Category: Security

  • WordPress Content Security Policy

    WordPress Content Security Policy

    grianggrai.n

    1. CSP สำหรับ WordPress ค่อนข้างยุ่งยาก ปรับโน่นนิดปิดนี่หน่อย เว็บเพี้ยน
    2. เมื่อลองค้นไป ก็เจอปลักอินอยู่ตัวนึง ที่ช่วยสร้าง CSP ให้อัตโนมัติ นั่นคือ CSP-ANTS&STP แต่เนื่องจากปลักอินตัวนี้ไม่ได้รับการปรับปรุงมาตั้งแต่ 2022 ซึ่งนานเกินไป แล้ว แต่จริงๆ มันยังใช้ได้อยู่
    3. แต่ปลั๊กอินก็ยังมีบักเมื่อไปตรวจกับเว็บ https://securityheaders.com แล้วจะมีข้อความเตือนดังภาพ
    1. เพื่อแก้ปัญหานี้เลยต้องเขียนปลักอินตัวนี้ลงในปลักอินอีกตัวที่ชื่อ Woody snippets
    2. คลิก Add ใน Woody snippets เพิ่มข้อความต่อไปนี้ ส่วนนี้ได้แก้ไข Error บน https://securityheaders.com แล้วด้วย
    /**
* Plugin Name:       CSP-ANTS&ST
* Description:       Add a nonce to each script and style tags, and set those nonces in CSP header
* Version:           1.1.1
* Requires at least: 5.9
* Requires PHP:      7.3
* Author:            Pascal CESCATO
* Author URI:        https://pascalcescato.gdn/
* License:           GPL v2 or later
* License URI:       https://www.gnu.org/licenses/gpl-2.0.html
*/

add_action('send_headers', function () {
if (is_admin()){
    header("Content-Security-Policy: upgrade-insecure-requests");
    return;
} 
//เลือก page ที่ไม่ต้องการให้ CSP ทำงาน
if (is_page(['cd-key'])){
    header("Content-Security-Policy: upgrade-insecure-requests");
    return;
} 

if (function_exists('litespeed_autoload')):
// lscache version
function cspantsst_cspantsst_lscwp_check ( $content ) {

$uris = implode ( ' ', cspantsst_search_for_sources ( $content ) );

$sha256_csp = cspantsst_search_for_events ( $content );

$nonces = [];

$content = preg_replace_callback ( '#<script.*?\>#', function ( $matches ) use ( &$nonces ) {
$nonce = wp_create_nonce ( $matches[ 0 ] );
$nonces[] = $nonce;

return str_replace ( '<script', "<script nonce='{$nonce}'", $matches[ 0 ] );
}, $content );

$content = preg_replace_callback ( '#<style.*?\>#', function ( $matches ) use ( &$nonces ) {
$nonce = wp_create_nonce ( $matches[ 0 ] );
$nonces[] = $nonce;

return str_replace ( '<style', "<style nonce='{$nonce}'", $matches[ 0 ] );
}, $content );

$nonces_csp = array_reduce ( $nonces, function ( $header, $nonce ) {
return "{$header} 'nonce-{$nonce}'";
}, '' );

header ( sprintf ( "Content-Security-Policy:  base-uri 'self' %1s data:; object-src 'none'; script-src https:%2s %3s 'strict-dynamic'; frame-ancestors 'none'; ", $uris, $nonces_csp, $sha256_csp ));
return $content;
}

add_filter ( 'litespeed_buffer_after', 'cspantsst_cspantsst_lscwp_check', 0 );

else:
// otherwise
add_action ( 'template_redirect', function () {

ob_start ( function ( $output ) {

$uris = implode ( ' ', cspantsst_search_for_sources ( $output ) );

$sha256_csp = cspantsst_search_for_events ( $output );

$nonces = [];

$output = preg_replace_callback ( '#<script.*?\>#', function ( $matches ) use ( &$nonces ) {
$nonce = wp_create_nonce ( $matches[ 0 ] );
$nonces[] = $nonce;
return str_replace ( '<script', "<script nonce='{$nonce}'", $matches[ 0 ] );
}, $output );

$output = preg_replace_callback ( '#<style.*?\>#', function ( $matches ) use ( &$nonces ) {
$nonce = wp_create_nonce ( $matches[ 0 ] );
$nonces[] = $nonce;
return str_replace ( '<style', "<style nonce='{$nonce}'", $matches[ 0 ] );
}, $output );

$header = '';
$nonces_csp = array_reduce ( $nonces, function ( $header, $nonce ) {
return "{$header} 'nonce-{$nonce}'";
}, '' );

header ( sprintf ( "Content-Security-Policy: base-uri 'self' %1s data:; object-src 'none'; script-src https:%2s %3s 'strict-dynamic'; frame-ancestors 'none';", $uris, $nonces_csp, $sha256_csp ) );
return $output;
} );
} );
endif;

function cspantsst_search_for_events ( $output ) {

$sha256 = array ();

preg_match_all ( '/onload="(?<onload>[^"]+)"|onclick="(?<onclick>[^"]+)"/', $output, $matches );
foreach ( $matches[ 'onload' ] as $match ):
if ( !empty ( $match ) )
$sha256[] = base64_encode ( hash ( 'sha256', $match, true ) );
endforeach;
foreach ( $matches[ 'onclick' ] as $match ):
if ( !empty ( $match ) )
$sha256[] = base64_encode ( hash ( 'sha256', $match, true ) );
endforeach;

if ( class_exists ( 'autoptimizeConfig' ) ):
$sha256[] = base64_encode ( hash ( 'sha256', "this.onload=null;this.media='all';", true ) );
endif;


$header_sha256 = "'unsafe-hashes'";
$sha256_csp = array_reduce ( $sha256, function ( $header, $sha256_item ) {
return "{$header} 'sha256-{$sha256_item}'";
}, '' );

if ( !empty ( $sha256_csp ) )
$sha256_csp = $header_sha256 . $sha256_csp;

return $sha256_csp;
}

function cspantsst_search_for_sources ( $string ) {

$result = array ();
if ( strpos ( $string, 'https://secure.gravatar.com/avatar/' ) ):
$result[] = 'https://secure.gravatar.com/avatar/';
endif;
if ( strpos ( $string, 'https://fonts.googleapis.com/' ) ):
$result[] = 'https://fonts.googleapis.com/';
endif;
if ( strpos ( $string, 'https://maxcdn.bootstrapcdn.com/' ) ):
$result[] = 'https://maxcdn.bootstrapcdn.com/';
endif;
return $result;

}
});
    1. และใน code นี้มีส่วนของโค้ดที่ใช้ระบุหน้าที่ไม่ต้องการให้ CSP-ANTS&STP ทำงานด้วย เนื่องจากการกำหนด CSP บ้างครั้งอาจทำให้เว็บไม่สามารถทำงานได้อย่างที่ต้องการ ต้องปรับลดความปลอดภัยลงให้เหลือ upgrade-insecure-requests แทนโค้ดดังกล่าวคือ
    if (is_page(['cd-key'])){
    header("Content-Security-Policy: upgrade-insecure-requests");
    return;
}
    1. แล้วเลื่อนลงมาในส่วนของ Base options เลือกเป็น Run everywhere
    1. กด Save
    2. และมาตรวจสอบในหน้า Woody snippets ว่าเปิดใช้งานดังภาพแล้วหรือยัง
    1. ทดสอบด้วยการไปเช็คด้วย https://securityheaders.com/ ก็จะได้ A+ เย่..
    1. แถม https://developer.mozilla.org/en-US/observatory/ อีกเว็บนึง เมื่อติดตั้งโค้ดของ CSP ก็สามารถทำคะแนนที่ดีขึ้นทันตาเห็น
    1. สุดท้ายก็สามารถ ถอนปลักอิน CSP-ANTS&STP ออกจากเว็บไซต์ได้เลย ต้องขอบคุณคนเขียนปลักอินตัวนี้จากใจจริง
    2. จบ.
    3. ขอให้สนุก..
  • Passkey and security keys in Google

    Passkey and security keys in Google

    grianggrai.n

    เพื่อการเข้าใช้งานที่ง่ายขึ้นไปอีกขั้นแต่ปลอดภัยอยู้ (เสียงสูง)​​ Passkey เป็นการยืนยันตัวตนสองขั้นตอนอีกวิธีที่ใช้เพิ่มความปลอดภัยให้กับการล็อคอินเข้าใช้งาน มาตั้งค่าเพิ่มเติมกันสำหรับ Google

    1. เริ่มต้นล็อคอินเข้าระบบที่ https://myaccount.google.com/
    2. เมื่อล็อคอินเข้าระบบเรียบร้อยให้คลิกที่ Security แล้วเลื่อนลงมาที่ How you sign in to Google
    1. คลิกที่ 2-Step Verification จะได้ดังภาพ
    1. ในส่วนของ Second steps คลิกที่ Passkeys and security keys ได้ผลดังภาพ
    1. คลิก Create a passkey จะมีหน้าต่างหรือป็อบอัพแสดงขึ้นมาเพื่อให้เราใส่รหัสผ่านของเครื่องคอมพิวเตอร์ หรือมือถือที่ใช้เปิดหน้านี้ขึ้นมา อย่างในตัวอย่างนี้เปิดในเครื่องที่ใช้ระบบสแกนลายนิ้วมือในการเข้าใช้งาน ก็ให้สแกนลายนิ้วมือ เพื่อสร้าง Passkey เพียงเท่านี้ก็เสร็จ
    1. จะได้ดังรูป
    1. คลิก Try it out เพื่อทดสอบใช้งาาน ก็จะมีป็อบอัพให้กรอกรหัสผ่านเข้าเครื่องหรือรหัสปลดล็อคเครื่องหรือข้อมูลไบโอเมทริกอื่นๆ ที่ใช้ล็อคอินเข้าเครื่องที่เปิดใช้งานขึ้นมา
    1. เมื่อใส่ข้อมูลที่ร้องขอลงไปแล้วเพื่อยืนยันตัวตนเรียบร้อยจะได้ดังภาพ
    1. คลิก Done เป็นอันเสร็จ
    • จบขอให้สนุก
  • วิธีตั้งค่า MFA (Multi-Factor Authentication) บนบัญชี Google

    วิธีตั้งค่า MFA (Multi-Factor Authentication) บนบัญชี Google

    grianggrai.n

    เร็วๆ นี้บริการของ Google ของมหาวิทยาลัย จะต้องทำการเปิดการยืนยันตัวตนหลายขั้นตอน 2FA (Two-Factor Authentication) หรือ MFA (Multi Factor Authentication) สำหรับผู้ที่ไม่เคยตั้งค่า 2FA สามารถทำได้ดังนี้

    1. เปิดเว็บ https://myaccount.google.com/ จะได้หน้าล็อคอิน
    1. ล็อคอินให้เรียบร้อยจะได้ดังภาพ
    1. คลิกที่ Security จะได้ดังภาพ
    1. คลิก + Set up authenticator จะได้ QR code ขึ้นมาดังภาพ
    1. เปิดแอ็พ Microsoft Authenticator ที่เคยใช้งานอยู่กับ Microsoft อยู่แล้ว จะได้ไม่ต้องลงแอ็พอื่น ๆ เพิ่มเติม
    2. เมื่อเปิดแอ็พ Microsoft Authenticator จะได้ดังภาพ
    1. กดเครื่องหมาย + ที่มุมบนขวา จะได้ดังภาพ
    1. เมื่อสแกน QR Code เสร็จ ในมือถือจะได้ดังภาพ
    1. ให้กด Next ในเว็บจะได้หน้าดังภาพ ให้นำตัวเลขจาก Microsoft Authenticator ในส่วนของ Google มาใส่แล้วกด Verify
    1. จะได้หน้าดังภาพ
    1. คลิก Turn on อีกครั้งจะได้หน้าดังภาพ
    1. คลิก Turn on 2-Step Verification แล้วกด Done
    1. จะได้ดังภาพ
    1. กดลูกศร ย้อนกลับมาดูที่หน้า Security ในส่วนของ How you sign in to Google หัวข้อ 2-Step Verification ต้องมีสถานะเป็น On ดังภาพ
    1. ทดสอบล็อคเอาท์และล็อคอินใหม่ เมื่อใส่รหัสผ่านแล้วจะมีหน้า 2-Step Verification ขึ้นมาถาม ให้เปิดแอ็พ Microsoft Authenticator นำรหัสจากแอ็พในหัวข้อ Google มาใส่แล้วกด Next ก็จะเข้าระบบได้เรียบร้อย
    • จบขอให้สนุก

  • Firewalld, firewall management tool for RedHat-based distributions

    grianggrai.n

    แบบด่วนๆ เลยนะ

    1. ล็อคอินเข้าระบบด้วยบัญชีผู้ใช้ root
    2. ปกติติดตั้งมาให้ตั้งแต่เริ่มต้น
    3. หากยังไม่ได้ติดตั้ง สามารถติดตั้งด้วยคำสั่ง
      • yum install firewalld firewall-config
    4. สั่งให้ firewalld ทำงานด้วยคำสั่ง
      • systemctl enable firewalld.service
      • systemctl start firewalld.service
    5. ดูสถานะการทำงานของ firewalld ด้วยคำสั่ง
      • systemctl status firewalld.service
    6. ต้องได้ประมาณว่า
    1. สถานะต้องเป็น active หากเป็นอย่างอื่นให้ reboot เครื่องดูก่อน
    2. เพิ่มกฎการเข้าถึงตัวอย่างเช่น
    firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.26.0.1" port protocol="tcp" port="631" accept' --permanent

    อธิบายได้ว่า ยอมรับการเข้าถึงจากไอพี 192.26.0.1 มายัง tcp port 631 ไปที่ zone public แบบถาวร zone public เป็น zone ที่ถูกเลือกไว้โดย default

    1. เมื่อเพิ่มกฎการทำงานต้องให้ firewalld โหลดกฎใหม่ทุกครั้งด้วยคำสั่ง
    firewall-cmd --reload
    1. ยากพิมพ์เยอะมีเครื่องมือให้ใช้งาน คือ firewall-config แต่ต้องมี xwindows นะครับ เรียกใช้งานด้วยคำสั่ง
    firewall-config &
    1. จะได้ดังภาพ
    1. ให้เลือก zone ชื่อ public แล้วเลือก Rich Rules ทางขวามือ ได้ดังภาพ (จริง ๆ หน้าต่างเริ่มต้นมันแคบนะครับต้องขยายออกไปทางขวาจึงจะเห็นทั้งหมด)
    1. สามารถคลิกปุ่ม Add จะได้ดังภาพ
    1. ก็เลือก ๆ ตามที่ต้องการได้เลยตัวอย่างเช่น

    แปลว่าอนุญาต ไอพี 192.100.33.12 ให้เข้ามาที่บริการ ssh ได้ คลิก Ok เพิ่มเพิ่มกฎ จะได้

    1. สามารถเพิ่มกฎได้ตามต้องการ และให้สังเกตตรง Configuration ด้านบนจะเห็นว่าเลือกไว้ว่า Runtime ถ้าลองคลิกเลือกจะมี Permanent จะได้ดังภาพ
    1. ถ้ารีสตาร์ท firewalld กฎที่อยู่ที่ Runtime จะหายไปดังนั้นหากต้องการให้กฎยังอยู่ต้องย้ายกฎที่ Runtime มาที่ Permanent ด้วยการคลิกที่ Options แล้วเลือก Runtime To Permanent
    1. กฎจะถูกก็อปปี้ไปยัง Permanent เมื่อรีบูตหรือรีสตาร์ท firewalld กฎก็ยังอยู่ หรือหากต้องการทำครั้งเดียวก็เพิ่มกฎใน Permanent ได้เลยเช่นกันแต่กฎเหล่านั้นจะยังไม่ทำงานจนกว่าจะ Reload Firewalld
    2. เมื่อเพิ่มกฎเป็นที่พอใจและ copy จาก runtime มา permanent แล้วสามารถปิด firewall-config ได้เลยแต่เพื่อความแน่ใจ ให้ Reload Firewalld ใน Options อีกครั้งแล้วค่อยปิด จะได้ไม่ลืมครับ
    3. หรือหากไม่ชอบแก้ไขใน Windows สามารถแก้ไขแฟ้ม /etc/firewalld/zone/public.xml ได้เช่นกัน เมื่อเปิดไฟล์เข้าไปจะได้ว่า
    <?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <rule family="ipv4">
    <source address="192.26.0.1"/>
    <port protocol="tcp" port="631"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="192.100.33.12"/>
    <service name="ssh"/>
    <accept/>
  </rule>
</zone>
    1. สามารถก็อปปี้ 5 บรรทัดเริ่มตั้งแต่ <rule family=”ipv4″> ไปจนถึง </rule> นี้จะเป็น 1 กฎหากมีซ้ำๆ กันเยอะๆ ก็สามารถก็อปปี้แล้ววางแล้วแก้เฉพาะเลขไอพีได้เลย
    2. เมื่อแก้ไขแฟ้มเสร็จ save แล้วออกมาสั่งด้วยคำสั่ง
    firewall-cmd --reload
    1. แก้ไขแฟ้ม /etc/firewalld/firewalld.conf
      • เปลี่ยน AllowZoneDrifting จากเดิม yes เป็น no
      • restart firewalld ด้วยคำสั่ง systemctl restart firewalld
    2. ยังมีอีกมากที่ยังใช้ไม่เป็น ด่วนๆ เอาเท่านี้ก่อน
    3. จบขอให้สนุก

  • วิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers

    taveesak.p

    How to Hide Your Apache Version and Linux (Ubuntu/Debian) OS From HTTP Headers

    ด้วย (ร่าง) มาตรฐานเว็บไซต์มหาวิทยาลัยสงขลานครินทร์ พ.ศ. 2567 และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

    สำหรับการใช้งาน HTTP Response headers*1 ถูกใช้เพื่อส่งต่อนโยบายความปลอดภัยไปยังเบราเซอร์  ทำให้การเปิดเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้น

    ซึ่งการกำหนดให้ Server Type ไม่แสดงข้อมูล เกี่ยวกับระบบปฏิบัติการและรุ่นของโปรแกรมเว็บไซต์ ที่ส่งผ่าน HTTP Response headers ที่ใช้งานผ่าน Apache2 เวอร์ที่สูงกว่า 2.4.8 มีวิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers ดังนี้

    ขั้นตอนที่ 1 เข้าใช้งานผ่าน SSH เปลี่ยนระดับผู้ใช้งานเป็น root ที่สามารถแก้ไขข้อมูลระบบได้

    ขั้นตอนที่ 2 แก้ไขการตั้งค่า Apache server configuration โดยใช้โปรแกรม Nano (โปรแกรมแก้ไขข้อความที่คุณต้องการ)

    Debian/Ubuntu:

    nano /etc/apache2/conf-enabled/security.conf

    ขั้นตอนที่ 3 เลื่อนหาส่วนการตั้งค่า “ServerTokens”

    • เดิมจะเป็นค่า “ServerTokens OS” ซึ่งแสดงข้อมูลระบบปฏิบัติการของระบบไปกับ HTTP Response headers
    • ให้เปลี่ยนแปลงค่าเป็น “ServerTokens Prod” โดยระบบจะซ่อน Apache version และ OS จาก HTTP headers

    ขั้นตอนที่ 4 เลื่อนหาส่วนการตั้งค่า “ServerSignature”

    • แก้ไขเป็น ServerSignature Off การปิดตัวเลือกนี้จะซ่อนข้อมูลจากเพจที่เซิร์ฟเวอร์สร้างขึ้น

    ขั้นตอนที่ 5 บันทึกและออกจากไฟล์

    Nano : Crt+O เพื่อทำการบันทึก และ Crt+X เพื่อออกจากการแก้ไข

    ขั้นตอนที่ 6 Restart Apache2

    Debian/Ubuntu: /ete/ini.d/apache2 restart

    1. *อ้างอิง: Hardening your HTTP response headers – CoP PSU IT Blog ↩︎

  • Debian Oval

    grianggrai.n

    https://wiki.debian.org/DebianOval

    1. ระบบปฏิบัติการ Debian 12.4
    2. ล็อคอินด้วย root หรือ user ที่สามารถเรียกใช้ sudo ได้
    3. ติดตั้ง openscap-scanner ด้วยคำสั่ง
     apt install -y openscap-scanner
    1. ดาวน์โหลดไฟล์ Definition จาก https://www.debian.org/security/oval/ เลือกไฟล์ให้ตรงกับรุ่น ของ Debian ที่ใช้งาน ตัวอย่างนี้ใช้ Bookworm (รุ่น 12.4) โหลดไฟล์ชื่อ oval-definitions-bookworm.xml.bz2
    2. ขยายไฟล์ที่ดาวน์โหลดมาด้วยคำสั่ง
    bunzip2  oval-definitions-bookworm.xml.bz2
    1. ต่อด้วยคำสั่ง
    oscap oval eval --report report.html oval-definitions-bookworm.xml
    1. นำไฟล์ report.html มาเปิดใน web browser
    1. ช่อง Result ต้องเป็น false ถึงจะ Ok ?
    2. จบขอให้สนุก

  • การกำหนดค่าพื้นฐานความปลอดภัยสำหรับ IIS และ WordPress บน Windows Server

    ghongchanok.t

    เพื่อให้ Web Server ของเราปลอดภัยจากการถูกโจมตี บทความนี้จะเป็นการแนะนำการกำหนดค่าต่างๆของ web server ที่ให้บริการ ซึ่งทำงานด้วยบน Windows Server และ มีการติดตั้ง IIS, PHP, MySql, ASP.Net และ WordPress

    • การกำหนดส่วนของ Windows Server อ้างอิงคำแนะนำจาก Quays SSL Labs ให้ได้ระดับ A ขึ้นไป
      1. ใช้ใบรับรองจาก CA ที่น่าเชื่อถือ และ ใช้การ RSA 2048 bits (SHA256withRSA) ขึ้นไป
      2. การกำหนด Cipher Suites ที่ปลอดภัย ซึ่งจะมีเครื่องมือที่ช่วยในการกำหนดดังนี้
        • IIS Crypto เป็นโปรแกรมฟรีไม่ต้องติดตั้งสำหรับช่วยจัดการกำหนด protocols, ciphers, hashes and key exchange algorithms บน Windows Server โดยกำหนดพื้นฐานดังนี้
          1. เมนู Schannel
          1.1 Protocols เลือกกำหนดใช้งาน TLS 1.2 และ/หรือ TLS 1.3 เท่านั้น
          1.2 Cipher เลือกกำหนดเป็น AES
          1.3 Hashes เลือก SHA 256 ขึ้นไป
          1.4 Key Exchanges สามารถเลือกได้ทั้ง Diffie-Hellman, PKCS และ ECDH
          2. เมนู Cipher Suites สามารถกำหนด Cipher Suites ที่ปลอดภัยในปัจจุบัน ซึ่งค้นหาได้จากเว็บ https://www.tenable.com/plugins/nessus/156899
      3. เป็นส่วนของการกำหนดใน IIS
        • การกำหนดสำหรับ Security Headers ให้ได้ระดับ A+ อ้างอิงคำแนะนำจากเว็บ https://securityheaders.com/
        • การจัดการ Http Response Header โดยกำหนดค่าดังนี้
          1. X-Frame-Options เป็นการกำหนดเพื่อหลีกเลี่ยงจากการถูกโจมตีด้วย Clickjacking
            ตัวอย่างการกำหนดค่าเป็น SAMEORIGIN
          2. X-XSS-Protection เป็นการป้องกันการโหลดสคริปต์ข้ามไซต์
            ตัวอย่างการกำหนดเป็น 1; mode=block
          3. X-Content-Type-Options เป็นการป้องการโจมตีเนื้อหาประเภท MINE (Multipurpose Internet Mail Extensions) ซึ่งเป็นรูปแบบที่ใช้ระบุประเภทของข้อมูลที่ถูกส่งผ่านเครือข่าย หรือเก็บที่เครื่องอุปกรณ์ มันช่วยบอกให้ระบบรับรู้ว่าไฟล์เป็นประเภทไหนและวิธีการจัดการข้อมูลนั้น ที่อาจถูกใช้ในการโจมตีเพื่อหลอกลวงระบบหรือละเว้นมาตรฐานการตรวจสอบปลอดภัย เช่น application/pdf, image/jpeg, text/html
            ตัวอย่างการกำหนดค่าเป็น nosniff
          4. Referrer-Policy เป็นการควบคุมการส่งผ่านส่วนอ้างอิง เช่น ป้องกันส่วน HTTPS ไม่ให้กลับไป HTTP ที่ไม่ปลอดภัย
            ตัวอย่างการกำหนดค่าเป็น no-referrer-when-downgrade
          5. Strict-Transport-Security เป็นการช่วยให้การเข้าเว็บไซต์ด้วย HTTPS เท่านั้น
            ตัวอย่างการกำหนดค่าเป็น max-age=31536000; includeSubDomains; preload
          6. Content-Security-Policy เป็นการระบุที่มาของเนื้อหาที่ได้รับอนุญาตให้โหลดบนเว็บไซต์ เช่น JavaScript เพื่อป้องกันการโจมตีแบบ Cross-Site Scripting (XSS)
            ตัวอย่างการกำหนดค่าเป็น upgrade-insecure-requests
          7. Permissions-Policy เป็นการควบคุมการเปิดใช้งานเช่น กล้อง หรือ ไมโครโฟน หรือ ฟีเจอร์อื่น ๆ
            ตัวอย่างการกำหนดค่า เช่น geolocation=(), camera=(), microphone=()
        • การปกปิดเวอร์ชันไม่แสดงในส่วนของ Header สามารถกำหนดเพิ่มเติมดังนี้
          1. เมนู IIS Manager –> Configuration Editor
            • Section: system.webServer/security/requestFiltering กำหนด removeServerHeader เป็น True เพื่อไม่ให้แสดง เวอร์ชันของ server
            • Section: system.web/httpRuntime กำหนด enableVersionHeader เป็น False เพื่อไม่ให้แสดงเวอร์ชันของ IIS หรือ ASP.Net
          2. กำหนด expose_php = Off ใน php.ini เพื่อไม่ให้แสดงเวอร์ชันของ php
          3. ลบ X-Powered-By ออกจาก HTTP Response Headers
      4. กำหนด IP Address ส่วนของ Remote Address ใน Windows Defender Firewall with Advance Security – Inbound Rules เพื่อควบคุมการเข้าถึงจากคอมพิวเตอร์ที่ได้รับอนุญาตเท่านั้น
      5. ปิด port ที่ไม่ได้ใช้งาน
    • การกำหนดส่วนของเว็บ
      1. การเรียกใช้งานไรบรารีจากภายนอกเว็บไซต์ เช่น เดิม จะมีการเรียกใช้โดยอ้างอิงแบบ
        src=”https://code.jquery.com/jquery-3.7.1.min.js” ซึ่งจะไม่มีการตรวจสอบความน่าเชื่อถือ
        เพื่อสร้างความเชื่อมั่นว่าไรบรารีที่ใช้งานจะไม่มีการเปลี่ยนแปลง จึงมีการเพิ่มส่วนการตรวจสอบ integrity และ crossorigin ซึ่งสามารถเลือกใช้งาน Code Integration ได้จากเว็บ https://releases.jquery.com/jquery/ หรือ https://cdnjs.com/libraries ดังตัวอย่างนี้
        • src=”https://code.jquery.com/jquery-3.7.1.min.js” integrity=”sha256-/JqT3SQfawRcv/BIHPThkBvs0OEvtFFmqPF/lYI/Cxo=” crossorigin=”anonymous” หรือ
        • src=”https://cdnjs.cloudflare.com/ajax/libs/jquery/3.7.1/jquery.min.js” integrity=”sha512-v2CJ7UaYy4JwqLDIrZUI/4hqeoQieOmAZNXBeQyjo21dadnwR+8ZaIJVT8EE2iyI61OV8e6M8PP2/4hpQINQ/g==” crossorigin=”anonymous” referrerpolicy=”no-referrer”
      2. การป้องกันการเรียกดู user data ผ่าน REST API ใน WordPress กรณีนี้ควรติดตั้งส่วนเสริมไม่ให้สามารถเรียกใช้งานผ่าน REST API โดยไม่มีการยืนยันตัวตนก่อน เช่น Disable WP REST API
    • หลังจาก กำหนดค่าเรียบร้อยแล้ว สามารถทดสอบได้ที่ https://www.ssllabs.com/ssltest/analyze.html คลิกเลือก Do not show the results on the boards ก่อนสแกน ด้วยครับ
    • Windows Server 2019 รองรับ TLS 1.2
    • Windows Server 2022 รองรับ TLS 1.2 และ TLS 1.3
      หมายเหตุ ทั้งนี้ Windows Server 2022 เพิ่มการรองรับ TLS 1.3 อย่างไรก็ตาม หากเปิดใช้งานทั้ง TLS 1.2 และ 1.3 Site Scanner จะส่งผลให้ได้เกรด A เท่านั้น เนื่องจากปัจจุบัน Windows Server ไม่รองรับการป้องกันการโจมตีแบบดาวน์เกรด หากไคลเอนต์ร้องขอ TLS 1.3 Windows จะยังคงอนุญาตให้ปรับไปใช้ TLS 1.2 ได้ และนั่นคือสาเหตุที่ Site Scanner รายงานเกรด A แทนที่จะเป็น A+

  • Beware of open large 700+ MB PDF, SCR File

    songkrant.m

    ระวังการเปิดอ่านไฟล์ PDF, SCR ขนาดใหญ่กว่า 700 MB ด้วยอาจจะเป็น มัลแวร์ ที่สามารถสำเนาคุกกี้ในโปรแกรมเว็บเบราเซอร์ของเครื่องที่ท่านใช้งานอยู่ไปให้กับคุณแฮกเกอร์ได้

    คุณแฮกเกอร์ เมื่อได้ คุกกี้ ไปแล้วก็สามารถนำไปใช้เข้าเว็บไซต์ที่แม้จะได้มีการป้องกันด้วยระบบตรวจสอบตัวจริงหลายชั้น Multi-factor Authentication : MFA เอาไว้ ก็หลุดรอดวิธีเข้าเว็บไซต์ด้วยคุ๊กกี้นี้ไปได้อย่างง่ายดาย ทั้งนี้ด้วยช่องโหว่โปรแกรมป้องกันไวรัสจะไม่ตรวจสอบไฟล์ขนาดใหญ่กว่า 700 MB

    ก่อนคลิก คิดทบทวนกันก่อนนะครับ

    อ้างอิงจาก YouTube https://youtu.be/yXYLR8MfSz8

  • Patch Your Website NOW

    songkrant.m

    เรียนท่านผู้ดูแลเว็บไซต์ต่างๆ ภายใต้โโเมน psu.ac.th

    เนื่องด้วยเว็บไซต์หลายส่วนงานไม่ได้มีการปรับปรุงซอฟแวร์บริการเว็บไซต์และระบบปฏิบัติการให้ทันสมัยล่าสุดปิดกั้นช่องโหว่

    ส่งผลให้เว็บไซต์จำนวนมากมีช่องโหว่ พร้อมให้ถูกโจมตีได้ง่ายมาก ไม่ต้องใช้เทคนิคขั้นสูงในการเจาะระบบ

    หากท่านยังไม่ได้เคยตรวจสอบปรับปรุงเว็บไซต์ก็ขอให้ใช้เครื่องมือที่

    1. ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
      โดยใช้ URL
      https://bgp.he.net/dns/www.psu.ac.th/
      และแก้ไข www.psu.ac.th เป็นชื่อเว็บไซต์ที่ท่านดูแล
      ซึ่งตัวอย่าง www.psu.ac.th
      ได้ Public IP Address 192.100.77.111
    2. ตรวจสอบช่องโหว่ของเว็บไซต์ที่ท่านดูแลจาก Shodan
      โดยใช้ URL
      https://www.shodan.io/host/192.100.77.111
      และแก้ไข Public IP Address เป็น Public IP Address ของเว็บไซต์ที่ท่านดูแล

    หากด้านซ้ายล่างมีข้อความ
    Vulnerabilities และแสดง
    CVE เลบต่างๆ

    ท่านผู้ดูแลเว็บไซต์ งานเข้าเร่งด่วน ให้ ปรับปรุง ปิดกั้น ช่องโหว่ เว็บไซต์ที่ท่านดูแล
    โดยเร็วที่สุด

    ซึ่งหากท่านดูแลเว็บไซต์เองไม่ได้ก็ขอให้ย้ายเนื้อหามาใช้บริการที่
    https://webhost.psu.ac.th/
    ที่ท่านจะดูแลเฉพาะส่วนเนื้อหาในเว็บไซต์

    ในที่สุด เว็บไซต์ ที่ดูแลไม่ต่อเนื่อง มีช่องโหว่ ก็จะถูกโจมตี แบบเบาๆ ก็จะถูกวาง Link การพนัน ลามกอนาจาร ตัวอย่างเช่น
    ค้นหาด้วย Google ใช้คำว่า

    slot site:*.psu.ac.th

    ก็จะปรากฎชื่อเว็บไซต์ต่างๆ ภายใต้โดโเมน psu.ac.th ที่ถูกโจมตี จากช่องโหว่ที่ปล่อยทิ้งไว้ไม่ปรับปรุงป้องกัน
    ซึ่งตัวอย่างนี้ฝัง Link ที่ไปสู่ เว็บไซต์ การพนัน ตามคำค้นว่า slot

    ย้ำอีกครั้ง อย่าปล่อยรอไว้ จนถึงวันที่ ผู้บริหารส่วนงานท่านได้รับหนังสือจาก DiiS.PSU ว่าทาง สกมช. ได้ส่งหนังสือเรียนท่านอธิการบดี แจ้งเตือนเว็บไซต์ต่างๆ ที่ท่าน “ต้องดูแล” รับผิดชอบ ภายใต้โดโเมน psu.ac.th ถูกโจมตี

    ไม่ต้อง รอ นะครับ