Backoffice ประตูสู่หายนะ

ระบบ Back Office คือ ระบบบริหารข้อมูลบนเว็บไซต์ ทำให้คุณสามารถเปลี่ยนเนื้อหาบนเว็บได้ด้วยตัวเองอย่างง่ายดาย ไม่ว่าจะเป็นสินค้า บริการ หรือข้อความต่างๆ โดยไม่จำกัดจำนวนครั้ง เวลา และปริมาณ เหมาะกับเว็บที่ต้องการเปลี่ยนข้อมูลบ่อยๆ แต่ทั้งนี้ในการทำงานของมันก็อาจนำภัยอันตรายมาถึงก็เป็นได้ เรื่องราวจะออกมาเช่นใดนั้น เชิญอ่านต่อกันได้เลย


คำเตือน : ถ้าคุณจะนำวิธีการในบทความนี้ไปใช้สำหรับการแฮกหรือทำลายระบบคอมพิวเตอร์อย่างมีเจตนาร้ายและผิดกฏหมาย คุณต้องเป็นผู้รับผิดชอบสิ่งที่จะเกิดขึ้น ในฐานะผู้เขียนและบุคคลที่เกี่ยวข้องกับบทความนี้ จะไม่มีส่วนร่วมรับผิดชอบในการกระทำหรืออาชญากรรมที่คุณได้ก่อขึ้นโดยใช้วิธีและเครื่องมือที่ได้เขียนไว้ในบทความ เพราะบทความนี้มีเจตนาเพียงประการเดียวสำหรับผู้ที่สนใจในด้านความปลอดภัยของระบบ ที่ประสงค์จะป้องกันระบบเพื่อไม่ให้ตกเป็นเหยื่อของผู้ไม่หวังดีซึ่งทุกวันนี้มีจำนวนเพิ่มมากขึ้น เท่านั้น

หากจะจับขโมยให้ได้ ต้องคิดให้เหมือนขโมย แต่อย่าทำในสิ่งที่ขโมยจะทำ เพราะนั้น คือ ความผิด


วันนี้ผมก็ซนไปเรื่อยอ่ะครับ เริ่มด้วยการเข้าไปที่กรูเกิ้ล แล้วก็ไปยังเว็บไซต์ต่างๆ จากนั้นก็มาเจอบทความหนึ่งเกี่ยวกับระบบ Backoffice อ่ะครับ ทันใดนั้นผมก็ชักมีชีวิตชีวาซะแล้วสิ ที่จะลองศึกษามัน ว่าแล้วก็ดันมาเจอเหยือเว็บไซต์แห่งหนึ่ง นั้นก็คือเว็บ www.atol.co.th เว็บธุรกิจขาย ระบบจานดาวเทียม ATOL

ปัจจุบันช่องโหว่ของเว็บไซต์นี้ถูกปิดไปเรียบร้อยแล้ว ในฐานะผู้เขียนบทความ ผมรู้สึกดีใจเป็นที่สุดที่เห็นทุกคนตระหนักในปัญหานี้ ก็เลยอยากเชิญชวนผู้อ่าน ถ้าสนใจสินค้าเกี่ยวกับจานดาวเทียม ก็ลองไปใช้บริการเว็บไซต์นี้ดูนะครับ (อัพเดตข้อมูล 2/6/2555)

คุณเชื่อไหมครับว่า มีบริษัท หรือหน่วยงานต่างๆหลายแห่งในประเทศไทยที่ติดตั้งระบบ backoffice

ผมก็เลยเกิดไอเดียว่า ถ้ามันมีการติดตั้งระบบ backoffice มันต้องตั้งชื่อ ไดเรกทอรี่ เป็นชื่อ backoffice ไว้เป็นหน้าจัดการต่างๆแน่เลย

ผมก็เลยไปลองค้นหาใน google ด้วยคำว่า

site:.co.th/backoffice

ส่วนสาเหตุที่ผมเลือก .co.th เพราะผมอยากจะลองเจาะของบริษัทบ้างอ่ะครับ (ล้อเล่นน๊า อย่าคิดมากนะ)

แล้วผมก็เดาถูกด้วยครับ -*- ดังภาพเลยครับ เปลือยรายชื่อไฟล์ซะเสียวเลย!!

โอโห้ โป้ซะขนาดนี้ ผมจะอยู่เฉยๆได้ไง “เสร็จกรูแน่ 5555+”

โอ้หน้า Admin ทำไงดีอ่ะ เราไม่มีรหัสซะด้วย T^T (แอ๊บแบ๋ว)
ผมหยุดคิดประมาณ 3 วิ ก่อน จะกดปุ่ม back เพื่อไปดูไฟล์อื่น

กดไปกดมาจนในที่สุดผมก็เจอกับไฟล์หนึ่งที่เป็นกุญแจผีของระบบเว็บนี้ครับ

จากภาพ ถ้าผมเป็นคนเลวล่ะก็ ยอดเงินที่โชว์กี่หมื่นล่ะ ที่จะเสียหายไปกับผม ^^

และยิ่งผมไปเจอหน้านี้อีก รับรอง ถ้าผมโคตรเลว (หนักกว่าเลวธรรมดา)
ผมคง เปลี่ยนเลขที่บัญชี ให้ลูกค้าที่สั่งซื้อสินค้า โอนเงินเข้าบัญชีผมแน่นอน !!
แต่ถ้าโรคจิตหน่อย ก็จัดการละเลงให้เว็บไซต์เละไปข้างหนึ่งเลยครับ -*-
(เลวได้ใจจริงๆ แต่คุก คือคำตอบสุดท้ายที่ถูกต้อง)

… มาสรุปกันดีกว่า …

วิธีการแก้ไขปัญหาแบบนี้นะครับ

1.อย่าตั้งชื่อ ไดเรกทอรี่ ระบบสำคัญของเราเป็นชื่อ /admin , /control , /phpmyadmin , backoffice เป็นต้น
เพราะชื่อพวกนี้ มักจะเป็นชื่อที่ได้รับรางวัล ชื่อ ไดเรอกทอรี่ ที่โง่ที่สุด ประจำปี ฮ่าๆๆ
และรางวัลที่มักจะได้คือ จะมีพวก Hacker ทั้งมือสมัครเล่น และมืออาชีพ มาป่วนแน่

2.จากการแสดงรายชื่อไฟล์ต่างๆของเว็บไซต์ดังกล่าวนั้น สามารถแก้ไขด้วยการสร้างไฟล์ index ขึ้นมาไว้ใน ไดเรกทอรี หรือหาวิธีปกปิดข้อมูลไฟล์จากการ config ที่ตัวเซิฟเวอร์ ซึ่งวิธีทำนั้นสามารถหาอ่านได้จากเว็บไซต์ที่เกี่ยวข้องครับผม

3.จากการเข้าสู่ระบบโดยผู้ใช้ไม่ต้องล็อกอินนั้น เว็บไซต์ดังกล่าว ไม่มีการตรวจสอบค่า session ที่ได้จากการเข้าสู่ระบบที่ถูกต้อง วิธีแก้ไขก็คือสร้างฟังก์ชันการตรวจสอบการเข้าสู่ระบบที่ถูกต้องด้วยการเขียนโค๊ดคำสั่งเกี่ยวกับ session ลงไป เป็นต้น

เห็นไหมครับ 3 ข้อนี้ ทำง่ายๆ เอง แต่คนส่วนใหญ่มักละเลย มั่วแต่คิดเอาว่า ไม่มีอะไรเกิดขึ้นหรอก และมั่วแต่เอาความสะดวกของตนเองเป็นหลัก โดยไม่ได้คิดเลยว่า มันคือการสร้างประตูมรณะให้ผู้ไม่หวังดีเข้ามานั้นเอง

สำหรับบทความนี้ก็ขอจบไว้เพียงเท่านั้นแล้วกัน

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.