บทนำ

ปัจจุบันการโจมตีบนอินเทอร์เน็ตมีการเปลี่ยนไปจากเดิมมาก ซึ่งในอดีตนั้นจะเป็นการโจมตีิที่ตัวระบบปฏิบัติการหรือ ตัวอุปกรณ์เครือข่าย แต่ด้วยการพัฒนาอุปกรณ์ในการป้องกันเช่น Firewall ทำให้การโจมตีในลักษณะดังกล่าวลดลง แต่ก็เกิดการโจมตีรูปแบบใหม่คือ การโจมตีผ่าน Web Application อันเนื่องมาจากข้อจำกัดในการที่ Firewall นั้นจะป้องกันโดยการปิด port ที่ไม่ได้ใช้งานหรืออาจเป็นช่องโหว่ในการโจมดีแต่จำเป็นต้องเปิดบาง port เช่น http เอาไวเพื่อให้ผู้้อื่นเขามาใช้งานหรือเรียกดูเว็บไซต์ได้์้ ทำให้ Cracker เลือกที่จะโจมตีผ่านช่องทางที่เปิดไว้ ซึ่งง่ายกว่าการโจมตีที่ตัว Firewall เหมือนความคิดที่ว่า “จะต้องงัดหน้าต่างทำไมถ้าประตูไม่ได้ล็อก” ทำให้การโจมตีในปัจจุบันส่วนใหญ่จะเป็นการโจมตี Web Application ผ่าน port http

THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES

The Open Web Application Security Project (OWASP) ซึ่งเป็นกลุ่มคนที่ต้องการส่งเสริมความปลอดภัยในการใช้งานซอฟแวร์บนอินเทอร์เน็ตจึงได้มีการจัดอันดับการโจมตีผ่าน Web Application ไว้เพื่อให้ความรู้สร้างให้เกิดความตระหนักในการใช้งานและพัฒนาซอฟแวร์ที่ใช้บนอินเทอร์เน็ต โดยในปี 2007 นี้จะประกอบไปด้วยการโจมตี 10 อันดับดังนี้

A1 – Cross Site Scripting (XSS)

A2 – Injection Flaws

A3 – Malicious File Execution

A4 – Insecure Direct Object Reference

A5 – Cross Site Request Forgery (CSRF)

A6 – Information Leakage and Improper Error Handling

A7 – Broken Authentication and Session Management

A8 – Insecure Cryptographic Storage

A9 – Insecure Communications

A10 – Failure to Restrict URL Access

บทสรุป
บทความนี้เป็นเพียงการแนะนำเบื้องต้นให้ได้รู้จักและตระหนักถึงภัยคุกคามจากการโจมตผ่าน Web Application ซึ่งมีโอกาสเกิดได้หากผู้พัฒนาซอฟแวร์ขาดความรอบคอบและไม่ได้ตระหนักผลที่จะเกิดขึ้นจากการโจมตีดังกล่าว

Reference
OWASP Top Ten Project