1.SQL injection 2.Dictionary Attack 3.Brute Force วิธีการ Hack.

งานนำเสนอเรื่อง: "1.SQL injection 2.Dictionary Attack 3.Brute Force วิธีการ Hack."— ใบสำเนางานนำเสนอ:

1 1.SQL injection 2.Dictionary Attack 3.Brute Force วิธีการ Hack

2 เป็นการ Hack โดยใช้โค้ดภาษา SQL ซึ่งเป็น ภาษาที่ใช้ในการดึงข้อมูลจากฐานข้อมูลมาใช้ SQL injection

3 เพียงพิมพ์ ' or '1'='1 ซึ่งเป็นการเปรียบเทียบ เงื่อนในการดึงข้อมูลจากฐานข้อมูล ลงในช่อง username ของเว็บเป้าหมาย ถ้าหากมีการจัดการ ส่วนหน้า log in ไม่ดีพอก็จะสามารถ log in เข้าไป เป็นสมาชิกของเว็บนั้นๆ ได้อย่างง่ายดาย SQL injection

4 ตัวอย่างการ นำ ' or '1'='1 มาใส่ในภาษา SQL statement = "SELECT * FROM users WHERE name = '" + userName + "';" userName = ' or '1'='1

5 Dictionary Attack เป็นการสุ่มเดา password จากไฟล์ที่มีการรวบรวม คำศัพท์ต่างๆ ไว้ใน Dictionary และคำศัพท์ที่พบ บ่อยๆ อีกมากมายซึ่งเรียกว่า “Word list” ดังแสดง ในรูปประกอบ โดยโปรแกรมเหล่านี้มีความถี่ในการเดา password อย่างน้อย 1 ล้านคำต่อวินาที

6 Dictionary Attack ดังนั้น หากตั้ง password แบบง่ายๆ ที่มีอยู่ ใน Word list นี้ ก็มีสิทธิถูกเดา password ได้ อย่างง่ายดายและรวดเร็ว บางครั้งอาจจะ พบ password ภายในไม่เกิน 5 วินาที

7 Brute Force เป็นการเดา password ทุกความเป็นไปได้ ของตัวอักษรในแต่ละหลัก ตัวอย่าง ATM Pin code มีจำนวน 4 หลัก แต่ละหลัก สามารถตั้งค่าตัวเลข 0 – 9 ดังนั้น ในแต่ละหลักมีความเป็นไปได้ 10 วิธี เพราะฉะนั้น 4 หลักจึงมีความเป็นไปได้ทั้งหมด 10,000 วิธี …. โปรแกรมจะทำการไล่ตัวเลข จาก 0000 ไปจนถึง 9999 ครบทั้งหมื่นวิธี ซึ่งแสดง ให้เห็นว่า ในที่สุดจะได้ password ที่ถูกต้อง

8 Brute Force

9 แต่ในกรณีที่เป็นรหัสผ่านซึ่งอาจมีตัวอักษร ต่างๆ ปะปนอยู่ วิธีนี้ก็จะไล่ลำดับตัวอักษรจาก a ไปจนถึง z ดังนั้น Brute force attack จึงเป็นวิธีที่จะ สามารถหา password ที่ถูกต้องได้อย่าง แน่นอน เพียงแต่ขึ้นอยู่กับระยะของเวลาของ การสุ่มหา จะมากหรือน้อยขึ้นอยู่กับความ ซับซ้อนของการตั้ง password

10 การตั้ง Password ที่ดีควร ประกอบด้วย ประกอบด้วยตัวอักษรภาษาอังกฤษตัวพิมพ์เล็ก เช่น a b c d … ประกอบด้วยตัวอักษรภาษาอังกฤษตัวใหญ่ เช่น A B C D … Numeric หรือ ตัวเลข เช่น 1 2 3 4 … Special Character หรือ อักขระพิเศษ เช่น ! @ # $ % ^ & * ( ) [ ] – _ + การตั้ง Password ควรผสม 3 ใน 4 แบบนี้เข้า ด้วยกันและต้องยาวอย่างน้อย 8 ตัว

11 เทคนิคการตั้ง Password คือ ตั้งให้ ยากแต่จำง่าย 1. การตั้งแบบ Passphrase เนื้อเพลงโปรด, ประโยคเด็ด ตัวอย่าง love me love my dogs 1986 ผลลัพธ์ LoveMeLoveMyDogs1986

12 เทคนิคการตั้ง Password คือ ตั้งให้ ยากแต่จำง่าย 2. การแทนที่ตัวอักษร (Replacement) ตัวอย่าง LoveMeLoveMyDogs1986 ผลลัพธ์ L0veMeL0veMyDog$1986 หมายเหตุ ตัวอักษรสีแดงเป็นตัวอักษรที่ถูก แทนที่ “ โอ ” ด้วย “ ศูนย์ ” และ “ เอส ” ด้วย “$”

13 เทคนิคการตั้ง Password คือ ตั้งให้ ยากแต่จำง่าย 3. การกด Shift ขณะพิมพ์ ตัวอย่าง LoveMeLoveMyDogs1986 ผลลัพธ์ LovEMeLovEMyDogS!(*^ หมายเหตุ ตัวอักษรสีน้ำเงิน แสดงตัวอักษร ภาษาอังกฤษตัวเล็กเป็นตัวใหญ่และตัวเลขเป็น อักขระพิเศษ

14 เทคนิคการตั้ง Password คือ ตั้งให้ ยากแต่จำง่าย 4. การดูแป้นไทยในขณะที่ keyboard เป็น ภาษาอังกฤษ ตัวอย่าง จะพิมพ์คำว่า “ รักนะเด็กโง่จุ๊บส์ๆ ” ผลลัพธ์ iydotgfHdF’j06U[lNq