เห็นมีคนพูดถึงเรื่องการ hack web browser ด้วย xss, csrf, code injection, etc เยอะแล้ววันนี้ขอพูดถึงการใช้ webserver ในการ hack internal server ที่เราไม่มีสิทธิ์เข้าถึงตรงๆ เช่นเป็น private ip และกั้นด้วย firewall

ลองคิดดูว่าเราสามารถใช้ webserver ที่อยู่ข้างนอก (มี public ip) ในการโจมตี server ข้างในได้ (private ip) โดยอาศัย CSRF และ HTTP GET method ทำให้เราสามารถเข้าถึงใน area ที่ไม่ควรจะเข้าได้ (เพราะมี firewall กัั่นและทำ NAT)

เนื่องจากเวลาจำกัด ขออธิบายด้วยรูปละกันนะครับ:



**Hidden Content: To see this hidden content your post count must be 20 or greater.**