High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
เจษฎากานต์แสงรั ตน์
(49050925)
ความมั ่นคงบนเว็บสาหรับนักพัฒนา
(Web Security
for Developers)
ปจจุบันประชาชนใชงานอินเทอร์เน็ตเพิ ่มขึ ้นมาก ในปพ
.
ศ
.
2551
ประเทศไทยมีผู ใชอินเทอร์เน็ตประมาณ
16.1
ลานคน ซึ ่งเพิ ่มขึ ้นจากปพ
.
ศ
.
2550
ถึง
20%
1
ในขณะที ่จานวนผู ใชอินเทอร์เน็ตทั ่วโลกในเดือน
มีนาคม พ
.
ศ
.
2552
ก็มีมากกวา
1,500
ลานคน
2
มีพัฒนาการใชงานในดานตางๆ นอกเหนือจากการศึกษา
การสื ่อสาร ความบันเทิง และขาวสารแลว ผู ประกอบธุรกิจยังใชอินเทอร์เน็ตเพื ่อประชาสัมพันธ์รวมถึง
ใหบริการซื ้อขายสินคา บริการ และอื ่นๆ อีกเปนจานวนมาก
ดังที ่กลาวมาขางตน ผู ใชหลายคนพยายามหาชองโหวเพื ่อเจาะระบบเว็บไซต์ตางๆ เพื ่อความสนุกของผู ใช
และเพื ่อตักตวงประโยชน์จากเว็บไซต์ที ่มีความมั ่นคงไมเพียงพอ ผู พัฒนาและผู ดูแลระบบควรระมัดระวัง
และปดชองโหวเหลานี ้เพื ่อไม ใหเกิดปญหากับเว็บไซต์หรือผู ใชเว็บไซต์
เอกสารนี ้จะแนะนาปญหาความมั ่นคงบนเว็บ และวิธีการแก ไขในมุมมองของนักพัฒนาเปนหลัก โดยแนะนา
เฉพาะปญหาที ่สาคัญเทานั ้น
1.
ข้อควรทราบ
1.
ผู เขียนมีจุดประสงค์เพื ่อใหความรู เกี ่ยวกับการพัฒนาเว็บใหมีความมั ่นคงเทานั ้น ผู เขียนไมมีเจตนา
เผยแผรหรือสนับสนุนการเจาะระบบแตอยางใด
2.
ซอร์สโคดตัวอยางในเอกสารนี ้ ไม ใชตัวอยางซอร์สโคดที ่มีคุณภาพ เนื ่องจากผู เขียนตองการนาเสนอ
เฉพาะประเด็นความมั ่นคงเปนหลัก ผู อานไมควรยึดวิธีการเขียนซอร์สโคดในเอกสารนี ้เปนตัวอยาง
2.
ปญหาทั ่วไป
ปญหาเหลานี ้เปนปญหาทั ่วไปที ่ทาใหนักเจาะระบบเขามาสรางปญหาที ่ ใหญกวานี ้ ไดงายขึ ้น
หรือปญหาที ่
นักพัฒนาสวนใหญทราบอยู แลว
1
งานวิจัยขอมูลและสถิติอินเทอร์เน็ต
หนวยปฏิบัติการวิจัยเทคโนโลยีเครือขาย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แหงชาติ
(http://internet.nectec.or.th/webstats/home.iir?Sec=home)
2
Internet World Stats, Miniwatts Marketing Group (http://www.internetworldstats.com/stats.htmI)
2
2.1
ป ญหาการแสดงข อมูลสาคั ญ
ผู พัฒนาไมควรเขียนโปรแกรมใหสงหรือแสดงขอมูลที ่เปนความลับในสวนที ่ผู ใชทั ่วไปสามารถมองเห็นหรือ
หาพบได โดยงาย เชน การสงคารหัสผานทางยูอาร์แอล
(URL)
หรือฟลด์ซอน
(Hidden Field)
ภาพที่
1
ตั วอยางเว็บไซต์ที่สงขอมูลชื่อผู ใชและรหั สผานทางยูอาร์แอล
ซึ่งดูไดงายจากประวั ติการใชงาน
หรือการดั กแพ็กเกต
(
กรณีสงขอมูลผานโปรโตคอลที่ไมมีการเขารหั ส
)
2.2
ป ญหาการแสดงรายชื่อไฟล์ในไดเรกทอรี
หากผู ดูแลระบบไมปดการแสดงผลรายชื ่อไฟล์ ในไดเรกทอรี
(Directory)
เมื ่อผู ใชทั ่วไปเรียกที ่อยู ของ
ไดเรกทอรี ใด ผู ใชจะเห็นรายชื ่อไฟล์ทั ้งหมดในไดเรกทอรีนั ้นไดทันทีหากไดเรกทอรีนั ้นตั ้งคาอนุญาต
(Permission)
ใหผู ใชทั ่วไปเห็นรายชื ่อไฟล์ทั ้งหมดได
ภาพที่
2
ตั วอยางเว็บไซต์ที่ไมปดการแสดงรายชื่อไฟล์ในเว็บเซิฟเวอร์และแสดงใหเห็นไฟล์ที่มีสาคั ญ
ตอระบบใหเห็น
วิธีปองกัน เลือกทาตามวิธี ใดวิธีหนึ ่งตอไปนี ้
1.
ตั ้งคาโปรแกรมเว็บเซิฟเวอร์ ใหปดการแสดงรายชื ่อไฟล์
32.
ใส ไฟล์ ชื ่อ
index.html
ไว ในทุกไดเรกทอรีเพื ่อใหผู ใชเห็นหนาเว็บเปลาแทนที ่จะเห็นรายชื ่อไฟล์
3.
กรณีเซิฟเวอร์ ใชระบบปฏิบัติการยูนิกส์ใหตั ้งคาอนุญาตให โฟลเดอร์ ไม ใหบุคคลทั ่วไปอาน
ไดเรกทอรี ได
2.3
ป ญหาการไมตรวจสอบข อมูลที่รั บมาจากผู ใช
ผู พัฒนาอาจจากัดขอบเขตของขอมูลที ่ผู ใชจะสงเขามาได โดยการใสแอตทริบิวต์
(Attribute)
ในสคริปต์ภาษาเอชทีเอ็มแอล
(HTML)
หรือจาวาสคริปต์
(JavaScript)
แตการตรวจสอบเพียงเทานี ้ ไมเพียงพอ เพราะนัก
เจาะระบบอาจบันทึกหนาเว็บนั ้น แก ไขสคริปต์ที ่ปองกันสวนนี ้แลวเปดหนาเว็บที ่แก ไขขึ ้นมาทางานแทน
หรือแมแตการสงคาเขามาผานชองทางอื ่นๆ โดยไม ใชเว็บเบราว์เซอร์
(Web Browser)
เชน
HTTPRequest
เปนตน
หากผู พัฒนาปลอยชองวางนี ้ ไวนักเจาะระบบสามารถกรอกขอมูลที ่ ไมอยู ในรูปแบบที ่กาหนดไวเพื ่อ
ประโยชน์ของนักเจาะระบบไดเชน กรอกขอมูลราคาสินคาเปนจานวนเงินติดลบ เปนตน
วิธีปองกันคือ อยาเชื ่อถือคาใดๆ ที ่ผู ใชสงเขามา ผู พัฒนาควรเขียนโปรแกรมตรวจสอบความถูกตองของคาที ่
ผู ใชสงเขามาทุกคาที ่ฝ งเซิฟเวอร์ดวยเสมอ ถึงแมวาจะตรวจสอบที ่ฝ งเครื ่องผู ใชแลวก็ตาม
2.4
ป ญหาการยอมให ผู ใช อั พโหลดไฟล์สคริปต์
เว็บไซต์ที ่อนุญาตใหผู ใชอัพโหลดไฟล์อาจไม ไดตรวจสอบประเภทของไฟล์ที ่ผู ใชอัพโหลดเขามา หากผู ใช
อัพโหลดไฟล์สคริปต์ที ่สั ่งใหทางานบนเว็บเซิฟเวอร์ ไดเชน เอชทีเอ็มแอล
,
พีเอชพี
(PHP)
อาจเปนชองทาง ใหผู อัพโหลดใชหลอกหลวงผู ใชเว็บไซต์คนอื ่น หรือสั ่งใหสคริปต์ทางานเพื ่อแก ไข คัดลอก ลบขอมูลได
วิธีปองกันคือ ผู พัฒนาควรเขียนโปรแกรมใหตรวจสอบประเภทของไฟล์ที ่ผู ใชจะอัพโหลดขึ ้นมากอนเสมอ
3.
ปญหาการเขียนสคริปต์จากแหลงอื ่น
(Cross-Site Scripting: XSS)
เว็บไซต์ที ่รับขอมูลจากผู ใชมาเก็บไวเพื ่อแสดงผล อาจเปนชองโหว ใหนักเจาะระบบใช ไดหากนักเจาะระบบ
กรอกขอความเปนสคริปต์ภาษาเอชทีเอ็มแอลหรือจาวาสคริปต์ลงไป
3
เชน
–
ขอความ รูปภาพ สื ่อตางๆ เพื ่อโฆษณา หรือหลอกลวงผู ใชอื ่น
–
สคริปต์แก ไขเนื ้อหาในหนานั ้น
–
สคริปต์สงผู ใช ไปยังเว็บไซต์อื ่น
3.1
ตั วอยาง
ตัวอยางเว็บสงขอความ
(Shoutbox)
อยางงายดวยซอร์สโคดภาษาพีเอชพีตามซอร์สโคดที ่
1
ดานลางนี ้
ซอร์สโคดที่
1
ตั วอยางเว็บสงขอความที่พั ฒนาดวยภาษาพีเอชพี
<?php$hostname = 'localhost';$username = 'root';$password = 'YouShouldNotKnowThis!;$databaseName = 'yourDatabaseName'?>
3
PHP Security Consortium (http://phpsec.org/projects/guide/2.html#2.3)
Add a Comment