Uncategorized

ภัยร้ายที่มาพร้อมกับ Airdrop ในโลก DeFi

ช่วงนี้มีโครงการต่างๆในโลก DeFi กำเนิดเกิดขึ้นราวกับดอกเห็ด วิธีหนึ่งที่โครงการเหล่านี้ใช้ในการโฆษณาโครงการ ก็คือการแจก Airdrop ให้ผู้ทดลองใช้งานหรือผู้ที่ช่วยประชาสัมพันธ์โครงการ จนมีผู้คนไล่ทำกิจกรรมโครงการต่างๆ เพื่อให้ได้รับ Airdrop จนแทบจะยึดเป็นอาชีพเลยทีเดียว จากจุดนี้ผู้ไม่หวังดีก็มองเห็นโอกาสที่จะมา hack กลุ่มคนเหล่านี้ วันนี้แอดจะมาเล่าเคสที่แอดโดนกับตัวให้ฟังครับ เพื่อให้เพื่อนๆได้ระมัดระวังกันมากขึ้น วันดีคืนดีมีเหรียญ XCH ลอยเข้ามาในกระเป๋าแอด 298131 เหรียญ *0* เอ๋หรือจะเป็นเหรียญที่เราไปทำกิจกรรมเอาไว้และได้ Airdrop มานะ ลองกดเข้าไปดูในรายละเอียดสักหน่อยแล้วกัน มีชื่อเว็บ contract ด้วยลองกดเข้าไปดูสักหน่อย โอ้วเหรียญที่แอดได้มาสามารถแลก…

DeFi Smart Contract Hacking 101 (EP1. malicious developer)

ตอนนี้กระแส blockchain, smart contract, DeFi, yield farming มาแรงมากๆ ถึงจุดพีคสุดๆ ใครๆก็เข้ามาฟาร์มกัน เอาเงินไปลงไว้ใน pool เพื่อเอา rewards ใน DeFi โครงการต่างๆ ที่เพิ่มจำนวนขึ้นอย่างมากมาย แต่!! เดี๋ยวก่อนนนนนน เราจะรู้ได้ยังไงว่า pool นั้นหรือ DeFi โครงการนั้นๆ เขาจะไม่โกงเรา หรือเอาเงินเราไป เพราะเงินออกจากกระเป๋าเราไปอยู่ใน pool เขาแล้วนะ!!…

Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

เริ่มจากคำถามที่ว่าเราจะทำ penetration testing อย่างไรให้ได้คุณภาพและรักษาคุณภาพงานให้มีความสม่ำเสมอได้ทุก project คือไม่ว่า project ไหนหรือใครเป็นคนทำถ้าเป็นผลงานจากบริษัท MAYASEVEN งานจะต้องออกมามีคุณภาพเหมือนกันทุก project  จากคำถามนั้น ทีมเราได้ช่วยกัน research พวกกระบวนการทดสอบเจาะระบบ, หลักการ, มาตรฐาน, คู่มือ ที่เกี่ยวกับการทำ penetration testing methodology ที่มีอยู่ในปัจจุบันเฉพาะตัวที่มีชื่อเสียงและเป็นที่ยอมรับ เพื่อศึกษาว่าเราจะใช้ตัวไหนดีในงานทดสอบเจาะระบบของเรา ปรากฏว่าหลังจากศึกษาเราเริ่มเห็นข้อจำกัดของ penetration testing methodology ของค่ายต่างๆ เช่น เก่าและขาดการปรับปรุงให้ทันสมัย,…

Krungsri Consumer ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017

เราจะเห็นว่าทุกวันนี้มีข่าวการโจมตีทางไซเบอร์หรือการ hack กันไม่เว้นแต่ละวัน แม้กระทั้งในอุตสาหกรรมการเงินก็มีข่าวออกมาให้เห็นอยู่บ่อยครั้ง ธนาคารกรุงศรีซึ่งเป็นหนึ่งในธนาคารชั้นนำในเรื่องการให้บริการออนไลน์ ทางผู้บริหารและคุณนพชัย ตั้งสินพูลชัย เล็งเห็นถึงความสำคัญในเรื่อง information security จึงได้ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017 เพื่อให้ทีมพัฒนาซอฟท์แวร์กรุงศรีคอมซูมเมอร์และบริษัทในเครือธนาคารกรุงศรีได้มีโอกาสแข่งขันทักษะการพัฒนาซอฟต์แวร์ให้มีความปลอดภัย ซึ่งเป็นครั้งแรกในประเทศไทย ที่มีการแข่งขันทักษะด้านนี้อย่างเป็นทางการ รูปแบบการแข่งขัน ทาง MAYASEVEN มีทีมงานที่เคยผ่านงาน secure software development, source code review ให้ VISA…

Burp Suite Mobile Assistant for mobile application penetration testing

ในการทำ mobile application penetration testing หรือการพยายาม hack mobile application เพื่อหาช่องโหว่และนำไปเขียน report แจ้งช่องโหว่ให้ลูกค้าได้ทำการแก้ไขนั้น ปฏิเสธไม่ได้เลยว่า สิ่งที่เป็นความเสี่ยงสูงคือ back-ends หรือ api หลังบ้านที่ใช้คุยกับ mobile application นั้นมีช่องโหว่ การมีช่องโหว่ที่ back-ends ถ้าเป็นช่องโหว่ที่มีความรุนแรงสูง hacker สามารถเข้าไปยึด server ได้เลย ลองดูตัวอย่างในบทความเหล่านี้ครับ 1.https://www.techtalkthai.com/hacking-practice-using-vulnhub-by-mayaseven/…

สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

เมื่อเดือนสิงหาคมปีที่แล้วมี hacker กลุ่มหนึ่งชื่อว่า The Shadow Brokers อ้างว่าขโมยเครื่องมือเจาะระบบจาก NSA ซึ่งจากข่าวเก่าๆเราอาจจะเคยได้ยินว่า Edward Snowden เคยออกมาพูดว่า NSA นี้มีเครื่องมือในการเจาะระบบเพื่อใช้ในงานสงครามไซเบอร์มากมายทำกันเป็นจริงเป็นจัง การที่โค้ดพวกนี้หลุดออกมาก็เป็นการยืนยันว่าเป็นเรื่องจริง อเมริกาใช้อาวุธทางไซเบอร์เพื่อหาข่าวและโจมตีเป้าหมายจริง หลังจาก hacker กลุ่มนี้ได้เครื่องมือเจาะระบบมาแล้วก็เอามาประมูลขาย 1 ล้าน Bitcoins พร้อมกับปล่อยเครื่องมือโจมตี firewall, router บางส่วนเพื่อพิสูจน์ว่ามีของจริง แต่แล้วก็ต้องอกหักเพราะไม่มีคนร่วมประมูลเท่าที่ควร เมื่อวันที่ 8 เมษายนที่ผ่านมานี้ hacker…
Menu