การโจมตี Website ทำกันได้ง่ายขนาดไหน แล้วทำไมเราไม่ปกป้องกันละ ?


29/Mar/2022
Fatfinger
Web Security


การโจมตี Website ทำกันได้ง่ายขนาดไหน แล้วทำไมเราไม่ปกป้องกันล่ะ ?

ต้องบอกแบบนี้ว่าปัจจุบัน การใช้เว็บไซด์เพื่อประกาศตัวสินค้าหรือประชาสัมพันธ์ข่าวต่าง ๆ ก็ยังมีการใช้งานกันอยู่เป็นหลักแต่ก็มีลดลงไปบ้างเนื่องจากปัจจุบันมีช่องทางการประชาสัมพันธ์กันมากขึ้น อย่างสื่อ Social Media และการใช้งาน Online Marketing จาก สื่อออนไลน์อีกมากมาย

แต่สำหรับการใช้งานแล้วนั้นปัจจุบันต้องบอกว่า การเปลี่ยนแปลงจาก การเก็บข้อมูลที่เป็นเอกสารเข้าสู่การเก็บข้อมูลที่อยู่ในรูปแบบของเว็บไซด์บวกฐานข้อมูลที่มากขึ้น

ดังนั้นเองมันสะดวกมากขึ้นก็จริง ในมุมของการดึงเอกสารที่สามารถดึงได้ตลอดเวลา แต่ปัญหาปัจจุบันก็คือหลากหลายปัญหาที่เจอ เหล่าเว็บไซด์โดนโจมตี ขโมยข้อมูลหรือยึดระบบกันออกมาให้อ่านกันทุกวัน ทั้งเว็บไซด์ของราชการ หรือ เว็บไซด์ธุรกิจมากมายก็วุ่นวายพอสมควร

#การที่เว็บไซด์โดนแฮคหรือโดนโจมตีเราเจ้าของเว็บไซด์เสียอะไรบ้าง 


  1. เสียชื่อเสียงในกรณีที่มีคู่แข่งในตลาดเราต้องต่อสู่กับการโดนโจมตีจากคู่แข่งทางธุรกิจโดยตรง
  2. เสียความเชื่อมั่นจากลูกค้าและผลกระทบเรื่องความมั่นใจในการฝากข้อมูลไว้หรือใช้บริการ
  3. เสียเวลาเรื่องที่ต้องดูแลระบบหลังจากโดนขโมยข้อมูลไป หรือ โดนยึดระบบไป
  4. ผลกระทบทางกฎหมายเริ่มมีการพูดถึงเรื่องการดูแลข้อมูลส่วนบุคคลและการถูกนำระบบไปโจมตีผู้อื่น
  5. ผลกระทบภายในเครือข่ายที่ระบบอื่น ๆ จะโดนโจมตีไปด้วย


ดังนั้นถ้าผู้ดูแลหรือเจ้าของเว็บไซด์สามารถที่จะรับความเสี่ยงตรงนี้ได้ไหม ถ้ารับได้กับความเสี่ยงนี้ได้ก็ไปต่อ แต่ทั้งนี้เมื่อพูดถึงวิธีการโจมตีเว็บไซด์นั้น เราแบ่งเป็น 3 ความง่ายความยากกันก่อน • การโจมตีหรือยึดเครื่องด้วยช่องโหว่ของระบบปฏิบัติการ ส่วนนี้สามารถทำได้ด้วยตัวเอง และง่ายที่จะทดสอบหรือโจมตี โดยการไปหาช่องโหว่ อย่าง Log4j , Apache , Window Server เป็นต้น

• การโจมตีหรือยึดเครื่องด้วยช่องโหว่ของ Code หรือการเขียนโปรแกรม ส่วนนี้ใช้โปรแกรมสำเร็จรูปหรือการใช้โปรแกรมการโจมตีที่หาได้ทั่วไป และ เพิ่มการสกิลของผู้โจมตีไป เล็กน้อย โดยโปรแกรมสำเร็จรูปอย่าง Kali linux , IBM Appscan , Acunetix , Burpsuite เป็นต้น

• การโจมตีหรือยึดเครื่องด้วยสกิลของผู้โจมตีโดยตรง ที่หาทุกช่องทางทุกวิธีการที่จะโจมตีไปที่ระบบอาจจะใช้วิธีโจมตีจากตัวบุคคลที่ดูแลระบบด้วย Phishing ไปที่ตัวผู้ดูแลระบบ หรือ ผู้ใช้งานแล้วค่อยเจาะระบบไปทีละขั้น เป็นวิธีที่ซับซ้อน โดยใช้หลายเทคนิค ในการโจมตีมากมาย การปกป้องระบบให้ปลอดภัยนั้น 2 วิธีการที่ง่ายและยาก แต่ก็ต้องทำ

- การติดตั้งระบบ Web Application Firewall เพื่อลดความเสี่ยงต่าง ๆ ลงให้มากที่สุด อย่างสินค้า Imperva


- การเรียนรู้และวิธีการปิดช่องโหว่ของเว็บไซด์นั้นสามารถอ่านเพิ่มเติมได้จาก OWASP Top 10 ได้


o การทำ Secure Coding ในทุกขั้นตอน

ติดตามข่าวสารจาก Avery IT tech เพิ่มเติมได้ทุกช่องทางตามด้านล่างนี้เลย

. Website: https://www.averyittech.com

Facebook: Avery IT Tech

Blockdit: Avery IT Tech #AveryITTech #IT