Application Security ဆိုတာ
Published:
ကွန်ပျူတာမှာ မရှိမဖြစ်သုံးတဲ့ application (သို့မဟုတ်) software တွေမှာ security နှင့်ပတ်သက်လို့ ဘယ်လို အားနည်းချက်တွေရှိတယ်၊ ဒီအားနည်းချက်ကို သုံးပြီး ဟက်ကာက ဘယ်လိုမျိုး Hack လုပ်နိုင်မယ်၊ ဘယ်လိုကာကွယ်နိုင်မယ် ဆိုတာတွေကို လေ့လာတာပါ။ TCP/IP layer 4 မှာရှိတဲ့ application အားလုံးရဲ့ security နဲ့ သက်ဆိုင်ပါတယ်။
Application Security မှာ ကိုယ်ရေးကိုယ်တာ လုပ်ငန်းတွေအတွက်သုံးတဲ့ personal ကွန်ပျူတာ၊ ဖုန်း၊ Tablet စတာတွေမှာတင်ထားတဲ့ application တွေ ( ဥပမာအားဖြင့် word, excel, game ) နှင့် OS(Operating System) တွေ ( ဥပမာအားဖြင့် Android, Windows, Linux, Apple IOS )၊ အင်တာနက် မှာ မရှိမဖြစ်လိုအပ်တဲ့ ဆာဗာ ကွန်ပျူတာတွေ မှာသုံးတဲ့ server application တွေ ( ဥပမာအားဖြင့် Apache, BIND, SQL )၊ IoT (Internet of Things) လို့ခေါ်တဲ့ အင်တာနက်နှင့် ချိတ်ဆက်ထားတဲ့ အသေးစားကွန်ပျူတာစနစ် ထည့်သွင်းထားတဲ့ ပစ္စည်းတွေ ဖြစ်တဲ့ router တွေ၊ CCTV ကင်မရာတွေ၊ robot တွေမှာသုံးတဲ့ application စတာတွေ အားလုံးရဲ့ security ပိုင်းဆိုင်ရာ အားနည်းချက်ကို လေ့လာတာတွေ အားလုံး အကျုံး၀င်ပါတယ်။
တစ်ကယ်တန်းတော့ ကွန်ပျူတာ Virus ဆိုတာလည်း sofware တစ်ခုပါပဲ။ Static Malware Analysis လို့ခေါ်တဲ့ ကွန်ပျူတာ Virus တွေကဘယ်လို အလုပ်လုပ်တယ်၊ ဘယ်လိုလုပ်ရင် Virus ၀င်နေတာကို သိနိုင်မယ်၊ ဘယ်လို ကာကွယ်နိုင်မလဲ ဆိုပြီး ကွန်ပျူတာ Virus Software ကို အသေးစိတ် လေ့လာတာလည်း ဒီဘာသာရပ်ထဲမှာ အကျုံး၀င်ပါတယ်။
ဒါအပြင် အခု ခေတ်မှာ အင်တာနက် ပေါ်မှာ စာပို့တယ်၊ အရောင်းအ၀ယ်လုပ်ကြတယ်၊ အစည်းအဝေးလုပ်တယ်၊ အလုပ်လျှောက်တယ်၊ ငွေလွှဲတယ် စသဖြင့် လုပ်ငန်းတွေလုပ်လာတဲ့ အခါမှာ အဓိကအားဖြင့် web application အမျိုးမျိုး သုံးလာကြတယ် ( ဥပမာအားဖြင့် facebook, gmail, paypal ) စတာတွေပါ၊ ဟက်ကာတွေကလည်း ဒီ web application တွေရဲ့ အားနည်းချက်ကို အခြေခံပြီး Haking အမျိုးမျိုး လုပ်လာကြတယ်။ web application အမျိုးအစား နှင့် attack လုပ်ပုံ လုပ်နည်းတွေ အမျိုးမျိုးရှိတာမို့ web application security ကိုပဲ အထူးပြု လေ့လာသူတွေလည်းရှိတယ်။
Application Security ဘာသာရပ်မှာ မသိမဖြစ်လေ့လာသင့်တာတွေ
အခြေခံ အားဖြင့် လေ့လာသင့်တွေကို အောက်မှာ list လုပ်ထားပါတယ်။
- ကွန်ပျူတာ OS အလုပ်လုပ်ပုံ
- Memory အကြောင်း
- C programming အခြေခံ
- ကွန်ပျူတာ program အလုပ်လုပ်ပုံ
- Insecure Programming နှင့်ပတ်သက်လို့
- Assembly (X86) language အကြောင်း
- Anti Debugging Techniques
- CVE (Common Vulnerability and Exposure) ဆိုတာ
- Web Applications အလုပ်လုပ်ပုံ
- Web Based Attacks တွေအကြောင်း
- Binary Exploit လုပ်ပုံ
- Encoding Methods တွေ
- Web Application Exploit လုပ်ပုံ
- Source Code Auditing
- Binary Auditing
- Web application Auditing စတာတွေ သိသင့်ပါတယ်။
- Application Security နှင့်ပတ်သက်ပြီး အင်တာနက်မှာ တော်တော်များများ သင်ယူ နိုင်ပါတယ်။ wargame တို့ CTF တို့ စတဲ့ game တွေကစားရင်းနဲ့ application security ပိုင်းဆိုင်ရာအခြေခံတွေကို လေ့လာနိုင်ပါတယ်။ ဒီ link မှာ တော်တော်များများ စုထားတာမို့ မိမိကိုယ်တိုင် လေ့လာကြည့်ပါ။ Application Security ပိုင်းဆိုင်ရာ tutorial တွေ တင်နိုင်အောင်လည်းကြိုးစားပါမယ်။
ဟက်ကာတွေက ဘယ်လို Attack လုပ်လဲ
Application Security နှင့်ပတ်သက်ပြီး တွေ့ရတဲ့ attack နည်းလမ်းအချို့ ကိုအောက်မှာ list လုပ်ထားပါတယ်။
- DoS (Denial of Service) လို့ ခေါ်တဲ့ နည်းနဲ့ application အားနည်းချက်ကို အခြေခံပြီး ကွန်ပျူတာကို ဖျက်စီးတာ
- Application ရဲ့ authentication control အားနည်းချက်ကို အခြေခံပြီး ကွန်ပျူတာကို ချိုးဖောက်တာ
- Application ရဲ့ privilege control အားနည်းချက်ပေါ်အခြေခံပြီး ကွန်ပျူတာကို ထိန်းချုပ်တာ
- Application ရဲ့ input control အားနည်းချက်ပေါ်အခြေခံပြီး ကွန်ပျူတာ သုံးသူတွေရဲ့ အကောင့် တွေခိုးတာ
- Injection လို့ ခေါ်တဲ့ Database application ရဲ့အားနည်းချက်ကို ရှာပြီး Data တွေခိုးယူတာ၊ Data အမှားတွေထည့်တာ
- Defacing လို့ ခေါ်တဲ့ web page တွေမှာ မသင့်တော်တဲ့ ပုံတွေ စာတွေ ထည့်ပြီး သရုပ်ဖျက်တာ စသဖြင့် အမျိုးမျိုး ရှိပါတယ်။
- ဟက်ကာတွေ ရန်ကနေ ဘယ်လို ကာကွယ်နိုင်မလဲ
- Application ကို အသုံးမပြုခင်မှာ Auditing လုပ်ခြင်း
- Fuzzing လို့ ခေါ်တဲ့နည်းနဲ့ application ရဲ့ ခံနိုင်စွမ်းကို စမ်းသပ်ခြင်း
- Malware Analysis လုပ်ပြီး Virus ၀င်နိုင်မယ့် အားနည်းချက်ကို ကာကွယ်ခြင်း
- Patch လုပ်ခြင်းလို့ ခေါ်တဲ့ application နှင့် ဆိုင်တဲ့ software update ကိုပြုလုပ်ခြင်း စတာတွေပါ၀င်ပါတယ်။
အလုပ်အကိုင်အမျိုး အစားတွေကတော့
- Malware Analyst
- Web Security Specialist
- Application Audits/ Assessments
- Researcher
- Web Application Pentester စတာတွေပါ။
များများလေ့လာပါ။ မိမိကိုယ်တိုင်သင်ယူပါ။ ကျွမ်းကျင်သူများဖြစ်ကြပါစေ။