security Archive

สวัสดี Github’s CodeQL กัน

somkiat July 19, 2022 Architecture, dev-ops, Tools

มาทำความรู้จักและลองใช้งาน GitHub CodeQL กันซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆเพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ securityหรือเป็น Static Application Security Testing (SAST)ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้

สรุปแนวทางการป้องกันปัญหา Log4Shell สำหรับ Docker container

somkiat April 22, 2022 Tools

ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย

Update สถานการณ์ของปัญหา Spring4Shell

somkiat April 1, 2022 Programming

หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement

Elasticsearch 8 จะเปิด security by default

somkiat March 1, 2022 Tools

ใน Elasticsearch 8 นั้น ถ้าใครลองทำการ download และมาติดตั้งจะพบว่ามีการ enable ระบบ security มาให้เลยโดย defaultโดยในการ start ครั้งแรกแบบอัตโนมัติ

Postman :: Live ว่าด้วยเรื่อง Secure APIs

somkiat January 22, 2022 Tools

ไปเจอว่าทาง Postman ได้จัด live ด้วยเรื่อง How secure are your APIs?ว่า APIs ที่ดีควรจัดการเรื่องความปลอดภัยพื้นฐานอะไรบ้างลองไปดูกันนะ

Meme เกี่ยวกับ Log4Shell ในโลก online

somkiat December 21, 2021 เรื่องทั่วไป

เห็นในโลก online มีการทำ meme ของปัญหา Log4Shell ออกมาเลยทำการบันทึกไว้นิดหน่อยใครเห็นเพิ่มเติม แนะนำมาได้นะครับ

สรุปจากบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)

somkiat December 14, 2021 Architecture, Programming

หลังจากอ่านบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)เกี่ยวกับแนวทางการแก้ไขปัญหาของ Log4j version 2 แล้วมีสิ่งที่น่าสนใจคือ คำแนะนำต่าง ๆ หรือบทความในโลก online มีทั้งผิดและล้าสมัย มีคำแนะนำที่ไม่ดีมากมาย เช่น แก้ไขด้วย WAF หรือ ทำการ upgrade version ของ Java หรือ update format ของ log เป็นต้น

สรุปการแก้ไขปัญหา Log4j จาก Spring

somkiat December 12, 2021 Programming

จากปัญหาของ Log4j core ที่มีช่องโหว่ในการโจมตี จาก CVE-2021-44228ซึ่งทาง Spring ได้ออกมาอธิบาย รวมทั้งวิธีการตรวจสอบ แก้ไขต่าง ๆ ไว้ดังนี้

เครื่องมือที่น่าสนใจสำหรับการ scan code

somkiat May 31, 2021 Programming, Tools

ว่าง ๆ มาดูกันหน่อยว่า มีเครื่องมืออะไรที่น่าสนใจสำหรับการ scan code ทางด้าน security ที่นักพัฒนาสามารถนำมาใช้ได้ง่าย ๆเพื่อช่วยเพิ่มความมั่นใจในการพัฒนาระบบมากยิ่งขึ้นรวมทั้งการใช้งานไม่ยากสามารถนำมาใช้กับ developer workflow ได้ง่ายและได้รับ feedback ที่รวดเร็วเพื่อช่วยให้ปรับปรุงได้อย่างรวดเร็วขึ้น (Learning process)

สรุปจาก NodeJS Docker Cheatsheet ของ OWASP

somkiat May 28, 2021 dev-ops, Programming, Tools

อ่านเอกสาร NodeJS Docker Cheatsheet จาก OWASP ทำการอธิบายถึงการใช้งาน Docker กับระบบที่พัฒนาด้วย NodeJS ไว้ว่าควรต้องทำอย่างไรบ้างเพื่อให้ปลอดภัยมากยิ่งขึ้น

← Older posts