SSRF ကနေတစ်ဆင့် AWS Server ကြီးတစ်ခုလုံး အသိမ်းခံရတဲ့အခါ (Cloud Security)
Cloud ပေါ်တင်ထားတဲ့ Web Application တစ်ခုမှာ SSRF (Server-Side Request Forgery) အားနည်းချက်ရှိနေရင်၊ EC2 Metadata Endpoint (169.254.169.254) ကနေ Admin Credentials တွေ ဘယ်လိုပါသွားတတ်လဲဆိုတာကို ရှင်းပြထားပါတယ်။
Internal Network ကြီးကို သိမ်းကျုံးခြင်း: Pass-the-Hash နှင့် Active Directory (Red Teaming)
ရုံးတွေ၊ ဘဏ်တွေ အများဆုံးသုံးတဲ့ Windows Active Directory Environment ကြီးမှာ၊ NTLM Hashes တွေကို ဖြတ်ခိုးပြီး တကယ့် Password မသိဘဲနဲ့တောင် Admin Server ထဲ ဝင်သွားနိုင်တဲ့ တိုက်ခိုက်မှုအကြောင်း Analysis ပါ။
DevSecOps: Pipeline တွေထဲမှာ လုံခြုံရေးကို အလုံပိတ်ထားခြင်း
Developer တွေ Github ပေါ် Code တင်လိုက်တာနဲ့ Secrets တွေ (API Keys, Passwords) မတော်တဆ ပါသွားတာတွေ၊ Docker image မှာ Vulnerabilities တွေ ပါလာတာတွေကို CI/CD Pipeline ထဲမှာ Auto ဘယ်လို ဖမ်းမလဲဆိုတာ ပြထားပါတယ်။
File Upload ကနေ shell တက်သွားတဲ့ သဘောတရား (PHP)
Developer တော်တော်များများက ပုံတင်တဲ့ နေရာတွေမှာ `accept=".jpg,.png"` လောက်ပဲ စစ်လေ့ရှိပါတယ်။ ဒီဆောင်းပါးမှာ Backend ကို ဘယ်လို bypass လုပ်ပြီး RCE (Remote Code Execution) ရယူလဲဆိုတာ ရေးထားပါတယ်။
Top 10 OWASP Web Application Security Risks (2026)
Login စနစ်ပေါက်တာ၊ Database ထဲက Data တွေ အစိမ်းလိုက် Leak ဖြစ်တာတွေကစလို့... သူများ Code သုံးရင်း ကိုယ့် System ပါ အဟက်ခံရတဲ့ အကြောင်းအရာတွေအထိ တကယ့်လက်တွေ့ဖြစ်နေတဲ့ အားနည်းချက် ၁၀ ချက်။