TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เว็บไซต์ Threat Post ของ Kaspersky ได้รายงานถึงช่องโหว่ที่ค้นพบบน Platform ชื่อดังชั้นนำในช่วงปีที่ผ่านมานี้แต่เพิ่งมีการเปิดเผย ซึ่งถึงแม้ช่องโหว่เหล่านี้จะทำการอุดเรียบร้อยแล้วก็ตาม นักพัฒนาชาวไทยก็ควรศึกษาเอาไว้เป็นอุทาหรณ์ในการพัฒนาระบบต่างๆ ให้มีความปลอดภัยมากขึ้น ในขณะที่เหล่าผู้ใช้งานบริการต่างๆ ก็ควรทำความเข้าใจและใช้งานระบบต่างๆ อย่างระมัดระวังและไม่ประมาท ดังนี้
ช่องโหว่บน PayPal
ช่องโหว่แรกที่ค้นพบบน PayPal นั้นคือการ Bypass การตรวจสอบความเป็นเจ้าของ Account ได้ โดยถึงแม้ผู้โจมตีจะทำการล็อกอินผิดพลาดจนถูกบล็อก หรือเปิด 2-factor Authentication เอาไว้ก็ตาม โดยการใช้ Mobile API ร่วมกับการสลับเปลี่ยน Cookie ที่หมดอายุแล้วไปเป็นอันที่ยังไม่หมดอายุนั่นเอง
นอกจากนี้ยังมีการค้นพบช่องโหว่ Open Web Redirection และ Cross-site Scripting ซึ่งนำไปสู่การโจมตีให้ผู้ใช้งานซื้อสินค้าหรือโอนเงินได้
ช่องโหว่บน Yahoo Gemini
Yahoo Gemini คือระบบ Marketplace และ Mobile/Native Ads ของ Yahoo นั้นก็ถูกค้นพบช่องโหว่ที่เปิดให้ทำ Cross Site Request Forgery (CSRF) ได้ ซึ่งก็จะทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายเพื่อหลอกให้ผู้ใช้งานทำการเปิด Browser Request ไปพร้อมๆ กับข้อมูล Session ได้จาก Client App
ช่องโหว่บน Magento และ Shopify
มีการค้นพบช่องโหว่ Persistent File Name บนทั้ง 2 ระบบนี้ และทำให้ผู้โจมตีสามารถแทรกโค้ดที่ใช้ทำการโจมตีไปยังฝั่ง Application ได้ผ่านการ Upload ไฟล์ ไม่ว่าจะเป็นการทำ Session Hijacking, Persistent Phishing, Persistent Redirect และอื่นๆ อีกมากมาย รวมถึงยังการค้นพบ Cross Site Request Forgery และ Cross-site Scripting บน Magento อีกด้วย
สำหรับผู้ที่อยากศึกษาเพิ่มเติม แนะนำให้เข้าไปอ่านลิงค์ต้นทางซึ่งจะมี URL ย่อยอธิบายแต่ละ Vulnerability เพิ่มเติมได้เลยที่ https://threatpost.com/researchers-outline-vulnerabilities-in-yahoo-paypal-magento-apps/114644/ นะครับ ส่วนใครอยากศึกษารูปแบบการโจมตีต่างๆ ที่หลากหลาย ลองไล่อ่านดูที่ http://www.vulnerability-lab.com/ ได้เลยครับ
