นักวิจัยเปิดเผยช่องโหว่อันตรายบน Paypal, Yahoo, Magento และ Shopify

เว็บไซต์ Threat Post ของ Kaspersky ได้รายงานถึงช่องโหว่ที่ค้นพบบน Platform ชื่อดังชั้นนำในช่วงปีที่ผ่านมานี้แต่เพิ่งมีการเปิดเผย ซึ่งถึงแม้ช่องโหว่เหล่านี้จะทำการอุดเรียบร้อยแล้วก็ตาม นักพัฒนาชาวไทยก็ควรศึกษาเอาไว้เป็นอุทาหรณ์ในการพัฒนาระบบต่างๆ ให้มีความปลอดภัยมากขึ้น ในขณะที่เหล่าผู้ใช้งานบริการต่างๆ ก็ควรทำความเข้าใจและใช้งานระบบต่างๆ อย่างระมัดระวังและไม่ประมาท ดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com

 

ช่องโหว่บน PayPal

ช่องโหว่แรกที่ค้นพบบน PayPal นั้นคือการ Bypass การตรวจสอบความเป็นเจ้าของ Account ได้ โดยถึงแม้ผู้โจมตีจะทำการล็อกอินผิดพลาดจนถูกบล็อก หรือเปิด 2-factor Authentication เอาไว้ก็ตาม โดยการใช้ Mobile API ร่วมกับการสลับเปลี่ยน Cookie ที่หมดอายุแล้วไปเป็นอันที่ยังไม่หมดอายุนั่นเอง

นอกจากนี้ยังมีการค้นพบช่องโหว่ Open Web Redirection และ Cross-site Scripting ซึ่งนำไปสู่การโจมตีให้ผู้ใช้งานซื้อสินค้าหรือโอนเงินได้

 

ช่องโหว่บน Yahoo Gemini

Yahoo Gemini คือระบบ Marketplace และ Mobile/Native Ads ของ Yahoo นั้นก็ถูกค้นพบช่องโหว่ที่เปิดให้ทำ Cross Site Request Forgery (CSRF) ได้ ซึ่งก็จะทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายเพื่อหลอกให้ผู้ใช้งานทำการเปิด Browser Request ไปพร้อมๆ กับข้อมูล Session ได้จาก Client App

 

ช่องโหว่บน Magento และ Shopify

มีการค้นพบช่องโหว่ Persistent File Name บนทั้ง 2 ระบบนี้ และทำให้ผู้โจมตีสามารถแทรกโค้ดที่ใช้ทำการโจมตีไปยังฝั่ง Application ได้ผ่านการ Upload ไฟล์ ไม่ว่าจะเป็นการทำ Session Hijacking, Persistent Phishing, Persistent Redirect และอื่นๆ อีกมากมาย รวมถึงยังการค้นพบ Cross Site Request Forgery และ Cross-site Scripting บน Magento อีกด้วย

 

สำหรับผู้ที่อยากศึกษาเพิ่มเติม แนะนำให้เข้าไปอ่านลิงค์ต้นทางซึ่งจะมี URL ย่อยอธิบายแต่ละ Vulnerability เพิ่มเติมได้เลยที่ https://threatpost.com/researchers-outline-vulnerabilities-in-yahoo-paypal-magento-apps/114644/ นะครับ ส่วนใครอยากศึกษารูปแบบการโจมตีต่างๆ ที่หลากหลาย ลองไล่อ่านดูที่ http://www.vulnerability-lab.com/ ได้เลยครับ



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ไมโครซอฟท์แนะนำขั้นตอนเดียวสุดง่ายแต่ช่วยลดความเสี่ยงถูกแฮ็กบัญชีได้ถึง 99.9%

เหตุการณ์ระบาดของ COVID-19 ทั่วโลกได้ส่งผลกระทบในแง่ของระบบรักษาความปลอดภัยด้วยเช่นกัน ซึ่งเราได้พบว่าเหล่าแฮ็กเกอร์ก็อาศัยเหตุการณ์นี้สร้างรูปแบบการโจมตีใหม่ๆ ขึ้นมา ด้วยการมุ่งเป้าไปที่พนักงานในองค์กร ยูสเซอร์ทั่วไป หรือคนที่ไม่ได้เชี่ยวชาญไอทีมากนัก ด้วยการใช้เทคนิคอย่าง Phishing, credential harvesting และ trojanized payloads …

Microsoft เตือนอีกครั้ง! กรุณาแพตช์ช่องโหว่ Zerologon

เตือนกันมาหลายทีแล้วว่าเป็นช่องโหว่สำคัญจริงๆ สำหรับ Zerologon ซึ่งที่ Microsoft ยังออกมาพร่ำเตือนอยู่เพราะยังพบเห็นรายงานการโจมตีอยู่เรื่อยๆ ในหมู่ลูกค้าที่เก็บมาได้