แก้ปัญหาเรื่อง Hack เบื้องต้นจากเว็บที่มีข้อมูลเยอะมาก
Posted by
แนะนำวิธีแก้ปัญหาเรื่อง Hack เบื้องต้นจากเว็บที่มีข้อมูลเยอะมาก วิธีนี้อาจจะไม่ใช่วิธีการแก้ไขที่ต้นเหตุ และไม่ใช่วิธีที่ดีที่สุด แต่ก็เป็นอีกหนึ่งทางแก้ได้เหมือนกัน
ขอเกริ่นก่อนแล้วกันครับ พอดีผมได้เข้าไปแก้ไขข้อมูลลูกค้า บางรายมีการแฮ๊กเข้ามาจากระบบ ไม่ว่าจะมาจากทางใดก็แล้วแต่ สำหรับโพสนี้ขอไม่กล่าวถึงแหล่งที่มา แต่จะขอข้ามไปถึงวิธีการหยุดการเจริญเติบโตของตัวป่วน
พอดีผมได้ไปเจอคนใช้ในลักษณะนี้ และเห็นว่ามีประโยชน์ก็เลยไปหาข้อมูลที่เป็นหลักการมาให้ไว้ศึกษานะครับ โดยวิธีก็ง่ายๆครับ หลังจากที่เราเขียนระบบเว็บไซต์เสร็จ เราอาจจะเขียนดักป้องกันการแทรกของ script ใน Folder ต่างๆของเราทำได้โดยสร้างไฟล์ .htaccess ไว้ใน Folder ที่เราต้องการจะป้องกันครับ หรือจะเรียกได้ง่ายก็เลือก Folder ที่จะมีการ access เข้าได้ง่ายครับ
Control access at files & directory level
จำกัดหรือปฏิเสธการเข้าใช้ไฟล์หรือโฟลเดอร์ที่เป็นส่วนบุคคล เช่น โฟลเดอร์ includes ที่เก็บไฟล์สคริปต่างๆ
ในกรณีนี้ให้คุณสร้างไฟล์ .htaccess ในโฟลเดอร์ includes แล้วใส่คำสั่งดังนี้
# no one gets in here!
deny from all
จะปฏิเสธทุก direct access และทุกไฟล์ที่อยู่ในโฟลเดอร์นั้น
คุณสามารถระบุเงื่อนไขได้เช่นกัน โดยตัวอย่างนี้เป็นการจำกัดการเข้าถึงจากช่วงของ IP
# no nasty crackers in here!
order deny,allow
deny from all
allow from 192.168.0.0/24
# this would do the same thing..
#allow from 192.168.0
หรือบางครั้งคุณอาจจะแค่ต้องการ ban เพียงแค่ IP เดียว
# someone else giving the ruskies a bad name..
order allow,deny
deny from 83.222.23.219
allow from all
อย่างไรก็ลองใช้งานกันดูนะครับ ขอบคุณบทความดีๆจาก www.twa.co.th และ www.piranon.com ครับ
