เว็บไซต์นี้มีการใช้งานคุกกี้ หากกด "ยอมรับทั้งหมด" จะเป็นการให้ความยินยอมทุกประเภทของคุกกี้ที่เว็บไซต์นี้ใช้งาน อย่างไรก็ตามควรทำการอ่านคำอธิบายก่อนกดยอมรับ โดยกดที่ "ตั้งค่าคุกกี้" เพื่อให้คำยินยอมตามความเหมาะสมของผู้ใช้งานได้ โดยศึกษาเพิ่มเติมได้จาก นโยบายคุกกี้
July 14, 2014 Database Security, Endpoint Security, IT Knowledge, IT Tools, Security, Web Security ก่อนหน้านี้ผมเคยสรุป Tool ฟรีสำหรับสแกนช่องโหว่ของระบบ มาให้ คราวนี้ก็คล้ายๆกันครับ มาดูกันว่า Tool สำหรับใช้เจาะช่องโหว่เจ๋งๆมีอะไรกันบ้าง Tool สำหรับเจาะช่องโหว่ไม่ได้เป็นเครื่องมือสำหรับแฮ็คเกอร์ (Black Hacker) เพียงอย่างเดียว มันยังช่วยให้แฮ็คเกอร์ (White Hacker) สามารถทดลองเจาะระบบเพื่อตรวจสอบและป้องกันช่องโหว่ได้อีกด้วย ในเมื่อเราใช้เครื่องมือเดียวกับแฮ็คเกอร์ในการเจาะช่องโหว่ เราก็สามารถอุดช่องโหว่เหล่านั้นได้ก่อนที่แฮ็คเกอร์จะโจมตีเข้ามา 1. W3af เป็นตัวสแกนและเจาะช่องโหว่เว็บแอพพลิเคชันแบบ Open-source ซึ่งจะให้ข้อมูลเกี่ยวกับช่องโหว่ที่ตรวจพบเจอและวิธีการอุดช่องโหว่เบื้องต้น โปรแกรมนี้ถูกพัฒนาโดยภาษา Python และใช้งานได้ผ่านทั้ง GUI และ Command Line 2. Dradis เครื่องมือสำหรับแชร์ข้อมูลระหว่างทำ Pentest ในกรณีที่มีผู้ทดสอบระบบหลายคนทำงานโปรเจ็คท์เดียวกันพร้อมๆกัน Tool ตัวนี้จะทำหน้าที่เก็บและแชร์ข้อมูลทั้งหมดแบบรวมศูนย์เพื่อป้องกันการทดสอบระบบหรือรายงานผลซ้ำซ้อนกัน รองรับการติดตั้งบน BackTrack, Ubuntu, FreeBSD, Mac OS X, Apache และ Metasploit's Cygwin 3.
เรื่อง แนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-led เลขที่ ธปท. ฝตท. (01) ว. 1252 วันที่ออกหนังสือเวียน 4 กันยายน 2562 วันที่มีผลบังคับใช้ - วันที่สิ้นสุดผลบังคับใช้ - สถาบันผู้เกี่ยวข้อง 1. ธนาคารพาณิชย์จดทะเบียนในประเทศ 2. ธนาคารพาณิชย์ที่จดทะเบียนในต่างประเทศ วัตถุประสงค์/หลักการ/เหตุผล นอกเหนือจากการวางระบบป้องกันแล้ว การตรวจจับภัยไซเบอร์ที่คุกคามองค์กรเป็นสิ่งจำเป็นในการรับมือภัยไซเบอร์ได้อย่างทันการณ์ การทดสอบเจาะระบบเป็นหนึ่งในขั้นตอนสำคัญของการตรวจจับภัยไซเบอร์ผ่านการตรวจหาช่องโหว่ของระบบและบริหารจัดการเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ธนาคารแห่งประเทศไทยได้ออกประกาศที่ สนส.
Static load Test แบบเสาเข็มสมอคือการทดสอบเสาเข็มที่ตอกเสาเข็มเป็นสมอยึดคานรับแม่แรง (Hydroulic Jack) โดยอาศัยแรงฝืดของดินเป็นตัวต้านแรงถอนตัวจากแรงที่กดลงเสาเข็มทดสอบ การตอกเข็มสมอลงบนดินควรตอกในชั้นดินเหนียวเนื่องจากจะมีความฝืดมากกว่าดินประเภทอื่นๆ 2.
Covering Tracks ( การลบร่องรอย) คือ ขั้นตอนเมื่อ Hacker สามารถครอบครองได้อย่างสมบูรณ์และสร้างช่องทางเดิมไว้ใช้ต่อได้แล้ว ก็จะลบหลักฐานในการ Hack และร่องรอยของตัวมันเองออกไป เพื่อซ่อนตัวจากการถูกตรวจสอบจากผู้ดูแลระบบหรือการเอาผิดทางกฎหมายนั้นเอง โดยจะพยายามลบร่องรอยที่เกิดจากการเจาะระบบทั้งหมด เช่น Log File หรือข้อความแจ้งเตือนจาก Intrusion detection system (IDS) เป็นต้น (Tools) ที่ใช้ในการ Covering Tracks KWrite อ้างอิง
ตัวอย่างรูปแบบการทำ Pentest ของ ACIS กำจัดจุดอ่อน! ACIS ขอแนะนำบริการ Pentest โดยใช้วิธีการเจาะระบบเพื่อหาช่องโหว่ของระบบไอทีขององค์กร ด้วยการให้ผู้เชี่ยวชาญจำลองสถานการณ์เป็นแฮกเกอร์เพื่อหาจุดอ่อนต่าง ๆ ของระบบในแต่ละส่วน และรายงานผลเพื่อใช้ในการปรับปรุง ปิดช่องโหว่เหล่านั้นได้ทันท่วงที ซึ่งเป็นการป้องกันปัญหาการโจมตีที่ไม่คาดคิดในอนาคต โดยมีการยกตัวอย่างรูปแบบของการทดสอบ ดังนี้ 1. การทดสอบ Wireless Network การทดสอบเจาะระบบเครือข่ายไร้สายเพื่อดูความแข็งแกร่งในการป้องกันผู้บุกรุก เนื่องจากเครือข่ายประเภทนี้ไม่สามารถกำหนดขอบเขตได้เหมือนเครือข่ายทั่วไป และอาจมีปัญหาในเรื่องของการลักลอบติดตั้งอุปกรณ์เชื่อมต่อเครือข่ายไร้สาย จึงทำให้วิธีนี้เป็นอีกหนึ่งวิธีที่ผู้บุกรุกนิยมใช้โจมตีเพื่อเข้าเครือข่ายภายในได้ 2. การทดสอบ War Dialing การทดสอบเจาะระบบจากภายนอกโดยการค้นหาหมายเลขโทรศัพท์ที่เปิดให้บริการโมเด็มเชื่อมต่อเข้าสู่เครือข่ายภายในขององค์กร ซึ่งการทดสอบนี้จะสุ่มชื่อผู้ใช้งาน และรหัสผ่านสำหรับเบอร์โทรศัพท์ที่เปิดให้บริการโมเด็ม จนลักลอบสู่เครือข่ายภายในได้ 3. การทดสอบ Web Application การทดสอบเจาะระบบเว็บแอปพลิเคชันตามแนวทางของ OWASP ซึ่งเว็บแอปพลิเคชันจัดว่าเป็นระบบที่ใช้ดำเนินธุรกิจและเว็บไซต์ขององค์กร ดังนั้นการนำเว็บแอปพลิเคชันไปใช้งานจริง หรือหากมีการเปลี่ยนแปลงใด ๆ จำเป็นต้องมีการทดสอบเจาะระบบเพื่อหาช่องโหว่ที่หลงเหลืออยู่ หรือช่องโหว่ที่เกิดขึ้นใหม่ ซึ่งถือว่าเป็นวิธีที่ช่วยลดความเสี่ยงของการโจมตีเว็บไซต์ในอนาคตได้ สนใจบริการของเราสามารถสอบถามข้อมูลเพิ่มเติมที่: Tel: +66 2 253 4736 Website: Line ID: @acis Facebook:
กระบวนการและขั้นตอนในการ ทดสอบเจาะระบบ สารสนเทศ โดยใช้หลักสูตร Certified Ethical Hacker (C|EH) ในการอ้างอิงเพราะเป็นหลักสูตรชั้นนำของโลกทางด้านความมั่นคงปลอดภัยสารสนเทศของบริษัท EC-Council สามารถแบ่งขั้นตอนได้ดังนี้ ขั้นตอนการ เจาะระบบ (Hacking Phases) 1.
Covering Tracks (การลบร่องรอย) คือ ขั้นตอนเมื่อ Hacker สามารถครอบครองได้อย่างสมบูรณ์และสร้างช่องทางเดิมไว้ใช้ต่อได้แล้ว ก็จะลบหลักฐานในการ Hack และร่องรอยของตัวมันเองออกไป เพื่อซ่อนตัวจากการถูกตรวจสอบจากผู้ดูแลระบบหรือการเอาผิดทางกฎหมายนั้นเอง โดยจะพยายามลบร่องรอยที่เกิดจากการเจาะระบบทั้งหมด เช่น Log File หรือข้อความแจ้งเตือนจาก Intrusion detection system (IDS) เป็นต้น ยกตัวอย่างเครื่องมือ (Tools) ที่ใช้ในการ Covering Tracks o Clearev o KWrite อ่านความรุู้เพิ่มเติมเกี่ยวกับ Cyber ได้ที่ Penetration Testing ขอบคุณที่มา: