หนึ่งเทคนิคสำหรับคนที่ต้องการรู้วิธีการเจาะช่องโหว

  สำหรับเว็บไซต์ในสังคมปัจจุบัน ทางที่ดีควรมีระบบการตรวจสอบข้อมูล เพื่อป้องกันการป้องจากภัยคุกคามจากภายนอก เพราะเมื่อมีการพัฒนาซอฟท์แวร์ ก็ต้องมีนัก Hacker ที่พยายามเจาะระบบ  ฉะนั้นวันนี้เราจะมากล่าวว่าหากว่าเราต้องการอุดช่องโหวเกี่ยวกับการเจาะระบบนั้นมีเมนูอะไรบ้าง

1. W3af

เป็นตัวสแกนและเจาะช่องโหว่เว็บแอพพลิเคชันแบบ Open-source ซึ่งจะให้ข้อมูลเกี่ยวกับช่องโหว่ที่ตรวจพบเจอและวิธีการอุดช่องโหว่เบื้องต้น โปรแกรมนี้ถูกพัฒนาโดยภาษา Python และใช้งานได้ผ่านทั้ง GUI และ Command Line

2. Dradis

เครื่องมือสำหรับแชร์ข้อมูลระหว่างทำ Pentest ในกรณีที่มีผู้ทดสอบระบบหลายคนทำงานโปรเจ็คท์เดียวกันพร้อมๆกัน Tool ตัวนี้จะทำหน้าที่เก็บและแชร์ข้อมูลทั้งหมดแบบรวมศูนย์เพื่อป้องกันการทดสอบระบบหรือรายงานผลซ้ำซ้อนกัน รองรับการติดตั้งบน BackTrack, Ubuntu, FreeBSD, Mac OS X, Apache และ Metasploit’s Cygwin

3. BeEF

BeEF หรือ Browser Exploitation Framework เป็น Tool สำหรับทดลองเจาะระบบซึ่งโฟกัสที่เว็บเบราเซอร์โดยเฉพาะ BeEF จะทำการดูข้อมูลการทำ Hardenring และ Client ในระบบ แล้วเจาะช่องโหว่ผ่านทางบริบทของเว็บเบราเซอร์

4. Netsparker

เครื่องมือสแกนเว็บแอพพลิเคชันแบบ False-Positive-Free ที่ช่วยค้นหาช่องโหว่หรือข้อผิดพลาดทั้งหมดบนเว็บแอพพลิเคชัน ไม่ว่าจะเป็น SQL Injection หรือ XSS รวมทั้งสามารถทำรายงานสรุปผลพร้อมระบุรายละเอียดและวิธีอุดช่องโหว่ที่เข้าใจได้ง่าย

5. Social-Engineer Toolkit

เป็นเครื่องมือสำหรับเจาะช่องโหว่แบบ Open-source โดยเน้นที่การทำ Social-Engineering ซึ่งพัฒนาโดยใช้ภาษา Python

6. SQLNINJA

เครื่องมือเจาะระบบเว็บแอพพลิเคชันที่ใช้งานร่วมกับระบบฐานข้อมูล MsSQL โดยเน้นที่การโจมตีแบบ SQL Injection ถูกพัฒนาโดยใช้ภาษา Perl และรองรับการทำงานบนระบบปฏิบัติการ UNIX-based เช่น Linux, FreeBSD, Mac OS X และ iOS

7. sqlmap

เครื่องมือสำหรับทดสอบการเจาะระบบแบบ Open-source ซึ่งโฟกัสที่การค้นหาช่องโหว่และโจมตี Database Server โดยใช้ SQL Injection เป็นหลัก ซึ่งรองรับระบบฐานข้อมูลแบบ MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase และ SAP MaxDB

8. Metasploit

เป็นเครื่องมือสำหรับสแกนช่องโหว่ทั้งหมดของระบบ โดยตรวจสอบช่องโหว่มากกว่า 1,200 รูปแบบ รองรับทั้งการทำงานแบบ Web UI ที่เข้าใจง่ายและไม่ซับซ้อน

เครื่องมือที่เราได้นำมาทั้งหมดนี้เป็นอีกหนึ่งเครื่องที่ใช้ในการใช้ตรวจสอบและการทดสอบการเจาะระบบของข้อมูล  เพราะว่าการเจาะระบบข้อมูล  แน่นอนว่าการทดสอบเจาะระบบ ( penetration testing ) เชื่อได้เลยว่าการเจาะระบบนั้นจะต้องมาจากแหล่งภายนอก อย่างไรก็ตามสิ่งที่สำคัญที่สุดนั้นคือการที่เราสามารถเพิ่มรายละเอียดเกี่ยวกับการป้องกันการเจาะข้อมูล   แต่อย่างไรก็ตามระบบเหล่านี้เป็นระบบที่เราไม่สามารถที่จะตรวจสอบข้อมูล

อย่างไรก็ตามการเรียนรู้ระบบเหล่านี้ มันต้องอาศัยระบบปฏิบัติการ ซึ่งเราเองก็ไม่สามารถที่จะทำเอง สิ่งเดียวที่เราสามารถที่จะเรียนรู้นั้นคือการลองไปศึกษาตามคอร์สต่างๆ ที่เขาเปิดคอร์ส  เพราะบางที่อาจจะเพิ่มความรู้เกี่ยวกับการระบบเหล่านี้ให้เราสามารถเข้าใจระบบมากขึ้น   เพราะอย่างน้อยมีคอร์สที่เข้ารับการอบรมความปลอดภัยทางไซเบอร์ ให้ระบบของเรามีระบบความปลอดภัยมากขึ้น

ลองอ่านบทความเหล่านี้สามารถดูได้ที่   https://www.sosecure.co.th/