เริ่มกลับมาใช้ชีวิตปรกติแล้วนะครับ หลังจากที่วุ่นวายกับอะไรหลายๆ ในชีวิต มาเดือนกว่า เรียกได้ว่าไม่มีเวลาที่จะกระดิกกระเดี้ยทำอะไรนอกเหนือไปจากงาน อีกแล้วน่ะครับ
แต่ก็ไม่ได้หายไปจนไม่ได้ติดตามข่าวสารกันนะครับ ซึ่งสิ่งที่จะต้องกลับมาทบทวนกันใหม่ กับ service ใหม่ของ google นั่นก็คือ [tag]Google codesearch[/tag] สำหรับโปรแกรมเมอร์โดยเฉพาะเลยนะครับ ซึ่งนั่น ก็ถือว่าเป็นการดีที่เหล่าโปรแกรมเมอร์ ใช้ค้นหาโค้ดต่างๆ ได้มากขึ้น สะดวก ตรงเป้าหมายมากขึ้น มีตัวอย่างให้ดู
แต่ผลของมันคือ ระบบนี้ กลับกลายเป็นอีก 1 ช่องที่ใช้เป็นวิธีการในการเข้าเจาะ ยึด และทำลายล้างระบบ หรือ Hacking เพื่อทำสิ่งที่ต้องการ กับเว็บไซต์เป้าหมาย ซึ่งผมเองก็เคยเอ่ยถึงไปเมื่อครั้งกระนู้นที่หนึ่งแล้วกับ [tag]google hacking toolkits[/tag] ในเรื่อง Google,Best for search or Best for Hacker???. ที่ google กลับกลายเป็นเครื่องมือ สำหรับการเจาะระบบ
ซึ่งคราวนี้ มันหนักกว่าเดิมตรงนี้ว่า ดึงเอาไฟล์ config ต่างๆ มาดูได้ นอกจากนั้น มันยังเข้าไปอ่านใน file backup ของระบบ cms หลายๆตัวได้อีกด้วย ใน format ไฟล์บีบอัด อย่างเช่น .tar.gz, .gz ได้อีกด้วย
ลองดูตัวอย่างบางอันนะครับ
ค้นหาด้วยคำว่า db_pass ซึ่งในผลจะเห็นได้ว่า มีตัวของ code บางส่วนหลุดออกมาเป็นลักษณะของข้อมูล config สำหรับติดต่อ กับ database ซึ่งหากคนไม่หวังดีได้ไป คงไม่ต้องคิดว่า อะไรจะเกิดขึ้น
หรือเช่น pass file:config.php เพื่อทำการระบุไฟล์ลงไปเลยว่า ให้หาจากไฟล์ที่มีชื่อนี้เท่านั้น และแน่นอนว่า programer ส่วนใหญ่จะใช้ config.php อย่างน้อยก็ 50% ได้มั้งครับ เหอๆ
ซึ่งหากเป็นระบบบางอย่างเช่น ในกลุ่มของ free script เช่น ตระกูล Nuke, Mambo, Joomla, wordpress หรือตัวอื่นๆ ก็คงไม่ยากที่ใช้เป็นช่องในการเจาะเข้าไปในระบบต่างๆ
ซ้ำร้าย อาจจะยาวไปถึงขั้นที่ลบเว็บไซต์นั้นทั้ง site ได้อย่างหมดจดอีกด้วย
ทีนี้ เราจะป้องกันอย่างไรล่ะ ในเมื่อตรงนี้มันเสี่ยงมากๆ
คำตอบของคำถามนี้ ก็คงต้องยกมือให้ใช้เจ้า robots.txt ล่ะครับ สร้างป้องกัน folder ที่เป็น config ของ site เราทั้งหมดครับ ซึ่งตรงนี้เนี่ยคงต้องให้แก้ไขกันนิดหน่อย สำหรับโปรแกรมหลายๆตัวครับ ที่มีการเขียนแยก config กันไว้ ให้รวมมาอยู่ใน folder เดียวกันหมด แล้วเขียน จำกัดสิทธิด้วย [tag]robots.txt[/tag] ทั้ง folder เลยครับ
นอกจากนี้ ถ้ากลัวว่ายังไม่ชัวร์ ก็ให้กำหนดสิทธิในตัวของ server ไปเลยครับ เช่นอาจจะกำหนดรหัสผ่านการเข้าถึงใน folder นั้นๆ ไว้ด้วยครับ ซึ่งวิธีการนี้ ผมเคยลองใช้ดู แต่ผลคือ ส่งผลต่อความสะดวกในการ update เนื้อหา หรือการใช้งานค่อนข้างมา เพราะทุกครั้งที่มีการ access file ใน folder เหล่านั้นก็จะมีการถามหารหัสผ่าน (เพราะผมมักจะไม่เก็บรหัสผ่านไว้กับเครื่องเลย)
ส่วนวิธีการใช้งาน robots.txt เพื่อป้องกันก็อ่านเพิ่มเติมได้ที่ Google,Best for search or Best for Hacker???. เลยครับ
Comments
Post new comment