รายละเอียดประเด็นข้อตรวจพบ
ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดใช้งานโปรโตคอลไม่ปลอดภัย ซึ่งหมายถึงการไม่มีการเข้ารหัส (HTTP Protocol) และยังอนุญาตให้ผู้ใช้งานทำการล็อกอิน (Login) เข้าสู่ระบบผ่านโปรโตคอลดังกล่าว
Warunyou Sunpachit และ Boonperm Mark
Cybersecurity consultant
ผู้ใช้งานเว็บไซต์อาจเข้าระบบผ่านเครือข่ายที่ไม่ปลอดภัย เช่น การใช้เครือข่ายไร้สาย (WiFi) ตามที่สาธาราณะทั่วไป เป็นต้น อาจเป็นช่องโหว่ให้เกิดการโจมตีที่เรียกว่า “Man-in-the middle attacks” ซึ่งผู้ประสงค์ร้ายนำตัวเองแทรกระหว่างกลางระหว่างเครื่องให้บริการและผู้ใช้งาน เป็นผลให้บัญชีผู้ใช้ รหัสผ่าน หรือค่าแซสชัน อาจถูกดักจับและขโมยไประหว่างทาง จนผู้ประสงค์ร้ายสามารถสวมรอยเป็นผู้ใช้ดังกล่าวเพื่อใช้งานได้
ข้อแนะนำ
แนะนำให้หน้าเว็บไซต์ที่มีการล็อกอิน (Login) ทุกรูปแบบ ต้องใช้โปรโตคอลในการเข้ารหัสเท่านั้น (HTTPs) ในกรณีเพื่ออำนวยความสะดวกให้ผู้ใช้งานต้องการเข้าเว็บไซต์ผ่านโปรโตคอล “HTTP” (80 /tcp) เช่นพิมพ์เฉพาะชื่อโดเมน (Domain) หรือค้นหาจาก “Search engine” ระบบต้องทำการย้ายหน้าเว็บเพจ (HTTP) ไปยังหน้าเว็บที่มีการเข้ารหัสเท่านั้น (HTTPs)
อ้างอิงเพิ่มเติม