![]() |
![]() |
![]() |
เรียน เจ้าหน้าที่ดูแลเว็บไซต์หน่วยงาน เรื่อง การใช้งานเว็บบอร์ด Guest book และ Blog บนเว็บไซต์ของหน่วยงาน
จากการใช้งานพื้นที่โฮมเพจหน่วยงานและใช้งานผ่านเว็บบอร์ด Guest book และ Blog บนเว็บไซต์ของเครื่องเซิร์ฟเวอร์ให้บริการ พื้นที่โฮมเพจหน่วยงานของมหาวิทยาลัยเกษตรศาสตร์ พบว่าในปัจจุบันได้รับผลกระทบต่อการโจมตีผ่านทางเว็บบอร์ด Guest book และ Blog โดยจากการตรวจสอบพบว่า 1. ข้อมูลบนเว็บบอร์ด Guest book และ Blog เป็นข้อมูลเกี่ยวกับการโฆษณาขายของ สมัครหางานหรือลิงค์ของข้อมูลอื่นๆ ที่ไม่เกี่ยวข้องกับหัวข้อของ เว็บบอร์ด Guest book และ Blog ของหน่วยงานเลย 2. ข้อมูลจากการ post บนเว็บบอร์ด Guest book และ Blog ในข้อ 1 มีจำนวนมากและมีการจัดเก็บลงฐานข้อมูลเป็นจำนวนหลายแสนเรคคอร์ด ซึ่งเมื่อพิจารณาแล้วมันเกินความเป็นจริงที่จะมีผู้ใช้เข้ามา post ใช้งานเป็นจำนวนมาก ปัญหาดังกล่าวส่งผลทำให้เครื่องเซิร์ฟเวอร์มีโหลดการทำงานมาก จนในบางครั้งไม่สามารถรองรับการเรียกใช้งานได้ ทางสำนักบริการคอมพิวเตอร์ จึงขอความร่วมมือจากผู้ดูแลเว็บไซต์ของหน่วยงานที่มีการใช้งานเว็บบอร์ด Guest book และ Blog ให้ทำการตรวจสอบและแก้ไขเว็บไซต์ของหน่วยงานของท่าน ดังนี้ 1. การแสดง e-mail address บนเว็บ ให้เลี่ยงการแสดงผลแบบตรงๆ ให้เปลี่ยนเป็นวิธี ดังต่อไปนี้
2. การใช้งานเว็บบอร์ด Guest book และ Blog หน้าจอที่จะโพสต์ข้อมูล(post) ให้เพิ่มฟิลด์การกรอกรหัสข้อมูลเพื่อเป็นการป้องกันการโจมตีผ่านทางเว็บบอร์ด Guest book
และ Blog โดยบริการนี้จะเรียกว่า CAPTCHA (Completely automated pubic Turing test to tell computers and humans apart) บริการนี้จะป้องกันการ
ยิงสแปมป์จาก bot ที่ติดตั้งมาเพื่อใช้ในการยิงสแปมป์เหล่านั้นเข้ามาที่เว็บบอร์ด Guest book และ Blog โดยอัตโนมัติ เมื่อเราติดตั้งบริการนี้แล้วผู้ใช้งาน
ยังสามารถ post ข้อมูลได้ตามปกติ เพียงแต่ต้องกรอกรหัสข้อมูลให้ตรงตามที่โปรแกรม CAPTCHA generate ออกมา แนวทางนี้ทำให้ เว็บบอร์ด Guest book และ Blog
ปลอดภัยจากการโจมตีจาก bot อีกทางหนึ่ง ![]() การติดตั้งใช้งานสามารถแยกตามประเภทของเว็บหน่วยงาน ดังนี้ 2.1 เว็บไซต์หน่วยงานที่เขียนขึ้นมา ให้ดำเนินการแก้ไขดังนี้ 2.1.1 ดาวน์โหลดโปรแกรม CAPTCHA ตัวอย่างนี้จะใช้โปรแกรม phpCaptcha ในการติดตั้งใช้งานจากเว็บไซต์ http://www.ejeliot.com/samples/php-captcha/download.php 2.1.2 แตกไฟล์ดังกล่าว 2.1.3 สร้างไฟล์ aPhpCaptcha.php ดังนี้
2.1.4 แก้ไขไฟล์ที่มีแบบฟอร์มการ post ข้อมูล โดยเพิ่มข้อมูลดังนี้
2.1.5 แก้ไขไฟล์ที่รับข้อมูลจากการ post ข้อมูลของผู้ใช้ว่าได้มีการกรอกรหัสของข้อมูลตรงกับที่โปรแกรม phpCaptcha generate ออกมา ดังนี้
2.1.6 ข้อมูลรายละเอียดเพิ่มเติม สามารถเปิดดูได้ที่
2.2 เว็บไซต์ที่ใช้โปรแกรมสำเร็จรูปในการจัดทำเนื้อหาเว็บไซต์ ส่วนใหญ่จะมี plug-ins ของโปรแกรม CAPTCHA อยู่แล้ว ให้เปิดใช้งานส่วนนี้เพิ่มเติม 3. การใช้งานโปรแกรม mysql client เช่น โปรแกรม phpMyAdmin กรุณาอย่ากำหนดให้มีการเข้าใช้ระบบฐานข้อมูล โดยอัตโนมัติเมื่อเปิดใช้งานผ่านที่อยู่เว็บไซต์(URL)นั้นๆ ให้กำหนดการเข้าใช้งานผ่านหน้าจอล๊อกอินทุกครั้ง 4. การป้องกันไม่ให้ spider หรือ bot ของ search engine ใดๆ เข้ามาสแกนหาไฟล์และไดเร็กทอรี่เพื่อนำไปจัดทำดัชนีเว็บ ให้สร้างไฟล์ robots.txt เก็บไว้ในตำแหน่งเดียวกับตำแหน่งของการเก็บข้อมูลเว็บไซต์ โดยตัวอย่างรูปแบบของไฟล์มีดังนี้
จากตัวอย่าง บรรทัดแรกเป็นการคอนฟิกให้เป็นการกัน spider หรือ bot ทุกตัวไม่ให้เข้ามาสแกนไดเร็กทอรี่ private และ admin
และไฟล์ชื่อ MyPrivFile.php
หากทางสำนักบริการคอมพิวเตอร์พบว่าเว็บบอร์ด Guest book และ Blog ของหน่วยงาน โดนโจมตี และส่งผลกระทบต่อโหลดการทำงานของเครื่องเซิร์ฟเวอร์ ทางสำนักบริการคอมพิวเตอร์ขอสงวนสิทธิในการยกเลิกการใช้งานชั่วคราว จนกว่าท่านจะได้ตรวจสอบและแก้ไขแล้วจึงจะเปิดให้ใช้งานดังเดิม ในกรณีที่ท่านพบปัญหาการใช้งาน กรุณาติดต่อสอบถามรายละเอียดได้ที่ คุณสุทธินี มหามิตร หมายเลขโทรศัพท์ 0-2562-0951-6 ต่อ 2520 อีเมล์ suttinee [dot] m [at] ku [dot] ac [dot] th และ คุณชนะชัย พาขุนทด หมายเลขโทรศัพท์ 0-2562-0951-6 ต่อ 2907 กด 9 อีเมล์ chanachai [dot] p [at] ku [dot] ac [dot] th
จึงเรียนมาเพื่อโปรดพิจารณาดำเนินการต่อไป
ขอแสดงความนับถือ สำนักบริการคอมพิวเตอร์ |