PANTIP.COM : S11324542 ถึงสมาคมฟุตบอล และคนทำ web www.fat.or.th + วิธีแก้ไข [ฟุตบอลไทย]

ถึงสมาคมฟุตบอล และคนทำ web www.fat.or.th + วิธีแก้ไข

ถึงสมาคมฟุตบอล และคนทำ web www.fat.or.th

ผมได้ยินข่าว web นี้มีปัญหาโดน HACK ตั้งแต่เมื่อวาน
ผ่านไป 1 วันแล้วก็ยังไม่มีใครเข้าไปแก้ไขอีก (เริ่มโดน HACK ตั้งแต่วันไหนเนี่ย)

ผมเพิ่งมีโอกาสเข้าไปดูเมื่อกี้ไม่ถึงนาทีก็รู้สาเหตุ
การทำแบบนี้เขาเรียกว่า HTML INJECTION คือการเติม code HTML เข้าไปเพิ่มที่หน้า web เอง
ในที่นี้คน Injection จะใส่ HTML ว่า "< meta http-equiv="Refresh" content="0;url=http://auracreativearts.com/Mn9.html" >"
ให้ลบข้อความนี้ในหน้าหลักออกนะครับ (ข้อความนี้น่าจะอยู่ใน DB)

และให้ programmer กรอง HTML String ด้วย เช่น เครื่องหมายมากกว่า > ก็ให้แปลงเป็น >
หวังว่าคงเข้าใจนะครับ

ผมหาสาเหตุแค่แป๊บเดียวก็รู้ปัญหา ถ้าไม่แก้เดี๋ยวผมจะเข้าไป Injection บ้างนะ
ไงก็แก้ให้ไวนะครับ อ้ายเข้า ^^

จากคุณ : fantasea

เขียนเมื่อ : 12 พ.ย. 54 23:43:40

ความคิดเห็นที่ 1

โหวตครับ เผื่อเขาจะเห็น

จากคุณ : KungDekZa

เขียนเมื่อ : 12 พ.ย. 54 23:45:36

ความคิดเห็นที่ 2

ผมแนะนำให้เจ้าของกระทู้
Injection มาเว็บ www.fat.or.th

วนแบบวงกลมด้วยครับ But now

จากคุณ : Zaytsev

เขียนเมื่อ : 13 พ.ย. 54 00:06:03

ความคิดเห็นที่ 3

เห็นแล้วรู้สึกอายเหมือนกัน

ดูแล้วทางที่ดี Network Security ของเราน่าจะลองวางระบบล่อเอาไว้ดักจับ

แล้วดำเนินคดีให้ถึงที่สุด

เพราะนี่มันอาชญากรทางคอมพิวเตอร์ข้ามชาติเลยทีเดียว 55

ป.ล. โดยส่วนตัวเชื่ออย่างยิ่งว่า Hacker คนนั้น น่าจะฝัง shell ไว้แล้ว
อาจจะต้องโละใหม่ทั้งเว็บ

จากคุณ : visavavit

เขียนเมื่อ : 13 พ.ย. 54 00:08:22

ความคิดเห็นที่ 4

อ้าว นี่ยังไม่แก้กันอีกเหรอ

จากคุณ : เส้นใหญ่พิเศษ

เขียนเมื่อ : 13 พ.ย. 54 00:21:40

ความคิดเห็นที่ 5

มันเคยแก้อยู่ครั้งหนึ่ง ....แต่มันมาแฮกค์ รอบ 2

แสดงว่า แอดมิน มันไม่ได้สร้างระบบป้องกัน สักแต่แก้อย่างเดียว

จากคุณ : Zaytsev

เขียนเมื่อ : 13 พ.ย. 54 00:27:18

ความคิดเห็นที่ 6

พอเริ่มมีการใส่โค้ดแฮก ใครก็ได้ใส่โค้ดหน้าวีวีใหญ่ๆ ยิ้มแสยะๆ โผล่เด้งมาที

แฮกเกอร์จะได้ช๊อกตาย

จากคุณ : คุณชายทหารไทย

เขียนเมื่อ : 13 พ.ย. 54 02:52:53

ความคิดเห็นที่ 7

คนแฮค มันก้แม่นแท้ 3-0

จากคุณ : thong765

เขียนเมื่อ : 13 พ.ย. 54 03:00:05

ความคิดเห็นที่ 8

รวมตัวเล่นมันเลยมั้ยครับ ถ้าพร้อมเดี๋ยวเอาด้วย

จากคุณ : หมีน้อย คอยรัก

เขียนเมื่อ : 13 พ.ย. 54 11:25:12

ความคิดเห็นที่ 9

หลักฐานชัดเจนว่า ผู้เกี่ยวข้องทั้งหมดไม่เคยสนใจ เว็ปไซท์มีไว้ทำซากอะไร หรือเอาไว้ประจานประเทศไทย ระบบราชการไทย ไอ้คนแฮ็คมันทำไว้และมันกลับมาดูก็ยังอยู่ มันรู้หมดเลยประเทศไทย(มันหัวเราะขากรรไกรค้างเข้าโรงพยาบาลแล้วมั้ง)บุคคลากรเมืองไทย โอ้ย...อย่างนี้นี่เอง..สุดบรรยาย..มันทำลายชื่อเสียงประเทศชัดๆ...พิจารณาเถอะน๊ะ...คงไม่ต้องสาธยายอะไรมาก..ผลมันเป็นลูกโซ่มันบอกอะไรเราได้เยอะ........คงไม่ต้องบรรยายแล้วครับถึงสาเหตุความล้มเหลว..............ต่ำจริงๆ(หลักฐานมันชัด)
แก้ไขเมื่อ 13 พ.ย. 54 11:35:35

จากคุณ : padreew

เขียนเมื่อ : 13 พ.ย. 54 11:34:43

ความคิดเห็นที่ 10

เท่าที่ดูตอนนี้แก้แล้วนะครับ
แต่ผมว่า HTML Injection อย่างเดียวคงไม่พอ
เพราะยังไม่เห็นว่าเว็บมีส่วนที่เป็น form รับข้อมูลจาก user ภายนอกเลย
หรือผมอาจจะยังหาไม่เจอ
คิดว่างานนี้อาจมีเรื่อง file permission มาเกี่ยวด้วย

จากคุณ : Tianissimo

เขียนเมื่อ : 13 พ.ย. 54 13:12:28

ความคิดเห็นที่ 11

ใครก็ได้ช่วยบอกที สรุปว่าเวปมาสเตอร์แก้ หรือไอ้คนแฮกมันมาแก้เอง...เพราะทนไม่ไหว ไม่แก้ไขอะไรเลย แฮกไปก็อายเปล่า .... อิอิ

จากคุณ : ammarint

เขียนเมื่อ : 13 พ.ย. 54 16:09:43

ความคิดเห็นที่ 12

สมมุติถ้าพ่อหนุ่มแฮคเกอร์ชาวซาอุคนนั้น แฮกเป็นรอบที่3 แล้วใส่ประโยคตัวเท่าบ้านว่า

" vv get out "

เพื่อนๆข้างล่างจะว่ายังไงบ้าง ???

ปล. hacker ผู้นั้นอาจเข้าเวปอากู๋ เสิดคำว่า football thai แล้วอาจเจอภาพคำนี้ชูหราอยู่ก็ได้ อิอิ

จากคุณ : yassemo

เขียนเมื่อ : 13 พ.ย. 54 18:05:38

ความคิดเห็นที่ 13

เวบจ้างทำ เวลาแก้ก็ต้องจ้างมาแก้

จากคุณ : Snipp Snapp

เขียนเมื่อ : 13 พ.ย. 54 20:17:19

ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นกระดานข่าวโดยอัตโนมัติจากบุคคลทั่วไป ซึ่ง PANTIP.COM มิได้มีส่วนร่วมรู้เห็น ตรวจสอบ หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป