แฮ็คเกอร์รุ่นเยาว์วัย 14 ปี พบช่องโหว่ XSS กระทบกว่า 2,000,000 เว็บไซต์

อายุไม่ใช่ประเด็น เมื่อสองแฮ็คเกอร์น้อยวัย 14 ปีชาวเลบานอน Karim Rahal และ Ibram Marzouk ประกาศพบช่องโหว่ Cross-site Scripting หลายรายการบน HTML Comment Box ซึ่งถูกใช้งานบนเว็บไซต์ทั่วโลกกว่า 2,000,000 เว็บไซต์

ช่องโหว่ที่ค้นพบเป็นช่องโหว่บายพาสระบบกรอง XSS ซึ่งช่วยให้แฮ็คเกอร์สามารถแทรกโค้ดเข้าไปในกล่อง Comment ของเว็บไซต์ เพื่อแอบโจมตีผู้ใช้ทั่วไปที่เข้าถึงหน้าเพจดังกล่าวได้ ที่น่าตกใจคือ เทคนิคการบายพาสที่ทั้ง 2 คนใช้ไม่ได้มีความซับซ้อนอะไร เพียงแค่ใส่ Tag < และ > 2 ครั้ง และปิดท้ายด้วยเครื่องหมาย “;” เท่านั้น ก็สามารถแทรกโค้ดสคริปต์เข้าไปได้ทันที (คาดว่านักพัฒนาคงใช้วิธีการกรอง XSS โดยการตัด Tag < และ > ออก 1 ครั้ง)

“ผมใช้ Google Dork ง่ายๆ ในการค้นหาว่ามีกี่เว็บไซต์ที่ใช้กล่อง Comment ของ 3rd Party รายดังกล่าว แล้วก็ต้องตกใจเป็นอย่างมากเมื่อผลลัพธ์ประมาณ 2,000,000 เว็บไซต์ปรากฏให้เห็น” — Rahal ระบุ

แฮ็คเกอร์หนุ่มทั้ง 2 คนไม่สามารถติดต่อกับนักพัฒนาเจ้าของ HTML Comment Box ในตอนแรก จนกระทั่ง Detectify ผู้ให้บริการ Web Scanner ชื่อดังเชิญเด็กทั้งสองเข้าร่วม Detectify Crowdsource ซึ่งเป็น Bug Bounty Program สำหรับให้นักวิจัยจากทั่วโลกแจ้งช่องโหว่ของเว็บไซต์ต่างๆ

ขณะนี้นักพัฒนาของ HTML Comment Box ทราบถึงช่องโหว่ XSS ดังกล่าว และได้ทำการอุดช่องโหว่เรียบร้อยภายใน 1 ชั่วโมงหลังได้รับรายงานจาก Detecify

ที่มา: https://www.theregister.co.uk/2017/01/24/kid_hackers_break_xss_defences_find_hack_hole_in_2_million_websites/