++++🔥 ความปลอดภัยกับการโค้ดดิ่ง 🔥+++
การเขียนหน้าเว็บ ที่มีแบบฟอร์มให้กดอัพโหลดไฟล์
...พอกด upload
...ไฟล์นั้นจะถูกนำไปวางบน server ปั๊บ
.
ถ้าเราเขียนโค้ดฝั่ง server ไม่ระมัดระวัง ตัวละก็ ...ฮึๆๆๆ
ก็จะมีรูรั่ว เมื่อhacker เห็น
ก็จะยิ้มหน้าบานเป็นจานดาวเทียม
เขาสามารถโจมตีช่องโหว่ได้ไม่ยากเย็นอะไรนัก
.
ซึ่งจะขอยกตัวอย่างภาษา PHP มาเป็นกรณีศึกษาแล้วกัน
:
😉 สำหรับวิธีโจมตีนี้
อาศัยความง่ายของ php ที่แค่วางไฟล์บน server ในทันใด
เราก็สามารถเรียกไฟล์นั้น ผ่าน url ให้ทำงานได้เลย ในทันที
...ดูง่ายมั๊ยละ!!!!!
.
*** หมายเหตุ แต่ถ้าเป็นภาษาโปรแกรมมิ่งบางภาษา
ที่เข้มงวดความปลอดภัย
การโจมตีแบบนี้จะยาก
เพราะโปรแกรมเมอร์ต้อง config ไฟล์สคริปต์ก่อน
สคริปต์นั้นถึงจะประมวลผลได้
:
:
แต่ในโพสต์นี้จะขอยกตัวอย่างโค้ด PHP ที่มีช่องโหว่นะครับ
ก็ตามรูปที่โพสต์ จะประกอบไปด้วย
:
1) หน้าฟอร์ม HTML (index.html) เอาไว้ให้อัพโหลดไฟล์ (ฝั่ง browser)
2) เมื่อ user กดอัพโหลดไฟล์ ...ไฟล์นั้นจะถูกส่งไปยัง server
3) ฝั่ง server จะใช้ภาษา PHP ง่ายๆ (upload.php) รับไฟล์ที่ส่งเข้ามา แล้วนำไปวางไว้ที่โฟล์เดอร์ใดที่หนึ่งในเครื่อง เช่น uploads
:
😱 ซึ่งการเขียนโค้ดที่ง่ายเกิ๊นไปเช่นนี้
จะเป็นช่องโหว่ให้ hacker
สามารถอัพโหลดไฟล์อันตรายขึ้นไปวางบน server ได้ชิวๆๆ
:
🤔 ดังนั้นเราต้องป้องกันการโจมตีด้วยวิธีนี้ อาทิ
- ต้องเข้มงวดเรื่องนามสกุลไฟล์ว่า ไฟล์ชนิดอะไรที่ห้าม upload (เช่น .php ห้ามทำเด็ดขาด)
- หรือจะใช้ API หรือไลบรารี่ ทำการเชคไฟล์ให้ดีๆ ว่ามีชนิดถูกต้อง
- เชค contet-type ใน header request
- จำกัดขนาดไฟล์ รวมทั้งตรวจสอบชื่อไฟล์ดีๆ
- ไดเรคทอรี่ที่จะอัพโหลดไฟล์ขึ้นไปวาง ควรไม่มีสิทธิในการรันสคริปต์ใดๆ
- ฝั่ง server ควรติดตั้งซอฟต์แวร์ scanner เอาไว้สแกนหาไฟล์แปลกปลอมของ hacker ที่หลอกเข้ามาฝั่งตัว
- ในหน้าฟอร์ม (HTML) เปลี่ยนวิธีส่ง request จากเดิม ที่ใช้ put หรือ get ให้หันมาใช้วิธี post แทน
- และวิธีการอื่นๆ ที่ไม่ได้กล่าวถึง

+++++++++++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
รักกันก็กระทืบ like ชังกันอย่าด่าเยอะมันเจ็บ
.
รายละเอียดเพิ่มเติม
https://www.defensecode.com/…/web_vul…/form-file-upload.html
.
++++ ++++ Safety with the code 🔥 +++
Writing pages with forms to upload files
... Poke upload
... That file will be put on a pump server
.
If we write server side code, I'm not careful. I'm not careful. Haha.
There will be a leak when hacker sees it
I'll smile on my face as a satellite dish
He can attack the loophole. It's not that difficult.
.
Which one would like to sample PHP language as a case study.
:
😉 for how to attack this
Live the simplicity of php that just puts a file on server instantly.
We can call that file through url to work instantly.
... How easy is it!!!!!
.
*** note but if it's some programming language
Safety strictly
This kind of attack will be hard.
Because the programmer has to config the script file first.
That script is processed.
:
:
But in this post, I will give you an example of a PHP code that has a loophole.
As photos posted will include.
:
1) HTML (index. html) to upload file (browser side)
2) When user presses upload file... that file will be sent to server.
3) server side will use PHP language simply (upload. php) Receive the file sent in and put it on a folder of any of the devices such as uploads.
:
😱 Which one of these simple code writing goes like this?
Gonna be a loophole for hacker
Can upload a dangerous file to place on server. Chilling.
:
🤔 So we need to prevent attack this way. This week.
- Must be strict on file extensions. What type of file that cannot upload (e.g.. php don't do it.)
- or use API or Library to check your file correctly.
- contet-type shake in header request
- limit file size and check good file name
- Directory to upload file over to lay should not have any script running rights.
- server side should install scanner software to scan for foreign file of hacker who has tricked into his side.
- In the form (HTML), change the way to send request from the original put or get, turn to the post method instead.
- And other ways not mentioned

+++++++++++++++
Written by Thai programmer thai coder
If you love each other, stomp like each other. Don't scold too much. It hurts.
.
More details.
https://www.defensecode.com/public/web_vulns/form-file-upload.html
.Translated

💛主題：越南連鎖診所老闆的創業經
💚講師：張忠霖 Johnny | 越南大醫連鎖診所 創辦人
💙場次：10/23 (五) 14:00~15:30 (線上線下同步進行)
林口新創園區A6 ( 1樓戰情室) / 新北市林口區仁愛路二段502號1樓 戰情室
簡介：
🌟🌟想了解一億人口的醫療產業市場？
想了解不是醫師要如何在越南開診所？💪💪
錯過中國醫療產業爆發，你不會想再錯過的APEC醫療市場崛起!

快來聽聽大醫連鎖診所創辦人-Johnny張忠霖的越南創業經!🔥🔥

📣📣立即報名：https://www.careernet.org.tw/Class-13249.html
※報名完成後將於活動前一日發送線上觀看連結，請務必事先報名。
※建議至現場參加活動，與講師近距離互動，也能獲得更多實戰秘辛喔！
聯絡：創新創業總會 彭小姐(02) 2332-8558分機394 | 詹小姐分機393
主辦單位：經濟部中小企業處 林口新創園
執行單位：創新創業總會
----
💛Topic: Experience of starting business of medical industry in Vietnam
💚Speaker: Johnny | Founder of DAYI clinic
💙Date: 10/23 (Fri)
Time: 14: 00 ~ 15: 30 (online & offline)
Venue: 1th Floor, A6, Taiwan Startup Terrace /1th Floor, No. 502, Section 2, Ren'ai Road, Linkou District, New Taipei City
🌟🌟From the real estate industry to the medical equipment industry, Johnny discovered that Vietnam’s medical resources and population ratio are seriously out of balance. Therefore, he decided to expand the blue ocean and set up his own clinic! 💪💪Come and let Johnny, founder of Vietnam DAYI clinic, share about his experience of starting business in Vietnam!🔥🔥
📣📣Registration: https://www.careernet.org.tw/Class-13249.html
**To learn more practical and secret information from speaker, we strongly recommend you to participate the session in person.
Contact: Ms. Peng 02-2332-8558 #394 | Ms. Jan #393
Organizer: MOEA - SMEA | Taiwan Startup Terrace
Implementer: NiEA

Mudah sgt2 basuh botol susu anak guna Guzel Baby.. Hilang habis lemak & kerak susu 🤗 Siap tak payah rebus2 lagi.. Sbb dh ada fungsi Sterilizer dlm Guzel Baby ni 😍

Klik link ni, daftar skrng & dptkan Guzel dgn harga best & berbaloi :
https://guzelbaby.com/VIPRegister6.html

Kpd yg beli Guzel Baby seawal 7 malam ni siap dpt 7 free gifts.. Plus 2 org bagi setiap jam akan dpt hadiah dari 9bulan10hari.. 😍

Lps pkl 11 malam ni harga pencuci botol susu organik ni dah naik tau 😭... Jadi order pukul 7 malam ni sehingga 11 malam ni utk dpt byk hadiah... 🤗

Sekali lagi.. Klik link ni utk daftar & dptkan Guzel baby 😘

https://guzelbaby.com/VIPRegister6.html
It's so easy to wash your child's milk bottle using Guzel Baby.. The fat and milk crust is gone 🤗 No need to boil anymore.. Because there's a function of Sterilizer in this Baby's Guzel

Click this link, register now & get Guzel with the best price and worth it:
https://guzelbaby.com/VIPRegister6.html

To those who bought Guzel Baby as early as 7 tonight, you'll get 7 free gifts.. Plus 2 people who give each hour will get a gift from 9 months 9 days.. 😍

After 11 pm tonight the price of this organic milk bottle wash has increased 😭... So order at 7 pm tonight until 11 pm to get lots of gifts... 🤗

Once again.. Click this link to register & get Guzel baby 😘

https://guzelbaby.com/VIPRegister6.htmlTranslated

蒸し暑い・・・さっぱりしたい時に！
オススメのひんやりコスメのご紹介です♡


RMK
CLEANSING BALM
REFRESH
4400yen(inc.tax)
https://onlineshop.rmkrmk.com/ja/Root-Category/SKIN-CARE/CLEANSING/RMK-クレンジングバーム-リフレッシュ/p/940330

L'OCCITANE
ファイブハーブス
ピュアフレッシュネス
シャイニングビネガー
3850yen(inc.tax)
https://jp.loccitane.com/ファイブハーブス-ピュアフレッシュネスシャイニングビネガー,123,2,66351,1365332.htm

L'OCCITANE
アクアレオティエ
ハイドレーションミスト
2200yen(inc.tax)
https://jp.loccitane.com/アクアレオティエ-ハイドレーションミスト,123,2,93154,1228006.htm

Ex:beaute
クールフィットカバーパウダー
UV50+ SPF50+・PA++++
3520yen(inc.tax)
https://madrex.com/lp/2020/coolfitpowdercp/?sci_campaign=422&argument=tt2YzQ72&dmai=67022&gclid=Cj0KCQjw6ar4BRDnARIsAITGzlAwxLR32IpAznHlD_lKkWg-WDKouUrr9iNRqKI66hKk8AwEHL4cf0gaAgZoEALw_wcB

JILLSTUART
Minty Body Jelly
White Floral*限定品
3080yen(inc.tax)
https://www.jillstuart-floranotisjillstuart.com/site/jillstuart/g/gSJEK/

SHIRO
アイスミント ボディローション
2530yen(inc.tax)
https://shiro-shiro.jp/category/18/12393.html


to/one
ペタル エッセンス カラー バター
06 2750yen(inc.tax)
https://toonecosmetics.com/Form/Product/ProductDetail.aspx?pid=4589784686717

to/one
ペタル エッセンス グロス
11 2750yen(inc.tax)
https://toonecosmetics.com/Form/Product/ProductDetail.aspx?shop=0&pid=4589784674240&vid=&bid=TO01&cat=TBDTOO502102&swrd=



▼お手紙やお問い合わせはこちらまで
■3月23日（月）から変更になりました！

〒107-6228
東京都港区赤坂9-7-1　ミッドタウン・タワー 28階
UUUM株式会社　佐藤優里亜宛

楽曲提供：Production Music by http://www.epidemicsound.com

styling

tops/ZARA

earrings/AKTE

lip/to/one ペタル エッセンス カラー バター06
ペタル エッセンス グロス 11



佐藤優里亜
instagram @yuriang_
https://www.instagram.com/yuriang_/?h...

#ひんやりコスメ #購入品

Jスターズ ビクトリーバーサスの掛け合い（対戦前の会話）が変わる組み合わせ。全52キャラクターです。

☆チャンネル登録お願いします☆

『ジェイスターズ ビクトリーバーサス』（J-STARS Victory VS）は、バンダイナムコゲームスより2014年3月19日に発売されたPlayStation 3、PlayStation Vita用ソフト。
『週刊少年ジャンプ』45周年・『Vジャンプ』20周年記念作品。歴代のジャンプヒーローが闘うアクションゲーム。週刊少年ジャンプで連載された32作品からプレイヤーキャラクター39名、サポートキャラクター13名、計52名のキャラクターが登場する。プレイヤーキャラクター2人とサポートキャラクター1人の計3人でチームを組み、相手チームと対戦。対戦前にはキャラクター同士の掛け合いがある。
登場作品は全てアニメ化（テレビアニメ、OVA、FLASHアニメなど）された作品であり、一部の作品はタイトルがアニメ版のものになっている。キャラクターの担当声優も原則的にアニメ版と同じキャストであるが、諸事情（当時のキャストが既に故人であるなど）により変更されているキャラクターも一部存在する。 通常版のほかに期間限定生産のアニソンサウンドエディションが同時発売。登場作品のテレビアニメ主題歌21曲を収録しており、それをBGMにゲームをプレイすることが可能。

ジェイスターズ ビクトリーバーサス
公式サイト：http://www.bandaigames.channel.or.jp/list/jump45/pc/index2.html
発売元：㈱バンダイナムコゲームス
発売日：2014年3月19日（水）
ジャンル：チームバトルアクション
対応機種：PS3/PS Vita

メーカー希望小売価格
通常版
PS3：7,980円（税込）
PS Vita：6,980円（税込）
アニソンサウンドエディション
PS3：10,980円（税込）
PS Vita：9,980円（税込）


週刊少年ジャンプ創刊50周年公式チャンネル
https://www.youtube.com/channel/UC47AYUs8AVU1QsT5LhpXjaw

ジャンプブックストア（電子版ジャンプコミックス）
http://jumpbookstore.com/

電子版週刊少年ジャンプ（紙より安い定期購読が超オススメ！）
http://jumpbookstore.com/ext/wj.html


ジェイスターズ ビクトリーバーサス 登場作品（五十音順）

暗殺教室
http://jumpbookstore.com/item/SHSA_SETC000018900101_57.html

家庭教師ヒットマンREBORN！
http://jumpbookstore.com/item/SHSA_SETC000001400101_57.html

銀魂
http://jumpbookstore.com/item/SHSA_SETA000001400101_57.html

黒子のバスケ
http://jumpbookstore.com/item/SHSA_SETA000001500101_57.html

こちら葛飾区亀有公園前派出所
http://jumpbookstore.com/item/SHSA_SETC000027600101_57.html

斉木楠雄のΨ難
http://jumpbookstore.com/item/SHSA_SETC000024500101_57.html

魁!!男塾
http://jumpbookstore.com/item/SHSA_SETC000038300101_57.html

地獄先生ぬ～べ～
http://jumpbookstore.com/item/SHSA_SETC000016300101_57.html

ジョジョの奇妙な冒険
http://jumpbookstore.com/item/SHSA_SETA000002000101_57.html

SKET DANCE
http://jumpbookstore.com/item/SHSA_SETC000032400101_57.html

聖闘士星矢
http://jumpbookstore.com/item/SHSA_SETC000003100101_57.html

珍遊記 -太郎とゆかいな仲間たち-
http://jumpbookstore.com/item/SHSA_ST01C87766000101_57.html

D.Gray-man（ディー・グレイマン）
http://jumpbookstore.com/item/SHSA_SETC000030200101_57.html

とっても！ラッキーマン
http://jumpbookstore.com/item/SHSA_ST01C61888500101_57.html

To LOVEる -とらぶる-
http://jumpbookstore.com/item/SHSA_SETA000006000101_57.html

トリコ
http://jumpbookstore.com/item/SHSA_SETC000004300101_57.html

Dr.スランプ アラレちゃん
http://jumpbookstore.com/item/SHSA_SETC000030700101_57.html

ドラゴンボール
http://jumpbookstore.com/item/SHSA_SETA000004500101_57.html

NARUTO -ナルト-
http://jumpbookstore.com/item/SHSA_SETA000000900101_57.html

ニセコイ
http://jumpbookstore.com/item/SHSA_SETC000012900101_57.html

ハイキュー！！
http://jumpbookstore.com/item/SHSA_SETC000019000101_57.html

HUNTER×HUNTER
http://jumpbookstore.com/item/SHSA_SETA000003500101_57.html

ピューと吹く！ジャガー
http://jumpbookstore.com/item/SHSA_SETC000031500101_57.html

BLEACH
http://jumpbookstore.com/item/SHSA_SETA000001600101_57.html

べるぜバブ
http://jumpbookstore.com/item/SHSA_SETC000020900101_57.html

北斗の拳
http://jumpbookstore.com/item/SHSA_ST01C42131900101_57.html

ボボボーボ・ボーボボ
http://jumpbookstore.com/item/SHSA_ST01C87313800101_57.html

魔人探偵脳噛ネウロ
http://jumpbookstore.com/item/SHSA_SETA000006400101_57.html

めだかボックス
http://jumpbookstore.com/item/SHSA_SETC000032900101_57.html

幽★遊★白書
http://jumpbookstore.com/item/SHSA_SETA000007800101_57.html

るろうに剣心 -明治剣客浪漫譚-
http://jumpbookstore.com/item/SHSA_SETA000005700101_57.html

ワンピース
http://jumpbookstore.com/item/SHSA_SETA000000100101_57.html

#Jスターズ

©秋本治・アトリエびーだま／集英社・ＡＤＫ
©麻生周一／集英社
©天野明／集英社・テレビ東京・リボーン製作委員会
©荒木飛呂彦/集英社・ジョジョの奇妙な冒険製作委員会
©うすた京介／集英社
©尾田栄一郎／集英社・フジテレビ・東映アニメーション
©ガモウひろし／集英社・ぴえろ
©岸本斉史 スコット／集英社・テレビ東京・ぴえろ
©久保帯人／集英社・テレビ東京・dentsu・ぴえろ
©車田正美/集英社・東映アニメーション
原作／冨樫義博「幽☆遊☆白書」（集英社「ジャンプコミックス」刊）
©Yoshihiro Togashi 1990年－1994年　©ぴえろ／集英社
©古味直志／集英社
©澤井啓夫／集英社・東映アニメーション
©篠原健太／集英社・開盟学園生活支援部・テレビ東京
©島袋光年／集英社・フジテレビ・東映アニメーション
©空知英秋／集英社・テレビ東京・電通・サンライズ・アニプレックス
©田村隆平／集英社・べるぜバブ製作委員会 2011
©鳥山明／集英社・東映アニメーション
©バードスタジオ／集英社・フジテレビ・東映アニメーション
©藤巻忠俊／集英社・黒子のバスケ製作委員会
©古舘春一／集英社・「ハイキュー!!」製作委員会・MBS
©武論尊・原哲夫/NSP 1983 版権許諾証GA-304
©星野桂／集英社・テレビ東京・電通・TMS
©POT（冨樫義博）1998年-2011年
©VAP・日本テレビ・マッドハウス
©真倉翔・岡野剛／集英社・東映アニメーション
©松井優征／集英社
©漫☆画太郎／集英社
©宮下あきら/集英社・東映アニメーション
©矢吹健太朗・長谷見沙貴／集英社・とらぶる製作委員会
©和月伸宏／集英社・フジテレビ・アニプレックス
©2012 西尾維新・暁月あきら／集英社・箱庭学園生徒会
©2014 NBGI

©BANDAI NAMCO Entertainment Inc.

♥FOLLOW ME HERE♥
https://www.facebook.com/ochikeron
https://plus.google.com/+ochikeron
http://twitter.com/ochikeron
http://instagram.com/ochikeron/

Congrats to the WINNERS!!!
Lee Trifone
L'angolo di Mashi

This rice roll shaker can help you make a perfect roll in a minute! Perfect for those who are not good at making Sushi rolls!!!

True review, first time using it ;)

This rice roll shaker is a very popular item sold at DAISO (100yen shop in Japan). It can get sold out quite soon, so if you happened to find it, just get it!

What You Need:
cooked white rice
filling
1/2 or 1/4 Nori seaweed sheet

How to Use:
1. Fill the rice up to half the height of the guideline.
2. Place the filling in the middle.
3. Fill the rice up to the height of the guideline and close the lid.
4. Shake up and down for 20-30 times.
5. Insert a Nori sheet.
6. Shake up and down to wrap the rice with Nori sheet.
7. Cut to serve if you like.

↓レシピ（日本語）
http://cooklabo.blogspot.jp/2015/09/100.html

-----------------------
TO ENTER THIS GIVEAWAY:
応募方法:

This giveaway is open WORLDWIDE!!!
この視聴者プレゼントは世界中どこからでも応募可能です。

Please follow my Twitter and tag #ochikeronCreateEatHappyRiceRollShaker
Twitterをフォローしてタグをしてください。
https://twitter.com/ochikeron

The giveaway will end on Tuesday, September 15th, 2015 at 11:59 PM Japan Time.
締め切りは2015年9月15日です。

I will randomly select the winner and send you a message as soon as possible. Please reply to me within a day or the next winner will be chosen.
The winner will be announced here in this description box, too!
当選者にはメッセージを送ります。1日以内の返事がない場合は次の当選者を選びます。
-----------------------

Music by
YouTube Audio Library
Audionautix
Skinny Leonard

FYI (products I used in my videos):
http://www.amazon.co.jp/lm/R3VVDX7JZ5GYJE/?_encoding=UTF8&camp=247&creative=7399&linkCode=ur2&tag=shopping072-22

♥Original T-SHIRTS♥
http://www.youtube.com/watch?v=FFsQE0qd_4w

♥Visit my Blog to know more about ME♥
http://createeathappy.blogspot.com/

♥My Recipe Posts in Japanese♥
http://cooklabo.blogspot.jp/
http://cookpad.com/ami
http://twitter.com/alohaforever

♥and of course SUBSCRIBE♥
http://www.youtube.com/ochikeron