CoP PSU IT Blog – Page 203 – แหล่งรวมบทความเกี่ยวกับ IT โดยชาว PSU IT

วิธีตรวจสอบเว็บไซต์ที่โดน Hack #14

May 1, 2014 22:11

บทความนี้ เสนอเรื่อง Heartbleed Bug (CVE-2014-0160) บน OpenSSL ในส่วนของ นิยาม, รู้เรา, รู้เขา และ ตัวอย่างการทดสอบ นิยาม Heartbleed เป็นช่องโหว่ของระบบ OpenSSL เรียกว่าเป็นบั๊ก (Bug) ก็ว่าได้ ตั้งชื่อเลียนแบบการออกเสียงคำว่า Heartbeat ซึ่งเป็นการตรวจสอบว่ายัง Alive หรือไม่ โดยเป็นจุดเริ่มต้นของช่องโหว่นี้ ซึ่งจำกัดอยู่เฉพาะ OpenSSL version ตั้งแต่ 1.0.1 ถึง 1.0.1f และได้รับการแก้ไขตั้งแต่ 1.0.1g เป็นต้นมา รายละเอียดอ่านเพิ่มเติมจาก [1], [2], [3] ส่วนเครื่องใดใช้เก่ากว่า หรือ ใหม่กว่านี้ รอดครับ “OpenSSL 1.0.1 สร้างตั้งแต่ปี 2012 แต่ค้นพบปี 2013 และประกาศ CVE ปี 2014 ถามทาง NSA บอกว่า ‘เรารู้ตั้งนานแล้วแต่ไม่บอก เอ๊า คุณไม่รู้เหรอ?’ ปล่อยให้ทาง Google, Facebook, Yahoo ใช้งานกันต่อไป ตั้งแต่ 2012 ถึงตอนนี้ ไม่รู้ Password หลุดไปถึงไหนต่อไหนแล้ว ส่วนรอบนี้ Microsoft รอดไป” … คุณเกรียงไกร กล่าว (งุงิงุงิ) ดังนั้น ก็น่าคิดว่า ตั้งแต่ ปี 2012 เป็นต้นมา ถึง ปัจจุบัน ใครบ้างที่ใช้ Website ดังกล่าว และ ไม่เคยเปลี่ยนรหัสผ่านเลย … ก็ควรจะเปลี่ยนได้แล้วหล่ะครับ และควรจะใช้ 2-step Authentication ร่วมด้วย เพื่อความปลอดภัยครับ รู้เรา ก่อนอื่น ดูก่อนว่า เราใช้ OpenSSL เวอร์ชั่นที่มีช่องโหว่หรือไม่ ด้วยคำสั่ง openssl version ถ้าผลลัพท์เป็น OpenSSL 1.0.1c 10 May 2012 หรืออะไรที่อยู่ระหว่าง 1.0.1, 1.0.1a ถึง 1.0.1f ก็แสดงว่า เครื่องนี้ เสี่ยงครับ นอกเหนือจากนั้น ไม่เข้าข่ายครับ ลองไปใช้คำสั่งนี้ดู รู้เขา มีคนเก่งๆ เขาทำสิ่งที่เรียกว่า Exploit หรือ เครื่องมือในการเจาะช่องโหว่ไว้แล้ว ในที่นี้จะใช้ของ Csaba Fitzl [4] พัฒนาด้วยภาษา python ซึ่งจุดเด่นคือ สามารถเลือก Port ที่จะโจมตีได้ และ สามารถโจมตี SSL/TLS ได้หลาย Version ในครั้งเดียว ต่อไปนี้ คือขั้นตอนการทดสอบช่องโหว่ แบบที่แฮ็คเกอร์ทำ 1. เปิด Terminal ของ Linux แล้ว ดาวน์โหลดไฟล์ ด้วยคำสั่งนี้ (ซึ่งมี python ติดตั้งพร้อมใช้งาน) wget http://www.exploit-db.com/download/32764 -O hbtest.py 2. ใช้คำสั่งต่อไปนี python hbtest.py localhost การทดสอบนี้ ทดสอบบนเครื่องนี้เท่านั้น และทำกับ HTTPS ที่พอร์ต 443 เท่านั้น ถ้าต้องการยิงพอร์ตอื่น ก็ใส่ -p 445 อะไรทำนองนั้นแทน ถ้าต้องการทดสอบเครื่องอื่นๆ ก็ใช้ ชื่อเครื่องนั้นๆ แทน localhost เท่าที่เข้าใจตอนนี้ ถ้าจะทดสอบเครื่องที่เป็น Web Hosting กล่าวคือ IP เดียว แต่มี Virtual Host ในนั้นจำนวนมาก ก็ต้องระบุเป็น URL ของเว็บไซต์ต่างๆ

7-Eleven Survival #3

April 29, 2014 00:11

แนะนำเทคนิค การใช้ 7-Eleven ให้ได้ประโยชน์สูงสุด ประจำเดือน พ.ค.2557 ในฐานะที่เป็น ลูกจ้างรายวัน ของคุณนาย ได้ค่าจ้างวันละ 100 บาทให้มาทำงาน จึงขอเสนอเรื่อง การใช้โปรโมชั่น เพื่อประหยัดตังค์สุดๆ ดูเหมือนว่า ที่เคย Comment ไป ว่า เบื่อกับการต้องเก็บคูปอง แสตมป์ เขาจะรับฟัง แล้วเปลี่ยนแปลง โดยให้สิทธิประโยชน์กับคนถือบัตร 7-Card อย่างยิ่ง แต่บอกตามตรงว่า โปรเดือนนี้ ไม่ค่อยน่าสนนัก, เลือกเอาเฉพาะที่ตัวเองสนใจแล้วกัน (รายละเอียดเพิ่มเติม เชิญ http://www.7eleven.co.th/promotion.php) 0. ของต่อไปนี้ ไม่ควรซื้อทุกวัน แต่ซื้อเอากำไร ร้อนๆ ไอติมก็น่าสน … ซื้อจากเงินในบัตร 5 ชิ้น แถม ไป 1 เก็บแต้ม แทนเงินในบัตร 2. มื้อเช้า 25 บาท 3. ซื้อ X แถม Y และได้ 50 แต้ม ได้มื้อเช้า 35 บาท … ได้แต้ม 50+50 = 100 แต้ม (มูลค่า 2 บาท) ประหยัด = 4 + 3 =7 บาท รวมประหยัด = 9/42 = 21.43% 4. บังคับซื้อ ประหยัด 5/39 = 12.82% เอง ไม่ค่อยคุ้ม 5. ไม่ก็ต้อง ซื้อแบบซองมาชงเอง + อาหารเช้าใหม่ๆ Update: วันนี้ไปซื้อมาแล้ว เหตุที่ราคาเป็น 78/80/82 เพราะ แพ็คเขียวราคา 39 บาท แพ็คแดงราคา 41 บาท ก็เลยได้ Combination 39+39=78, 39+41=80, 41+41=82 คิดซะว่าจ่าย 82 บาท ได้มา 18 ซอง + กาแฟกระป๋อง 2 กระป๋อง รวม 20 ชิ้น ก็ กาแฟสำหรับมื้อเช้า 4 บาท แล้วไปซ์้ออาหารเช้าเต็มที่ 18 อย่าง วันละอย่าง ไม่ซ้ำเดิม ก็ดีเหมือนกัน ราคา 22-30 บาท รวม 26-34 บาท ก็ยังโอเค … สรุป เป็นเดือนเก็บแต้ม แทนเงิน ไว้ใช้เดือนอื่นๆ ปล. จากที่ทำ 7-Eleven Survival #1 และ 7-Eleven Survival #2 ตอนนี้มีแต้มในบัตรเกือบ 10,000 แต้ม แระ อิอิ เป็นเงิน 200 บาท

วิธีการตั้งค่า CNAME และ TXT เพื่อ Verification กับ Google Site

April 8, 2014 16:46

Google Site เป็บบริการหนึ่งของ Google ซึ่งให้เราสร้างเว็บไซต์ได้อย่างง่ายๆ เหมาะสำหรับการงานที่ต้องการความรวดเร็วในการสร้าง และสามารถประสานกับเครื่องมือต่างๆของ Google ได้มากมาย เช่น จะสร้างแบบฟอร์มรับสมัครเข้าร่วมโครงการ, ทำรายงานผู้ที่ชำระเงินแล้ว, ผนวกกับ Google Map เพื่อแสดงตำแหน่งที่จัดงาน และสถานที่ท่องเที่ยว หรือ อื่นๆอีกมากมาย (วิธีการสร้าง จะกล่าวในบทความต่อๆไป) ในบทความนี้ เป็นการสร้าง เว็บไซต์ของงาน ประชุมสภาข้าราชการ พนักงานและลูกจ้างแห่งประเทศ (ปขมท) ๒๕๕๗ และเน้นที่ การเชื่อม Domain Name ของมหาวิทยาลัย ซึ่งใช้ Bind DNS เข้ากับ Google Site โดย Google Site ที่แสดงในตัวอย่าง สร้างที่ https://sites.google.com/site/cuast57/ ซึ่ง ชื่อจะจำได้ยาก จึงขอใช้ Domain Name สั้นๆชื่อ cuast57.psu.ac.th วิธีการมีดังนี้ 1. ไปที่ Setting > Manage Site 2. คลิกที่ Web Address แล้วใส่ cuast57.psu.ac.th จากนั้นคลิกปุ่ม Add 3. จะขึ้น error ด้านบน “You have not verfified domain ownership with Google. please follow these instructions” ให้คลิกที่ “these instructions” 4. เลื่อนลงไปล่าสุดของหน้าจอ คลิกที่ “Webmaster Tools home page” (สมมุติว่าท่านเคยใช้งาน Google Webmaster Tools อยู่แล้ว) 5. คลิกที่ Add A Site ให้ใส่ Domain Name ที่ต้องการ ในที่นี้คือ cuast57.psu.ac.th แล้วคลิก Continue 6. คลิกที่ Alternate Methods > Domain name provider แล้วเลือก อันล่างสุด คือ other เพราะ Google Site ไม่เปิดให้เรา Upload File ขึ้นไป, ไม่สามารถแก้ไข Header หรืออะไรทำนองนั้นได้ จึงต้องใช้วิธีการนี้ ซึ่งจะต้องอธิบายตรงนี้เพื่อความเข้าใจ ในการที่เราคุม Domain Name แต่ใช้ Google Site นั้น สิ่งที่ต้องทำคือ สร้าง CNAME ไปยัง Google Site และ ทำการ Verification 6.1 สร้าง CNAME ไปยัง ghs.googlehosted.com. เพื่อบอกว่า cuast57.psu.ac.th จะใช้บริการของ Google Site 6.2 ต้องทำการ Verification โดยสามารถทำได้ 2 วิธีคือ 1) ถ้าเราได้ Delegate Zone มา ก็จะสามารถใส่ TXT Record ลงไปได้ โดยใช้ค่าดังภาพ 2) แต่ถ้าเราไม่ได้ Delegate Zone ก็จะต้องสร้าง CNAME ให้คลิกที่ “Add a CNAME record” ดังภาพ ให้เลือกวิธีการเอา แต่ในตัวอย่างนี้ เลือกวิธีการ 2) เพราะไม่ Delegate Zone มา และไปทำข้อ 7. ก่อน แล้วจึงกลับมาคลิกปุ่ม Verify

วิธีเก็บสายหูฟังไม่ให้พันกัน

April 4, 2014 08:58

คุณเคยเจอปัญหาเหล่านี้ไม๊ “โอ้ว แย่จัง หูฟังมือถือพันกันยุ่งไปหมด พอจะรีบๆใช้ก็ต้องเสียเวลามาแกะ มันลำบากมากเลยค่ะ” “หูฟังสายแบนที่บอกว่าไม่พันกัน ราคาแพง แถมซื้อมาบางแบบก็ไม่สามารถใช้งานทุกฟังก์ชั่นได้ครบกับ iPhone” “ที่เก็บหูฟังที่ขายทั่วไป เป็นตลับ หากลืมทิ้งไว้ก็จะสูญหายได้” ปัญหาเหล่านี้จะหมดไป เมื่อคุณใช้ …. หนังยางวงบ้านๆ !! หลักการทำงานคือ “หากรวบ หัวสาย กับ ปลายสายไว้ด้วยกันได้ ก็จะทำให้ สายยาวทั้งเส้น ไม่พันกัน” เรามาดูวิธีการใช้งานกัน 1. จัดเรียง ปลายหูฟัง และ แจ๊คหูฟัง มาไว้ด้านเดียวกัน เตรียมพร้อม “หนังยางวงบ้านๆ” ไว้ให้พร้อม 2. จากนั้น วาง ปลายทั้งสองด้านของหูฟัง ไว้บนหนังยางวงบ้านๆ ดังภาพ 3. สอด หนังยางวงบ้านๆ รัดสายหูฟัง แล้วเอา แจ๊คหูฟังสอดไว้ ดังภาพ 4. เสร็จเรียบร้อย ดังภาพ คราวนี้ ก็สามารถขยุมๆ สายหูฟังเก็บในกระเป๋าเสื้อ กระเป๋ากางเกง หรือที่ไหนๆได้แล้ว 5. วิธีการใช้งานหูฟัง เพียงเอา ขยุมๆหูฟัง ออกมา 6. หยิบ หนังยางวงบ้านๆ ขึ้นมา 7. จะได้ หนังยางวงบ้านๆ ที่ ปลายสายหูฟัง ทั้งสองด้าน แล้วเอาแจ๊คหูฟังออกจากวง 8. หูฟังมือถือ ก็พร้อมใช้งาน ลองมาฟังเสียงผู้ใช้งานจริงกัน “โอ้ว มันยอดมากเลย สายหูฟังของฉัน ไม่พันกันอีกแล้ว แค่เพียงจับที่ หนังยางวงบ้านๆ แล้วยกขึ้น ก็สามารถใช้งานได้อย่างง่ายดาย โอ้ว มันเกิดมาเพื่อสิ่งนี้” “ใช้สะดวกมาก พกไปไหนมาไหนได้ง่าย มันยอดมากจริงๆครับ” น่าสนใจ ชะป่ะล่า เราเสนอขาย “หนังยางวงบ้านๆ” ให้ท่านในราคาเพียง … 10 บาท … แต่เดี๋ยวก่อน เราไม่ขาย ไม่ต้องโทรมาใน 10 นาทีนี้ เพราะเราให้คุณ ฟรี! เพียงคุณเดินไปตามพื้น ก็จะพบ “หนังยางวงบ้านๆ” เกลื่อนกลาด รีบหยิบขึ้นมาใช้ หายไปไม่เสียดาย หาใหม่ได้ตลอดๆ !!!

วิธีจัดการ Facebook Spam

March 28, 2014 10:51

เมื่อ Facebook เป็นสื่อสังคมออนไลน์ที่ใช้กันอย่างแพร่หลาย ก็ย่อมจะมี Spam หรือพวกชอบโฆษณาขายของโน่นนี่นั่นบ้าๆบอๆเข้ามารังคาญ โดยมักจะมากัน 3 วิธี หลักๆ โพสต์บน Timeline ของเราโดยตรง วิธีนี้ทำให้ Friends ของเรา และคนที่เปิดหน้า Profile ของเรา ต้องทนเห็น Spam พวกนี้ โดยเราไม่ได้เป็นคนโพสต์ พวก Spam จะโพสต์ภาพ บน Timeline ตัวเอง แต่ Tag ว่าเราอยู่ในภาพนั้นๆด้วย เช่น พวก Spam จะโพสต์ภาพ หรือ ข้อความ ที่ชวนให้คลิกมากๆ แต่พอเราคลิกเข้าไปแล้ว มันจะไปเปิด App ของ Facebook ซึ่งจะขอสิทธิ์ให้เข้าไปดูรายชื่อ Friends ของเรา และ “Post on behalf” หรือ บอกว่าจะขอโพสต์ข้อความบน Timeline ของเรา เหมือนดั่งเราเป็นคนโพสต์เอง วิธีนี้ เลวร้ายมาก เพราะ ถ้าเพื่อนๆของเรา เกิดไปคลิกโพสต์เหล่านั้น ก็จะเข้าวงจรเดียวกัน เกิดการแพร่ระบาดของ Spam บน Facebook ขึ้น เช่น ภาพนี้ เป็น Spam App ชื่อ sv9.iknotz.com เป็นต้น มาดูวิธีการแก้ไขกัน (ตามภาพ) ไปที่ (1) คลิกที่ Setting ไปที่ (2) Timeline and Tagging ไปที่ (3) Who can add things to my timeline? > Who can post on your timeline? ให้คลิก Edit แล้วควรจะเลือก Friends เพื่อให้ เฉพาะคนที่เรายอมรับเป็นเพื่อนเท่านั้น สามารถโพสต์บน Timeline ของเราได้ ไปที่ (4) Review posts friends tag you in before they appear on your timeline? ให้คลิก Edit แล้วเลือกเป็น Enable เพื่อให้ แม้ว่า คนที่เรารับเป็น Friends ไปแล้ว แต่เราไม่ได้ระวังตัวหรือ คนที่ชอบรับ Friends ไปเรื่อย เห็นสวยๆ ทรงโตๆก็รับไปเรื่อย พวกนี้แหล่ะ มันมักจะเป็น Spam ถ้าพวกนี้เกิดโพสต์ภาพขายของแล้ว Tag เราขึ้นมา ก็ต้องให้เรา Review ก่อน จึงจะแสดงบน Timeline เราได้ สำหรับ พวก Spam App ที่เราเผลอใจ ไปกดเพราะอาจจะ …. หน้ามืด อยากดูจัด เลยคลิกไปเรื่อยๆ ก็ต้องไปลบ Apps ตามภาพ โดยไปที่ (5) Apps แล้ว คลิกที่ (6) Show All Apps เพื่อแสดง Apps ทั้งหมด จากนั้นหาชื่อ Spam Apps เช่นตัวอย่าง sv9.iknotz.com หรืออะไรที่ใกล้เคียง หรืออะไรที่เราไม่ควรจะมีไว้ จากนั้นคลิกที่ (7) เพื่อลบ ก็จะปรากฏหน้าต่างดังภาพ ให้คลิกดัง (8) เพื่อให้ ลบโพสต์ทั้งหมดของ Spam Apps เหล้านั้นที่ปรากฏบน Timeline ของเรา ขอให้โชคดี