านช่องเสียบหูฟัง

Roee Hay และ Sagi Kedmi สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Aleph Security ออกมาเปิดเผยถึงช่องโหว่บนอุปกรณ์ Android ที่ช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญ, บายพาส ASLR, ทำ Factory Reset หรือแม้กระทั้งเข้าถึง Android HBOOT Bootloader ผ่านทางการเชื่อมต่อหูฟังได้

Read More »

วิดีโอสอนการติดตั้ง Kali Linux บน Android แบบง่ายๆ

บทความสำหรับสายห่ามโดยเฉพาะครับ ใครสนใจรัน Kali Linux บนสมาร์ทโฟนหรือแท็บเล็ต Android เอาไว้ทดสอบเจาะระบบแบบง่ายๆ ภายในไม่กี่นาที สามารถดูวิธีการติดตั้งได้ที่นี่เลย

Read More »

Intel Security ปล่อย Rootkit Scanner ตรวจสอบช่องโหว่ที่ CIA ใช้ในเอกสาร Vault 7

หลังจากที่ WikiLeaks ได้ออกมาเปิดเผยถึงวิธีการต่างๆ ที่ CIA ใช้ในการโจมตีจากโครงการ Vault 7 เมื่อเร็วๆ นี้ ทาง Intel Security จึงได้เข้าไปทำการศึกษาเอกสารเหล่านั้น และพัฒนาเครื่องมือสำหรับใช้ตรวจสอบช่องโหว่บน Windows, macOS, Linux และ UEFI Shell ได้ว่าคอมพิวเตอร์เคยถูก CIA โจมตีหรือไม่

Read More »

Vault 7 จาก WikiLeaks เผย CIA สามารถบายพาสผลิตภัณฑ์ Security ได้ถึง 21 ราย

WikiLeaks ได้ออกมาเปิดเผยถึง Vault 7 ซึ่งเป็นเอกสารข้อมูลชุดเครื่องมือแฮ็คที่ CIA ใช้งาน จากการตรวจสอบเอกสารล่าสุดพบว่า เครื่องมือดังกล่าวช่วยให้ CIA สามารถบายพาสผลิตภัณฑ์ด้านความมั่นคงปลอดภัยของ Vendor ชื่อดังได้ถึง 21 ราย ไม่ว่าจะเป็น Trend Micro, Symantec, Kaspersky และ McAfee

Read More »

WikiLeaks ออกมาเปิดเผยเครื่องมือที่ CIA ใช้ Hack ทั่วโลก ระบุมีทีมสร้าง Malware โดยเฉพาะ

นับเป็นเรื่องใหญ่ไม่น้อย เมื่อ WikiLeaks ได้ออกมาเปิดเผยในโครงการ Vault 7 ถึงข้อมูลที่ได้รับมาจากหน่วยงาน Central Intelligence Agency หรือ CIA เกี่ยวกับเอกสารและเครื่องมือต่างๆ ที่ทาง CIA ใช้ในการ Hack รวมไปถึง Malware ต่างๆ ที่ถูกพัฒนาขึ้นมาโดยเฉพาะด้วย และมีผู้ผลิตหลายรายที่ตกเป็นเป้าของการโจมตี ไม่ว่าจะเป็น Apple, Google, Samsung, Microsoft, Oracle, MikroTik และ Linux (คำเตือน ยาวมาก)

Read More »

WikiLeaks เผยข้อมูล Vault 7 ชุดเครื่องมือแฮ็คของ CIA ขนาดกว่า 500MB

WikiLeaks เว็บไซต์จอมแฉเอกสารลับของรัฐบาลและบริษัทต่างๆ ออกมาเปิดเผยถึงข้อมูลชุดเครื่องมือแฮ็ค โค้ดเนมว่า Vault 7 ซึ่งทางบริษัทอ้างว่าเป็นข้อมูลของชุดเครื่องมือที่หน่วยข่าวกรองสหรัฐฯ หรือ CIA ใช้งาน โดยมีขนาด 513 MB พร้อมเปิดให้ผู้ที่สนใจดาวน์โหลดไปอ่านได้ทันทีผ่าน Torrent

Read More »

TechTalk Webinar: วิดีโอย้อนหลังเรื่อง “Security Development Lifecycle (SDL) 101″ โดย MaYaSeVeN

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Security Development Lifecycle (SDL) 101 เขียนโค้ดไม่ปลอดภัย เป็นบาป” โดย MaYaSeVeN ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถดูวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Read More »

นักวิจัยค้นพบบั๊ก นั่ง Uber ได้ฟรี!

Anand Prakash นักวิจัยด้านความปลอดภัยได้ค้นพบบั๊กที่ทำให้สามารถนั่ง Uber ได้ฟรีเมื่อเดือนสิงหาคม 2016 ที่ผ่านมา

Read More »

Web Cache Deception Attack: หลอกเว็บให้แคชข้อมูลส่วนบุคคล

พบช่องโหว่บน 3 เว็บแอพพลิเคชันชื่อดัง รวมไปถึง PayPal.com Omer Gil หัวหน้าทีมความมั่นคงปลอดภัยสารสนเทศของ EY Hacktics Advanced Security Center จากอิสราเอล ออกมาเปิดเผยถึงช่องโหว่บน Caching Server ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อหลอกให้ Server แคชข้อมูลความลับ เช่น ข้อมูลส่วนบุคคลและข้อมูลการเงิน จากนั้นเข้าไปขโมยข้อมูลจากที่แคชไว้ได้ Gil ตั้งชื่อการโจมตีนี้ว่า Web Cache Deception Attack

Read More »

HackerOne พร้อมจัด Bug Bounty Program ให้โปรเจ็คท์ Open-source ฟรี

HackerOne ผู้ให้บริการแพลตฟอร์มสำหรับทำ Bug Bounter Program ชั้นนำของโลก ประกาศเปิดให้โปรเจ็คท์ Open-source สามารถลงทะเบียนเพื่อจัดทำ Bug Bounty Program ได้ฟรี พร้อมสนับสนุนให้เหล่าผู้พัฒนา Open-source ออกแบบแอพพลิเคชันให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น

Read More »

5 สิ่งที่เราได้เรียนรู้จากการที่ Amazon S3 หยุดให้บริการ

ไม่กี่วันที่ผ่านมา เกิดเหตุการณ์ Amazon S3 ในแถบรัฐเวอร์จิเนียตอนเหนือ (N. Virginia หรือ US-EAST-1 Region) ประสบปัญหาทำงานผิดปกติ ซึ่งส่งผลกระทบต่อบริการอื่นๆ ที่เชื่อมโยงกับ S3 และทำให้ผู้ใช้บริการ AWS หลายล้านรายไม่สามารถให้บริการลูกค้าได้ จนถึงตอนนี้ทราบสาเหตุแล้วว่าเกิดจากการที่วิศวกรของ AWS รันคำสั่งผิด

Read More »

บายพาส reCAPTCHA โดยใช้ “ช่องโหว่ทางตรรกะ” ของ Google

นักวิจัยด้านความมั่นคงปลอดภัยนาม East-Ee ออกมาเปิดเผยถึงสิ่งที่เขาเรียกว่า “ช่องโหว่ทางตรรกะ (Logic Vulnerability)” ซึ่งช่วยให้เขาสามารถสร้างสคริปต์ Python เพื่อบายพาสการตรวจสอบว่าเป็น Bot ของ ReCAPTCHA กว่าล้านเว็บไซต์ได้โดยใช้บริการของ Google อีกรายการหนึ่ง คือ Speech Recognition API

Read More »

พนักงาน Google ตั้ง Operation Rosehub แพตช์ช่องโหว่ Mad Gadget ในโปรเจคโอเพ่นซอร์สบน Github

หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github  

Read More »

TechTalkThai จับมือกับ Black Hat พร้อมมอบส่วนลด 15% เมื่อลงทะเบียนเข้าร่วมงาน Black Hat Asia 2017

TechTalkThai จับมือเป็น Media Partner กับ Black Hat พร้อมเชิญชวนผู้ที่สนใจทางด้าน Security เข้าร่วมงานประชุมระดับนานาชาติ “Black Hat Asia 2017” ที่ประเทศสิงคโปร์ในวันที่ 28 – 31 มีนาคมนี้ พร้อมมอบส่วนลด 15% ทันทีเมื่อใส่โค้ด “BHATTT17” ขณะลงทะเบียน

Read More »

พบช่องโหว่ SQL Injection บน WordPress Plugin เสี่ยงข้อมูลถูกขโมย

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ SQL Injection บน NextGEN Gallery ซึ่งเป็น Plugin ของ WordPress ที่มียอดดาวน์โหลดมากกว่า 1,000,000 ครั้ง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์ออกจากฐานข้อมูลได้

Read More »

พบช่องโหว่ ESET Antivirus บน macOS เสี่ยงถูกแฮ็คจากระยะไกล

Jason Geffner และ Jan Bee นักวิจัยด้านความมั่นคงปลอดภัยจาก Google ออกมาเปิดเผยถึงช่องโหว่บนซอฟต์แวร์ Endpoint Antivirus 6 for macOS ของ ESET ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งรันโค้ดแปลกปลอมบนเครื่องของเหยื่อโดยใช้สิทธิ์ Root จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้ แนะให้ผู้ใช้อัปเดตแพทช์ล่าสุดโดยด่วน

Read More »

Subversion Repositories: เหยื่อรายแรกของ SHA-1 Collision Attack

เพียงแค่วันเดียวหลังจากที่ Google ประกาศว่า สามารถพัฒนาการโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกันได้ หรือที่เรียกว่า SHA-1 Collision Attack นักพัฒนาจาก WebKit ซึ่งเป็น Web Browser Engine สำหรับใช้ใน Safari, App Store และแอพพลิเคชันอื่นของ Apple ก็ออกมาเปิดเผยถึงปัญหาของ Subversion (SVN) Repositories ที่ใช้เก็บซอร์สโค้ดอันเนื่องมาจากการโจมตีดังกล่าว

Read More »

Cloudbleed: พิมพ์โค้ดผิดจุดเดียว กลายเป็นช่องโหว่เผยข้อมูลกว่าล้านเว็บไซต์ที่อยู่หลัง Cloudflare

Tavis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Buffer Overflow บน CloudFlare ผู้ให้บริการ CDN และ Web Security ชื่อดัง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์เหล่านั้น ไม่ว่าจะเป็น Passwords, Cookies และ Tokens ที่ใช้ในการพิสูจน์ตัวตนออกไปได้ โดยเรียกช่องโหว่นี้ว่า Cloudbleed

Read More »