By arjin Writer on Tag: Google, Web Security, Domain Name, Cybersecurity
Google

ก่อนหน้านี้กูเกิลประกาศเพิ่มโดเมนระดับใหญ่สุดหรือ Top-Level Domain (TLD) เพิ่มเติมอีก 8 ชื่อ ได้แก่ .dad, .esq, .prof, .phd, .nexus, .foo และอีกสองชื่อที่เป็นประเด็นในข่าวนี้คือ .zip และ .mov

By Ford AntiTrust Contributor on Tag: Security, Web Security, HTTPS, HTTP, TLS, In-Depth
Security

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA)

โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองอิเล็กทรอนิกส์ของผู้ออกใบรับรองอิเล็กทรอนิกส์สำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities)

By lew Founder on Tag: Google, Chrome, Web Security
Google

ช่องโหว่ CSRF เป็นช่องโหว่สำคัญที่เว็บจำนวนมากที่ไม่ได้พัฒนาจาก CMS ดังๆ มักถูกโจมตีได้เรื่อยๆ จาก ล่าสุดกูเกิลกำลังทดสอบและเสนอมาตรฐาน First-Party-Only จำกัดการส่งคุกกี้ในกรณีที่เว็บถูกเรียกจากโดเมนอื่นๆ

By lew Founder on Tag: Security, Thailand, Web Security
Security

อัพเดต: ทาง McDonald's แก้ไขเรียบร้อยแล้วครับ

มีรายงานจาก @nuuneoi หรือคุณสิทธิพล พรรณวิไล นักพัฒนาแอพพลิเคชั่นบนโทรศัพท์มือถือว่าเว็บ McDonald ประเทศไทย (www.mcthai.co.th) ถูกแฮก และ redirect ผู้ใช้ไปยังหน้าดาวน์โหลดแอพพลิเคชั่น

ผมตรวจสอบดูพบว่าหน้าดาวน์โหลดนี้จะทำงานต่อเมื่อเข้าเว็บผ่านโทรศัพท์มือถือเท่านั้น และเมื่อถูก redirect ไปแล้ว หากใช้โทรศัพท์แอนดรอยด์ จะสามารถกดดาวน์โหลด Mobile_Version.apk มาลงเครื่องได้ แต่หากใช้อุปกรณ์ iOS เมื่อกดดาวน์โหลดก็จะถูก redirect ไปยังหน้าเว็บกูเกิลแทน

By ตะโร่งโต้ง Writer on Tag: Google, Security, Bug, Web Security
Google

Google ประกาศปรับอัตราเงินรางวัลสำหรับผู้แจ้งช่องโหว่ของเว็บเพิ่มขึ้นหลังจากที่เพิ่งปรับอัตราการจ่ายเงินรางวัลไปเมื่อไม่กี่เดือนก่อน

Google ได้ปรับเกณฑ์การให้รางวัลสำหรับผู้ค้นพบช่องโหว่โดยการทำ XSS (cross-site scrpting) ซึ่งเป็นการฝังโค้ดเข้าไปในหน้าเว็บไซต์ที่มีช่องโหว่นั้นเพื่อดักจับข้อมูลสำคัญในระหว่างที่ผู้ใช้งานเปิดเข้าใช้หน้าเว็บไซต์ดังกล่าว

By lew Founder on Tag: Security, Ruby, Web Security
Security

บั๊กใน Roby on Rails ที่ใช้โมดูล XML parameter เพื่อรับค่าพารามิเตอร์ในการโพสแบบ XML กำลังทำให้เว็บไซต์ที่รัน Ruby on Rails แทบทั้งหมดเจอปัญหา remote code execution หรือการรันโค้ดที่รับมาจากผู้ใช้

ปัญหาเกิดจากโมดูลสำหรับ parse XML นั้นรองรับค่าชนิด symbol และ yaml โดยโครงสร้างความปลอดภัยของภาษา Ruby นั้นไม่ควรให้ค่า symbol ถูกส่งมาจากภายนอกได้ รวมถึงค่าของ yaml นั้นสามารถใช้รันโค้ดบางส่วนได้โดยโครงสร้างของมันเอง จึงไม่ควรนำมาใช้รับค่าจากผู้ใช้ภายนอก

By Anjue Contributor on Tag: Hacking, Information Security, Web Security
Hacking

นิตยสาร PC World ได้ทำการจัดอันดับช่องโหว่ที่ใช้ในการจู่โจมเว็บไซต์เมื่อปี 2010 ที่ผ่านมา โดยทั้ง 10 อันดับนี้จะถูกโหวตจากผู้เชี่ยวชาญและจากบุคคลทั่วไป (Open Vote)

ช่องโหว่ทั้ง 10 จัดอันดับได้ดังต่อไปนี้

Subscribe to Web Security