สวัสดีครับ วันนี้ผมอยากจะถามคำถามครับ
โดยปกติผู้ดูแลระบบ ยอมให้ user anonymous เข้ามาใช้งานระบบของเราได้หรือไม่?
เรามาดู applications ตัวนี้ครับ ลิ้งที่แนบมาด้านล่าง ผมเชื่อว่าหลายๆคนคงได้ใช้มันมาแล้ว ท่านเห็นช่องโหว่ในการโจมตีระบบของ applications ตัวนี้มั้ยครับ?
ถ้ายังไม่เห็น ไปดูกันครับ
ท่านเห็นปุ่ม Guest Login มั้ยครับ หลายคนอาจจะอ๋อแล้วใช่มั้ยครับ ใช่แล้วครับ applications ตัวนี้ ยอมให้ anonymous เข้าไปจองคิวได้ครับ ใช้งานระบบเท่ากับ user อื่นๆที่มีการลงทะเบียนเลยครับ นั่นหมายถึงอะไร ผมลองสังเกตวันนี้ที่ไปยืนรอมานะครับ พนักงานหน้าร้านกดข้ามคิวที่ไม่มีคนมายืนยันสิทธิ์ใช้เวลา ประมาณ 10-20 วินาทีต่อ 1 คิวครับ
***ลองสมมติดูว่า ถ้ามีผู้ประสงค์ร้ายไม่หวังดีต่อผู้ประกอบการที่ใช้ applications ตัวนี้ ในการจองคิว Login แบบ Guest เข้ามาจองคิวร้านนั้นๆ 180 คิว แสดงว่า 180x20 = 3600 3600 วินาทีที่พนักงานต้องกดข้ามคิว นั่นหมายถึง 1 ชั่วโมง(3600 sec)นั้นท่านผู้ประกอบจะไม่มีลูกค้าเข้าร้านเลย ยิ่งไปกว่านั้นลูกค้าจริงที่จะมาใช้บริการเห็นคิวในระบบ 180 คิวไม่รอแน่นอนครับ ลองคิดเล่นๆดูนะครับว่า ถ้าผู้ไม่หวังดีจองเข้ามามากกว่าที่ผมสมมติ เหตุการณ์จะเป็นอย่างไร? แล้วคิดต่อนะครับ ปุ่ม login with facebook, sign in with email ถ้าเป็น account ที่ปลอมขึ้นมาเพื่อโจมตีธุรกิจของท่านล่ะจะเกิดอะไรขึ้น?
แน่นอนครับเทคโนโลยีนำความสะดวกสบายมาให้ แต่ท่านต้องใช้เทคโนโลยีให้เป็น คิดให้รอบด้านครับ
***ผมไม่มีความประสงค์จะดิสเครดิต applications ตัวนี้ครับเพียงแต่ชี้ให้เห็นช่องโหว่และฝากให้ผู้ประกอบการที่ใช้เทคโนโลยีเหล่านี้ตระหนักมากขึ้นครับ***
ขอบคุณครับที่อ่านจนจบ
แล้วท่านสมาชิกล่ะคิดอย่างไรกับเรื่องนี้ครับ?
อ่านเพิ่มเติมเกี่ยวกับ applications
https://www.blognone.com/node/71126
Applications ที่ท่านใช้ปลอดภัยหรือไม่?
โดยปกติผู้ดูแลระบบ ยอมให้ user anonymous เข้ามาใช้งานระบบของเราได้หรือไม่?
เรามาดู applications ตัวนี้ครับ ลิ้งที่แนบมาด้านล่าง ผมเชื่อว่าหลายๆคนคงได้ใช้มันมาแล้ว ท่านเห็นช่องโหว่ในการโจมตีระบบของ applications ตัวนี้มั้ยครับ?
ถ้ายังไม่เห็น ไปดูกันครับ
ท่านเห็นปุ่ม Guest Login มั้ยครับ หลายคนอาจจะอ๋อแล้วใช่มั้ยครับ ใช่แล้วครับ applications ตัวนี้ ยอมให้ anonymous เข้าไปจองคิวได้ครับ ใช้งานระบบเท่ากับ user อื่นๆที่มีการลงทะเบียนเลยครับ นั่นหมายถึงอะไร ผมลองสังเกตวันนี้ที่ไปยืนรอมานะครับ พนักงานหน้าร้านกดข้ามคิวที่ไม่มีคนมายืนยันสิทธิ์ใช้เวลา ประมาณ 10-20 วินาทีต่อ 1 คิวครับ
***ลองสมมติดูว่า ถ้ามีผู้ประสงค์ร้ายไม่หวังดีต่อผู้ประกอบการที่ใช้ applications ตัวนี้ ในการจองคิว Login แบบ Guest เข้ามาจองคิวร้านนั้นๆ 180 คิว แสดงว่า 180x20 = 3600 3600 วินาทีที่พนักงานต้องกดข้ามคิว นั่นหมายถึง 1 ชั่วโมง(3600 sec)นั้นท่านผู้ประกอบจะไม่มีลูกค้าเข้าร้านเลย ยิ่งไปกว่านั้นลูกค้าจริงที่จะมาใช้บริการเห็นคิวในระบบ 180 คิวไม่รอแน่นอนครับ ลองคิดเล่นๆดูนะครับว่า ถ้าผู้ไม่หวังดีจองเข้ามามากกว่าที่ผมสมมติ เหตุการณ์จะเป็นอย่างไร? แล้วคิดต่อนะครับ ปุ่ม login with facebook, sign in with email ถ้าเป็น account ที่ปลอมขึ้นมาเพื่อโจมตีธุรกิจของท่านล่ะจะเกิดอะไรขึ้น?
แน่นอนครับเทคโนโลยีนำความสะดวกสบายมาให้ แต่ท่านต้องใช้เทคโนโลยีให้เป็น คิดให้รอบด้านครับ
***ผมไม่มีความประสงค์จะดิสเครดิต applications ตัวนี้ครับเพียงแต่ชี้ให้เห็นช่องโหว่และฝากให้ผู้ประกอบการที่ใช้เทคโนโลยีเหล่านี้ตระหนักมากขึ้นครับ***
ขอบคุณครับที่อ่านจนจบ
แล้วท่านสมาชิกล่ะคิดอย่างไรกับเรื่องนี้ครับ?
อ่านเพิ่มเติมเกี่ยวกับ applications
https://www.blognone.com/node/71126