OWASP หรือ Open Web Application Security Project เป็นมาตรฐานความปลอดภัยของเว็บแอปพลิเคชัน ที่ร่วมกันจัดทำโดยองค์กรไม่แสวงหากำไร ถือเป็นช่องโหว่หลักที่สาย developer และ IT security ไม่ควรพลาด และในปีนี้ 2021 ทาง OWASP ได้มีการรวบรวมความเสี่ยงที่พบเจอมากสุดในช่วงปี 2017–2021 ออกมาใหม่ดังรูปด้านล่าง แต่ยังเป็นเวอร์ชั่น Draft for peer review

A01–2021: Broken Access Control การอนุญาตให้เข้าถึงข้อมูลโดยที่ไม่มีการจำกัดสิทธิ์การเข้าถึง เช่น directory indexing ทำให้คนที่ไม่มีสิทธิ์สามารถเห็นไฟล์ต่างๆบนแอพพลิเคชั่น อย่างไฟล์ backup database, การให้สิทธิ์กับบาง user มากเกินไปทำให้สามารถแก้ไขข้อมูลของ user คนอื่นได้โดยที่เจ้าของไม่ทราบ ซึ่งผู้ไม่หวังดีอาจใช้ประโยชน์จากข้อบกพร่องในการควบคุมการเข้าถึงของแอพพลิเคชั่นที่เรียกว่า “forced browsing” เมื่อผู้ไม่หวังดีทราบ URL ที่เฉพาะคนที่มีสิทธิ์เท่านั้นหรือ…

เกริ่นก่อนว่าบล็อคนี้เป็นแค่การแชร์ประสบการณ์ความรู้สึกของ junior คนนึงเท่านั้นหลังเข้ามาทำงาน และหวังว่าบล็อคนี้จะเป็นประโยชน์ให้กับกลุ่มคนที่สนใจและอยากเริ่มต้นทำงานเป็น pentester

ก่อนเริ่มอ่านบล็อคนี้ อยากให้ลองจินตนาการเขียนลงกระดาษก่อนว่า pentester ในมุมที่เราเข้าใจคืออะไร แล้วหลังจากอ่านบล็อคนี้จบแล้ว คำตอบยังตรงกันไหม

Background ของผู้เขียน ก่อนได้มาทำงานเป็น pentester

  • ไม่ได้จบสายคอมนะ จบวิศวอิเล็กทรอนิกส์และโทรคมนาคม
  • หลังเรียนจบมีโอกาสได้งานเป็น web developer ราวๆเกือบ 2 ปีเต็ม
  • เริ่มสนใจเรื่อง security หลังลองทำงานเป็น developer และมีโอกาสได้ทำงานอาสาเพื่อสังคมพวกกลุ่ม security community เลยค่อยๆซึมซับศัพท์จากคนรอบข้างไปเรื่อยๆ แล้วก็ลองเล่นแลปเอง…

Today i would like to review how TryHackMe good for practice to be a pentester. I still not finished OSCP path on TryHackMe yet. As far as i read review blog people talk about prepare OSCP exam.They all recommended HackTheBox and Vulnhub by following TJnull in this link

บางครั้งเราอาจได้รับโจทย์ว่า ลองเข้าไปเช็ค servers ทั้งหมดในบริษัทให้หน่อยสิ ว่าติดตั้ง patch สำเร็จแล้วรึยัง หรือเข้าไป add user ในทุกเครื่องชั่วคราวเพื่อจะทำการ test บนเครื่องนั้นๆภายในเวลาเร่งด่วน ถ้าลิสต์ servers ที่เราต้องทำการ implement มีเป็นหมื่นเครื่อง ให้เวลาเรา 1 อาทิตย์ โดยมีคนในทีมแค่ 3 คน คิดว่าจะนั่ง remote เข้าไปทีละเครื่องๆทั้งวัน จะเสร็จทันไหมนะ ??
เรามารู้จักตัวช่วยตัวหนึ่งของ windows module ที่ชื่อว่า wmi กัน …

wmi หรือชื่อเต็มคือ WINDOWS MANAGEMENT INSTRUMENTATION เป็น framework ที่ใช้ในการจัดการ windows ในการรันคำสั่งโดยใช้สิทธิ์ admin หรือดึงรายละเอียดต่างๆบนวินโดว์ ส่วนใหญ่นำมาใช้ในงาน monitor…

Ploy Thanasornsawan

passion coding and develop my world

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store