Embed Size (px)
Citation preview
งานสมมนา “ยกระดบความมนคงปลอดภยของเวบไซตใหไดมาตรฐาน”
โดย นายพรพรหม ประภากตตกล
Security+ ,ISO27001 Lead auditor ,GPEN ,GCIH
วทยากรจากทม ThaiCERT ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
แนวโนมการโจมตระบบคอมพวเตอรจากอดตถงปจจบน
สถานการณการโจมตของโลกทเปลยนไป จากเดมเจาะผานบรการ มาเจาะผานเครอขาย และสดทายมาจบลงทเจาะเวบไซต
เปดเวบโรงเรยนอนบาลกยงโดนแฮก
เปดเวบโรงเรยนอนบาลกยงโดนแฮก
แฮกเกอรเปนกนงาย มบทเรยนออนไลนและไซตทดสอบ
เดกทไหนกเปนแฮกเกอรได แคเปดวดโอแลวท าตามกบเวบไซตเปาหมาย
หาเปาหมายดวย GHDB (Google Hacking Database)
สวรรคของ Script kiddies
Hall of frame ของแฮกเกอรทวโลก
• http://dark-h.org • http://www.zone-h.org • http://zone-hc.com/ • http://www.hack-mirror.com/ • …..
ป 2557 ไทยเซรตรวบรวมขอมล Web defacement หนวยงานภายในประเทศไทยถง 2500 รายการ โดย 70% เปนหนวยงานภาครฐของไทย
https://www.youtube.com/watch?v=cIs1oRgWEE8
H A C K any website with only one click !! Try it this amazing new hack software !!
What Does a Malicious Hacker Do?
วตถประสงคของการโจมตเวบไซตมหลากหลาย
• ใชเปนตวแทนในการโจมตระบบอนๆตอไป • Botnet
• เหตผลทางการสงคม/การเมอง • Discredit , Squeeze (Sony haked) • DoS / DDoS
• ท าเพอสนก อยากลองวชา • เผยแพรมลแวร
• 1,735 เคสในป 2557 • หลอกลวงเอาเงน / หาผลประโยชน
• Phishing (1,010 เคสในป 2557) • SEO
• อยากใหมคนรจก • Hall of frame
ปจจยของการถกแฮกเวบไซต
• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต
• ไมมการควบคมเรองการใชงาน USB Drive จนท าใหตดมลแวรบนเครองใหบรการเวบไซต
• ไมมอปกรณดานการปองกนการโจมตเวบไซต
สถานการณปญหาเกยวกบการโจมตเวบไซตในประเทศไทย
• เวบไซตสวนใหญทถกแฮกอยในสวนของภาครฐและภาคการศกษา • ผพฒนาเวบไซตพฒนาโดยค านงถงแตฟงกชนการใชงาน ไมค านงถงเรองความมนคงปลอดภย
สงผลใหเวบไซตทพฒนามชองโหว • ผดแลเครองบรการเวบไมมความตระหนกในเรองความมนคงปลอดภย
ท าใหการแกไขปญหาไมไดรบความรวมมอ
• การขาดบคคลากร โดยบางแหงมแตเพยง เวบมาสเตอร หรอในบางแหงไมมเจาหนาทดานสารสนเทศเลย ท าให ไมสามารถตรวจสอบและแกไขปญหาเวบไซตทตนเหต • ท าไดเพยงแกปญหาทปลายเหต ซงปญหาของการแฮกเขา
มานนยงคงอยและเกดเหตซ าอยตลอดเวลา
วเคราะหปจจยของการถกแฮกเวบไซต
• ตอใหมกระบวนการทดแตคนไมปฎบตตามก “ไมเกดประโยชน”
• ตอใหมเทคโนโลยการปองกนเวบไซตทดแคไหน แตถาคนใชงานไมเปนก “ไมเกด
ประโยชน”
• คนเปนปจจยทท าใหเกดปญหา แตในขณะเดยวกนกเปนปจจยเดยวทถกใชในการ
แกปญหาอยางมประสทธภาพได
• หากทมม “คนทมประสทธภาพ” ปจจยทกอยางจะถกเชอมโยงและแกไขใหดขน
• ศกยภาพไมไดเกดขนเอง “ตองพฒนา”
เมอ “คนมประสทธภาพ”
• ผดแลเครองบรการเวบ (Web admin) ตงรหสผาน 123456 ในหนาลอกอนเขาสสวนบรหารจดการเวบไซต • แตถามกระบวนการและการควบคมทดยอมชวยแกไขปญหา
ได
• ไมมการควบคมเรองการใชงานระบบจนท าใหตดมลแวรบนเครองใหบรการเวบไซต • แตถามการระบเรองแนวทางการปฎบตงานดานความมนคง
ปลอดภยไวชด ยอมชวยแกไขปญหาได
• ไมมอปกรณปองกนดานการโจมตเวบไซต • แตถาคนมความร บางเรองกไมจ าเปนตองจดหาอปกรณใดๆ
รวมถงคนทมประสทธภาพยอมหมนแสวงหาความรเพมเตมอยตลอดเวลา
แลวจะปองกนการถกแฮกเวบไซตไดยงไง แนวทาง เวลา เงน ประสทธภาพ
เรยนรวธการโจมต และน ามาลองประยกตทดสอบกบเวบไซต
มาก มาก ปานกลาง
เรยนรจากประสบการณทเคยพบ แลวแกไขในแตละจด
ปานกลาง นอย ปานกลาง
เรยนรวธการปองกนจากสงทมคนรวบรวม แลวน ามาประยกตใช
ปานกลาง นอย มาก
จดหาอปกรณดานการปองกนการโจมตเวบไซต นอย มาก ปานกลาง
หมายเหต : ตารางดงกลาวจดท าขน เพอเปนตวอยางในการพจารณาแนวทางการแกไขปญหา ซงสามารถประยกตน าไปประยกตใชเพอการประเมนแนวทางการปองกนการถกแฮกเวบไซตไดตอไป
Website Security Standard (WSS) คออะไร • ชอภาษาไทย : มาตรฐานการรกษาความมนคงปลอดภยส าหรบเวบไซต • เวอรชนเอกสาร : 1.0 • สถานะเอกสาร : ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส • วนทประกาศ : 30 กนยายน 2557 • รหสเอกสาร : ขมธอ.1 – 2557 • ประกาศโดย : ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวง
เทคโนโลยสารสนเทศและการสอสาร • ลงกดาวนโหลด : https://standard.etda.or.th/wp/wp-
content/uploads/2014/09/Website-Security-Standard_V6E6.2.pdf • จดประสงค : เพอสงเสรมใหผทเกยวของกบการบรหารจดการและดแลเวบไซตสามารถพฒนา
หรอจดท าเวบไซตใหมความมนคงปลอดภย และด าเนนมาตรการในการปองกน ตรวจสอบ ลดความเสยง หรอสามารถรบมอกบภยคกคามทมตอเวบไซต เพอสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกส
• NIST SP 800-44 Guidelines on Securing Public Web Servers
• OWASP Open Web Application Security Project
• ขอแนะน าแกไขและปองกนขอบกพรองหรอจดออนของเวบไซตของไทยเซรต (ThaiCERT)
• คมอ “How to Secure Your Website” ของ ส านกงานสงเสรมเทคโนโลยสารสนเทศ
ประเทศญปน (Information-Technology Promotion Agency (IPA), Japan)
แหลงขอมลอางองของ WSS
• ใหหนวยงานมความรและความตระหนกถงเรองการแฮกหรอการโจมตเวบไซต • ใหหนวยงานมความรเกยวกบแนวทางการปองกนการแฮกเวบไซต ครอบคลมทงการ
ดแลและการพฒนาเวบไซตใหมความมนคงปลอดภย
• ใหหนวยงานมความรในเรองการรบมอสถานการณภยคกคามทอาจเกดขนตอเวบไซตและสามารถน าไปประยกตใชกบการท างานได
• ใหหนวยงานมแนวทางในการประเมนตนเอง (Self-assessment) เกยวกบความ
มนคงปลอดภยของเวบไซตทอยในความดแล
ความตองการของการจดท า WSS
• ใหหนวยงานสามารถยนยนความสอดคลองกบมาตรฐาน เพอใหในการประกาศการรบรองตนเองกบหนวยงานภายนอก
• ใหหนวยงานสามารถขอรบการรบรอง (Certification) มาตรฐานการรกษาความ
มนคงปลอดภยส าหรบผดแลและพฒนาเวบไซตจากหนวยตรวจสอบและรบรอง (Conformity assessment body)
ความตองการของการจดท า WSS (ตอ)
(1) การวางแผน (Planning) ไดแก การวางแผนดานความมนคงปลอดภยของเวบไซตแนวทางการเลอกผรบจดทะเบยนชอโดเมน แนวทางการเลอกผใหบรการเวบโฮสตง และ แนวทางในการเลอกใชระบบบรหารจดการเวบไซต (CMS)
(2) การตดตงและการตงคาทเกยวของกบเวบไซต (Installation and Configuration) เปนขอก าหนดทมงเนนใหมการตดตงและการตงคาของ โปรแกรมส าาหรบใหบรการเวบ ระบบบรหารจดการเวบไซต ระบบฐานขอมลและ Server-side script engine
(3) การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย เนนการปองกนการโจมตดวยเทคนคตางๆ ทพบบอยจากไทยเซรต (ThaiCERT) แนวทางการปองกนจากเอกสารของ IPA และ OWASP
(4) การรบมอเหตภยคกคาม (Incident Handling) เนนใหผดแลเครองบรการเวบสามารถรบมอกบเหตภยคกคามดานความมนคงปลอดภยทเกดขนกบเวบไซตไดแก กรณเวบไซตถกบกรกและควบคม (Intrusions) กรณการถกโจมตในลกษณะ (Denial of services: DoS) และ กรณโดเมนถก ขโมย (Domain Hijack) เปนตน
ความครอบคลมเนอหา WSS
ความคลอบคลมเนอหา WSS (ตอ)
• ครอบคลมกลมคนส าคญทตองเขารวมการปองกน • ผดแลเครองบรการเวบ (เครองแมขายเวบ โฮสตงส เวบมาสเตอร)
• มผลตอการตงคาของสภาพแวดลอมทเกยวของกบเวบไซต • ผพฒนาเวบไซต (ผพฒนาและจดท าเวบไซต)
• มผลตอเวบไซตและฐานขอมล • ครอบคลมอปกรณและปจจยตางๆทตองปองกน
• เครอขาย • บรการบนเครองแมขาย • เวบไซต • ฐานขอมล
การแฮกเวบไซตทพบบอย (1)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • ตวอยางเชน
• FTP • Remote desktop • SSH • Database • Web server • Server-side script Engine
การแฮกเวบไซตทพบบอย (1) (ตอ)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ • สาเหต เชน
• ไมอปเดตซอฟตแวรทใชส าหรบใหบรการ • ตงคาบรการทไมปลอดภย
• เชน ก าหนดรหสผานเปน 123456 • เปดการใชงานซอฟตแวรหรอบรการทไมจ าเปน และไมมการดแล • ใชงานการตงคาเรมตนของบรการทตดตงมาทนท
• เชน Default password ของบรการ การเปดใหม Anonymous login
การตงคาเครองบรการเวบอยางมนคงปลอดภย
1. การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server software) 2. การตงคาระบบบรหารจดการเวบไซต (CMS) 3. การตงคาฐานขอมล (Database system) 4. การตงคา Server-side Script Engine 5. การก าหนดและรกษารหสผาน
การตงคาโปรแกรมส าหรบใหบรการเวบ (Web server)
1. อปเดตโปรแกรมอยางสม าเสมอ 2. ปดการแสดงขอความแสดงขอผดพลาด (Error Message) 3. ก าหนดสทธในการเขาถงไฟลทเกยวของทงหมดใหเหมาะสมกบการใชงาน
เชน ไมเปดโหมด Directory listing 4. ลบไฟลตวอยางโปรแกรม ตวอยางไฟลขอมล บญชผใชทไมไดใชงาน
เชน บญชซงมการใชงานระหวางกระบวนการตดตงเครองบรการเวบทงหมด 5. ในกรณทเวบไซตมความส าคญและตองการจ ากดการใชงาน ใหจ ากดหมายเลขไอพปลายทางท
อนญาตใหเชอมตอ (Whitelist IP) 6. ปดบรการตางๆ ทไมจ าเปนบนเครองบรการเวบ เชน Phpmyadmin เปนตน รวมถงโปรแกรมบรการประเภท Remote Access เชน Remote Desktop, VNC, SSH, Telnet
การตงคาระบบบรหารจดการเวบไซต (CMS)
1. ก าหนดสทธการใชงานไฟลตางๆใหเหมาะสม 2. ตรวจสอบวามไฟลหรอโปรแกรมเสรม รวมถงบญชการใชงานทไมจ าเปน
หรอไมไดใชงานปรากฏอยหรอไมถามใหลบทงเพอลดโอกาสทอาจถกโจมต 3. อปเดตเวอรชนของ CMS อยเสมอ โดยดาวนโหลดไฟลจากเวบไซตหลกของผใหบรการระบบบรหาร
จดการเวบไซตเทานน 4. ตงคารหสผานของบญชใชงานใหเปนรหสผานทมความมนคงปลอดภย 5. เปลยน table prefix ของฐานขอมลทมาในระหวาง การตดตงระบบบรหารจดการเวบไซต เนองจาก อาจถกใชเปนชองทางใหผประสงครายสามารถทราบถง โครงสรางและตารางในฐานขอมลได
การตงคาฐานขอมล (Database system)
1. จ ากดการใชงานจากเครองทมสทธการเขาถงฐานขอมล (Whitelist IP) 2. ลบบญชผใชทไมไดมการใชงานออกจากระบบฐานขอมล หรอเปลยนรหสผานของบญชผใชดงกลาว
ใหเปนรหสผานทมความมนคงปลอดภย 3. ตงคาฐานขอมล โดยตองไมอนญาตใหใชงานรหสผานทมคาวาง (Null password) 4. แยกสทธการใชงานโดยสรางบญชผใชงานแยกกนในแตละแอปพลเคชนทเชอมตอเขามา และ
ก าหนดสทธโดยยดหลก Least Priviledge 5. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล 6. รหสผานทเกบในฐานขอมล ตองมการเขารหสเสมอ 7. อปเดตเวอรชนของโปรแกรมระบบฐานขอมล
การตงคา Server-side Script Engine
1. อปเดตโปรแกรมอยางสม าเสมอ 2. ก าหนดคาตดตงไมให Server-side Script Engine แสดงขอมลเวอรชนทใชงานเนองจากอาจเปน
ชองทางใหผประสงครายลวงรเวอรชนและคนหาชองโหวตอไป 3. ก าหนดคาตดตง Server-side Script Engine ใหตรงกบการท างานของระบบ เพอลดความจากการ
ถกโจมต
Example : Secure configuration for PHP expose_php = off file_uploads = off allow_url_fopen = off allow_url_include = off disable_functions = shell_exec,system,passthru,exec,curl_exec,proc_open,parse_ini_file open_basedir = /var/www magic_quotes_gpc = On register_globals off
การก าหนดและรกษารหสผาน
1. ตงคารหสผานใหมความมนคงปลอดภย (Strong password) โดยรหสผานควรประกอบดวยตวอกษรทงตวเลกและตวใหญผสมกน มตวเลขและสญลกษณพเศษอยางนอย 1 หลก และตองมความยาวทงหมดไมนอยกวา 8 หลก
2. ก าหนดใหมการเปลยนรหสผานอยางสม าเสมอจะชวยลดโอกาสจากการถกคาดเดารหสผาน 3. ไมเกบรหสผานทไมมการเขารหสลบบนเครองบรการเวบ หากจ าเปนตองมการเกบรหสผานควรอย
ในรปทมการเขารหส เชน เกบเปนคาแฮช (Hash value) ควรใชขนตอนวธ(Algorithm) โดยใชอลกอรทมทไดรบความเชอถอ เชน SHA-224 SHA-256 SHA-384 SHA-512 เปนตน
http://www.passwordmeter.com/
การแฮกเวบไซตทพบบอย (2)
1. แฮกผานชองโหวและปจจยบรการทเปดใหบรการบนเครองใหบรการเวบ 2. แฮกผานชองโหวของเวบไซตและโปรแกรม
• เทคนคทพบบอย เชน • Malicious injection (SQL Injection ,Command Injection ,….) • Session Hijacking • Cross-site Scripting • CSRF • Sensitive Data Explosure
สถตการแฮกเวบไซตดวยเทคนคตางๆจาก Trustwave
ในป 2556 พบรปแบบการโจมตเวบไซตดวยเทคนค DoS (17.5%) SQL Injection (17%) และ Cross-site scripting (6.2%) ถกแจงใน 3 อนดบแรก ตามล าดบ จากรายงานของ Trustwave
Malicious injection
เทคนคการโจมตดวยเทคนค SQL Injection
โจมตโดยการสงคาซงเปนค าสง SQL อนตรายผาน Input ของเวบไซต เพอไปประมวลผลโดยตรงยงฐานขอมล
ผลของการโจมตท าใหสามารถ Bypass การตรวจสอบเชน การลอกอน การเขาถงและปรบปรงขอมลภายในฐานขอมล รวมถงการสงค าสงไปประมวลผลยงระบบปฏบตการได เชน การสงเปด Firewall บนระบบปฏบตการ
เทคนคการโจมตดวยเทคนค Command Injection
โจมตโดยการสงคาซงเปนค าสง เพอไปประมวลผลโดยตรงยงฐานระบบปฎบตการ เชน การสงดไฟลบนระบบ หรอสงโจมตระบบอนๆดวยการ Ping เปนตน
ผลของการโจมตท าใหผไมประสงคดสามารถสงค าสงไปประมวลผลยงระบบปฏบตการไดโดยตรง เชน สงให Attack ระบบเครอขายอนๆดวยค าสง Ping เปนตน
การปองกนการโจมตดวยเทคนค Malicious injection
1. มการท า Prepared Statement และ/หรอ Stored Procedure ซงเปนวธการทจะแยกค าสงในการประมวลผลและคาทจะน าไปประมวลผลบนฐานขอมลออกจากกน
2. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist
3. มการท า Encoding หรอท า Sanitization กอนน าคามาประมวลผล เพอปองกนการโจมตดวยเทคนคตาง ๆ ขอมลทผานกระบวนการดงกลาวจะถกแปลงรปแบบของขอมลทสง มาจากฝงผใชบรการใหอยในรปแบบทระบบน าไปประมวลผลไดโดยไมอนตราย เชน เปลยนจาก ' OR 1=1 --' เปน \' OR 1=1 --\'
Cross-site scripting
เทคนคการโจมตดวยเทคนค Reflected XSS
โจมตโดยการสง Script อนตรายไปประมวลผลตอครง
เทคนคการโจมตดวยเทคนค Persistent XSS
โจมตโดยการสง Script อนตรายไปประมวลผลและเกบลงฐานขอมล
ตวอยางการโจมตดวย Cross-site scripting ในอดต
เวบไซตอยาง Google กยงมชองโหว XSS (APRIL 07, 2014)
การปองกนการโจมตดวยเทคนค Cross-site scripting
1. มการท า Input validation เปนวธการทใชในการตรวจสอบขอมลทไดรบกอนสงมาประมวลผล ดวยวธการท า Whitelist และ Blacklist รวมถงท า Encoding กอนน าคามาประมวลผล ควรแปลงพวก "Non-alphanumeric data" ใหกลายเปน HTML character เสยกอน เชน เครองหมายนอยกวา "<" ควรถกแปลงเปน "& l t ;" เปนตน
2. มการท า Output validation ในลกษณะ Sanitization เพอปองกนการแสดงผลขอมลทไมพงประสงคยงฝงผใชบรการ ตวอยางเชนการใชงานฟงกชน ตวอยางเชน การใชงานฟงกชน htmlentities ในภาษา PHP
3. มการใชงาน HTTPOnly Cookie flag เปนรปแบบการก าหนดคาเพมเตม (Flag) ส าหรบปองกนไมใหฝงผใชบรการสามารถการเขาถงคา Cookie ของระบบได หากระบบมชองโหว XSS แฮกเกอรอาจสงค าสงใชเกดการขโมยคาเซสชน แตหากมการก าหนดคา HTTPOnly จะสามารถปองกนการกระท าดงกลาวได
Session Hijacking
เทคนคการโจมตดวยเทคนค Session Hijack
โจมตโดยการประยกตคาเซสชนทแฮกเกอรไดรบ ใหกบผใชงาน และเมอผใชงานลอกอนระบบ กจะท าใหแฮกเกอรสามารถสวมรอยเปนผใชงานทานนนไดทนท (Session fixation)
โจมตโดยการดกรบขอมลทางเครอขายในลกษณะทเปน HTTP (Clear-text) สงเมอไดคาเซสชนแลวกน ามาก าหนดลงทบราวเซอรของแฮกเกอรเพอสวมรอยเขาใชงานแทน
การปองกนการโจมตดวยเทคนค Session hijacking
1. มการใช Session ID ทเปนคาสม (Random session ID) คาดเดาไมได และเปนคาทไมมการน ากลบมาใชซ า เพอปองกนการคาดเดา
2. การสงคา Session ID ตองรบสงในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) เชน การสงขอมลผานโพรโทคอล HTTPS เพอปองกนการลกลอบดกรบขอมล
3. มการเชคคา Session ID รวมกบปจจยอนๆ เชน IP-Address User-Agent HTTP-Referer เพอปองกนการสวมรอยคาเซสชนจากแฮกเกอร
CSRF (Cross-site script forgery)
CSRF
เทคนคการโจมตดวยเทคนค CSRF
โจมตในลกษณะคลายกบ XSS คอท าใหผใชงานประมวลผล Scriptอนตราย เชน สงใหสงอเมล หรอแมแตสงใหโอนเงน ซงปญหาเกดขนเนองจากเวบไซตหรอระบบปลายทางไมมการตรวจสอบเซสชนทด เชน ไมมการใชงาน Captcha
ผลของการโจมตท าใหผใช งาน สามารถถกหลอกใหประมวลผลค าสงอนตรายใดๆ บนเวบไซตทมชองโหวดงกลาว
การปองกนการโจมตดวยเทคนค CSRF
1. มการใชงาน Unique Token และ/หรอตรวจสอบ Referrer รวมกบการสงขอมล หรอค าสงผานแบบฟอรม เพอใหแนใจวาขอมลในแบบฟอรมทจะสงมาประมวลผลในแตละครงนนเปนขอมลทเกดมาจากการทผใชบรการจรง ไมใชโปรแกรมอตโนมตหรอสครปททใชในการโจมตแตอยางใด
2. มการใชงาน Captcha เพอเปนการยนยนการใชงานจากผใชงานจรง ในการใชงานฟงกชนทส าคญ เชน เปลยนจากสถานะเลอกซอสนคา เปน จายเงนช าระคาสนคา ระบบควรจะใหผใชบรการ ยนยนตวตนอกครง เชน ใหกรอกรหสผานใหม พรอมกบใช Captcha เปนตน
Sensitive Data Exposure
เทคนคการโจมตดวยเทคนค Sensitive Data Exposure
โจมตโดยการสงคาทดสอบไปยงเวบไซตและดผลลพธจากการประมวลผล เชน ขอมลแสดงขอความ Error หรอสถานะของ HTTP Header เพอน ามาใชในการโจมตเวบไซตตอไป
ผลของการโจมตท าใหแฮกเกอรไดขอมลส าคญ เพอมาใชในการโจมตเวบไซตไดตอไป เชน ท าใหทราบวาเวบไซตมการเชอมตอกบฐานขอมล MySQL และเวบไซตดงกลาวมชองโหว SQL Injection เปนตน
การปองกนการโจมตดวยเทคนค Sensitive data exposure
1. มการออกแบบและควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Notification or Error Message) ไมใหแสดงขอมลทเปนประโยชนตอผประสงคราย เชน ขอมลเวอรชนของโปรแกรมบรการตางๆ
2. ไมใชงาน Autocomplete ในแบบฟอรมส าคญ เชน แบบฟอรมส าหรบการลงทะเบยนการใชงานระบบทมรหสผาน หรอ แบบฟอรมทเกยวของกบการช าระเงน เปนตน
3. ไมใชชอ URL ทคาดเดาไดงายซงใชในการเขาถงหนาเวบส าหรบผดแลเครองบรการเวบ เชน admin.php หรอ login.php เปนตน
