แฮ็คเกอร์รุ่นเยาว์วัย 14 ปี พบช่องโหว่ XSS กระทบกว่า 2,000,000 เว็บไซต์

อายุไม่ใช่ประเด็น เมื่อสองแฮ็คเกอร์น้อยวัย 14 ปีชาวเลบานอน Karim Rahal และ Ibram Marzouk ประกาศพบช่องโหว่ Cross-site Scripting หลายรายการบน HTML Comment Box ซึ่งถูกใช้งานบนเว็บไซต์ทั่วโลกกว่า 2,000,000 เว็บไซต์

Credit: Ignatov/ShutterStock

ช่องโหว่ที่ค้นพบเป็นช่องโหว่บายพาสระบบกรอง XSS ซึ่งช่วยให้แฮ็คเกอร์สามารถแทรกโค้ดเข้าไปในกล่อง Comment ของเว็บไซต์ เพื่อแอบโจมตีผู้ใช้ทั่วไปที่เข้าถึงหน้าเพจดังกล่าวได้ ที่น่าตกใจคือ เทคนิคการบายพาสที่ทั้ง 2 คนใช้ไม่ได้มีความซับซ้อนอะไร เพียงแค่ใส่ Tag < และ > 2 ครั้ง และปิดท้ายด้วยเครื่องหมาย “;” เท่านั้น ก็สามารถแทรกโค้ดสคริปต์เข้าไปได้ทันที (คาดว่านักพัฒนาคงใช้วิธีการกรอง XSS โดยการตัด Tag < และ > ออก 1 ครั้ง)

“ผมใช้ Google Dork ง่ายๆ ในการค้นหาว่ามีกี่เว็บไซต์ที่ใช้กล่อง Comment ของ 3rd Party รายดังกล่าว แล้วก็ต้องตกใจเป็นอย่างมากเมื่อผลลัพธ์ประมาณ 2,000,000 เว็บไซต์ปรากฏให้เห็น” — Rahal ระบุ

แฮ็คเกอร์หนุ่มทั้ง 2 คนไม่สามารถติดต่อกับนักพัฒนาเจ้าของ HTML Comment Box ในตอนแรก จนกระทั่ง Detectify ผู้ให้บริการ Web Scanner ชื่อดังเชิญเด็กทั้งสองเข้าร่วม Detectify Crowdsource ซึ่งเป็น Bug Bounty Program สำหรับให้นักวิจัยจากทั่วโลกแจ้งช่องโหว่ของเว็บไซต์ต่างๆ

ขณะนี้นักพัฒนาของ HTML Comment Box ทราบถึงช่องโหว่ XSS ดังกล่าว และได้ทำการอุดช่องโหว่เรียบร้อยภายใน 1 ชั่วโมงหลังได้รับรายงานจาก Detecify

ที่มา: https://www.theregister.co.uk/2017/01/24/kid_hackers_break_xss_defences_find_hack_hole_in_2_million_websites/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ห้ามพลาด PDPA WEBINAR: Consequences and Experiences after 3 months of PDPA come into effect [24.08.2022] ลงทะเบียนฟรี!

Insight Data Services และ SSC Integration ขอเชิญผู้ที่สนใจเข้าร่วมฟังสัมมนา PDPA WEBINAR: Consequences and Experiences after 3 months …

Intel พัฒนาชิปใหม่ ช่วยป้องกันการโจมตีด้วยฮาร์ดแวร์

Intel เผยโครงการพัฒนาชิปใหม่ Tunable Replica Circuit (TRC) ซึ่งออกแบบมาใช้สำหรับป้องกันการโจมตีทางไซเบอร์ที่ใช้ฮาร์ดแวร์เป็นเส้นทางในการโจมตี โดยมีความสามารถในการตรวจจับการโจมตีทั่วไปที่เกิดจาก Hardware-based ได้ และสามารถแจ้งผู้ดูแลระบบในทราบถึงเหตุการณ์ที่เกิด พร้อมกับช่วยป้องกันกันการโจมตีนั้นๆ