Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ต ~ Windows Administrator Blog

Saturday, November 1, 2008

Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ต

By dtp 10:46:00 PM 1 comment

Clickjacking อีกหนึ่งภัยคุกคามของการใช้งานอินเทอร์เน็ต
บทความโดย: Thai Windows Administrator Blog

ภัยคุกคามผู้ใช้งานอินเทอร์เน็ตนั้น นับวันยิ่งจะมีมากขึ้นและมีภัยใหม่เกิดขึ้นเรื่อย อย่างไวรัส เวิร์ม ไทรจัน มีข่าวระบาดเกือบทุกวันจนแทบจะเป็นส่วนหนึ่งในชีวิตประจำวันของผู้ใช้อินเทอร์เน็ตไปแล้ว และปัจจุบันก็มีภัยอีกตัวหนึ่งเพิ่มขึ้นมา นั้นคือ Clickjacking ซึ่งคิดว่าหลายๆ ท่านคงเคยได้ทราบหรือได้ยินกันบ้างแล้ว

Clickjacking นั้นเป็นเทคนิคการโจมตีอันหนึ่งที่แฮกเกอร์ใช้ในการหลอกผู้ใช้ให้ทำการคลิกไฮเปอร์ลิงค์ของเว็บไซต์ที่ดูเรียบง่าย มีความน่าเชื่อถือ และไม่น่ามีพิษมีภัยอะไรแฝงอยู่ แต่เมื่อผู้ใช้คลิกลิงก์ดังกล่าวก็จะนำผู้ใช้ไปยังหน้าเว็บไซต์อื่นซึ่งไม่ใช่เว็บไซต์ที่ผู้ใช้คาดหวัง ขอยกตัวอย่างเพื่อให้เห็นภาพชัดเจนขึ้นดังนี้

ตัวอย่างการทำ Clickjacking
แฮกเกอร์ส่งอีเมลถึงผู้ใช้โดยแนบไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ เมื่อผู้ใช้เปิดอ่านอีเมลและเห็นไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ ผู้ใช้จึงทำการคลิกที่ไฮเปอร์ลิงค์ดังกล่าวเพื่อที่จะเข้าไปยังเว็บไซต์ abc.com แต่แทนที่จะไปยังหน้าเว็บไซต์ abc.com แต่เว็บบราวเซอร์กลับนำผู้ใช้เข้าไปยังเว็บไซต์ xxx.com ซึ่งเป็นเว็บไซต์ขายสินค้า เป็นต้น

โดยจากรายงานบนเว็บไซต์ US-Cert กล่าวว่า เทคนิคการทำ Clickjacking นี้จะมีผลกับเว็บบราวเซอร์ส่วนใหญ่ที่เป็นที่นิยมใช้งานกันอยู่ในปัจจุบัน เช่น Apple Safari, Google Chrome, Internet Explorer, Mozilla Firefox และ Opera และที่สำคัญยังไม่มีอัพเดท (Update) หรือฮอตฟิกซ์ (Hotfix) สำหรับใช้ทำการปิดช่องโหว่ดังกล่าวนี้

วิธีการป้องกัน Clickjacking
สำหรับวิธีการป้องกันนั้น ผู้เชี่ยวชาญด้านความปลอดภัยได้แนะนำผู้ใช้ให้ปิดการใช้งาน Scripting และ Plug-ins (Add-ons) ของเว็บบราวเซอร์จนกว่าจะมีอัพเดทหรือฮอตฟิกซ์สำหรับปิดช่องโหว่ โดยยูสเซอร์ที่ใช้งาน Mozilla Firefox สามารถใช้โปรแกรม NoScript (ดาวน์โหลดได้จากเว็บไซต์ http://noscript.net/) ช่วยในการปิดการทำงานของ Script ได้

ที่มา:
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=210604261&subSection=All+Stories

Clickjacking

© 2008 Thai Windows Administrator, All Rights Reserved.

Oracle ออก Java 7 Update 25 เพื่อแก้ช่องโหว่ความปลอดภัยร้ายแรง 40 จุดโอราเคิลออก Java 7 Update 25 (1.7.0.25) เพื่อปิดช่องโหว่ความปลอดภัยร้ายแรงจำนวน 40 จุด โดยที่ 37 จุดสามารถใช้บุกรุกเข้าระบบจากระยะไกลผ่านทางเครือข่ายโดยไม่ต้องตรวจสอบตัวตน (ไม่ต้องผ่านการตรวจสอบชื่อผู้ใช้และรหัสผ่าน) ได้ ส่วน… Read More
พบช่องโหว่ Zero-Day ใน Windows XP และ Windows Server 2003 - ไมโครซอฟท์ออกแพตช์สำหรับปิดช่องโหว่วันที่ 14 มกราคม 255710 มกราคม 2557: ไมโครซอฟท์จะออกแพตช์เพื่อปิดช่องโหว่ Microsoft Windows Kernel บน Windows XP และ Windows Server 2003 ในการออกอัปเดทความปลอดภัยเดือนมกราคม 2557 ซึ่งจะออกในวันอังคารที่ 14 นี้ อ่านรายละเอียด [เนื้อหาต้นฉบับ] ไมโ… Read More
Adobe ออก Adobe Reader XI (11.0.05) for Windows เพื่อปิดช่องโหว่ความปลอดภัยร้ายแรงอะโดบีออก Adobe Reader XI (11.0.05) เวอร์ชันสำหรับ Windows เพื่อแก้ปัญหาการถดถอยของระบบควบคุมความปลอดภัยของจาวาสคริปต์ส่งผลให้สามารถรันจาวาสคริปต์ได้เมื่อเปิดไฟล์เอกสาร PDF ด้วยเบราเซอร์ ซึ่งแฮกเกอร์อาจใช้เป็นช่องทางเพื่อโจมต… Read More
ไมโครซอฟท์ยกเลิก Digital Certificates ที่ออกโดยไม่ถูกต้องออกจาก Certificate Trust List มีผลกระทบ Windows ทุกเวอร์ชันเนื่องจากมีการออกใบรับรองดิจิตอลโดยไม่ถูกต้องโดย Directorate General of the Treasury (DG Trésor) ซึ่งเป็นหน่วยงานของรัฐบาลฝรั่งเศส (ANSSI) ไมโครซอฟท์จึงทำการลบใบรับรองดิจิตอลเหล่านั้นออกจาก Certificate Trust List (CTL) โดยจะม… Read More
Java Runtime Environment 7 Update 45 แก้ช่องโหว่ความปลอดภัยร้ายแรงที่ใช้ควบคุมระบบได้โอราเคิลออกอัพเดทเพื่อแก้ปัญหาช่องโหว่ความปลอดภัยในซอฟต์แวร์ต่างๆ รวมถึงโปรแกรม Java Runtime Environment (JRE) ซึ่งเป็นปลั๊ก-อินสำหรับใช้รันแอพพลิเคชันประเภท Java applet บนเว็บเบราเซอร์ได้ JRE ตกเป็นเป้าหมายการโจมตีของแฮกเกอร… Read More