งานสัมมนา...

งานสมมนา “ยกระดบความมนคงปลอดภยของเวบไซตใหไดมาตรฐาน”

โดย นายพรพรหม ประภากตตกล

Security+ ,ISO27001 Lead auditor ,GPEN ,GCIH

วทยากรจากทม ThaiCERT ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

แนวโนมการโจมตระบบคอมพวเตอรจากอดตถงปจจบน

สถานการณการโจมตของโลกทเปลยนไป จากเดมเจาะผานบรการ มาเจาะผานเครอขาย และสดทายมาจบลงทเจาะเวบไซต

เปดเวบโรงเรยนอนบาลกยงโดนแฮก

เปดเวบโรงเรยนอนบาลกยงโดนแฮก

แฮกเกอรเปนกนงาย มบทเรยนออนไลนและไซตทดสอบ

เดกทไหนกเปนแฮกเกอรได แคเปดวดโอแลวท าตามกบเวบไซตเปาหมาย

หาเปาหมายดวย GHDB (Google Hacking Database)

สวรรคของ Script kiddies

Hall of frame ของแฮกเกอรทวโลก

• http://dark-h.org • http://www.zone-h.org • http://zone-hc.com/ • http://www.hack-mirror.com/ • …..

ป 2557 ไทยเซรตรวบรวมขอมล Web defacement หนวยงานภายในประเทศไทยถง 2500 รายการ โดย 70% เปนหนวยงานภาครฐของไทย

https://www.youtube.com/watch?v=cIs1oRgWEE8

H A C K any website with only one click !! Try it this amazing new hack software !!

What Does a Malicious Hacker Do?

วตถประสงคของการโจมตเวบไซตมหลากหลาย

• ใชเปนตวแทนในการโจมตระบบอนๆตอไป • Botnet

• เหตผลทางการสงคม/การเมอง • Discredit , Squeeze (Sony haked) • DoS / DDoS

• ท าเพอสนก อยากลองวชา • เผยแพรมลแวร

• 1,735 เคสในป 2557 • หลอกลวงเอาเงน / หาผลประโยชน

• Phishing (1,010 เคสในป 2557) • SEO

• อยากใหมคนรจก • Hall of frame

ปจจยของการถกแฮกเวบไซต

• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต

• ไมมการควบคมเรองการใชงาน USB Drive จนท าใหตดมลแวรบนเครองใหบรการเวบไซต

• ไมมอปกรณดานการปองกนการโจมตเวบไซต

สถานการณปญหาเกยวกบการโจมตเวบไซตในประเทศไทย

• เวบไซตสวนใหญทถกแฮกอยในสวนของภาครฐและภาคการศกษา • ผพฒนาเวบไซตพฒนาโดยค านงถงแตฟงกชนการใชงาน ไมค านงถงเรองความมนคงปลอดภย

สงผลใหเวบไซตทพฒนามชองโหว • ผดแลเครองบรการเวบไมมความตระหนกในเรองความมนคงปลอดภย

ท าใหการแกไขปญหาไมไดรบความรวมมอ

• การขาดบคคลากร โดยบางแหงมแตเพยง เวบมาสเตอร หรอในบางแหงไมมเจาหนาทดานสารสนเทศเลย ท าให ไมสามารถตรวจสอบและแกไขปญหาเวบไซตทตนเหต • ท าไดเพยงแกปญหาทปลายเหต ซงปญหาของการแฮกเขา

มานนยงคงอยและเกดเหตซ าอยตลอดเวลา

วเคราะหปจจยของการถกแฮกเวบไซต

• ตอใหมกระบวนการทดแตคนไมปฎบตตามก “ไมเกดประโยชน”

• ตอใหมเทคโนโลยการปองกนเวบไซตทดแคไหน แตถาคนใชงานไมเปนก “ไมเกด

ประโยชน”

• คนเปนปจจยทท าใหเกดปญหา แตในขณะเดยวกนกเปนปจจยเดยวทถกใชในการ

แกปญหาอยางมประสทธภาพได

• หากทมม “คนทมประสทธภาพ” ปจจยทกอยางจะถกเชอมโยงและแกไขใหดขน

• ศกยภาพไมไดเกดขนเอง “ตองพฒนา”

เมอ “คนมประสทธภาพ”

• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต • แตถามกระบวนการและการควบคมทดยอมชวยแกไขปญหา

ได

• ไมมการควบคมเรองการใชงานระบบจนท าใหตดมลแวรบนเครองใหบรการเวบไซต • แตถามการระบเรองแนวทางการปฎบตงานดานความมนคง

ปลอดภยไวชด ยอมชวยแกไขปญหาได

• ไมมอปกรณปองกนดานการโจมตเวบไซต • แตถาคนมความร บางเรองกไมจ าเปนตองจดหาอปกรณใดๆ

รวมถงคนทมประสทธภาพยอมหมนแสวงหาความรเพมเตมอยตลอดเวลา

แลวจะปองกนการถกแฮกเวบไซตไดยงไง แนวทาง เวลา เงน ประสทธภาพ

เรยนรวธการโจมต และน ามาลองประยกตทดสอบกบเวบไซต

มาก มาก ปานกลาง

เรยนรจากประสบการณทเคยพบ แลวแกไขในแตละจด

ปานกลาง นอย ปานกลาง

เรยนรวธการปองกนจากสงทมคนรวบรวม แลวน ามาประยกตใช

ปานกลาง นอย มาก

จดหาอปกรณดานการปองกนการโจมตเวบไซต นอย มาก ปานกลาง

หมายเหต : ตารางดงกลาวจดท าขน เพอเปนตวอยางในการพจารณาแนวทางการแกไขปญหา ซงสามารถประยกตน าไปประยกตใชเพอการประเมนแนวทางการปองกนการถกแฮกเวบไซตไดตอไป

Website Security Standard (WSS) คออะไร • ชอภาษาไทย : มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต • เวอรชนเอกสาร : 1.0 • สถานะเอกสาร : ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส • วนทประกาศ : 30 กนยายน 2557 • รหสเอกสาร : ขมธอ.1 – 2557 • ประกาศโดย : ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวง

เทคโนโลยสารสนเทศและการสอสาร • ลงกดาวนโหลด : https://standard.etda.or.th/wp/wp-

content/uploads/2014/09/Website-Security-Standard_V6E6.2.pdf • จดประสงค : เพอสงเสรมใหผทเกยวของกบการบรหารจดการและดแลเวบไซตสามารถพฒนา

หรอจดท าเวบไซตใหมความมนคงปลอดภย และด าเนนมาตรการในการปองกน ตรวจสอบ ลดความเสยง หรอสามารถรบมอกบภยคกคามทมตอเวบไซต เพอสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกส

• NIST SP 800-44 Guidelines on Securing Public Web Servers

• OWASP Open Web Application Security Project

• ขอแนะน าแกไขและปองกนขอบกพรองหรอจดออนของเวบไซตของไทยเซรต (ThaiCERT)

• คมอ “How to Secure Your Website” ของ ส านกงานสงเสรมเทคโนโลยสารสนเทศ

ประเทศญปน (Information-Technology Promotion Agency (IPA), Japan)

แหลงขอมลอางองของ WSS

• ใหหนวยงานมความรและความตระหนกถงเรองการแฮกหรอการโจมตเวบไซต • ใหหนวยงานมความรเกยวกบแนวทางการปองกนการแฮกเวบไซต ครอบคลมทงการ

ดแลและการพฒนาเวบไซตใหมความมนคงปลอดภย

• ใหหนวยงานมความรในเรองการรบมอสถานการณภยคกคามทอาจเกดขนตอเวบไซตและสามารถน าไปประยกตใชกบการท างานได

• ใหหนวยงานมแนวทางในการประเมนตนเอง (Self-assessment) เกยวกบความ

มนคงปลอดภยของเวบไซตทอยในความดแล

ความตองการของการจดท า WSS

• ใหหนวยงานสามารถยนยนความสอดคลองกบมาตรฐาน เพอใหในการประกาศการรบรองตนเองกบหนวยงานภายนอก

• ใหหนวยงานสามารถขอรบการรบรอง (Certification) มาตรฐานการรกษาความ

มนคงปลอดภยส าหรบผดแลและพฒนาเวบไซตจากหนวยตรวจสอบและรบรอง (Conformity assessment body)

ความตองการของการจดท า WSS (ตอ)

(1) การวางแผน (Planning) ไดแก การวางแผนดานความมนคงปลอดภยของเวบไซตแนวทางการเลอกผรบจดทะเบยนชอโดเมน แนวทางการเลอกผใหบรการเวบโฮสตง และ แนวทางในการเลอกใชระบบบรหารจดการเวบไซต (CMS)

(2) การตดตงและการตงคาทเกยวของกบเวบไซต (Installation and Configuration) เปนขอก าหนดทมงเนนใหมการตดตงและการตงคาของ โปรแกรมส าาหรบใหบรการเวบ ระบบบรหารจดการเวบไซต ระบบฐานขอมลและ Server-side script engine

(3) การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย เนนการปองกนการโจมตดวยเทคนคตางๆ ทพบบอยจากไทยเซรต (ThaiCERT) แนวทางการปองกนจากเอกสารของ IPA และ OWASP

(4) การรบมอเหตภยคกคาม (Incident Handling) เนนใหผดแลเครองบรการเวบสามารถรบมอกบเหตภยคกคามดานความมนคงปลอดภยทเกดขนกบเวบไซตไดแก กรณเวบไซตถกบกรกและควบคม (Intrusions) กรณการถกโจมตในลกษณะ (Denial of services: DoS) และ กรณโดเมนถก ขโมย (Domain Hijack) เปนตน

ความครอบคลมเนอหา WSS

ความคลอบคลมเนอหา WSS (ตอ)

• ครอบคลมกลมคนส าคญทตองเขารวมการปองกน • ผดแลเครองบรการเวบ (เครองแมขายเวบ โฮสตงส เวบมาสเตอร)

• มผลตอการตงคาของสภาพแวดลอมทเกยวของกบเวบไซต • ผพฒนาเวบไซต (ผพฒนาและจดท าเวบไซต)

• มผลตอเวบไซตและฐานขอมล • ครอบคลมอปกรณและปจจยตางๆทตองปองกน

• เครอขาย • บรการบนเครองแมขาย • เวบไซต • ฐานขอมล

การแฮกเวบไซตทพบบอย (1)

1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • ตวอยางเชน

• FTP • Remote desktop • SSH • Database • Web server • Server-side script Engine

การแฮกเวบไซตทพบบอย (1) (ตอ)

1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • สาเหต เชน

• ไมอปเดตซอฟตแวรทใชส าหรบใหบรการ • ตงคาบรการทไมปลอดภย

• เชน ก าหนดรหสผานเปน 123456 • เปดการใชงานซอฟตแวรหรอบรการทไมจ าเปน และไมมการดแล • ใชงานการตงคาเรมตนของบรการทตดตงมาทนท

• เชน Default password ของบรการ การเปดใหม Anonymous login

การตงคาเครองบรการเวบอยางมนคงปลอดภย

1. การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software) 2. การตงคาระบบบรหารจดการเวบไซต (CMS) 3. การตงคาฐานขอมล (Database system) 4. การตงคา Server-side Script Engine 5. การก าหนดและรกษารหสผาน

การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server)

1. อปเดตโปรแกรมอยางสม าเสมอ 2. ปดการแสดงขอความแสดงขอผดพลาด (Error Message) 3. ก าหนดสทธในการเขาถงไฟลทเกยวของทงหมดใหเหมาะสมกบการใชงาน

เชน ไมเปดโหมด Directory listing 4. ลบไฟลตวอยางโปรแกรม ตวอยางไฟลขอมล บญชผใชทไมไดใชงาน

เชน บญชซงมการใชงานระหวางกระบวนการตดตงเครองบรการเวบทงหมด 5. ในกรณทเวบไซตมความส าคญและตองการจ ากดการใชงาน ใหจ ากดหมายเลขไอพปลายทางท

อนญาตใหเชอมตอ (Whitelist IP) 6. ปดบรการตางๆ ทไมจ าเปนบนเครองบรการเวบ เชน Phpmyadmin เปนตน รวมถงโปรแกรมบรการประเภท Remote Access เชน Remote Desktop, VNC, SSH, Telnet

การตงคาระบบบรหารจดการเวบไซต (CMS)

1. ก าหนดสทธการใชงานไฟลตางๆใหเหมาะสม 2. ตรวจสอบวามไฟลหรอโปรแกรมเสรม รวมถงบญชการใชงานทไมจ าเปน

หรอไมไดใชงานปรากฏอยหรอไมถามใหลบทงเพอลดโอกาสทอาจถกโจมต 3. อปเดตเวอรชนของ CMS อยเสมอ โดยดาวนโหลดไฟลจากเวบไซตหลกของผใหบรการระบบบรหาร

จดการเวบไซตเทานน 4. ตงคารหสผานของบญชใชงานใหเปนรหสผานทมความมนคงปลอดภย 5. เปลยน table prefix ของฐานขอมลทมาในระหวาง การตดตงระบบบรหารจดการเวบไซต เนองจาก อาจถกใชเปนชองทางใหผประสงครายสามารถทราบถง โครงสรางและตารางในฐานขอมลได

การตงคาฐานขอมล (Database system)

1. จ ากดการใชงานจากเครองทมสทธการเขาถงฐานขอมล (Whitelist IP) 2. ลบบญชผใชทไมไดมการใชงานออกจากระบบฐานขอมล หรอเปลยนรหสผานของบญชผใชดงกลาว

ใหเปนรหสผานทมความมนคงปลอดภย 3. ตงคาฐานขอมล โดยตองไมอนญาตใหใชงานรหสผานทมคาวาง (Null password) 4. แยกสทธการใชงานโดยสรางบญชผใชงานแยกกนในแตละแอปพลเคชนทเชอมตอเขามา และ

ก าหนดสทธโดยยดหลก Least Priviledge 5. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล 6. รหสผานทเกบในฐานขอมล ตองมการเขารหสเสมอ 7. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล

การตงคา Server-side Script Engine

1. อปเดตโปรแกรมอยางสม าเสมอ 2. ก าหนดคาตดตงไมให Server-side Script Engine แสดงขอมลเวอรชนทใชงานเนองจากอาจเปน

ชองทางใหผประสงครายลวงรเวอรชนและคนหาชองโหวตอไป 3. ก าหนดคาตดตง Server-side Script Engine ใหตรงกบการท างานของระบบ เพอลดความจากการ

ถกโจมต

Example : Secure configuration for PHP expose_php = off file_uploads = off allow_url_fopen = off allow_url_include = off disable_functions = shell_exec,system,passthru,exec,curl_exec,proc_open,parse_ini_file open_basedir = /var/www magic_quotes_gpc = On register_globals off

การก าหนดและรกษารหสผาน

1. ตงคารหสผานใหมความมนคงปลอดภย (Strong password) โดยรหสผานควรประกอบดวยตวอกษรทงตวเลกและตวใหญผสมกน มตวเลขและสญลกษณพเศษอยางนอย 1 หลก และตองมความยาวทงหมดไมนอยกวา 8 หลก

2. ก าหนดใหมการเปลยนรหสผานอยางสม าเสมอจะชวยลดโอกาสจากการถกคาดเดารหสผาน 3. ไมเกบรหสผานทไมมการเขารหสลบบนเครองบรการเวบ หากจ าเปนตองมการเกบรหสผานควรอย

ในรปทมการเขารหส เชน เกบเปนคาแฮช (Hash value) ควรใชขนตอนวธ(Algorithm) โดยใชอลกอรทมทไดรบความเชอถอ เชน SHA-224 SHA-256 SHA-384 SHA-512 เปนตน

http://www.passwordmeter.com/

การแฮกเวบไซตทพบบอย (2)

1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ 2. แฮกผานชองโหวของเวบไซตและโปรแกรม

• เทคนคทพบบอย เชน • Malicious injection (SQL Injection ,Command Injection ,….) • Session Hijacking • Cross-site Scripting • CSRF • Sensitive Data Explosure

สถตการแฮกเวบไซตดวยเทคนคตางๆจาก Trustwave

ในป 2556 พบรปแบบการโจมตเวบไซตดวยเทคนค DoS (17.5%) SQL Injection (17%) และ Cross-site scripting (6.2%) ถกแจงใน 3 อนดบแรก ตามล าดบ จากรายงานของ Trustwave

Malicious injection

เทคนคการโจมตดวยเทคนค SQL Injection

โจมตโดยการสงคาซงเปนค าสง SQL อนตรายผาน Input ของเวบไซต เพอไปประมวลผลโดยตรงยงฐานขอมล

ผลของการโจมตท าใหสามารถ Bypass การตรวจสอบเชน การลอกอน การเขาถงและปรบปรงขอมลภายในฐานขอมล รวมถงการสงค าสงไปประมวลผลยงระบบปฏบตการได เชน การสงเปด Firewall บนระบบปฏบตการ

เทคนคการโจมตดวยเทคนค Command Injection

โจมตโดยการสงคาซงเปนค าสง เพอไปประมวลผลโดยตรงยงฐานระบบปฎบตการ เชน การสงดไฟลบนระบบ หรอสงโจมตระบบอนๆดวยการ Ping เปนตน

ผลของการโจมตท าใหผไมประสงคดสามารถสงค าสงไปประมวลผลยงระบบปฏบตการไดโดยตรง เชน สงให Attack ระบบเครอขายอนๆดวยค าสง Ping เปนตน

การปองกนการโจมตดวยเทคนค Malicious injection

1. มการท า Prepared Statement และ/หรอ Stored Procedure ซงเปนวธการทจะแยกค าสงในการประมวลผลและคาทจะน าไปประมวลผลบนฐานขอมลออกจากกน

2. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist

3. มการท า Encoding หรอท า Sanitization กอนน าคามาประมวลผล เพอปองกนการโจมตดวยเทคนคตาง ๆ ขอมลทผานกระบวนการดงกลาวจะถกแปลงรปแบบของขอมลทสง มาจากฝงผใชบรการใหอยในรปแบบทระบบน าไปประมวลผลไดโดยไมอนตราย เชน เปลยนจาก ' OR 1=1 --' เปน \' OR 1=1 --\'

Cross-site scripting

เทคนคการโจมตดวยเทคนค Reflected XSS

โจมตโดยการสง Script อนตรายไปประมวลผลตอครง

เทคนคการโจมตดวยเทคนค Persistent XSS

โจมตโดยการสง Script อนตรายไปประมวลผลและเกบลงฐานขอมล

ตวอยางการโจมตดวย Cross-site scripting ในอดต

เวบไซตอยาง Google กยงมชองโหว XSS (APRIL 07, 2014)

การปองกนการโจมตดวยเทคนค Cross-site scripting

1. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist รวมถงท า Encoding กอนน าคามาประมวลผล ควรแปลงพวก "Non-alphanumeric data" ใหกลายเปน HTML character เสยกอน เชน เครองหมายนอยกวา "<" ควรถกแปลงเปน "& l t ;" เปนตน

2. มการท า Output validation ในลกษณะ Sanitization เพอปองกนการแสดงผลขอมลทไมพงประสงคยงฝงผใชบรการ ตวอยางเชนการใชงานฟงกชน ตวอยางเชน การใชงานฟงกชน htmlentities ในภาษา PHP

3. มการใชงาน HTTPOnly Cookie flag เปนรปแบบการก าหนดคาเพมเตม (Flag) ส าหรบปองกนไมใหฝงผใชบรการสามารถการเขาถงคา Cookie ของระบบได หากระบบมชองโหว XSS แฮกเกอรอาจสงค าสงใชเกดการขโมยคาเซสชน แตหากมการก าหนดคา HTTPOnly จะสามารถปองกนการกระท าดงกลาวได

Session Hijacking

เทคนคการโจมตดวยเทคนค Session Hijack

โจมตโดยการประยกตคาเซสชนทแฮกเกอรไดรบ ใหกบผใชงาน และเมอผใชงานลอกอนระบบ กจะท าใหแฮกเกอรสามารถสวมรอยเปนผใชงานทานนนไดทนท (Session fixation)

โจมตโดยการดกรบขอมลทางเครอขายในลกษณะทเปน HTTP (Clear-text) สงเมอไดคาเซสชนแลวกน ามาก าหนดลงทบราวเซอรของแฮกเกอรเพอสวมรอยเขาใชงานแทน

การปองกนการโจมตดวยเทคนค Session hijacking

1. มการใช Session ID ทเปนคาสม (Random session ID) คาดเดาไมได และเปนคาทไมมการน ากลบมาใชซ า เพอปองกนการคาดเดา

2. การสงคา Session ID ตองรบสงในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) เชน การสงขอมลผานโพรโทคอล HTTPS เพอปองกนการลกลอบดกรบขอมล

3. มการเชคคา Session ID รวมกบปจจยอนๆ เชน IP-Address User-Agent HTTP-Referer เพอปองกนการสวมรอยคาเซสชนจากแฮกเกอร

CSRF (Cross-site script forgery)

CSRF

เทคนคการโจมตดวยเทคนค CSRF

โจมตในลกษณะคลายกบ XSS คอท าใหผใชงานประมวลผล Scriptอนตราย เชน สงใหสงอเมล หรอแมแตสงใหโอนเงน ซงปญหาเกดขนเนองจากเวบไซตหรอระบบปลายทางไมมการตรวจสอบเซสชนทด เชน ไมมการใชงาน Captcha

ผลของการโจมตท าใหผใช งาน สามารถถกหลอกใหประมวลผลค าสงอนตรายใดๆ บนเวบไซตทมชองโหวดงกลาว

การปองกนการโจมตดวยเทคนค CSRF

1. มการใชงาน Unique Token และ/หรอตรวจสอบ Referrer รวมกบการสงขอมล หรอค าสงผานแบบฟอรม เพอใหแนใจวาขอมลในแบบฟอรมทจะสงมาประมวลผลในแตละครงนนเปนขอมลทเกดมาจากการทผใชบรการจรง ไมใชโปรแกรมอตโนมตหรอสครปททใชในการโจมตแตอยางใด

2. มการใชงาน Captcha เพอเปนการยนยนการใชงานจากผใชงานจรง ในการใชงานฟงกชนทส าคญ เชน เปลยนจากสถานะเลอกซอสนคา เปน จายเงนช าระคาสนคา ระบบควรจะใหผใชบรการ ยนยนตวตนอกครง เชน ใหกรอกรหสผานใหม พรอมกบใช Captcha เปนตน

Sensitive Data Exposure

เทคนคการโจมตดวยเทคนค Sensitive Data Exposure

โจมตโดยการสงคาทดสอบไปยงเวบไซตและดผลลพธจากการประมวลผล เชน ขอมลแสดงขอความ Error หรอสถานะของ HTTP Header เพอน ามาใชในการโจมตเวบไซตตอไป

ผลของการโจมตท าใหแฮกเกอรไดขอมลส าคญ เพอมาใชในการโจมตเวบไซตไดตอไป เชน ท าใหทราบวาเวบไซตมการเชอมตอกบฐานขอมล MySQL และเวบไซตดงกลาวมชองโหว SQL Injection เปนตน

การปองกนการโจมตดวยเทคนค Sensitive data exposure

1. มการออกแบบและควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Notification or Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย เชน ขอมลเวอรชนของโปรแกรมบรการตางๆ

2. ไมใชงาน Autocomplete ในแบบฟอรมส าคญ เชน แบบฟอรมส าหรบการลงทะเบยนการใชงานระบบทมรหสผาน หรอ แบบฟอรมทเกยวของกบการช าระเงน เปนตน

3. ไมใชชอ URL ทคาดเดาไดงายซงใชในการเขาถงหนาเวบส าหรบผดแลเครองบรการเวบ เชน admin.php หรอ login.php เปนตน