security Archive

Meme เกี่ยวกับ Log4Shell ในโลก online

เห็นในโลก online มีการทำ meme ของปัญหา Log4Shell ออกมาเลยทำการบันทึกไว้นิดหน่อยใครเห็นเพิ่มเติม แนะนำมาได้นะครับ

Read More…

สรุปจากบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)

หลังจากอ่านบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)เกี่ยวกับแนวทางการแก้ไขปัญหาของ Log4j version 2 แล้วมีสิ่งที่น่าสนใจคือ คำแนะนำต่าง ๆ หรือบทความในโลก online มีทั้งผิดและล้าสมัย มีคำแนะนำที่ไม่ดีมากมาย เช่น แก้ไขด้วย WAF หรือ ทำการ upgrade version ของ Java หรือ update format ของ log เป็นต้น

Read More…

สรุปการแก้ไขปัญหา Log4j จาก Spring

จากปัญหาของ Log4j core ที่มีช่องโหว่ในการโจมตี จาก CVE-2021-44228ซึ่งทาง Spring ได้ออกมาอธิบาย รวมทั้งวิธีการตรวจสอบ แก้ไขต่าง ๆ ไว้ดังนี้

Read More…

เครื่องมือที่น่าสนใจสำหรับการ scan code

ว่าง ๆ มาดูกันหน่อยว่า มีเครื่องมืออะไรที่น่าสนใจสำหรับการ scan code ทางด้าน security ที่นักพัฒนาสามารถนำมาใช้ได้ง่าย ๆเพื่อช่วยเพิ่มความมั่นใจในการพัฒนาระบบมากยิ่งขึ้นรวมทั้งการใช้งานไม่ยากสามารถนำมาใช้กับ developer workflow ได้ง่ายและได้รับ feedback ที่รวดเร็วเพื่อช่วยให้ปรับปรุงได้อย่างรวดเร็วขึ้น (Learning process)

Read More…

สรุปจาก NodeJS Docker Cheatsheet ของ OWASP

อ่านเอกสาร NodeJS Docker Cheatsheet จาก OWASP ทำการอธิบายถึงการใช้งาน Docker กับระบบที่พัฒนาด้วย NodeJS ไว้ว่าควรต้องทำอย่างไรบ้างเพื่อให้ปลอดภัยมากยิ่งขึ้น

Read More…

ลองใช้งาน cosign สำหรับการ Signed Container Image กัน

ไปเจอเครื่องมือชื่อว่า cosignสำหรับการ Signed Image แบบง่าย ๆ เพื่อเพิ่มความปลอดภัยในการใช้งาน Container Imageโดยไม่ต้องแก้ไขหรือเพิ่ม configuration อะไร

Read More…

ว่าด้วยเรื่อง API Security ของ ClubHouse ที่โดนโจมตี

วันนี้ดู Tweet เรื่อง การวิเคราะห์ต้นเหตุปัญหาของ API ของ ClubHouse ที่โดนโจมตียกตัวอย่างเช่น ผู้ใช้งานหนึ่งคนสามารถทำการเปิดและเข้าห้อง stream ได้มากกว่า 1 ห้องโดยใช้งานผ่าน web browser ได้เลยซึ่งแน่นอนว่า มันขัดแย้งกับ terms of service อย่างแรง

Read More…

VS Code :: มาใช้งาน Vuln Cost สำหรับตรวจสอบความปลอดภัยของ npm package ที่ใช้งาน

สำหรับสาย Node.JS เรื่องของ dependency check เป็นสิ่งที่สำคัญมาก ๆ ว่า dependency หรือ npm package ต่าง ๆ ที่เราใช้งานใน project นั้น มีความปลอดภัยหรือไม่ โดย extension ที่ขอแนะนำใน VS Code คือ Vuln Cost

Read More…

สรุปจากบทความเรื่อง How to Protect Your Virtual Meetings from Zoombombing

จากปัญหาเรื่อง security ของ Zoom เป็นโปรแกรมสำหรับประชุม online ที่ได้รับความนิยม ทำให้หลาย ๆ บริษัท หรือหลายประเทศประกาศห้ามใช้งาน โดยที่ทาง Zoom ก็ได้ประกาศหยุดเพิ่ม feature และมาแก้ไขปัญหาช่องโหว่ต่าง ๆ อย่างเร่งด่วน

Read More…

เก็บมาแบ่งปันเรื่อง OWASP API Security Top 10 ปี 2019

ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง

Read More…