ความเสี่ยง Risk. How To Hack ?  วิธีการ Hack คือ ไปอ่านค่า config อีก Web หนึ่ง ซึ่งอยู่ใน host เดียวกัน โดยตัว Host Server ของอาจารย์ ไม่ได้ทำระบบป้องกันในการเข้าถึง.

งานนำเสนอเรื่อง: "ความเสี่ยง Risk. How To Hack ?  วิธีการ Hack คือ ไปอ่านค่า config อีก Web หนึ่ง ซึ่งอยู่ใน host เดียวกัน โดยตัว Host Server ของอาจารย์ ไม่ได้ทำระบบป้องกันในการเข้าถึง."— ใบสำเนางานนำเสนอ:

1 ความเสี่ยง Risk

2 How To Hack ?  วิธีการ Hack คือ ไปอ่านค่า config อีก Web หนึ่ง ซึ่งอยู่ใน host เดียวกัน โดยตัว Host Server ของอาจารย์ ไม่ได้ทำระบบป้องกันในการเข้าถึง ข้อมูลของ user อื่น จึงสามารถทำ การ hack ได้ง่าย

3  วิธีที่ 1 เข้า port 22 SFTP  (Secured File Tranfer Protocol)  ทำการกรอก hostserver(HostName)  User(UserName)  password ที่อาจารย์ให้มา

4 เมื่อเข้ามาแล้วเราจะอยู่ใน Path directory

5 วิธีที่ 2 จากนั้นทำการเข้าไปที่ Path directory ของเว็บ www.angsila.cs.buu.ac.th/~55160431 /SMFWebboard www.angsila.cs.buu.ac.th/~55160431 /SMFWebboard

6 วิธีที่ 3 ให้สังเกต ชื่อไฟล์ และสิทธิ์ในการเข้าถึง ข้อมูล หรือ permission โดยไฟล์นี้มีค่า permission ระดับ 777 ไม่ว่า user ใดก็ตามสามารถอ่านไฟล์นี้ได้

7 วิธีที่ 4 ไฟล์ Settings.php คือ ไฟล์ config ต่างๆของเว็บรวมถึง database เมื่อเปิดไฟล์ config นั้นมาแล้วจะเห็นค่า setting datebase ซึ่ง datebase จะเป็น ตัวเก็บค่าข้อมูลต่างๆ รวมไปถึง User Admin อีกด้วย

8 วิธีที่ 5 ทำการ connect database เพื่อเข้าไปดู username password ของ Admin

9  วิธีที่ 6 select ข้อมูล table member เรา ก็จะเห็น username password ของ admin คือ username = admin  Password = 358544979e6eb435612a207705df33b 5ecf91e44  พาสนี้ถูก encrypt hash( เข้ารหัส ) ด้วย MySQL4.1/MySQL5 / sha1

10

11 ทำการ decrypt( ถอดรหัส ) โดยเข้าไป ที่เว็บ http://sha.shadecrypt.fr/home http://sha.shadecrypt.fr/home จะได้ password ที่แท้จริงมา username = admin Password = 987654321

12  จากนั้นทำการ check ว่า username และ password ที่ได้มานั้นสามารถใช้ งานได้จริง โดย login ผ่าน http://angsila.cs.buu.ac.th/~5516 0431/SMFWebboard/index.php

13