security Archive

เรื่องหนึ่งที่สำคัญใน OWASP Top 10-2017 RC 1 คือ What’s Next for Security Testing ?

นั่งอ่านเอกสาร OWASP Top 10 – 2017 RC 1 แล้ว พบว่ามีทั้งการเพิ่มและการลบออกไปจากของปี 2013 นิดหน่อย แต่มันกลับไปคล้ายกับปี 2003 มาก ๆ ซึ่งรายละเอียดลองไปอ่านกันดูนะครับ โดย Top 10 ที่ออกมานั้น มันสะท้อนถึงการพัฒนา software สมัยใหม่ ๆ ที่มีการพัฒนาที่รวดเร็วขึ้นกว่าเดิมเป็นอย่างมาก ๆ โดยเฉพาะการพัฒนา APIs ต่าง ๆ ที่ระบบใหม่นิยมทำกัน แต่สิ่งที่มักจะขาดหรือละเลยไปคือ ความใส่ใจเรื่องความปลอดภัย !!

Read More…

แนะนำการพัฒนา Android app ให้ปลอดภัยมากขึ้น

จากเอกสารเรื่อง Best Practice for Security and Privacy ได้อธิบายแนวปฏิบัติต่าง ๆ สำหรับการพัฒนา Android app ให้ปลอดภัย ประกอบไปด้วยเรื่องที่น่าสนใจดังนี้ Networking Intent Data storage เรื่องอื่น ๆ เช่น Emulator, Debug, Root, Obfuscation เป็นต้น ดังนั้นจึงทำการสรุปไว้นิดหน่อย ปล. มี Android developer คนไหนอ่านและศึกษากันบ้างนะ

Read More…

ทำการ Review my SSO app ::ต้องใส่ใจเรื่อง security ของ API กันเยอะ ๆ

เช้านี้เห็นมีการ share เรื่องระบบ API (Application Programming Interface) ของระบบ my SSO app ซึ่งเมื่อได้เข้าไปลองใช้งานและทำการ decompile code ดูก็พบว่า เป็นไปตามจาก post ข้างต้น ในฐานะของนักพัฒนาคนหนึ่งคิดว่า เป็นสิ่งที่ทีมพัฒนาต้องให้ความสนใจและใส่ใจ ไม่ว่าจะด้วยเหตุผลใด ๆ ก็ตามเรื่องของ security เบื้องต้นของ app ไม่น่าจะพลาดมากมายขนาดนี้

Read More…

สรุปการแบ่งปันเรื่องการพัฒนา Mobile App ให้ปลอดภัย (Security for Mobile App Development)

เมื่อวานมีโอกาสไปแบ่งปันในหัวข้อ การพัฒนา Mobile App ให้ปลอดภัย โดยเน้นที่ความรู้พื้นฐานต่าง ๆ เพื่อทำให้เข้าใจตรงกันว่า Mobile และ Mobile App ที่ใช้อยู่นั้นต้องพึงระวังอะไรกันบ้าง ? เนื้อหาประกอบไปด้วย สถิติของการใช้งาน Mobile การเติบโตของ Mobile App ทั้ง Android และ iOS สถิติของการใช้งาน Mobile App สถิติของ Mobile App ที่โดนโจมตี รูปแบบการโจมตี Mobile และ Mobile App

Read More…

ผลการสำรวจเรื่องความปลอดภัยของ Mobile app จาก Arxan.com

ได้อ่านผลการสำรวจเรื่อง ความปลอดภัยของ Mobile app จาก State of Application Security, Perception versus Reality มันทำให้เราเห็นว่า ผู้ใช้งานส่วนใหญ่คิดว่า app ที่ใช้มันปลอดภัย แต่ในความเป็นจริงกลับตรงกันข้าม !! ที่สำคัญคือ มันแย่กว่าที่เราคิดกันอย่างมากมาย ดังนั้นมาดูรายละเอียดเพิ่มเติมกันหน่อย

Read More…

[แปล] ความรู้พื้นฐานเกี่ยวกับ Web Application Security 

จากบทความเรื่อง The Basics of Web Application Security ได้ทำการอธิบายเกี่ยวกับการพัฒนา web application อย่างไรให้มีความปลอดภัย โดยเน้นไปที่พื้นฐานของการพัฒนา ซึ่งมีความน่าสนใจและสำคัญอย่างมาก สำหรับ developer หน้าใหม่และประสบการณ์ยังไม่เยอะ ดังนั้น จึงทำการแปลและสรุปส่วนที่น่าสนใจไว้นิดหน่อย มาเริ่มกันเลย

Read More…

มาช่วยกันทำให้การพัฒนา software ปลอดภัยมากขึ้น

วันนี้เข้าไปอ่านข้อมูลต่าง ๆ ที่ OWASP (Open Web Application Security Project) ซึ่งเป็น community ที่ร่วมกันสรุป guildeline ต่าง ๆ สำหรับการพัฒนา software ให้มีความปลอดภัยมากยิ่งขึ้น เนื่องจากเป็นสิ่งที่ developer มักจะหลงลืม และ มองข้ามไปเสมอ

Read More…

ในทุกๆ feature ควรมีเรื่อง security เข้าไปเสมอนะ

ในการพัฒนาระบบที่เน้นเรื่องความปลอดภัย หรือ ไม่ก็ตาม จำเป็นจะต้องทำการทดสอบเรื่อง ความปลอดภัยอยู่อย่างเสมอ ลองคิดดูสิ ถ้าไปทดสอบหลังจากที่พัฒนาเสร็จแล้ว มันจะนรกขนาดไหน ? ใช้เวลาทดสอบนานไหม ? ใช้เวลาแก้ไขนานไหม ? แล้วมันช่วยอะไรบ้าง

Read More…

สิ่งที่ได้รับจากหนังสือ INNOCENT CODE ในราคา 10 บาท

วันนี้ไปเดินดูหนังสือ งานศิลปะ และ กินชาเย็น ที่หอศิลป์กรุงเทพมหานคร โดยวันนี้เจอหนังสือมือสองชื่อว่า INNOCENT CODE มาขาย ในราคา 10 บาท ย้ำว่าราคา 10 บาท (ผมถามกับคนขายไป 4-5 รอบ) ที่ผมตกใจเพราะว่า คุณค่าที่อยู่ในหนังสือนั้นมันเยอะมากๆ ดังนั้น มาดูกันว่าในหนังสือเล่มนี้มีอะไรบ้าง

Read More…

แนวทางการนำ TDD ไปใช้งานเพื่อตรวจสอบความปลอดภัย

ช่วงหลังๆ มานี้ ได้พูดคุยเกี่ยวกับการประยุกต์ใช้งานแนวคิด TDD ( Test Driven Development ) กับเรื่องความปลอดภัย ( Security ) ในระดับของ code ได้หรือไม่ ซึ่งผมก็ตอบไปแบบไม่ต้องคิดเลย ก็คือ ได้สิ … แต่ว่า คุณสามารถคิด test case สำหรับการทดสอบได้หรือไม่ คุณสามารถรู้ expected result จาก input ที่กำหนดไว้ได้หรือไม่ ถ้าสามารถคิดได้ ก็จะสามารถนำแนวคิด TDD มาประยุกต์ได้นั่นเอง ดังนั้น เราลองมาคิด และ ลงมือทำกันดีกว่า ( Think Before Doing/Act )

Read More…