ไมโครซอฟท์เสียหน้า...อีกแล้ว
ต้นฉบับ เขียนโดย Giovanni Delvecchio & Roberto Preatoni (www.zone-H.org) แปลและเรียบเรียง:jomer
วันพุทธที่ 27 มิถุนายน 2550
ก่อนหน้านี้ไม่นาน(ดูหัวข้อไมโครซอฟท์...เสียหน้า)ที่เว็บไซต์ไมโครซอฟท์ถูกเปลี่ยนโฉมหน้า
(Microsoft defacement *) เมื่อวานนี้แครกเกอร์ชาวซาอุดิอาราเบียประสบความสำเร็จในการเปลี่ยนโฉม
หน้าเว็บไซต์ของไมโครซอฟท์ในอังกฤษ (Microsoft.co.uk) ในหน้าเพจที่ http://www.microsoft.co.uk/events/net/eventdetail.aspx?eventid=8399.
ในเวลานี้หน้าเว็บเพจที่ถูกแปลงโฉมนี้ก็ยังโชว์หราอยู่ ถึงแม้ว่าไม่ใช่ทุกเว็บบราวส์เซอร์จะสามารถแสดงมันได้
เนื่องจากมีผู้ใช้หลายคนพยายามที่จะดาวน์โหลด Hacker's injected CSS(Cascading Style Sheet*) ของผู้โจมตีรายนี้ ที่อยู่ในโฮสต์ภายนอก h.1asphhost.com ซึ่งตอนนี้กรรมตามสนองเพราะตอบสนองช้าเป็นเต่าคลาน หลังจากโดนผู้ใช้จำนวนมหาศาลร้องขอไปยังโฮสต์นี้เพื่อดาวน์โหลด
โดยการวิเคราะห์ HTML ซอร์สโค้ด ของหน้าเว็บเพจที่ถูกโจมตีเราจะเห็นบางส่วนที่ "พิเศษ" ของโค้ด HTML (ไม่ขอแสดงโค้ดทางเทคนิคในที่นี้ดูโค้ดทั้งหมดได้จาก www.zone-H.org)
เทคนิคที่ผู้โจมตีใช้เพื่อเปลี่ยนแปลงหน้าเว็บเพจคือการโจมตีผ่านทางจุดบกพร่อง(flaw)ของ SQL เรียกว่า SQL injection*
หลังจากการตรวจสอบเราเจอวิธีที่ผู้โจมตีสั่งรันสคริปต์สำหรับโจมตีจากเว็บไซต์อื่น(Cross Site Scripting attacks)
ผู้โจมตี ใช้ประโยชน์จากการใช้ SQL injection(ดูรายละเอียดได้จาก en.wikipedia.org/wiki/SQL_injection)เพื่อจะป้อน โค้ด HTML ประสงค์ร้ายในส่วนซอร์สโค้ดของหน้าเว็บเพจที่จะถูกอ่านทุกครั้งที่หน้าเว็บเพจถูกเรียกขึ้นมา ดังนั้นทุกครั้งที่หน้าเว็บเพจนี้ถูกเรียกขึ้นมาโดยผู้ใช้โค้ดร้ายของผู้โจมตีนี้ก็จะทำงาน
และเรียกหน้าเว็บเพจที่ถูกเปลี่ยนโฉมแล้วขึ้นมาแทน
เราพิจารณาแล้วเห็นว่าไมโครซอฟท์ดาต้าเบสจะเป็นอื่นไปไม่ได้นอกจาก
Microsoft SQL Server
หน้าเว็บเพจที่ถูกเปลี่ยนโฉมแล้วเป็นดังนี้
*Microsoft defacement(Web defacement) หมายถึง การที่ผู้ที่ไม่ได้รับอนุญาติทำการเปลี่ยนแปลงหน้าตาของเวปไซต์เดิมไปเป็นแบบที่เขาหรือเธอต้องการโดยการโจมตีผ่านช่องโหว่ต่างๆ ของเว็บไซต์นั้น ในที่นี้ใช้วิธีที่เรียกว่า SQL injection โดยเปลี่ยนโฉมแค่หน้าเพจใดเพจหนึ่งหรือหลายหน้าแล้วแต่กรณี
*Hacker's injected CSS(Cascading Style Sheet) หมายถึง โปรแกรมสำหรับเขียนโค้ด HTML หรือ style sheet ในที่นี้คือโปรแกรม CSS ของผู้โจมตี(Hacker หรือ Cracker)
ดาวน์โหลดไฟร์ฟ็อกซ์พร้อมด้วยกูเกิลทูลบาร์
ศูนย์รวมบล็อกประเทศไทย
Rainbow Warrior
Wastewater
Melting Ice
Valentine's Rose
Lacuna Coil
Breaking Benjamin
Green Day
Silverchair
Theatre of Tragedy
Darling Violetta
Poets of The Fall
Mary Elizabeth McGlynn
Nickel Back
Train
Fine Again-Seether
Heaven's A Lie-Lacuna Coil
Late Goodbye Poets of The Fall
Carnival of Rust-Poets of The Fall
What I've Done-Linkin Park
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น