Uncategorized

เล่าประสบการณ์แข่ง CTF ระดับโลก International Cybersecurity Championship 2023

สวัสดีครับผม พิริยะ เหมือยไธสง จากทีมเจาะระบบของ MAYASEVEN ไม่นานมานี้ผมได้มีโอกาสแข่ง CTF (งานแข่งด้าน Hacking/Cybersecurity) งาน Asian Cyber Security Challenge 2023 (ACSC2023) จนชนะได้เป็นตัวแทนประเทศไทย และได้ไปแข่งต่อที่งาน International Cybersecurity Championship ที่อเมริกา เลยอยากแชร์ประสบการณ์ให้ได้ฟังกัน ท้ายบทความมี live พูดคุยประเด็นเชิงลึกเทคนิคการเตรียมตัวแข่งขัน และรายละเอียดเกี่ยวกับโจทย์งานแข่งระดับโลก ทำไมได้ไปแข่งที่ประเทศอเมริกา — Asian Cyber Security…

คนสองหน้าล่าสองบัญชี เจาะทะลุ Face Recognition

ปัจจุบันเทคโนโลยี Face Recognition เริ่มใช้กันอย่างแพร่หลาย บ่อยครั้งเราใช้ในการการยืนยันตัวตน เช่น NDID หรือในการปลดล็อคโทรศัพท์ ไม่ว่าจะ Android หรือ iOS รวมถึง ธนาคารแห่งประเทศไทย(ธปท.) ได้กำหนดให้ยืนยันตัวตนด้วย biometric ผ่านหน้า Face Recognition โดยกำหนด 3 ธุรกรรมที่ต้องยืนยันตัวตนคือ การโอนวงเงินเกิน 50,000 บาทต่อรายการ โอนวงเงินเกิน 200,000 บาทต่อวัน การปรับเพิ่มวงเงินเกิน 50,000…

สรุป Keynote จาก Black Hat Asia 2023

ทาง MAYASEVEN ได้สนับสนุนทีมงานเพื่อเข้าร่วมงานสัมมนาด้าน cybersecurity ระดับโลก Black Hat Asia 2023 ณ ประเทศสิงคโปร์ โดยงาน Black Hat นั้น เป็นงานที่รวบรวมเนื้อหาและเทรนด์ใหม่ ๆ ของวงการ cybersecurity จากเหล่าแฮกเกอร์และนักวิชาการด้าน cybersecurity ชื่อดังมากมาย จุดประสงค์เพื่อให้ผู้เข้าร่วมได้รับเทคนิคการเจาะระบบและวิธีรับมือภัยคุกคามไซเบอร์รูปแบบใหม่ ๆ เพื่อที่จะได้วางกลยุทธ์ในการรับมือกับการโจมตีเหล่านั้นได้อย่างมีประสิทธิภาพในอนาคต ในงานนี้มีความรู้เกี่ยวกับไซเบอร์เซเคียวริตี้มากมาย ทั้งเทคนิคการ hack และการป้องกันภัยคุกคามทางไซเบอร์ใหม่ ๆ…

ภัยร้ายที่มาพร้อมกับ Airdrop ในโลก DeFi

ช่วงนี้มีโครงการต่างๆในโลก DeFi กำเนิดเกิดขึ้นราวกับดอกเห็ด วิธีหนึ่งที่โครงการเหล่านี้ใช้ในการโฆษณาโครงการ ก็คือการแจก Airdrop ให้ผู้ทดลองใช้งานหรือผู้ที่ช่วยประชาสัมพันธ์โครงการ จนมีผู้คนไล่ทำกิจกรรมโครงการต่างๆ เพื่อให้ได้รับ Airdrop จนแทบจะยึดเป็นอาชีพเลยทีเดียว จากจุดนี้ผู้ไม่หวังดีก็มองเห็นโอกาสที่จะมา hack กลุ่มคนเหล่านี้ วันนี้แอดจะมาเล่าเคสที่แอดโดนกับตัวให้ฟังครับ เพื่อให้เพื่อนๆได้ระมัดระวังกันมากขึ้น วันดีคืนดีมีเหรียญ XCH ลอยเข้ามาในกระเป๋าแอด 298131 เหรียญ *0* เอ๋หรือจะเป็นเหรียญที่เราไปทำกิจกรรมเอาไว้และได้ Airdrop มานะ ลองกดเข้าไปดูในรายละเอียดสักหน่อยแล้วกัน มีชื่อเว็บ contract ด้วยลองกดเข้าไปดูสักหน่อย โอ้วเหรียญที่แอดได้มาสามารถแลก…

DeFi Smart Contract Hacking 101 (EP1. malicious developer)

ตอนนี้กระแส blockchain, smart contract, DeFi, yield farming มาแรงมากๆ ถึงจุดพีคสุดๆ ใครๆก็เข้ามาฟาร์มกัน เอาเงินไปลงไว้ใน pool เพื่อเอา rewards ใน DeFi โครงการต่างๆ ที่เพิ่มจำนวนขึ้นอย่างมากมาย แต่!! เดี๋ยวก่อนนนนนน เราจะรู้ได้ยังไงว่า pool นั้นหรือ DeFi โครงการนั้นๆ เขาจะไม่โกงเรา หรือเอาเงินเราไป เพราะเงินออกจากกระเป๋าเราไปอยู่ใน pool เขาแล้วนะ!!…

Penetration Testing Methodology ที่ MAYASEVEN เลือกใช้

เริ่มจากคำถามที่ว่าเราจะทำ penetration testing อย่างไรให้ได้คุณภาพและรักษาคุณภาพงานให้มีความสม่ำเสมอได้ทุก project คือไม่ว่า project ไหนหรือใครเป็นคนทำถ้าเป็นผลงานจากบริษัท MAYASEVEN งานจะต้องออกมามีคุณภาพเหมือนกันทุก project  จากคำถามนั้น ทีมเราได้ช่วยกัน research พวกกระบวนการทดสอบเจาะระบบ, หลักการ, มาตรฐาน, คู่มือ ที่เกี่ยวกับการทำ penetration testing methodology ที่มีอยู่ในปัจจุบันเฉพาะตัวที่มีชื่อเสียงและเป็นที่ยอมรับ เพื่อศึกษาว่าเราจะใช้ตัวไหนดีในงานทดสอบเจาะระบบของเรา ปรากฏว่าหลังจากศึกษาเราเริ่มเห็นข้อจำกัดของ penetration testing methodology ของค่ายต่างๆ เช่น เก่าและขาดการปรับปรุงให้ทันสมัย,…

Krungsri Consumer ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017

เราจะเห็นว่าทุกวันนี้มีข่าวการโจมตีทางไซเบอร์หรือการ hack กันไม่เว้นแต่ละวัน แม้กระทั้งในอุตสาหกรรมการเงินก็มีข่าวออกมาให้เห็นอยู่บ่อยครั้ง ธนาคารกรุงศรีซึ่งเป็นหนึ่งในธนาคารชั้นนำในเรื่องการให้บริการออนไลน์ ทางผู้บริหารและคุณนพชัย ตั้งสินพูลชัย เล็งเห็นถึงความสำคัญในเรื่อง information security จึงได้ร่วมกับ MAYASEVEN จัดงานแข่งขัน Security Development Hackathon 2017 เพื่อให้ทีมพัฒนาซอฟท์แวร์กรุงศรีคอมซูมเมอร์และบริษัทในเครือธนาคารกรุงศรีได้มีโอกาสแข่งขันทักษะการพัฒนาซอฟต์แวร์ให้มีความปลอดภัย ซึ่งเป็นครั้งแรกในประเทศไทย ที่มีการแข่งขันทักษะด้านนี้อย่างเป็นทางการ รูปแบบการแข่งขัน ทาง MAYASEVEN มีทีมงานที่เคยผ่านงาน secure software development, source code review ให้ VISA…

Burp Suite Mobile Assistant for mobile application penetration testing

ในการทำ mobile application penetration testing หรือการพยายาม hack mobile application เพื่อหาช่องโหว่และนำไปเขียน report แจ้งช่องโหว่ให้ลูกค้าได้ทำการแก้ไขนั้น ปฏิเสธไม่ได้เลยว่า สิ่งที่เป็นความเสี่ยงสูงคือ back-ends หรือ api หลังบ้านที่ใช้คุยกับ mobile application นั้นมีช่องโหว่ การมีช่องโหว่ที่ back-ends ถ้าเป็นช่องโหว่ที่มีความรุนแรงสูง hacker สามารถเข้าไปยึด server ได้เลย ลองดูตัวอย่างในบทความเหล่านี้ครับ 1.https://www.techtalkthai.com/hacking-practice-using-vulnhub-by-mayaseven/…

สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

เมื่อเดือนสิงหาคมปีที่แล้วมี hacker กลุ่มหนึ่งชื่อว่า The Shadow Brokers อ้างว่าขโมยเครื่องมือเจาะระบบจาก NSA ซึ่งจากข่าวเก่าๆเราอาจจะเคยได้ยินว่า Edward Snowden เคยออกมาพูดว่า NSA นี้มีเครื่องมือในการเจาะระบบเพื่อใช้ในงานสงครามไซเบอร์มากมายทำกันเป็นจริงเป็นจัง การที่โค้ดพวกนี้หลุดออกมาก็เป็นการยืนยันว่าเป็นเรื่องจริง อเมริกาใช้อาวุธทางไซเบอร์เพื่อหาข่าวและโจมตีเป้าหมายจริง หลังจาก hacker กลุ่มนี้ได้เครื่องมือเจาะระบบมาแล้วก็เอามาประมูลขาย 1 ล้าน Bitcoins พร้อมกับปล่อยเครื่องมือโจมตี firewall, router บางส่วนเพื่อพิสูจน์ว่ามีของจริง แต่แล้วก็ต้องอกหักเพราะไม่มีคนร่วมประมูลเท่าที่ควร เมื่อวันที่ 8 เมษายนที่ผ่านมานี้ hacker…