security Archive

ลองใช้งาน cosign สำหรับการ Signed Container Image กัน

ไปเจอเครื่องมือชื่อว่า cosignสำหรับการ Signed Image แบบง่าย ๆ เพื่อเพิ่มความปลอดภัยในการใช้งาน Container Imageโดยไม่ต้องแก้ไขหรือเพิ่ม configuration อะไร

Read More…

ว่าด้วยเรื่อง API Security ของ ClubHouse ที่โดนโจมตี

วันนี้ดู Tweet เรื่อง การวิเคราะห์ต้นเหตุปัญหาของ API ของ ClubHouse ที่โดนโจมตียกตัวอย่างเช่น ผู้ใช้งานหนึ่งคนสามารถทำการเปิดและเข้าห้อง stream ได้มากกว่า 1 ห้องโดยใช้งานผ่าน web browser ได้เลยซึ่งแน่นอนว่า มันขัดแย้งกับ terms of service อย่างแรง

Read More…

VS Code :: มาใช้งาน Vuln Cost สำหรับตรวจสอบความปลอดภัยของ npm package ที่ใช้งาน

สำหรับสาย Node.JS เรื่องของ dependency check เป็นสิ่งที่สำคัญมาก ๆ ว่า dependency หรือ npm package ต่าง ๆ ที่เราใช้งานใน project นั้น มีความปลอดภัยหรือไม่ โดย extension ที่ขอแนะนำใน VS Code คือ Vuln Cost

Read More…

สรุปจากบทความเรื่อง How to Protect Your Virtual Meetings from Zoombombing

จากปัญหาเรื่อง security ของ Zoom เป็นโปรแกรมสำหรับประชุม online ที่ได้รับความนิยม ทำให้หลาย ๆ บริษัท หรือหลายประเทศประกาศห้ามใช้งาน โดยที่ทาง Zoom ก็ได้ประกาศหยุดเพิ่ม feature และมาแก้ไขปัญหาช่องโหว่ต่าง ๆ อย่างเร่งด่วน

Read More…

เก็บมาแบ่งปันเรื่อง OWASP API Security Top 10 ปี 2019

ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง

Read More…

หนังสือแนะนำการเขียน code ด้วยภาษา Go ให้ปลอดภัยจาก OWASP

เพิ่งเห็นว่าทาง OWASP (Open Web Application Security Project) ได้ปล่อยหนังสือเกี่ยวกับ Web Application Secure Coding Practice ด้วยภาษา Go ออกมา โดยเนื้อหายังรวมไปถึงการพัฒนา web application ด้วย ดังนี้

Read More…

แนะนำ VulnerableContainers.org เพื่อตรวจสอบความปลอดภัยของ Docker Container

เรื่องของ Docker นั้นน่าจะเป็นสิ่งที่ทุกองค์กรต้องมีความรู้อยู่แล้วทำให้ปัญหาที่ตามมาเยอะขึ้นคือ Security หรือความปลอดภัย แน่นอนว่า  โลกของ container นั้นยังใหม่ ทำให้มีช่องโหว่ให้โจมตีเยอะเลย ส่งผลให้เกิดเครื่องมือต่าง ๆ ด้วย security ขึ้นมาเพียบ หนึ่งในนั้นคือ  Vulnerablecontainers.org

Read More…

สรุปการจัดการเรื่อง Application Security ของ Netflix

เช้านี้นั่งอ่านบทความเรื่อง Scaling Appsec at Netflix เป็นอีกเรื่องที่สำคัญใน application ต่าง ๆ ของบริษัท หน้าที่หลัก ๆ ของเหล่า engineer คือสร้าง product ที่มีคุณค่าต่อลูกค้า แต่ถ้า application เหล่านั้นไม่ปลอดภัย ก็น่าจะเป็นปัญหาใหญ่ที่กระทบต่อ business ของบริษัทได้ ดังนั้นทาง Netflix จึงพยายามจัดการเรื่องนี้ให้ดี

Read More…

code ที่นักพัฒนาเขียนขึ้นมานั้น S.A.F.E ไหมนะ ?

สิ่งที่นักพัฒนา software ควรต้องรู้และเข้าใจสำหรับ code ที่เขียนคือ code ที่เขียนขึ้นมานั้นปลอดภัยหรือไม่ ? แน่นอนว่า นักพัฒนาบางคนอาจจะบอกว่า แค่เขียน code ให้เสร็จตามเวลาก็ถือว่าดีแล้ว ส่วนเรื่องของ security ไม่ใช่หน้าที่ ให้ทางฝ่าย security ดูเองก็แล้วกัน ถ้ามีเจอปัญหาอะไรก็แจ้งมา เดี๋ยวแก้ไขให้ !!

Read More…

ว่าด้วยเรื่อง Agile Security Manifesto

อ่านเจอเอกสารเกี่ยวกับ Agile Security Manifesto เห็นว่าน่าสนใจดี จึงนำมาแปลและสรุปไว้นิดหน่อย มีอยู่ 4 ข้อเท่ากับ Agile เลย เป็นแนวทางสำหรับการสร้าง software ที่มีความปลอดภัย ตามแนวทางของ Agile ดังนี้

Read More…