Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

September 27, 2018

hack, hacker, methodology, penetration testing, pentest, วิธีการเจาะระบบ, แฮค

เริ่มจากคำถามที่ว่าเราจะทำ penetration testing อย่างไรให้ได้คุณภาพและรักษาคุณภาพงานให้มีความสม่ำเสมอได้ทุก project คือไม่ว่า project ไหนหรือใครเป็นคนทำถ้าเป็นผลงานจากบริษัท MAYASEVEN งานจะต้องออกมามีคุณภาพเหมือนกันทุก project จากคำถามนั้น ทีมเราได้ช่วยกัน research พวกกระบวนการทดสอบเจาะระบบ, หลักการ, มาตรฐาน, คู่มือ ที่เกี่ยวกับการทำ penetration testing methodology ที่มีอยู่ในปัจจุบันเฉพาะตัวที่มีชื่อเสียงและเป็นที่ยอมรับ เพื่อศึกษาว่าเราจะใช้ตัวไหนดีในงานทดสอบเจาะระบบของเรา ปรากฏว่าหลังจากศึกษาเราเริ่มเห็นข้อจำกัดของ penetration testing methodology ของค่ายต่างๆ เช่น เก่าและขาดการปรับปรุงให้ทันสมัย,…

Krungsri Consumer ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017

July 17, 2017

MAYASEVEN Team

Uncategorized

No Comments

เราจะเห็นว่าทุกวันนี้มีข่าวการโจมตีทางไซเบอร์หรือการ hack กันไม่เว้นแต่ละวัน แม้กระทั้งในอุตสาหกรรมการเงินก็มีข่าวออกมาให้เห็นอยู่บ่อยครั้ง ธนาคารกรุงศรีซึ่งเป็นหนึ่งในธนาคารชั้นนำในเรื่องการให้บริการออนไลน์ ทางผู้บริหารและคุณนพชัย ตั้งสินพูลชัย เล็งเห็นถึงความสำคัญในเรื่อง information security จึงได้ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017 เพื่อให้ทีมพัฒนาซอฟท์แวร์กรุงศรีคอมซูมเมอร์และบริษัทในเครือธนาคารกรุงศรีได้มีโอกาสแข่งขันทักษะการพัฒนาซอฟต์แวร์ให้มีความปลอดภัย ซึ่งเป็นครั้งแรกในประเทศไทย ที่มีการแข่งขันทักษะด้านนี้อย่างเป็นทางการ รูปแบบการแข่งขัน ทาง MAYASEVEN มีทีมงานที่เคยผ่านงาน secure software development, source code review ให้ VISA…

Burp Suite Mobile Assistant for mobile application penetration testing

May 13, 2017

MAYASEVEN Team

Uncategorized

No Comments

ในการทำ mobile application penetration testing หรือการพยายาม hack mobile application เพื่อหาช่องโหว่และนำไปเขียน report แจ้งช่องโหว่ให้ลูกค้าได้ทำการแก้ไขนั้น ปฏิเสธไม่ได้เลยว่า สิ่งที่เป็นความเสี่ยงสูงคือ back-ends หรือ api หลังบ้านที่ใช้คุยกับ mobile application นั้นมีช่องโหว่ การมีช่องโหว่ที่ back-ends ถ้าเป็นช่องโหว่ที่มีความรุนแรงสูง hacker สามารถเข้าไปยึด server ได้เลย ลองดูตัวอย่างในบทความเหล่านี้ครับ 1.https://www.techtalkthai.com/hacking-practice-using-vulnhub-by-mayaseven/…

สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

April 18, 2017

MAYASEVEN Team

Uncategorized

4

เมื่อเดือนสิงหาคมปีที่แล้วมี hacker กลุ่มหนึ่งชื่อว่า The Shadow Brokers อ้างว่าขโมยเครื่องมือเจาะระบบจาก NSA ซึ่งจากข่าวเก่าๆเราอาจจะเคยได้ยินว่า Edward Snowden เคยออกมาพูดว่า NSA นี้มีเครื่องมือในการเจาะระบบเพื่อใช้ในงานสงครามไซเบอร์มากมายทำกันเป็นจริงเป็นจัง การที่โค้ดพวกนี้หลุดออกมาก็เป็นการยืนยันว่าเป็นเรื่องจริง อเมริกาใช้อาวุธทางไซเบอร์เพื่อหาข่าวและโจมตีเป้าหมายจริง หลังจาก hacker กลุ่มนี้ได้เครื่องมือเจาะระบบมาแล้วก็เอามาประมูลขาย 1 ล้าน Bitcoins พร้อมกับปล่อยเครื่องมือโจมตี firewall, router บางส่วนเพื่อพิสูจน์ว่ามีของจริง แต่แล้วก็ต้องอกหักเพราะไม่มีคนร่วมประมูลเท่าที่ควร เมื่อวันที่ 8 เมษายนที่ผ่านมานี้ hacker…

วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates

February 27, 2017

MAYASEVEN Team

Security

dv, ev, ov, paypal, phishing, ssl certificate

No Comments

เรื่องนี้ผู้ใช้อินเทอร์เน็ตทุกท่านควรรู้ครับเวลา login หรือใช้บัตรเครดิต จะได้รู้ว่าเว็บไหนจริงเว็บไหนปลอม เว็บไหนเป็น phishing page ทำมาหลอกเอาข้อมูล password, credit card ของเรา ยป;มอ (ยาวไป;ไม่อ่าน) เราไม่สามารถดูว่าเว็บนั้นจริงหรือปลอมจากการดูหน้าตาหน้าเว็บได้เลย เพราะของปลอมมันก๊อปได้เหมือนยิ่งกว่าของก็อปแบรนด์เนมเกรด AAAA ซะอีก และไม่ใช่ว่าเว็บนั้นเป็น HTTPS แล้วจะแปลว่าเป็นเว็บของจริงเสมอไปนะครับ ในความเป็น HTTPS มีความ SSL Certificates อยู่หลายแบบ แบ่งแบบบ้านๆ สำหรับผู้ใช้ทั่วไปดูแล้วรู้เลย คือแบบที่มีชื่อองค์กรอยู่บน…

จากหาช่องโหว่จนถึงเขียน Metasploit exploit module

November 25, 2016

MAYASEVEN Team

Hacking

buffer overflow, exploit, fuzzing, metasploit, module

1

ในบทความนี้เราจะมาดูกันว่าตั้งแต่การหาช่องโหว่ของซอฟต์แวร์จนถึงการเขียน exploit เพื่อเอาไปใช้กับ Metasploit framework เพื่อโจมตีซอฟต์แวร์ที่มีช่องโหว่นั้นจะต้องทำยังไงบ้าง เริ่มตั้งแต่ fuzzing เพื่อหาช่องโหว่เขียน code โจมตีเพื่อทำ proof of concept และสุดท้าย porting exploit นั้นไปใช้กับ Metasploit framework ครับ ไม่ได้ยากอย่างที่คิดไม่จำเป็นต้องรู้ภาษา Ruby ก็เขียนได้นะ ผมเองก็ไม่ได้เขียน Ruby แต่ควรมีพื้นฐานเขียนโปรแกรมมาบ้าง บทความนี้เขียนสรุปแบบรวบรัดสุดๆ ถ้าไม่มีพื้นฐาน buffer…

[ภาคต่อ] แฮคจาก android app จนสามารถควบคุม server หรือได้ root ของ app นั้นๆ

June 30, 2016

MAYASEVEN Team

Hacking, Programming, Security

buffer overflow, flick II, IDA, Privilege escalation, reverse engineering, x86_64

2

สำหรับบทความนี้เป็นภาคต่อของบทความ คิดจะ Hack คิดถึง Vulnhub พร้อมตัวอย่างการแฮคจาก Android App จนสามารถควบคุม Server ของ App นั้นๆ สาเหตุที่เขียนต่อเพราะบทความที่แล้วที่ได้ robin shell นั้นจริงๆพึ่งมาถึงแค่ครึ่งทางเท่านั้นเอง!!! และยังมีเทคนิคที่น่าสนใจอีกหลายอย่างในการแฮคจนได้ root เช่น Linux binary(ELF) runtime patching, Linux x86_64 buffer overflow, และการโจมตี *(wildcards) เนื่องจากเนื้อหาค่อนข้างยากและซับซ้อนเลยเขียนแยกมาเป็นอีกบทความครับ…

Attack-Defence CTF , Cyber Range Review

May 16, 2016

MAYASEVEN Team

Personal, Security

attack, ctf, cyber range, defence

2

ผมมีโอกาสได้เข้าร่วมแข่งขัน Cyber Defence Exercise 2016 ของสถาบันวิชาป้องกันประเทศ ซึ่งในรอบสุดท้ายเป็นการแข่งขันแบบ Attack-Defence CTF ระบบ Cyber Range ผมเลยถือโอกาสเอามารีวิวครับ CTF คืออะไร? CTF มาจากคำว่า Capture the Flag (CTF) ในบทความนี้หมายถึงการแข่งขันทักษะทางคอมพิวเตอร์ทั้ง hacking และ security ในหัวข้อ web, forensic, crypto, binary, programming(debug, review…

ลง Anti-Virus + FW + Update ล่าสุดแล้วปลอดภัย? ดูนี่ก่อน

March 9, 2016

MAYASEVEN Team

Security

anti virus, bypass av, security aweaness,

No Comments

สำหรับบทความนี้ตอนแรกจะเขียน concpet วิธีการ bypass Anti-virus, Firewall แต่ทำไปทำมารู้สึกว่าไม่เผยแพร่จะดีกว่า 5555+ (ไว้รอบหน้าละกัน ;)) บทความนี้ทำคลิปพิสูจน์มาโชว์ให้ดูว่าการที่เรามีพวก security product เช่น Anti-virus, Firewall, … แล้วคิดว่าจะปลอดภัย 100% นั้นผิด จริงๆแล้ว products พวกนี้กากกว่าที่เราคาดหวังไว้เยอะ(แต่มี Anti-virus บางยี่ห้อที่ทำได้ดีเหมือนกันไม่โฆษณานะ 555+) สำหรับคลิปนี้คือการจำลองสถานการณ์ว่าถ้าเราไปโหลดพวก 1. Crack 2.โปร…

Bypass Windows Logon Screen in 2 minute

March 29, 2015

MAYASEVEN Team

Hacking, Security

bootkits, , , full disk encryption, rootkits

3

สวัสดีครับสำหรับบทความนี้ก็ไม่มีอะไรมาก แค่มาโชว์ให้เกิดความตระหนักว่าเราควรจะใช้ Full Disk Encryption กันได้แล้ว จากคลิปนี้จะเห็นว่า 1. ถ้าคอมหายคือข้อมูลหลุดหมด และแน่นอนผู้ใช้หลายท่านข้อมูลในคอมสำคัญกว่าตัวเครื่องคอมหลายเท่านะ ถ้าข้อมูลหลุดไปจะเสียหายเท่าไหร่? 2. แค่ลืมคอมไว้แค่ 2 นาทีอาจจะได้คอมกลับไปพร้อมกับ Rootkits นะครัช 😀 การทำงานของเจ้า Bootkits ตัวนี้ก็คือมันจะโหลดตัวเองเข้าไปใน memory ก่อนที่ OS จะโหลด หลังจากนั้นมันก็จะทำการแก้ Windows OS Kernel ในตอนโหลดเพื่อ…

Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

Krungsri Consumer ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017

Burp Suite Mobile Assistant for mobile application penetration testing

สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

วิธีดูเว็บจริงเว็บปลอมใน 5 วินาทีและประเภทของ SSL Certificates

จากหาช่องโหว่จนถึงเขียน Metasploit exploit module

[ภาคต่อ] แฮคจาก android app จนสามารถควบคุม server หรือได้ root ของ app นั้นๆ

Attack-Defence CTF , Cyber Range Review

Search

Recent Posts

Recent Comments

Archives

Categories

ISO/IEC 27001:2022 CERTIFIED

ISO 9001:2015 CERTIFIED

Recent Posts

MAYASEVEN CO., LTD.

Search

Recent Posts

Recent Comments

Archives

Categories

Tags

ISO/IEC 27001:2022 CERTIFIED

ISO 9001:2015 CERTIFIED

Recent Posts

MAYASEVEN CO., LTD.