ทดสอบเจาะระบบแบบ SQL injection ด้วยวิธี Union Base

ตอนรับวาเลนไทน์ 2015 ด้วยการแปะคลิปวิธีการแฮกเว็บด้วย SQL injection (เข้ากันซะไม่มี)
จริงๆอยากทำคลิปอธิบายเอง แต่เห็นมีคนทำไว้แล้ว อธิบายเข้าใจง่ายดี เลยขอยืมมาหน่อย
en.wikipedia.org/wiki/SQL_injection

SQL injection คืออะไร

มันก็คือการเจาะระบบอย่างหนึ่ง โดยใช้ SQL หรือภาษาที่ใช้ติดต่อกับฐานข้อมูล ในการโจมตี ดังนั้นถ้าเว็บคุณไม่มีการติดต่อกับฐานข้อมูลก็ไม่ต้องกังวลอะไร แต่แน่นอนเว็บสมัยนี้มีทั้งนั้นแหละ ไม่ว่าจะเป็นการเก็บข้อมูลสมาชิก ข้อมูลสินค้า และอื่นๆ

แฮกเกอร์จะใช้ช่องโหว่ในการ Query String ผ่านช่องทางการรับข้อมูลต่างๆ เพื่อให้ได้ข้อมูลใน Database นอกจากนี้ยังสามารถ แก้ไข, เพิ่ม หรือ ลบข้อมูลได้อีกด้วย นี่แหละครับ SQL injection น่ากลัวไหม??

สำหรับรายละเอียด วิธีการ แอดมินคงไม่อธิบาย เพราะน่าจะหาอ่านกันเองได้ ขอบอกมีเยอะมาก มีหลายวิธีด้วย ซึ่งวันนี้ ก็จะแนะนำวิธีที่เรียกว่า Union Base เป็นอย่างไร ดูตามคลิปด้านล่าง


วิธีการป้องกัน SQL injection

  • พยายามกรองอินพุตที่รับมาจาก User ทั้งทาง From และ URL เพื่อไม่ไปรบกวนกับการทำงานของการ Query เช่น กรองพวก Quote ต่างๆ, Slash, Back Slash, Semi colon และอื่นๆที่คิดว่าไม่น่าจะเป็นชนิดของตัวแปรที่เราควรรับ ยกตัวอย่าง ในช่องของส่วนที่เป็นชื่อภาษาไทย ถ้ามีภาษาอังกฤษเข้ามา มันก็แปลกๆแล้วล่ะ เราก็ควรตรวจสอบเยอะๆ เพื่อป้องกันสิ่งที่อาจจะเกิดขึ้นได้ พยายามคิด Case ที่สามารถเป็นไปได้ให้เยอะๆ 
  • กำหนดความยาวของข้อมูลที่รับเข้ามา เพื่อป้องกันไม่ให้ แฮกเกอร์ใช้คำสั่ง SQL ยาวๆเข้ามาโจมตี นี่ก็เป็นอีกวิธีหนึ่งในการป้องกัน
แอดมินคิดว่าวิธีการป้องกันนั้นไม่ยากเลย อยู่ที่เรานั้นจะรอบครอบแค่ไหน พยายามศึกษาวิธีการโจมตีใหม่ๆ ช่องโหว่ใหม่ๆ ปิดมันซะ 

และที่สำคัญไม่ควรนำความรู้ที่ได้ ไปสร้างความเดือดร้อนให้ใคร เด็กๆอายุต่ำกว่า 18 ควรได้รับคำแนะนำ ถ้าไม่มีใครแนะนำ ก็แนะนำตัวเองนี่และ ดีที่สุด 


แค่นี้แหละ Happy Valentine Day <3

Popular posts from this blog

วิธีตรวจสอบข้อมูลภาษีของตัวเอง รายได้ทั้งปี และค่าลดหย่อน จบครบที่เดียว

Image
แล้วก็มาถึงฤดูกาลแห่งการยื่นภาษีประจำปี สำหรับปี 2567 ยื่นได้ตั้งแต่วันนี้ จนถึงวันที่ 9 เม.ย. 2567  แม้ปีที่แล้วไม่ได้ทำอะไรมากมาย แต่รายได้ก็มีหลายช่องทาง ทั้งการเปลี่ยนงาน รับจ๊อบเสริม จากที่เมื่อก่อนจำไม่ได้ว่าตัวเองมีรายได้ตรงไหนบ้าง ไล่เช็คเมลจนตาลาย วันนี้กรมสรรพากร มีเมนูให้เราเช็คกันแล้ว (มีมานานแล้วหรือยังนะ) ก่อนอื่นเข้าไปที่ เว็บไซต์กรมสรรพากร เลือกเมนู ตรวจสอบข้อมูลทางภาษี เข้าสู่ระบบ แนะนำว่าให้ใช้ Digital ID เพราะจะสามารถดูข้อมูลรายได้ได้ด้วย ถ้าใช้ RD ID จะดูได้แค่ค่าลดหย่อน เมื่อเข้าสู่ระบบก็จะเห็นข้อมูลลดหย่อน และรายได้ที่มีการยื่นไปที่สรรพากร เท่านี้การยื่นภาษีในปีนี้ก็จะไม่ใช่เรื่องปวดหัวอีกต่อไป
Read more

คำถามจิตวิทยา และจริยธรรม เมื่อผมสามารถสับสวิตซ์รถไฟ และต้องเลือกชนใครสักคน

Image
คุณเคยฟังคำถามแนวจิตวิทยากันบ้างไหมครับ ตัวอย่างคลาสสิค ที่น่าจะเคยได้ยินคือ รถไฟขบวนหนึ่งกำลังแล่นด้วยความเร็ว มีคนนอนอยู่ด้านหน้า 5 คน และบังเอิญ คุณยืนอยู่ข้างรางรถไฟ ใกล้สวิตซ์สับราง หากคุณสับรางให้รถไฟเลี้ยว ห้าคนนั้นจะรอด แต่โชคร้ายที่บังเอิญมีหนึ่งคนจะต้องตาย คุณจะเลือกอะไร และทำไมคุณถึงเลือกแบบนั้น มันเป็นคำถามที่เป็นข้อถกเถียงมานาน และมันไม่ได้มีคำตอบแน่ชัด ว่าสิ่งไหนเป็นทางเลือกที่ดีที่สุด บางคนอาจเลือกสับรางให้มีคนตายเพียง 1 คน เพื่อรักษาชีวิตอีก 5 คน บางคนอาจปล่อยให้รถไฟวิ่งไปตามทางของมัน เพราะไม่อยากมีส่วนเกี่ยวข้องกับการตายของอีกคน หรือก็คือไม่อยากจะรู้สึกผิด ที่ต้องตัดสินใจฆ่าใคร ถ้าเป็นคุณล่ะ จะเลือกทางไหน? สำหรับผมคิดว่า คำถามมันยังขาดปัจจัยอีกหลายอย่าง ดังนั้นผมจึงไม่สามารถระบุได้แน่ชัดว่าจะเลือกแบบไหน หมายความว่ายังไง? คือถ้าคำถามอยากให้เราเลือก 1 คน หรือ 5 คน อย่างใดอย่างหนึ่งเท่านั้น ไม่มีคำตอบอื่น ผมคงต้องตอบ 5 คน อย่างไม่มีทางเลือก  แต่ในความเป็นจริงแล้ว มันมีปัจจัยที่ส่งผลต่อการกระทำเยอะมาก ผมจะ
Read more

ฝากโค๊ด Online ด้วย Pastebin กันเถอะครับ !!

Image
วันนี้ผมจะมาแนะนำการใช้เครื่องมือ แชร์ไฟล์โปรแกรมมิ่งออนไลน์ เชื่่อว่าหลายคนที่เป็นโปรแกรมเมอร์ต้องมี   I ntegrated Development Environment (  IDE )  ในดวงใจกันแล้ว แต่หากเมื่อคุณต้องการส่งโค้ดให้เพื่อนหลายๆคน  อาจลำบากในการไปอัพโหลดไฟล์อีกหลายขั้นตอน  คุณลองมาใช้โปรแกรมนี้สิครับ Pastebin  เป็นเครื่องมือยอดนิยม ใช้ฝากโค๊ดออนไลน์ มีหลากหลายภาษา การใช้งานก็ง่าย สะดวก รวดเร็ว เหมาะสำหรับการแชร์โค๊ดไปยัง Social network ต่างๆ วิธีการใช้ก็ง่ายๆ 1.เขียนโค้ดหรือ Copy โค้ดของคุณมาวางครับ 2.เลือก Syntax หรือภาษาของโค้ดคุณ มีให้เลือกมากมายเลยทีเดียว (เยอะเวอร์) 3.เลือก ระยะเวลาในการลบโค้ดของคุณออกจากระบบ 4.เลือกความเป็นส่วนตัวของโค้ด Public คนทั่วไปสามารถมองเห็นได้  Unlisted คนทั่วไปไม่สามารถมองเห็นได้ Private (members only) มองเห็นได้เฉพาะสมาชิก (ต้องลงทะเบียนก่อน) 5.ตั้งชื่อไฟล์ครับ 6.กดยืนยัน หลังจากกดยืนยันจะได้โค้ดในรูปแบบของภาษาที่คุณเลือก อ่านเข้าใจง่าย สุดท้าย Copy URL เพื่อส่ง Link ให้เพื่อนครับ ง่ายๆนะ
Read more

สูตรโกง Regex ใครไม่เก่ง Regular Expression มาทางนี้จ้า

Image
เชื่อว่าพอเขียนโปรแกรมมาซักพัก คุณต้องเคยใช้ Regex มาไม่มากก็น้อย ใช้ Validate นู่น นี่ นั่น ซึ่งเอาตรงๆ ส่วนใหญ่เราไม่ค่อยเขียนเองกันหรอก เพราะไม่มั่นใจว่า ที่เขียนเองมันครบทุกเคสไหม หรือเราอาจจะเขียนไม่เป็นเลย งั้นก็อปปี้ Stack Overflow เอาเลยล่ะกัน แต่ช้าก่อน จะรู้ได้ไงว่า Stack Overflow นั้นเขียนมาถูก งั้นบทความนี้ขอแนะนำ i Hate Regex เว็บที่รวบรวม Regular Expression ที่น่าสนใจ เพียงค้นหา Regex ด้วยคีย์เวิร์ดที่ต้องการ และเอาไปใช้ มีตัวอย่าง และคำอธิบายพร้อม  ดูแค่ชื่อเว็บก็รู้แล้วว่าเหมาะมาก กับคนเกลียด Regex แต่ถ้าไม่เกลียดก็ใช้ได้นะ ฮ่ะๆ แบบว่าเอาไว้เทียบกับที่เราเขียนเอง ว่าถูกและครบทุกเคสไหม เป็นต้น
Read more

"yes" "yeah" "yep" เหมือนและต่างกันอย่างไร ?

Image
สวัสดีครับ หลายคนคงปิดเทอมกันอยู่ล่ะสิ แอดมินก็เหมือนกัน กิจกรรมที่น่าทำมากๆตอนปิดเทอม ก็ต้องดูหนังสิครับ ซี่รี่เอย การ์ตูนเอย จัดเต็มกันไปเลย แล้วท่านผู้อ่านเคยสงดูหนังฝรั่งไหมครับ เคยสงสัยไหมว่า Yes ,Yeah ,Yep ,Yup อะไรพวกนี้มันเหมือนกันไหม แตกต่างกันอย่างไร แอดมินก็สงสัยครับ .... จนในที่สุดก็ได้รับคำตอบว่า คำพวกนี้ความหมายเหมือนกันครับ คือแปลว่า "ใช่" ส่วนคำว่า Yeah (ออกเสียงว่า "เย") นั้นมาจากความขี้เกียจของฝรั่งที่ไม่อยากออกเสียง S แต่ก็มีอีกพวกที่ไม่อยากออกเสียง S พวกนี้ใช้ P แทน จึงกลายเป็น Yep หรือ Yup ครับ นอกจากนี้ยังมี Ya คำนี้ส่วนใหญ่จะเห็นในเพลงนะครับ ถามว่าเราควรใช้คำไหน แอดมินคิดว่าตามสะดวกแหละครับ แต่หากจะเป็นทางการหน่อย ก็ใช้ Yes ถ้า Yep ก็จะประมาณว่า "เออ" "อือ" อะไรทำนองนั้น ส่วน Yeah ก็จะเหมือนกับตอนที่เราต้องการพูดว่า "ใช่" แบบ "แมร่งใช่อ่ะ" คือมีอารมณ์ด้วย ลองดูคลิปด้านล่างเป็นตัวอย่างก็ได้ครับ ตอนนี้แอดมินกำลังฝึกภาษาอังกฤษต้อนรับ AEC  อยู่ครับแหะๆ วันนี้ก็เลยพูดเรื่องภาษาอังกฤษ
Read more