WebSite ‌တွေရဲ့ security ဆိုတာ.....

Website ‌တွေမှာ security ဆိုတာ မရှိ မ ဖြစ် အရေးအကြီးဆုံး အစိတ်အပိုင်းတစ်ခုပါပဲ....အားနည်းတဲ့ Website Infrastructure တစ်ခုဟာ လည်ပတ် ‌နေတဲ့ business တစ်ခုလုံးကို ရပ်ဆိုင်းသွား‌စေရုံသာမက customer trust  ကျဆင်းတာတို့ ... stock share တို့..... bank တို့ဆိုရင် website hack ခံရတယ်ဆိုရင် ‌အဲဒီ လုပ်ငန်း‌တွေသွားပြီပေါ့...ဒီတော့ ကိုယ့် website ကို လုံခြုံအောင်ထားဖို့ကလည်းအရေးကြီးပါတယ်

ဒီ tutorial ကိုကျွန်တော် တို့ဟာ ကျွန်တော်တို့ရဲ့ ကိုယ်ပိုင် Infrastructure (on premise + cloud) မှာ simulation tutorial လုပ်တာပါ.... security audit measure နဲ့ educational purpose အတွက်ပဲ လုပ်ပါတယ်....

သင်တို့ကိုဗဟုသုတ share နိုင်အောင်ကျွန်‌‌တော်တို့ဟာ မိမိတို့ infrastructure မှာပဲ (မည်သူတစ်ဦီးတ‌ယောက်ကိုမှ မထိခိုက်စေပဲ) ကိုယ့်ဘာသာကိုယ် simulation လုပ်ပြီး အတွေ့အကြုံများကို share တာပါ

တကယ်လို့သင်ဟာ သူတပါးရဲ့ digital assets ( web infrastructure & cloud infrastructure) များကို customer အပ်နှံခြင်းမရှိပဲ ( customer ကိုယ်တိုင်က security စစ်ပေးပါလို့ customer နဲ့ ‌agreement မရှိ ပဲ) လုပ်မယ်ဆိုရင်တော့ သင့်လုပ်ရပ်အတွက် တရားဥပဒေကပေးတဲ့ထိုက်သင့်တဲ့ အပြစ်ဒဏ် ကိုခံစားရမှာဖြစ်‌ ‌ကြောင်း ရှင်းရှင်းလင်းလင်း ကြိုတင်သတိပေးပါရစေ....သင့် လုပ်ရပ် ‌‌‌‌‌ကြောင့် ဖြစ်လာတဲ့အကျိုးရလဒ် ကိုသင်ကိုယ်တိုင်တာ၀န်ယူရမှာဖြစ် ‌ကြောင်း အသိပေးလိုပါတယ်


ကဲ...lab ကိုစလိုက်ပါမယ်....ကျွန်တော်တို့ဟာ security စစ်မယ့် website ကို စပြီး scanning လုပ်‌နေပါပြီ

Apache Server ‌မှာတင်ထားတဲ့ wordpress CMS သုံး website  ဆိုတာရယ်....  wordpress version 5.3.2 ဆိုတာရယ်....wordpress theme ကို twentytenty သုံးထားတာရယ်....default admin URL ကို robot.txt ဆိုတဲ့ index file က တစ်ဆင့်သိ လိုက်ရပါပြီ

website ကို manage လုပ်တဲ့ user account ‌တွေရော .... website မှာ သုံးထားတဲ့  CSS style ကိုသိမ်း ထားတဲ့ path ‌နေရာကိုရောသိရပါပြီ

ကဲ... scanning ပြီးတဲ့အခါကျတော့ site ရဲ ့security ကိုဆက်စစ်ဆေးပါမယ်

ကဲ .... ကျွန်တော်တို့ username & password ကိုရပါပြီ...ဒီအဆင့်ကို simulation မို့လိုသာခဏ ေလးပါ...တကယ်တမ်းကတော့ အချိန်တစ်ခု တော် ‌တော်ကြာမှ ဒါကို pass တာပါ...(တခါတလေ...ဒီအဆင့်မှာတင်ပဲရက်သတ္တပတ်‌ပေါင်း ...လပေါင်းများစွာကြာတတ်ပါတယ်)...ကဲ...ရပြီဆိုရင် ပထမအဆင့် က robot.txt က ပြထားတဲ့ ‌admin URL ကို ‌access လုပ်ပါမယ်

ခုနကရထားတဲ့ username & password ကိုထည့် ပြီး ၀င်လိုက်ပါတယ်...

ကဲ...site ရဲ  ့ ‌admin panel ထဲ ၀င်သွားပါပြီ...ဆိုတော့.....  Congratulation !!!    :D

*** အဲဒီ trctech.tk website ကိုသွားရှာမလို့လားမိတ်ဆွေ....ရှာမနေပါနဲ့တော့...မရှိတော့ဘူး....simulation အတွက်ခဏဆောက်ပြီး lab သုံးပြီးတာနဲ့ ဖျက်လိုက်ပါပြီလေ.....

အဲဒီ server ကိုသွားရှာ‌နေမှာစိုးလို့... တစ်ခါတည်းဖျက်ထား‌တော့ server ရှာမတွေ့ ( 404 not found) ကြီးတက်လာတာ‌‌ပေါ့


ကဲ... security audit အရ  ဒီ site ဟာ security အားနည်းချက်တွေ‌တော်‌တော်များများရှိတဲ့အတွက်...ခဏလေးနဲ့ website ရဲ ့ backend control panel တစ်ခုလုံးဟာ security audit ရဲ့ လက်ထဲရောက်သွားပါတယ်...ဒီတော့ website တစ်ခုလုပ်မယ်ဆိုရင် တတ်ကျွမ်းနားလည်တဲ့သူများနဲ့တိုင်ပင်ပြီး security ‌‌ေကောင်း‌ေကောင်းထားသင့်ပါတယ်ဆိုတာ ဗဟုသုတရစေဖို့ရေးသားလိုက်ရပါတယ်...

လေးစားစွာဖြင့်

Phyo Sithu