Categories
Security

10 เทคนิคยอดฮิตที่ใช้ในการจู่โจมเว็บไซต์ของปี 2010

นิตยสาร PC World ได้ทำการจัดอันดับช่องโหว่ที่ใช้ในการจู่โจมเว็บไซต์เมื่อปี 2010 ที่ผ่านมา โดยทั้ง 10 อันดับนี้จะถูกโหวตจากผู้เชี่ยวชาญและจากบุคคลทั่วไป (Open Vote)

ช่องโหว่ทั้ง 10 จัดอันดับได้ดังต่อไปนี้

  1. Padding Oracle Crypto Attack: อาศัยช่องโหว่จาก Microsoft’s Web Framework ASP.NET ที่ใช้ในการป้องกัน AES encryption Cookies ได้ซึ่งถ้าตัวข้อมูลของ Cookies ที่เข้ารหัสถูกเปลี่ยนแปลงตัว ASP.NET ที่ทำการดูแลข้อมูลพวกนี้อยู่จะหลุดข้อมูลบางอย่างซึ่งสามารถถอดรหัสข้อมูลได้ ด้วยจำนวนครั้งในการเปลี่ยนที่มากพอ แฮคเกอร์สามารถคาดเดาคีย์ที่ใช้ในการเข้ารหัสได้ง่ายขึ้น (โดย Juliano Rizzo และ Thai Duong)
  2. Evercookie: เทคนิคนี้จะเป็นการใช้จาวาสคริปต์เพื่อสร้าง cookies ไปซ่อนยังที่ต่างๆ 8 ที่เพื่อทำให้การทำลายนั้นยากยิ่งขึ้น ซึ่งทำให้แฮคเกอร์สามารถระบุตัวตนของเครื่องได้แม้ว่าตัว cookies หลักได้ถูกลบออกไปแล้วก็ตาม (สร้างโดย Samy Kamkar)
  3. Hacking Autocomplete: ฟีเจอร์ Auto-completion นี้คือสิ่งอำนวยความสะดวกเวลากรอกฟอร์มบนเว็บต่างๆ ซึ่งหลายคนแม้กระทั่งผมเองใช้เป็นประจำ (ขี้เกียจเวลามานั่งกรอกที่อยู่โดยเฉพาะเวลาเป็นภาษาอังกฤษ) ซึ่งถ้าเกิดใช้ฟีเจอร์นี้ในเว็บที่เป็นอันตรายแล้ว จะมีสคริปต์ซึ่งบังคับให้ตัวเว็บไซต์สามารถสั่งการให้เบราว์เซอร์ทำการเติมข้อมูลส่วนบุคคล แล้วทำการดักข้อมูลต่างซึ่งเก็บไว้ในเครื่องของเหยื่อ (สร้างโดย Jeremiah Grossman)