แชร์ประสบการณ์การเข้าร่วมงานสัมมนาOWASP AppSec Days ที่ Singapore

แชร์ประสบการณ์การเข้าร่วมงานสัมมนาOWASP AppSec Days ที่ Singapore

สวัสดีชาวเอฟซีที่ติดตามบริษัทดาต้าฟาร์มทุกท่านครับ สำหรับในบทความนี้ผมจะมาแชร์ประสบการณ์การได้เข้าร่วมงานสัมมนาของทาง OWASP ที่จัดขึ้นภายใต้ชื่อ OWASP AppSec Days Singapore โดยงานดังกล่าวจัดขึ้นเป็นเวลาทั้งสิ้นจำนวน 2 วันคือในวันที่ 12–13 กันยายนที่ผ่านมา ณ โรงแรม M Hotel ประเทศสิงคโปร์ครับ ซึ่งวันแรกจะเป็นการ Training ในหัวข้อเรื่อง “Hacking Modern Web Apps: Master the Future of Attack Vectors” โดยมีคุณ “Abraham Aranguren” เป็นวิทยากรและอีกหัวข้อเรื่อง “Advanced AI Red Teaming: Adversarial Testing for LLM Applications” โดยมีคุณ “Marudhamaran Gunasekaran” เป็นผู้บรรยายครับ นอกจากการ Training แล้วยังมีกิจกรรม Capture The Flag หรือที่เราเรียกกันย่อๆว่า CTF อีกด้วย

ส่วนวันที่สองเป็นการบรรยายจากวิทยากรท่านต่าง ๆ อีกกว่าสิบเรื่อง ซึ่งอัดแน่นไปด้วยเนื้อหาสาระความรู้มากมาย โดยในบทความนี้ผมจะสรุปเนื้อหาในหัวข้อต่างๆอย่างคร่าวๆเท่าที่จะเก็บรวบรวมมาได้นะครับ ฮ่า~~~~

Opening Note

ในการบรรยายวันที่สอง เริ่มด้วยการกล่าวเปิดงานหรือ Opening Note ครับโดยมีคุณ Indrajeet Bhuyan เป็นผู้บรรยายกล่าวเปิดงานครับ

OWASP Singapore Journey

ต่อมาในหัวข้อ OWASP Singapore Journey มีคุณ Onn Chee และคุณ Cecil เป็นผู้บรรยายครับ โดยในเนื้อหาประกอบด้วยประวัติความเป็นมาของการจัดงาน OWASP ณ ประเทศสิงคโปร์ตั้งแต่อดีตจนถึงปัจจุบัน นอกจากนี้ยังมีข้อมูลของบุคคลท่านต่างๆที่มีส่วนร่วมในการก่อตั้งองค์กร OWASP และร่วมกันจัดงานสัมมนาดังกล่าวให้สามารถเกิดขึ้นได้

40,000 CVEs and Counting: The State of AppSec in 2025

ต่อมาในหัวข้อเรื่อง 40,000 CVEs and Counting: The State of AppSec in 2025 ซึ่งจัดเป็นเรื่องสำคัญหรือ Keynote ของงานเลยก็ว่าได้ โดยหัวข้อดังกล่าวมีคุณ Pedram Hayati เป็นผู้บรรยายครับ ซึ่งในเนื้อหาประกอบด้วยเรื่องของ Security ตั้งแต่อดีตจนถึงปัจจุบัน, จำนวนของช่องโหว่ที่ถูกค้นพบและประกาศเป็น Public Vulnerable ด้วยหมายเลข CVE ต่าง ๆ จนถึงปัจจุบัน, วิวัฒนาการของเก็บรักษาความลับของข้อมูล เช่น ในต้นศตวรรษที่ 13 เราเก็บข้อมูลที่ต้องการรักษาความลับไว้ในกล่อง Persian Seljuk box ซึ่งกล่องดังกล่าวมีกลไกการล็อกที่ซับซ้อนมากถึง 4 พันล้านรูปแบบ, ช่องโหว่ที่รุนแรงและเป็นที่รู้จักกันในแวดวงแฮกเกอร์ในแต่ละช่วงเวลานับตั้งแต่อดีตจนถึงปัจจุบัน

นอกจากนี้แล้วคุณ Pedram Hayati ยังได้กล่าวถึง Morris Worm ซึ่งเป็น Malware ประเภท Worm ตัวแรกของโลกที่โด่งดังเป็นอย่างมากในอดีต ซึ่ง Malware ดังกล่าวถูกสร้างขึ้นในยุค 80 โดยนาย Robert Tappan Morris โดย Morris Worm จะมุ่งเน้นการโจมตีไปที่ Weak Password, ช่องโหว่ของ “sendmail” ใน email service, Bug ของโปรโตคอล Finger และการเข้าถึง Remote Shell (RSH) ซึ่ง Worm นี้จะมีการคัดลอกตัวเองไปยังเครื่องคอมพิวเตอร์อื่นในเครือข่ายอีกด้วย

หลังจากที่พบ Worm แล้วทางสหรัฐอเมริกาได้ดำเนินการจัดตั้งหน่วยงาน Computer Emergency Response Team (CERT) ขึ้นมาเพื่อตอบโต้กับสถานการณ์ดังกล่าวที่อาจเกิดขึ้นอีกในอนาคต

The Birthplace of Lies: Hacking Analytics SDKs

หัวข้อนี้บรรยายโดยคุณ August Joseph ซึ่งมีเนื้อหาเกี่ยวข้องกับ Network SDK และ Ad Network ของโฆษณาบนอุปกรณ์เคลื่อนที่ เปรียบเสมือนกับ Advertisement Repository ซึ่งเมื่อแอปพลิเคชันใดก็ตามต้องการเรียก Ad เพื่อให้มาแสดงบนแอปพลิเคชันของตัวเอง ตัวแอปจะไปดึง Ad จาก Ad Network มาแสดงผลให้ผู้ใช้งานได้รับชมนั่นเอง โดยคุณ August Joseph ได้บรรยายถึงการโจมตีผู้ใช้งานผ่าน Ad Network ด้วยวิธีการ hook หรือ Intercept ฟังก์ชัน UIApplication:openURL ในขณะที่ Ad กำลังแสดงอยู่และสามารถ Redirect Traffic ไปยังลิงค์อื่นหรือขโมยข้อมูลบน Traffic ได้ ซึ่งเทคนิคดังกล่าวเรียกว่า Method Swizzling

นอกจากนี้แล้วคุณ August Joseph ยังได้บรรยายถึงการโจมตี Network Ad ในรูปแบบอื่น ๆ ด้วย ไม่ว่าจะเป็นการโจมตี Remote Code Execute โดยการฝัง JavaScript ลงไปบน Ad และเมื่อแอปเรียก Ad จาก Ad Network ไปแสดงผลผ่าน WebView คำสั่ง JavaScript ที่ถูกฝังบน Ad จะทำงานและโจมตีผู้ใช้งานตามแต่จุดประสงค์ของแฮกเกอร์นั่นเอง เช่น Redirect ผู้ใช้งานไปยัง Malicious Server ที่แฮกเกอร์ได้สร้างเอาไว้

iOS Reversing on a Budget: Frida, Ghidra, and a Jailbroken Device

ในหัวข้อนี้บรรยายโดยคุณ Melvin Lee และคุณ Nicholas Lim ซึ่งมีเนื้อหาเกี่ยวกับการ Reverse iOS Application โดยทางวิทยากรได้อธิบายถึงขั้นตอนการเลือกอุปกรณ์สำหรับการทดสอบซึ่งจะต้องคำนึงถึงเวอร์ชันของ iOS เป็นหลักเพราะต้องนำอุปกรณ์มาทำการ Jailbreak, พื้นฐานของการเขียนแอปพลิเคชันบน iOS, การใช้งานโปรแกรม Ghidra, และการ Reverse Application ด้วยโปรแกรม Ghidra, Ghidra MCP รวมถึงการวิเคราะห์ Application ไม่ว่าจะเป็น Static Analysis และ Dynamic Analysis

Model Mayhem: Pwn, Poison & Prompt-Hack Your AI

ในหัวข้อนี้เป็นเรื่องที่เกี่ยวข้องกับ AI ครับโดยมีคุณ Omkar Joshi และคุณ Rahul Bhor เป็นวิทยากร เนื้อหาในส่วนนี้เกี่ยวข้องกับช่องโหว่ที่เกิดขึ้นกับ AI ไม่ว่าจะเป็น AI Attack Surface, Data Poisoning, Prompt Injection & Self-Replicating LLM Worms และแนวทางการป้องกันสำหรับ Blue Team ครับ

Model-Supply-Chain-Mayhem หมายถึงช่องโหว่ที่แฮกเกอร์ Upload Backdoor ไว้ใน AI Model ที่ยังไม่ได้รับการ Train หลังจากนั้นเมื่อองค์กรหรือหน่วยงานใดดาวน์โหลด AI Model ดังกล่าวไปใช้งานหรือนำมา Deploy ในระบบจริง Code หรือ Malicious ที่ถูกฝังอยู่ก็จะถูกเรียกใช้งานทำให้องค์กรดังกล่าวเจาะระบบหรือไม่ก็ถูกขโมยข้อมูล

Prompt Injection คือช่องโหว่ที่เกิดกับ AI ที่มีการใช้งาน Large Language Models (LLMs) เช่นใน ChatGPT โดยแฮกเกอร์จะพยายามแทรกคำสั่งลงใน Prompt เพื่อให้ Model ทำงานในสิ่งที่ไม่ควร เช่น แสดงข้อมูลที่เป็นความลับขององค์กร เป็นต้น

Self-Replicating Worm (LLM WORMS) หมายถึง Malware ประเภทหนึ่งที่มีความสามารถในการแพร่กระจายตัวเองได้โดยไม่ต้องอาศัยการกระทำจากผู้ใช้งาน เช่น ไม่จำเป็นต้องอาศัยการกระทำจากผู้ใช้งาน, ไม่จำเป็นต้องติดตั้งโดยผู้ใช้งาน, สามารถแพร่กระจายตัวเองผ่าน E-Mail, File Sharing หรือแม้แต่ AI Model ที่ถูกฝัง Backdoor

ในส่วนของ Blue-Team เองก็มีหลายวิธีในการป้องกันช่องโหว่ที่เกิดจาก AI ด้วยวิธีการดังนี้เช่น

1. Adversarial Red Teaming การจำลองสถานการณ์การโจมตีโดยทีมงานที่เชี่ยวชาญด้านความปลอดภัย

2. Behavioral Monitoring ติดตามและวิเคราะห์พฤติกรรมด้านความปลอดภัยของผู้ใช้งาน, อุปกรณ์, แอปพลิเคชัน

3. Secure by Design ออกแบบแอปพลิเคชันโดยคำนึงถึงความปลอดภัยตั้งแต่ขั้นตอนแรกของการพัฒนา

4. Integrity Verification ตรวจสอบ Model AI ที่ใช้งานจะต้องไม่ถูกฝัง Backdoor, ตรวจสอบ Log ว่าไม่ถูกแก้ไขและปลอมแปลง, ตรวจสอบข้อมูล Input — Output

Breaking the Next Factor — Live MFA Hacking

บรรยายโดยคุณ Niclas Kjellin ในหัวข้อนี้เกี่ยวข้องกับการโจมตีระบบโดยมุ่งเน้นไปที่ MFA (Multi factor Authentication) ด้วยวิธีการต่าง ๆ ไม่ว่าจะเป็นวิธี SIM Swapping Attack (หลอกให้ผู้ให้บริการโอนหมายเลขโทรศัพท์ของเหยื่อไปยังซิมใหม่ที่แฮกเกอร์ถืออยู่), Session Hijacking Attack (ขโมย Session Token หรือ Cookie ที่ยังไม่หมดอายุ), MFA Fatigue Attack (ส่งคำขอ MFA ซ้ำ ๆ จนกระทั่งเหยื่อกดปุ่ม อนุญาต โดยไม่ได้ตั้งใจ), Reverse Proxy (ปลอมหน้า Login ขึ้นมาหลอกให้เหยื่อลงชื่อเข้าสู่ระบบ), Man-in-the-Middle (ดักจับข้อมูลระหว่างทาง เช่น OTP, Session Token), Phishing (ส่ง E-Mail หรือลิงค์ปลอมเพื่อให้เหยื่อกรอกข้อมูล MFA), Click Jacking (ซ่อนปุ่มหรือหน้าต่าง MFA ไว้หลัง UI ปลอม)

Identity Attacks: The Achilles’ Heel Every Adversary Exploits

บรรยายโดยคุณ Dakshitaa B โดยมีเนื้อหาเกี่ยวข้องกับวิวัฒนาการของข้อมูลในปัจจุบันซึ่งมีการใช้งานข้อมูลมากขึ้น ดังนั้นแล้วอันตรายที่เกิดขึ้นกับการใช้ข้อมูลก็เพิ่มขึ้นตาม ซึ่งคุณ Dakshitaa B ได้ชี้ให้เห็นถึงช่องโหว่ต่างๆที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของเราได้ เช่น Man-in-the-Middle, OAuth Consent Grant โดยผู้ใช้งานอนุญาตหรือให้ความยินยอมให้แอปพลิเคชันเข้าถึงข้อมูลบางอย่างในบัญชีผ่าน OAuth การให้ความยินยอมนี้อาจทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของผู้ใช้งานได้

Cybersecurity Through a Creator’s Lens: More Than Just a Tech Job

ในหัวข้อนี้จะเป็นเรื่องเกี่ยวกับมุมมองของ Content Creator ต่อ Cyber Security บรรยายโดยคุณ Rishika Desai ในส่วนของรายละเอียดนั้นคุณ Rishika Desai ได้อธิบายถึงกระบวนการในการสร้างเนื้อหาของ Content หรือ The Content Creation Process โดยมุ่งเน้นในเรื่องของ Cyber Security Awareness มากกว่ายอด Views

Securing your Lambda 101

ในหัวข้อนี้มีคุณ Ilia Mogilin เป็นวิทยากรครับ โดยในบทความจะเกี่ยวข้องกับ Security ของ Lambda ซึ่งเป็นบริการหนึ่งของ Amazon Web Services (AWS) หรือ Cloud Service ที่ช่วยในการ Execute Code โดยไม่ต้องจัดการกับ Server เองซึ่งเรียกว่า Serverless Computing

หลักการทำงานของ AWS Lambda คือเขียน Code ในรูปแบบของฟังก์ชันด้วยภาษาคอมพิวเตอร์เช่น Node.js, Python, Java หลังจากนั้นกำหนด Trigger หรือเหตุการณ์ที่จะเรียกใช้งานฟังก์ชัน เมื่อ Lambda ถูกเรียกใช้งาน AWS จะสร้าง Container ขึ้นมาชั่วคราวเพื่อทำงานตามฟังก์ชันที่กำหนด หลังจากที่ทำงานเสร็จแล้ว Container ที่สร้างขึ้นมาจะถูกปิดและทาง AWS จะมีการเรียกเก็บค่าบริการตามระยะเวลาการใช้งาน

นอกจากนี้แล้วคุณ Ilia Mogilin ยังได้อธิบายถึงวิธีการ Secure Lambda หรือการรักษาความปลอดภัยของ Service Lambda บน AWS ด้วย เนื่องจากการใช้งาน Lambda หากมีการออกแบบหรือกำหนดสิทธิ์ที่ไม่เหมาะสมก็อาจทำให้เกิดช่องโหว่ได้ เช่น หากผู้ดูแลระบบเขียน Code ใช้งาน Lambda ที่ไม่ปลอดภัยก็อาจทำให้เกิดช่องโหว่ Injection ได้ไม่ว่าจะเป็น Command Injection, Request forgery, Fork bombs เป็นต้น ดังนั้นแล้วในการออกแบบการใช้งานและการเขียน Code ควรคำนึงถึงเรื่องของ Security ด้วยเช่น การตรวจสอบ Input จากผู้ใช้งาน, หลีกเลี่ยงการใช้งานฟังก์ชัน eval() หรือ os.Popen() เป็นต้น

When the Enemy Is Already Inside: Securing Enterprise AI Agents Against Insider Threats

ในหัวข้อนี้เกี่ยวข้องกับอันตรายจากการใช้ AI ครับซึ่งมีคุณ Keren Katz เป็นวิทยากร ในเนื้อหาคุณ Keren ได้กล่าวถึงการนำ Agentic AI มาใช้ในงานบนระบบ Production หรือมาใช้ในระบบงานจริง ซึ่งมีปัจจัยหลัก 3 อย่างที่ส่งผลกระทบต่อระดับความเสี่ยงคือ Context หมายถึงสภาพแวดล้อมที่ AI ทำงานอยู่ เช่น AI ที่จัดการสิทธิ์ IAM ในระบบ Cloud หากตัดสินใจผิดพลาดก็อาจทำให้ข้อมูลรั่วไหลได้, Connections หมายถึงสิ่งที่ AI เชื่อมต่ออยู่ เช่น AI ที่เข้าถึง API การชำระเงินอาจมีการออกใบเรียกเก็บเงินหรือโอนเงินผิดบัญชีได้, Interactions หมายถึงการโต้ตอบกับ AI ไม่ว่าจะเป็นผู้ใช้งานหรือระบบ หากไม่มีการตรวจสอบคำสั่งอย่างเหมาะสมก็อาจทำให้แฮกเกอร์สามารถแทรกคำสั่งอันตรายเพื่อให้ AI ปฏิบัติตามได้

นอกจากนี้แล้วคุณ Keren ยังได้อธิบายถึง Security Compromise หรือความเสี่ยงที่สามารถเกิดขึ้นได้ในยุคของ Agentic AI และแนวทางการป้องกันแก้ไขช่องโหว่หรือความเสี่ยงที่เกิดขึ้น ไม่ว่าจะเป็นเรื่องของ Data Exfiltration (การลอบขโมยข้อมูล) หาก Agent มีสิทธิ์ในการเข้าถึงข้อมูลสำคัญหรือ PII และถูกแฮกเกอร์โจมตีหรือหลอกให้ส่งข้อมูลสำคัญดังกล่าวไปยังอีเมลของแฮกเกอร์, RAG Poisoning (การโจมตีระบบ Retrieval-Augmented Generation) โดยแฮกเกอร์ฝังข้อมูลเท็จลงในฐานความรู้ที่ Agent ใช้เพื่อหลอกให้ Agent ทำงานผิดพลาดหรือเรียกใช้งาน API ที่อันตราย, Workflow Hijacking (การแทรกแซงกระบวนการทำงานของระบบ)

Securing the AI Pipeline: Implementing DevSecOps for Machine Learning Projects

ในหัวข้อนี้บรรยายโดยคุณ Marudhamaran Gunasekaran ซึ่งมีเนื้อหาเกี่ยวข้องกับ AI อีกเช่นเดียวกัน แต่จะเน้นไปที่การป้องกันตั้งแต่การพัฒนา AI ขึ้นมาเลย โดยการนำแนวคิดของ DevSecOps มาใช้กับโครงการ Machine Learning เพื่อลดความเสี่ยงที่สามารถเกิดขึ้นได้กับ AI

คุณ Marudhamaran Gunasekaran ได้อธิบายถึงประเภทของ AI ในแต่ละระดับโดยเริ่มจาก Artificial Intelligence (AI), Machine Learning (ML), Deep Learning, Generative AI และ LLM (Large Language Model) ก่อนที่จะเข้าสู่เนื้อหาส่วนสำคัญซึ่งก็คือกระบวนการสร้างและนำ AI โมเดลไปใช้งานและวิธีการป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ในแต่ละ Phase ของ Pipeline โดยคุณ Marudhamaran ได้อธิบายถึง Model Pipeline ออกเป็น 4 ขั้นตอนคือ ข้อมูลฝึกโมเดล, การเตรียมและฝึกโมเดล, การจัดเก็บโมเดลและการนำโมเดลไปใช้งาน ซึ่งในแต่ละขั้นตอนใน Pipeline ก็มีช่องโหว่หรือความเสี่ยงที่อาจถูกโจมตีได้ไม่ว่าจะเป็น Poison Data หรือการฝังข้อมูลเท็จลงในข้อมูลที่จะใช้ฝึกโมเดล, การฝัง Code หรือคำสั่งอันตรายที่ Agent เรียกใช้, การขโมยและขายโมเดล, การแก้ไขโมเดลโดยไม่ได้รับอนุญาต

XSS is dead — Browser Security Features that Eliminate Bug Classes

ในหัวข้อนี้บรรยายโดยคุณ Javan Rasokat ซึ่งมีเนื้อหาเกี่ยวข้องกับ Security Protection ของ Web Browser ครับ โดยในปัจจุบัน Web Browser มีการป้องกันช่องโหว่ด้วย Security Header แล้วเช่น สำหรับช่องโหว่ XSS สามารถป้องกันหรือลดความเสี่ยงด้วยการทำ Session Hardening โดยการใช้งาน Flag HttpOnly, SameSite สำหรับ Cookie และ Security Header CSP (Content-Security-Policy) และสำหรับช่องโหว่ Cross-Site Request Forgery (CSRF) สามารถป้องกันด้วยการใช้งาน Header Same-Origin Policy และ Flag SameSite บน Cookie นอกจากนี้แล้วยังสามารถใช้งาน Header Sec-Fetch ซึ่งเป็น Security Header ตัวใหม่ที่ช่วยให้เซิร์ฟเวอร์รู้ว่า Request มาจาก Origin ไหน (Sec-Fetch-Site), ระบุว่า Request เป็นแบบไหน (Sec-Fetch-Mode) และระบุว่า Request ต้องการโหลด Resource อะไรบ้าง (Sec-Fetch-Dest)

ในหัวข้อนี้คุณ Javan Rasokat ได้อธิบายถึง Security Feature ด้านความปลอดภัยของ Web Browser ในปัจจุบันซึ่งสามารถช่วยลดความเสี่ยงหรือป้องกันช่องโหว่ในประเภท XSS หรือ CSRF ได้อย่างมีประสิทธิภาพโดยไม่จำเป็นต้องพึ่งการ Sanitize Input จากผู้ใช้งานเพียงอย่างเดียว

Secret scanning in open source at scale (in-depth)

ในหัวข้อนี้มีคุณ Hassan Khan Yusufzai และคุณ Danish Tariq เป็นวิทยากรครับ โดยเนื้อหาเกี่ยวข้องกับช่องโหว่ของ Software ประเภท Open-Source โดยเฉพาะช่องโหว่ที่เป็นเรื่องของ Sensitive Information หรือ Secret ของ Software ที่รั่วไหล แฮกเกอร์สามารถนำข้อมูลนี้มาใช้ในการโจมตีระบบต่อได้ครับ โดยทางวิทยากรได้ยกตัวอย่างถึงกรณีของ GitLab และ Slak ที่เคยมีข่าวเรื่องของการรั่วไหลของข้อมูลที่เป็น Sensitive Information ออกมาเป็นจำนวนมาก

นอกจากนี้แล้วคุณ Hassan Khan Yusufzai ยังได้แนะนำเครื่องมือที่สามารถใช้ในการสแกนหา Secret ด้วยซึ่งเครื่องมือนั้นมีชื่อว่า “Seekrets” (https://github.com/laburity/seekrets-oss) ซึ่งผู้อ่านทุกท่านสามารถโหลดมาใช้งานได้ครับ

How Attackers Exploit Misconfigured AWS EKS through Lessons from OWASP EKS Goat

สำหรับในหัวข้อสุดท้ายเป็นเรื่องเกี่ยวกับการแฮก AWS ครับ บรรยายโดยคุณ Anjali Shukla และคุณ Divyanshu Shukla โดยวิทยากรทั้ง 2 ท่านได้บรรยายถึงช่องโหว่ที่เกิดจากการตั้งค่าที่ไม่เหมาะสมของ EKS Service ของ AWS นอกจากนี้แล้วทางวิทยากรยังได้อธิบายถึงการโจมตี AWS โดยเริ่มจากช่องโหว่ของ Software Jenkins ซึ่งเป็นเครื่องมือ CI/CD ที่มีการตั้งค่าที่ไม่ปลอดภัย ทำให้สามารถดึงข้อมูล Password ของบัญชี Admin ของ Jenkins pipeline หรือ Environment หลังจากนั้นด้วยสิทธิ์ของบัญชี Admin ทำให้สามารถเข้าถึง Service ของ IAM (Identity and Access Management) ซึ่งเป็น Service หนึ่งของ AWS ที่ Service ดังกล่าวทางวิทยากรได้พบ Access Key / Secret Key ทำให้สามารถเรียกใช้งาน API ของ AWS ได้โดยตรง หลังจากนั้นด้วยสิทธิ์ของบัญชีทำให้สามารถเข้าถึง Service ECR และ EKS และนำไปสู่การยกสิทธิ์เพื่อเข้าถึง Service S3 ของ AWS ได้สำเร็จ