ข่าว:

ทดลองใช้งานบอร์ดตะลุง ที่อยู่ในขั้นตอนการกู้คืนข้อมูล เบื้องต้นมีแต่กระทู้ (ข้อความ) กำลังกู้รูปภาพ ไฟล์แนบต่าง ๆ คาดว่าจะทยอยสมบูรณ์ภายในไม่ช้า

Main Menu

10 เทคนิคยอดฮิตที่ใช้ในการจู่โจมเว็บไซต์ของปี 2010

เริ่มโดย makeitbaby, 11:48 น. 27 ม.ค 54

ลง หน้า1

makeitbaby

11:48 น. 27 ม.ค 54
10 เทคนิคยอดฮิตที่ใช้ในการจู่โจมเว็บไซต์ของปี 2010

รีวิว 
นิตยสาร PC World ได้ทำการจัดอันดับช่องโหว่ที่ใช้ในการจู่โจมเว็บไซต์เมื่อปี 2010 ที่ผ่านมา โดยทั้ง 10 อันดับนี้จะถูกโหวตจากผู้เชี่ยวชาญและจากบุคคลทั่วไป (Open Vote)

อันดับ 10 Java Applet DNS Rebinding



คราวนี้มาถึงคราว ของ Applet บ้างโดย Java Applet สามารถนำเบราว์เซอร์ไปยังแฮคเกอร์ที่ควบคุมเว็บไซต์แล้วทำการบังคับ เบราว์เซอร์ข้ามการใช้งาน DNS cache ซึ่งทำให้โดนการโจมตีแบบ DNS rebinding attack ได้ (สร้างโดย Stefano Di Paola)


อันดับ 9 CSS History Hack in Firefox without JavaScript for Intranet Port Scanning



โดยปกติแล้ว Cascading style sheets นี้ถูกใช้ในการระบุวิธีการแสดงผลของ HTML โดยตัว CSS นี้สามารถใช้ในการการดึงประวัติการเข้าเว็บต่างๆ ในเครื่องของเหยื่อได้ โดยข้อมูลประวัติเหล่านี้จะถูกนำมาใช้ในการโจมตีด้วย phishing attacks (สร้างโดย Robert "RSnake" Hansen)


อันดับ 8 JavaSnoop



JavaSnoop เป็น Java agent ที่ติดตั้งลงไปยังเครื่องเป้าหมายโดยโปรแกรมนี้สามารถทดสอบจาวาแอพพลิเคชัน บนเครื่องเพื่อหาช่องโหว่ด้านความปลอดภัยได้ ซึ่งอาจจะเป็น Hacking Tool หรือ Security Tool ก็ได้ขึ้นอยู่กับเจตนาของผู้ใช้ (สร้างโดย Arshan Dabirsiagh)


อันดับ 7 HTTP POST DoS



ส่วนของ HTTP POST Header จะถูกส่งไปยังเซิร์ฟเวอร์เพื่อให้รับรู้ว่าข้อมูลจะถูกส่งไปเป็นจำนวนเท่า ไหร่ จากนั้นส่งข้อมูลให้ช้ามากๆ ทำให้มีการกินทรัพยากรในเครื่อง ซึ่งถ้าถูกส่งไปเป็นจำนวนมาก ก็สามารถทำให้เกิด DoS (Denial of Services) ได้ (สร้างโดย Wong Onn Chee และ Tom Brennan)


อันดับ 6 Universal XSS in IE8



ใน Internet Explorer 8 มีการป้องกัน cross site scripting: ซึ่งการโจมตีนี้สามารถข้ามการป้องกันนี้และทำให้เว็บไซต์แสดงผลไม่เหมาะสมใน ทางอันตรายได้


อันดับ 5 Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollutio



วิธีนี้จะเป็นการผ่านการป้องกัน CSRF(Cross site request forgery) โดยการหลอกให้เหยื่อเปิดเผยข้อมูลส่วนตัวต่างๆ ซึ่งวิธีนี้สามารถทำการรีเซ็ตรหัสผ่านและได้สิทธิ์การเข้าถึงบัญชีในเว็บไซ ต์ต่างๆ ของเหยื่ออีกด้วย (สร้างโดย Lavakumar Kuppan)


อันดับ 4 Attacking HTTPS with Cache Injection



ทำการใส่โค้ด โจมตีโดยใช้จาวาสคริปต์ไลบรารีไปยังแคชของเบราว์เซอร์ซึ่งทำให้แฮคเกอร์ สามารถจู่โจมเว็บไซต์ที่ทำการเข้ารหัสด้วย SSL ได้ ซึ่งวิธีนี้จะยังใช้ได้ผลจนกว่าจะเคลียร์หน่วยความจำนี้ ซึ่งเกือบครึ่งหนึ่งของเว็บไซต์ 1 ล้านอันดับแรกได้ใช้จาวาไลบรารีจากภายนอก (สร้างโดย Elie Bursztein, Baptiste Gourdin และ Dan Boneh)


อันดับ 3 Hacking Autocomplete



ฟีเจอร์ Auto-completion นี้คือสิ่งอำนวยความสะดวกเวลากรอกฟอร์มบนเว็บต่างๆ ซึ่งหลายคนแม้กระทั่งผมเองใช้เป็นประจำ (ขี้เกียจเวลามานั่งกรอกที่อยู่โดยเฉพาะเวลาเป็นภาษาอังกฤษ) ซึ่งถ้าเกิดใช้ฟีเจอร์นี้ในเว็บที่เป็นอันตรายแล้ว จะมีสคริปต์ซึ่งบังคับให้ตัวเว็บไซต์สามารถสั่งการให้เบราว์เซอร์ทำการเติม ข้อมูลส่วนบุคคล แล้วทำการดักข้อมูลต่างซึ่งเก็บไว้ในเครื่องของเหยื่อ (สร้างโดย Jeremiah Grossman)


อันดับ 2 Evercookie



เทคนิคนี้จะ เป็นการใช้จาวาสคริปต์เพื่อสร้าง cookies ไปซ่อนยังที่ต่างๆ 8 ที่เพื่อทำให้การทำลายนั้นยากยิ่งขึ้น ซึ่งทำให้แฮคเกอร์สามารถระบุตัวตนของเครื่องได้แม้ว่าตัว cookies หลักได้ถูกลบออกไปแล้วก็ตาม (สร้างโดย Samy Kamkar)


อันดับ 1 Padding Oracle Crypto Attack



อาศัยช่อง โหว่จาก Microsoft's Web Framework ASP.NET ที่ใช้ในการป้องกัน AES encryption Cookies ได้ซึ่งถ้าตัวข้อมูลของ Cookies ที่เข้ารหัสถูกเปลี่ยนแปลงตัว ASP.NET ที่ทำการดูแลข้อมูลพวกนี้อยู่จะหลุดข้อมูลบางอย่างซึ่งสามารถถอดรหัสข้อมูล ได้ ด้วยจำนวนครั้งในการเปลี่ยนที่มากพอ แฮคเกอร์สามารถคาดเดาคีย์ที่ใช้ในการเข้ารหัสได้ง่ายขึ้น (โดย Juliano Rizzo และ Thai Duong)


ที่มา : http://www.toptenthailand.com/display.php?id=2103
ขึ้น หน้า1