XserieX.GitHub.io

Web Application Security

SQL Injection vulnerabilities

SQL Injection vulnerabilities ถือเป็นช่องโหว่ด้านความปลอดภัยของเว็บแอปพลิเคชันประเภทหนึ่งซึ่งผู้โจมตีมีความสามารถในการส่งคำสั่ง SQL ฐานข้อมูลซึ่งกำลังดำเนินการโดยเว็บแอปพลิเคชันดังนั้นจึงเปิดเผยฐานข้อมูลส่วนหลัง อ่านบทความเพื่อเรียนรู้เพิ่มเติม

Malicious Code Injection

Malicious Code Injection ถือเป็นคำที่ใช้ในการอธิบายรหัสใด ๆ ภายในส่วนใดส่วนหนึ่งของระบบซอฟต์แวร์หรือสคริปต์ที่มีวัตถุประสงค์เพื่อก่อให้เกิดผลกระทบที่ไม่ต้องการความเสียหายต่อระบบหรือการละเมิดความปลอดภัย นอกจากนี้ยังถือเป็นภัยคุกคามด้านความปลอดภัยของแอปพลิเคชันซึ่งไม่สามารถควบคุมได้อย่างมีประสิทธิภาพผ่านซอฟต์แวร์ป้องกันไวรัสทั่วไป

Cross-Site Scripting

Cross-site scripting attacks ถือเป็นประเภทของการแทรกซึ่งสคริปต์ที่เป็นอันตรายจะถูกแทรกเข้าไปในเว็บไซต์ที่ไม่เป็นอันตรายเช่นเดียวกับเว็บไซต์ที่เชื่อถือได้ สิ่งนี้จะเกิดขึ้นเมื่อผู้โจมตีบางรายใช้เว็บแอปพลิเคชันเพื่อส่งโค้ดที่เป็นอันตรายซึ่งโดยเฉพาะอย่างยิ่งในรูปแบบของสคริปต์ฝั่งเบราว์เซอร์ไปยังผู้ใช้ปลายทางรายอื่น

Directory Traversal

Directory Traversal ถือเป็นรูปแบบหนึ่งของการใช้ประโยชน์จาก HTTP ซึ่งแฮ็กเกอร์บางคนต้องใช้ซอฟต์แวร์บนเว็บเซิร์ฟเวอร์เพื่อเข้าถึงข้อมูลในไดเรกทอรีอื่นที่ไม่ใช่ไดเรกทอรีรากของเซิร์ฟเวอร์ เมื่อความพยายามดังกล่าวประสบความสำเร็จแฮ็กเกอร์อาจดูไฟล์ที่ถูก จำกัด ไว้แล้วหรืออาจเรียกใช้คำสั่งในเซิร์ฟเวอร์

LDAP Injection

LDAP Injection ถือเป็นรูปแบบเฉพาะของการโจมตีที่สามารถใช้เพื่อโจมตีเว็บไซต์ที่สร้างคำสั่ง LDAP หรือ Lightweight Directory Access Protocols ที่มาจากข้อมูลที่ผู้ใช้ให้มา ซึ่งสามารถทำได้โดยการเปลี่ยนคำสั่ง LDAP เพื่อให้แอปพลิเคชันแบบไดนามิกสามารถทำงานพร้อมกับสิทธิ์ที่ไม่ถูกต้องซึ่งผู้โจมตีได้รับอนุญาตให้แก้ไขลบหรือเพิ่มเนื้อหา

Buffer Overflow

Buffer Overflow เป็นหนึ่งในข้อผิดพลาดที่พบบ่อยที่สุดในการเข้ารหัสซอฟต์แวร์ เพื่อให้ช่องโหว่ของเว็บแอปพลิเคชันที่ล้นบัฟเฟอร์สามารถบรรเทาได้อย่างมีประสิทธิภาพคุณต้องทำความเข้าใจก่อนว่ามันคืออะไรและอันตรายที่อาจเกิดขึ้นในแอปพลิเคชันของคุณ

Cross-Site Request Forgery

CSRF หมายถึงการโจมตีที่เกิดขึ้นใน OWASP Top 10 โดยไซต์ที่เป็นอันตรายจะส่งคำขอไปยังเว็บแอปพลิเคชันที่ผู้ใช้ได้รับการรับรองความถูกต้องแล้วกับเว็บไซต์ต่างๆ ด้วยเหตุนี้ผู้บุกรุกสามารถรับฟังก์ชันการทำงานในเว็บแอปพลิเคชันที่มุ่งเป้าหมายผ่านเบราว์เซอร์ที่ได้รับการรับรองความถูกต้องของเหยื่อ

CRLF Injection

การโจมตีด้วย CRLF Injection หรือการแยกการตอบสนองของ HTTP เป็นการโจมตีบนเว็บที่เรียบง่าย แต่มีความแข็งแกร่งมาก แฮกเกอร์กำลังใช้ช่องโหว่ของเว็บแอปพลิเคชันประเภทนี้อย่างแข็งขันในการโจมตีที่หลากหลายซึ่งเกี่ยวข้องกับการเบี่ยงเบนของผู้ใช้ข้ามไซต์การเขียนสคริปต์ข้ามไซต์ XSS และการขโมยหน้าเว็บร่วมกับการโจมตีอื่น ๆ

Failure to Restrict URL

ช่องโหว่อย่างหนึ่งของเว็บแอปพลิเคชันคือความล้มเหลวในการ จำกัด การเข้าถึง URL เมื่อแอปพลิเคชันของคุณไม่สามารถ จำกัด การเข้าถึง URL ได้อย่างถูกต้องการรักษาความปลอดภัยอาจถูกบุกรุกโดยใช้เทคนิคเฉพาะที่เรียกว่าการเรียกดูแบบบังคับ การมีประสบการณ์บังคับท่องเว็บอาจมีความสำคัญโดยเฉพาะอย่างยิ่งเมื่อผู้โจมตีพยายามรวบรวมข้อมูลที่ละเอียดอ่อนผ่านเว็บเบราว์เซอร์

Insecure Cryptographic Storage

ปัญหานี้เกิดขึ้นเมื่อไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย นี่ไม่ใช่ช่องโหว่เดียว แต่เป็นการรวบรวมช่องโหว่ คอลเลคชันนี้เกี่ยวข้องกับอะไรเพื่อให้แน่ใจว่าข้อมูลที่สำคัญที่สุดจะถูกเข้ารหัสเมื่อจำเป็น สิ่งนี้ช่วยให้มั่นใจได้ว่าการเข้ารหัสข้อมูลที่ถูกต้องการจัดเก็บที่เหมาะสมรวมถึงการจัดการไม่ใช้อัลกอริทึมที่ไม่ดีที่รู้จักและไม่ใช้การเข้ารหัสที่ได้รับรางวัลของคุณซึ่งอาจมีความปลอดภัยหรือไม่ก็ได้

Insufficient Transport Layer Protection

ถูกกำหนดให้เป็นจุดอ่อนด้านความปลอดภัยที่เกิดจากแอปพลิเคชันที่ไม่ได้ใช้มาตรการใด ๆ เพื่อป้องกันการรับส่งข้อมูลบนเครือข่าย การป้องกันเลเยอร์การขนส่งไม่เพียงพอเป็นหนึ่งในช่องโหว่ของเว็บแอปพลิเคชันที่เมื่อเกิดขึ้นแล้วจะส่งผลกระทบต่อประสิทธิภาพของไซต์ของคุณและข้อมูลที่จำเป็นบางส่วนภายในเว็บไซต์ของคุณอย่างแน่นอน

References: