Tuesday, June 20

ช่องโหว่ไม่เคยเปลี่ยนแปลง

นวัตกรรมการประเมินความเสี่ยงเพื่อหาช่องโหว่ผ่าน Cloud Platform
จะกลายเป็นจุดเปลี่ยนการทำงานในด้านประเมินความเสี่ยงในอนาคต โดยมี Startup ในต่างประเทศในบางราย (Hacker1) เข้าแถวทำแนวคิดนี้จนก้าวเข้าสู่ Series C ไม่นานคงเข้า IPO ตามรุ่นพี่ๆ เพราะดูจากเงินระดมทุนแบบมีอนาคต (1,400 ล้านบาท)
.
"หาช่องโหว่ได้ถึงได้เงิน นักรบอิสระทำงานได้ทุกพื้นที่ในโลกใบนี้ เพียงขอให้มีเน็ต"
.
ผลการจาก Open bug bounty
พบการทดสอบ XSS (cross site scripting) แล้วพบว่าในรอบเดือนที่ผ่านมาเว็บไซต์หน่วยงานรัฐของประเทศไทยนั้น ไร้การปรับปรุง (Un patched) 100%


รูปที่ 1 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS ผ่าน Open Bug Bounty ข้อมูลเปิดเผยแพร่ไปทั่วโลก พบหน่วยงานรัฐไทย ไม่มีการปรับปรุง

รูปที่ 2 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS สถาบันการศึกษาในประเทศไทย พบมีการปรับปรุงอยู่บ้างแต่ไม่ทั้งหมด

รูปที่ 3 เอกชนในประเทศไทยที่มีโอกาสโดน XSS ดูๆ แล้วล้วนแต่เว็บใหญ่
ดูกันเอาเองว่าใครเป็นใครแล้วช่วยบอกต่อเพื่อแก้ไขด้วยนะครับเพราะข้อมูลเหล่านี้ใครๆ ก็เห็นได้ มีช่องโหว่จริง แล้วจะบอกว่าไม่เตือนก่อน

 13 มิถุนายน 2017
Nontawatt S

No comments: