Embed Size (px)
Citation preview
งานสมมนา “ยกระดบความมนคงปลอดภยของเวบไซตใหไดมาตรฐาน”
โดย นายศภโชค จนทรประทน
วทยากรจากทม e-Standard Center ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)
งานสมมนา “ยกระดบความมนคงปลอดภยของเวบไซตใหไดมาตรฐาน”
• การวางแผนดานความมนคงปลอดภยเพอบรหารจดการเวบไซต
• การใช Checklist ส าหรบการวางแผนและตรวจสอบความมนคง
ปลอดภยส าหรบเวบไซต
• เทคนคและวธการตรวจประเมนความมนคงปลอดภยของเวบไซตดวย
ตนเอง
Q&A
หวขอการบรรยาย
ดาวนโหลดเอกสารทเกยวของไดท https://standard.etda.or.th
การวางแผนเพอบรหารจดการเวบไซต
การวางแผนเพอบรหารจดการเวบไซต
• การวางแผนดานความมนคงปลอดภยเพอบรหารจดการเวบไซต 1) การวางแผนเพอบรหารจดการเครองบรการเวบ 2) จดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซต 3) ก าหนดมาตรการทเกยวของเพอปองกนภยคกคามทมความส าคญ
• แนวทาง : การเลอกรปแบบเครองบรการเวบ
• แนวทาง : การเลอกระบบบรหารจดการเวบไซต (CMS)
• แนวทาง : การเลอกผรบจดทะเบยนโดเมน
หวขอ ตวอยาง
จดประสงคของการท าเวบไซต เพอประชาสมพนธองคกรและเผยแพรขอมลทเกยวของแกบคคลทวไป
คณสมบตของเครองบรการเวบ เครองบรการเวบทใชคอ Internet Information Services (Microsoft IIS))
โปรแกรมประยกตบนเวบส าหรบบรการดานใด
- ฐานขอมล = MySQL เพอเกบไฟลขอมลตางๆ ของเวบไซต
การเกบรกษาขอมลบนเวบ - เกบขอมลตางๆ ของเวบไซตในฐานขอมล โดยปองกนฐานขอมลดวย Firewall และฐานขอมลตองเขารหสโดยผทเกยวของเทานน
การก าหนดหนาทความรบผดชอบของบคลากรทเกยวของ
- Web Server Administrator = นาย A หนาทความรบผดชอบ = ออกแบบ ตงคาและดแลจดการเครองบรการเวบใหมความ
มนคงปลอดภย - Web Developer = นาย B หนาทความรบผดชอบ = พฒนาเวบไซตใหมประสทธภาพและมความมนคงปลอดภยตาม
จดประสงคของการจดท าเวบไซต - IT Manager = นาย C หนาทความรบผดชอบ = วางแผนและดแลใหการด าเนนงานเปนไปตามระเบยบและ
ขอบงคบทระบไวในนโยบายการรกษาความปลอดภยขององคกร
1) การวางแผนเพอบรหารจดการเครองบรการเวบ :Checklist 1.1
รายละเอยดเพมเตมท หวขอท 3 “Planning and Managing Web Server” ของมาตรฐาน NIST SP 800-44
การวางแผนดานความมนคงปลอดภยเพอบรหารจดการเวบไซต
2) จดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซต : Checklist 1.2
2.1) จดท า list รายการของสนทรพยของเวบไซต (Asset Inventory) รวมถงมลคาของสนทรพย (Asset value) และผรบผดชอบทเกยวของ
Example of Asset List [Annex B: ISO/IEC 27005]
• Business processes & activities • Information • Hardware • Software
• Network • Personnel • Site • Organization’s structure
ประเภทรายการสนทรพย รายการสนทรพย มลคาของสนทรพย ผรบผดชอบทเกยวของ
Hardware เครองคอมพวเตอร (PC) 30,000 บาท นาย C (IT Manager)
Software Operating System : คอ Windows 8
9,000 บาท นาย A (Web Server Administrator)
Database Management Software : คอ MySQL
1,000 บาท นาย A (Web Server Administrator)
Web Server Software : คอ Microsoft IIS
- นาย A (Web Server Administrator)
Content management system คอ WordPress
- นาย A (Web Server Administrator)
รายละเอยดเพมเตมท มาตรฐาน ISO/IEC 27005:2011
2.2) การระบภยคกคาม (threat) ความเปนไปไดทคาดวานาจะเกดภยคกคามดงกลาวขน และผลกระทบ (Impact) ตอสนทรพยหากมภยคกคามดงกลาวเกดขน
2) จดล าดบความเสยงของภยคกคามทคาดวาจะเกดขนกบเวบไซต (ตอ) : Checklist 1.2
Asset Example Threat Hardware Equipment failure, Software malfunction, Dust, corrosion, freezing, Theft of equipment,
Software Eavesdropping, Theft of media or document, Error in use (Complicated user interface), Abuse of Rights (wrong allocation of access right, well- know flow in the software), Denial of action, Illegal processing of data, Corruption of Data รายละเอยดเพมเตมท มาตรฐาน ISO/IEC 27005:2011
ประเภทรายการสนทรพย
รายการสนทรพย ภยคกคาม ความนาจะเปนในการเกดภยคกคาม
ผลกระทบ (Impact) ตอสนทรพย
Hardware เครองคอมพวเตอร (PC) equipment failure
Low
• The cost of acquisition • configuration and Installation of
the new asset or back-up
Software Content management system (CMS) [=WordPress]
Denial of action
High
• The cost of suspended operations due to the incident until the service provided by the asset is restored.
ตวอยางภยคกคามทพบ ใน Content management system (CMS)
3) ก าหนดมาตรการทเกยวของเพอปองกนภยคกคามทมความส าคญ : Checklist 1.3
รายละเอยดเพมเตมท มาตรฐาน ISO/IEC 27002:2013
ประเภทรายการสนทรพย
รายการสนทรพย ภยคกคาม ความนาจะเปนในการเกดภยคกคาม
ผลกระทบ (Impact) ตอสนทรพย
Software Content management system (CMS) [=WordPress]
Denial of action
High
• The cost of suspended operations due to the incident until the service provided by the asset is restored.
Threat: Denial of action มาตรการเพอปองกนภยคกคาม : 1.อพเดตซอฟตแวรเปนรนลาสดทไดรบการแกไขชองโหวนแลว จากเวบไซตทางการของ Drupal และ WordPress 2.จดท าแนวทางการรบมอภยคกคามเพอบรหารความตอเนองทางธรกจ หรอ Business Continuity Plan (BCP) อางองแนวทางการจดท า BCP ไดจาก มาตรฐาน ISO 22301, Business continuity management และ ISO/IEC 27031:2011, Guidelines for information and communication technology readiness for business continuity
แนวทาง : การเลอกรปแบบเครองบรการเวบ
การพจารณาจากรปแบบนโยบายการจดการชองโหว • มนโยบายทชดเจนในการปองกนความเสยหายทอาจจะเกดจากชองโหว เชน แจงใหผใชบรการ
ทราบในทนท การ patch หรอแกไขปญหาเฉพาะหนา (Workaround) • ในกรณทเปนชองโหวทไมสามารถหาวธแกไข ตองมการเตรยมแผนส ารอง • มการพจารณาถงความรบผด (Liability) ทผใหบรการอาจจะตองชดเชยในกรณทเกดความ
เสยหายแกผใชบรการในกรณทเกดความบกพรองในการจดการกบชองโหวดวย
การใหบรการเวบโฮสตงมการใหบรการระหวาง Shared หรอ Dedicated
Shared Dedicated ใชเครองบรการเวบรวมกนระหวางผใชบรการหลายๆ ราย
ผใชบรการแตละรายจะไดเครองบรการเวบแยกกน
มคาใชจายต า มคาใชจายสง มความเสยงจากการถกโจมตผานชองโหวของเวบไซตอน
ปองกนความเสยงจากการถกโจมตผานชองโหวของเวบไซตอนได
รปแบบการใหบรการโอนยายไฟลขอมล (Remote file transfer) ชองทางการโอนยายไฟลทมนคงปลอดภยและมการเขารหสเพอรกษาความลบของขอมลระหวางการ
โอนยาย เชน มบรการ Secure Transfer Protocol (SFTP)
การใหบรการรปแบบการสอสารอยางมนคงปลอดภยส าหรบเวบไซต (บรการโพรโทคอล SSL/TLS) มบรการโพรโทคอล SSL (Secure Socket Layer protocol) และ TLS (Transport Layer Security
protocol) ซงจะชวยปองกนการสอสารของโปรแกรมประยกตในระบบรบ-ให (Client-Server system) จากการลอบฟง การแกไขใหเสยหาย และ การปลอมแปลงขอความทใชในการสอสาร
การส ารองขอมลและการดแลรกษาเครองบรการเวบ มการส ารองขอมลของเครองบรการเวบทอยในความดแลอยางสม าเสมอ มนโยบายทเกยวของกบการส ารองและกคนขอมลของผใหบรการ
การตดตอผใหบรการเมอมเหตฉกเฉน มชองทางตดตอเฉพาะส าหรบกรณทเกดเหตการณดาน ความมนคงปลอดภย เพอการประสานงานอยางทนทวงท
แนวทาง : การเลอกระบบบรหารจดการเวบไซต (CMS)
ตวเลอกทเกยวของกบการรกษาความมนคงปลอดภย มเอกสารแนะน าแนวทางการตดตงและการตงคาเพอรกษา
ความมนคงปลอดภย (Security best practice) มแหลงขอมลและเอกสารสนบสนนทเกยวของกบการตดตง
การตงคา และ แนวทางการรกษาความมนคงปลอดภย
คณภาพของประชาคมนกพฒนา CMS ประชาคมนกพฒนามขนาดใหญ มการสอสารภายใน และพฒนาอยางตอเนอง (Active
developer community) กจะเปน CMS ทมฟงกชนการท างานตอบสนองตอความตองการของผใชไดมากกวา
มการปรบเวอรชนหรอปรบปรงระบบ เพอแกไขขอบกพรองและชองโหวของ CMS อยเสมอ
แนวทาง : การเลอกผรบจดทะเบยนโดเมน
ผรบจดทะเบยนโดเมน
ผรบจดทะเบยนชอโดเมนมกระบวนการยนยนการลงทะเบยน เชน สง URL เพอยนยนการลงทะเบยนแนบไปในอเมล
มมาตรการในการเพมความมนคงปลอดภยใหกบรหสผาน (Strong Password)
มการแจงเตอนและการยนยนการเปลยนแปลงขอมลการลงทะเบยน เพอชวยปองกนการเปลยนแปลงจากผประสงคราย
การใช Checklist ส าหรบการวางแผนและตรวจสอบความมนคงปลอดภยส าหรบเวบไซต
การใช Check list ส าหรบการวางแผนและตรวจสอบความมนคงปลอดภยส าหรบเวบไซต
สามารถใช checklist ในการตรวจสอบความมนคงปลอดภยของเวบไซต ในหวขอดงน 1. การวางแผนเพอบรหารจดการเวบไซต 2. การตงคาเครองบรการเวบอยางมนคงปลอดภย 3. การพฒนาโปรแกรมประยกตบนเวบอยางมนคงปลอดภย 4. การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต
โดยสามารถประเมนไดดวยตนเอง ยกตวอยางเชน
1) ทานมการวางแผนเพอบรหารจดการเครองบรการเวบทยอมรบไดในหนวยงาน หรอไม ถามใหเลอก “ยอมรบได”
2) หรอถายงไมม ใหเลอกทชอง “ยงตองปรบปรง”
3) และเมอพบขอทยงตองปรบปรงเพมเตม ใหน ารายละเอยดใสใน แบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง (จากการตรวจสอบสถานะความมนคงปลอดภย) เพอปรบปรงแกไขตอไป
ตวอยางการกรอกและใชงานแบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง (จากการตรวจสอบสถานะความมนคงปลอดภย)
เมอพบรายการทไมเปนไปตามขอก าหนด ใหระบรายการแกไขลงในแบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง พรอมกบก าหนดระยะเวลาในการแกไขเพอน าเสนอตอผทเกยวของตอไป ดงน
วนทตรวจสอบสถานะ เวบไซต
โดยหนวยงาน
ล าดบท
วนทรายงาน ค าอธบายรายการท
ยงตองปรบปรง สาเหต
การแกไขชวคราว
สงทตองแกไข
รายการแกไข
รบผดชอบโดย
วนทแลวเสรจ
การใชแบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง (จากการตรวจสอบสถานะความมนคงปลอดภย)
กรอกชอเวบไซตของหนวยงาน กรอกวนทตรวจสอบสถานะความมนคงปลอดภยของเวบไซต
กรอกชอหนวยงาน กรอกรายละเอยดของสงทตองแกไข
รายละเอยดของการแกไขในเบองตน
หวขอและรายละเอยดของรายการทประเมน ‘ยงตองปรบปรง’
วนทจดท ารายงานของรายการน
ระบสาเหตทท าใหหวขอน ‘ยงตองปรบปรง’
ตวอยางการกรอกแบบฟอรมส าหรบการแกไขรายการทยงตองปรบปรง (จากการตรวจสอบสถานะความมนคงปลอดภย)
วนทตรวจสอบสถานะ 5 ม.ค. 2558 เวบไซต www.example.com
โดยหนวยงาน กรม A
ล าดบท
วนทรายงาน ค าอธบายรายการทยง
ตองปรบปรง สาเหต
การแกไขชวคราว
สงทตองแกไข
รายการแกไข รบผดชอบโดย วนทแลวเสรจ
1 6 ม.ค. 58
(หวขอท 5.3 ขอ 4) จดใหมการทบทวนบญชผใชภายในฐานขอมลตามระยะเวลาทก าหนด และลบบญชผใชทไมไดมการใชงานออกจากระบบฐานขอมล
ยงมบญชผใชทไมไดใชงานแลว ปรากฏ
อยในฐานขอมล
จดการลด permission
ของบญชผใชทไมไดใชงานใหเปน NONE
จดใหมการทบทวนบญชผใชภายในฐานขอมล
และลบบญชผใชทไมไดมการใชงานออกจากระบบ
ฐานขอมล
สมชาย 8 ม.ค. 58
เทคนคและวธการตรวจประเมนความมนคงปลอดภยของเวบไซตดวยตนเอง
หวขอ
• การปรบปรงโปรแกรมประยกตตางๆ ใหเปนเวอรชนลาสด
• การท า Input Validation ของโปรแกรมประยกตบนเวบ
• การควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Error Message)
• การตรวจสอบและลบคาเรมตนของขอมลทมาพรอมกบการตดตง หรอขอมลทไมไดใชงานในโปรแกรมประยกตตางๆ
• การก าหนดและรกษารหสผาน
• การก าหนด Session ID ใหมความมนคงปลอดภย
• การจดการ Permission / Access Control
• การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต (Incident Handling) o การรบมอสถานการณภยคกคาม o การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซต o การเกบรกษาขอมลจราจรทางคอมพวเตอร o การส ารองขอมลเวบไซต
การปรบปรงโปรแกรมประยกตตางๆ ใหเปนเวอรชนลาสด
ปญหาทพบ การใชโปรแกรมประยกตทไมใชรนลาสดมความเสยงทจะถกโจมตจากผประสงครายได เชน
•WordPress 3.1.1 (รนเกา) มการประกาศรายการชองโหวบนเวบไซตททกคนสามารถเขาถงได
http://www.cvedetails.com/vulnerability-list/
• Oracle MySQL Server (รนเกา) มการประกาศรายการชองโหวบนเวบไซตททกคนสามารถเขาถงได
การปรบปรงโปรแกรมประยกตตางๆ ใหเปนเวอรชนลาสด (ตอ)
http://www.cvedetails.com/vulnerability-list/
ตวอยางวธการปองกน
•หมนตรวจสอบการอพเดตเวอรชนของระบบบรหารจดการเวบไซตอยเสมอ และอพเดตเวอรชนใหเปนปจจบน ใหดาวนโหลดไฟลจากเวบไซตหลกของผใหบรการโปรแกรมประยกตนนๆ เทานน •อพเดตโปรแกรมประยกตทใชงานและเกยวของทงหมด เชน Web Server Software, CMS, Database, Server-Side Script Engine, ปลกอนเสรมในระบบ CMS เปนตน
หวขอตาม Checklist ทเกยวของ : Checklist 2.1, Checklist 3.3, Checklist 4.8, Checklist 5.2
การปรบปรงโปรแกรมประยกตตางๆ ใหเปนเวอรชนลาสด (ตอ)
การท า Input Validation ของโปรแกรมประยกตบนเวบ
ปญหาทพบ
•หากเวบไซตใดๆ การตรวจสอบขอมลทไดรบกอนสงมาประมวลผลจรง ยอมใหผใชบรการสามารถปอนขอมลไดโดยไมมการตรวจสอบกอนแลว การโจมตเวบไซตจะสามารถท าไดงาย •ยกตวอยางเชน เวบไซตเชอมตอกบฐานขอมลทกครงทมการเรยกหนาเวบเพจ เปนสาเหตใหเกดการโจมตเวบไซตดวยเทคนค SQL Injection ซงการโจมตดวยเทคนค SQL Injection น ผประสงครายแทรกค าสง SQL เขาไปทาง input form บนเวบเพจ
SQL Injection
ตวอยางวธการปองกน •ตรวจสอบขอมลทไดรบกอนสงมาประมวลผลจรง หลกการคอใหระบรปแบบของขอมลทอนญาต (Whitelist) หรอไมอนญาต (Blacklist) ใหปอนเขาสระบบ
•มการท า Encoding หรอท า Sanitization กอนน าคามาประมวลผล เพอปองกนการโจมตดวยเทคนคตาง ๆ ขอมลทผานกระบวนการดงกลาวจะถกแปลงรปแบบของขอมลทสงมาจากฝงผใชบรการใหอยในรปแบบทระบบน าไปประมวลผลไดโดยไมอนตราย เชน หากผประสงครายปอนขอมลทใชในการโจมตระบบเปน ' OR 1=1 --' ระบบจะแปลงคาเปน \' OR 1=1 --\‘
•คดกรองเครองหมายอกขระพเศษตางๆ เชน < > ? & # เปนตน กอนทจะน าไปประมวลผลทเครองบรการเวบ คอ แปลงพวก "Non-alphanumeric data" ใหกลายเปน HTML character เสยกอน เชน เครองหมายนอยกวา "<" ควรถกแปลงเปน "& l t ;" เปนตน
•ตวอยางการโจมตทจะปองกนได : SQL Injection, Cross-site Scripting หวขอตาม Checklist ทเกยวของ : Checklist 7.2, Checklist 7.3, Checklist 9.1, Checklist 9.2
การท า Input Validation ของโปรแกรมประยกตบนเวบ (ตอ)
การควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Error Message)
ปญหาทพบ
•การไมควบคม Error Message ผประสงครายสามารถใชขอมลจาก Error Message คาดเดาขอมลการตงคาของโปรแกรมและระบบทเกยวของได เชน
Database Error Message
ตวอยาง Server Error Message
ตวอยางวธการปองกน •ไมใหมการแสดงรายละเอยดของขอความแสดงขอผดพลาด (Error message) หากตองมรายละเอยดควรจะแสดงขอมลเทาทจ าเปนและไมเปนประโยชนกบผประสงคราย โดยสามารถตงคาในสวนนไดท Web Server Software, Server-side Script Engine เปนตน หวขอตาม Checklist ทเกยวของ : Checklist 2.2, Checklist 5.4, Checklist 9.3, Checklist 11.1
ตวอยาง เวบไซตทมการควบคม Error Message
การควบคมขอความแจงเตอนหรอขอความแสดงขอผดพลาด (Error Message) (ตอ)
ปญหาทพบ
•การใชคาเรมตนทมาพรอมกบการตดตงโปรแกรมประยกต เชน บญชผใชทมาพรอมฐานขอมล พวก Guest, Admin Account ผประสงครายสามารถคาดเดาได •การไมไดลบไฟลหรอโฟลเดอรทมาพรอมกบการตดตงโปรแกรมประยกต เชน โฟลเดอร examples, โฟลเดอร Setup สามารถเปนชองทางหนงใหผประสงครายสามารถเขาถงขอมลภายในได •มขอมลทไมไดใชงานอยในโปรแกรมประยกตตางๆ เชน มบญชผใชทไมไดใชงาน คางอยในระบบฐานขอมล หรอมปลกอนทไมไดใชงาน คางอยใน CMS เปนตน
การตรวจสอบและลบคาเรมตนของขอมลทมาพรอมกบการตดตง หรอขอมลทไมไดใชงานในโปรแกรมประยกตตางๆ
ตวอยางเชน ตรวจสอบทโฟลเดอร phpMyAdmin ยงม โฟลเดอร setup, โฟลเดอร file example เปนตน
ตวอยางวธการปองกน
•จดใหมการทบทวนบญชผใชภายในโปรแกรมประยกตตามระยะเวลาทก าหนด และลบบญชผใชทไมไดมการใชงาน •ปดบญชผใชทมาพรอมกบการตดตงโปรแกรมประยกตหรอเปลยนรหสผานของบญชผใชดงกลาว ใหเปนรหสผานทมความมนคงปลอดภย เชน บญชผใชในฐานขอมล, บญชผใชในฐานขอมล CMS, บญชผใชใน Web Server Software •ตรวจสอบและลบแฟมชวคราว (temporary file) ทถกสรางขนระหวางการตดตงโปรแกรมประยกต เชน Web Server Software, ฐานขอมล หรอ CMS
หวขอตาม Checklist ทเกยวของ : Checklist 2.4, Checklist 2.5, Checklist 3.4, Checklist 3.5, Checklist 4.5, Checklist 4.7, Checklist 11.3
การตรวจสอบและลบคาเรมตนของขอมลทมาพรอมกบการตดตง หรอขอมลทไมไดใชงานในโปรแกรมประยกตตางๆ (ตอ)
การก าหนดและรกษารหสผาน
ปญหาทพบ •การตงรหสผานทไมมความมนคงปลอดภย จะเปนการเปดโอกาสใหผประสงครายโจมตเพอคาดเดารหสผานไดงาย ซงม 2 วธ •1. Dictionary Attack = สมเดาขอมลหรอรหสผานจากค าศพททอยใน Dictionary และค าศพททผประสงครายน าไปใช เรยกวา “Word list” •2. Brute Force Attack = คาดเดารหสผานตามทกความเปนไปไดของตวอกษรในแตละหลก ผประสงครายอาจเปนผลองกระท าเองหรออาจจะใชโปรแกรมอตโนมตท างาน
ปองกนไดโดย
(1)ตงคารหสผานใหมความมนคงปลอดภย (Strong password) โดยรหสผานควรประกอบดวยตวอกษรทงตวเลกและตวใหญผสมกน มตวเลขและสญลกษณพเศษอยางนอย 1 หลก และตองมความยาวทงหมดไมนอยกวา 8 หลก
(2)ก าหนดใหมการเปลยนรหสผานอยางสม าเสมอจะชวยลดโอกาสจากการถกคาดเดารหสผาน
(3)การเกบรหสผานควรอยในรปทมการเขารหสลบตามทมาตรฐานดานความมนคงปลอดภยก าหนด เชน เชน md5 หรอ sha-256
การก าหนดและรกษารหสผาน (ตอ)
หวขอตาม Checklist ทเกยวของ : Checklist 6 (Checklist 6.1, Checklist 6.2, Checklist 6.3), Checklist 4.10
การก าหนด Session ID ใหมความมนคงปลอดภย
•เมอผใชบรการเขาระบบส าเรจ จะมการสรางโทเคน (token) ซงใชเปนขอมลการรบรองตวตนของผใชบรการ (User authentication credential) เรยกวา Session ID ถกน าไปใชในการอางองและตรวจสอบสทธในการเขาถงหนาเวบเพจตาง ๆ ในเวบไซตทผใชบรการเขาเยยมชม
•Session ID นจะถกใชจนกวาผใชบรการจะปดหนาตางโปรแกรมคนดเวบ กถอจะเปนการลบ Session ID นนไป
•ตราบเทาทโปรแกรมคนดเวบยงไมถกปด ผประสงครายสามารถอาศยชองโหวนในการโจมตเวบไซตดวย วธ Session Hijack ไดนนกคอการดกขโมย Session ID ของผใชบรการ ไปใชในการเขาเวบไซตดวยสทธของเจาของ session ได
ตวอยางวธการปองกน
(1)Session ID ตองใชเปนคาสม /มการเขารหสลบ
(2)ก าหนด Session Timeout ในระยะเวลาทเหมาะสม ระยะเวลาทใชก าหนด Session Timeout ของแตละเวบไซตขนอยกบพฤตกรรมการใชงานและความตองการใชงานของผใชบรการ ซง OWASP แนะน าดงน “Common idle timeouts ranges are 2-5 minutes for high-value applications and 15- 30 minutes for low risk applications” ขอมลเพมเตมท https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
(3)สงคา Session ID ในชองทางการสอสารทมการเขารหสลบ (Encrypted connection) เชน โพรโทคอล https
หวขอตาม Checklist ทเกยวของ : Checklist 8 (Checklist 8.1, Checklist 8.2, Checklist 8.3 , Checklist 8.4)
การก าหนด Session ID ใหมความมนคงปลอดภย (ตอ)
ตวอยางของ Session ID ทเปนคาสมแตไมไดเขารหสลบ
ตวอยางของ Session ID ทมการเขารหสลบ
การจดการ Permission / Access Control
ตวอยางวธการปองกน
•ตองมการก าหนดสทธการใชงาน (permission) และการควบคมการเขาถง (access control) ไฟลตาง ๆ ใหเหมาะสมกบบทบาทและหนาทของผใชบรการ เชน
• ใหสทธการเขาถงไฟล หรอโฟลเดอรทเกบโปรแกรมแกผใชทเปนเจาของไฟลหรอนกพฒนาซอฟตแวรเทานน ผใชบรการทวไปไดรบสทธแคอานและไมสามารถแกไขได หรอผดแลเครองบรการเวบไดรบสทธทงอาน เขยนและแกไขได เปนตน
•หากไมมการควบคมการเขาถงขอมลทมความส าคญ เชน ไฟลทเกบขอมลเวบเพจ ผใชทวไปตองไดสทธแคอานเทานน หากสามารถแกไขได ผใชทประสงครายกจะสามารถเขาถงและแทรกสครปตอนตราย หรอแกไขขอมลใดๆ ใหเกดความเสยหายแกเวบไซตได เปนตน
ตวอยาง การก าหนด ip whitelist ส าหรบ IIS 1 2 3
ตวอยางการจดการ Access Control โดยการตงคา IP Whitelist
•ควบคมการเขาถงเครองบรการเวบ และจ ากดหมายเลขไอพปลายทางหรอยอารแอลทอนญาตใหเครองบรการเวบสามารถเชอมตอ (Whitelist)
การจดการ Permission / Access Control (ตอ)
หวขอตาม Checklist ทเกยวของ : Checklist 2.3, Checklist 2.6, Checklist 3.1 , Checklist 4.1 , Checklist 4.9 , Checklist 5.1
การรบมอภยคกคามทเกดขนกบเวบไซต
มการจดท าแนวทางการรบมอสถานการณภยคกคามทเกดกบเวบไซต ในกรณตาง ๆ ดงน
1)Checklist 12.1: กรณเวบไซตถกบกรกและควบคม (Intrusions) 2)Checklist 12.2: กรณเวบไซตถกโจมตในลกษณะ DoS (Denial Of Service) 3)Checklist 12.3: กรณโดเมนถกขโมย (Domain Hijack) หวขอตาม Checklist ทเกยวของ : Checklist 12 (Checklist 12.1, Checklist 12.2, Checklist 12.3)
การรบมอสถานการณภยคกคามทเกดจากการโจมตเวบไซต (Incident Handling)
การใชโปรแกรมตรวจสอบความมนคงปลอดภยของเวบไซต
• เลอกโปรแกรมทนาเชอถอ หรอ ไดรบการแนะน าจากหนวยงานทเกยวของ พรอมกบตรวจสอบและอปเดตโปรแกรมใหเปนเวอรชนลาสดเสมอ
• ส ารองขอมลทกครงกอนมการใชโปรแกรมตรวจสอบ • ใชโปรแกรมมากกวาสองโปรแกรมขนไปในการตรวจสอบเพอเปรยบเทยบผลลพธทได โปรแกรมตรวจสอบความมนคงปลอดภยทไดรบค าแนะน าจาก OWASP เชน Acunetix Web
Vulnerability Scanner หรอ Vega
หวขอตาม Checklist ทเกยวของ : Checklist 13 (Checklist 13.1, Checklist 13.2, Checklist 13.3, Checklist 13.4)
การเกบรกษาขอมลจราจรทางคอมพวเตอร
มการบนทกขอมลจราจรทางคอมพวเตอร หรอขอมลการใชงานของผใช (Log) ทเปนไปตาม •ขอก าหนดในพระราชบญญตวาดวยการกระท าความผดทางคอมพวเตอร พ.ศ. 2550 •ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 (มาตรา 26) •ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา เกาสบวนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร หวขอตาม Checklist ทเกยวของ : Checklist 15 (Checklist 15.1)
การส ารองขอมลเวบไซต
• เมอพบวาเวบไซตถกโจมต สงทท าไดในเบองตนคอ ผดแลเครองบรการเวบกคนขอมลเวอรชนกอนทจะพบวาถกโจมต ทไดส ารองขอมลไว
• องคประกอบหลกในการส ารองขอมลบนเครองบรการเวบม 2 องคประกอบ
1. การส ารองขอมลและระบบปฏบตการบนเครองบรการเวบอยางสม าเสมอตามนโยบายของหนวยงาน
2. การดแลรกษาขอมลส ารองทเชอถอได (Authoritative copy) เชน บนเครองบรการทเขาถงไดเฉพาะ IP Address ทไดรบอนญาตเทานน
• หนวยงานมการจดท านโยบายในการส ารองขอมลของเครองบรการเวบ โดยใหสอดคลองกบขอ
กฏหมาย ขอผกพนทางสญญา และนโยบายของหนวยงาน
หวขอตาม Checklist ทเกยวของ : Checklist 16 (Checklist 16.1)
Q & A
ตดตอ สอบถามขอมลเพมเตม
ส านกมาตรฐาน เวบไซต: https://standard.etda.or.th
อเมล: [email protected]
Thank You
