Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ต ~ Windows Administrator Blog

Saturday, November 1, 2008

Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ต

By dtp 10:46:00 PM 1 comment

Clickjacking อีกหนึ่งภัยคุกคามของการใช้งานอินเทอร์เน็ต
บทความโดย: Thai Windows Administrator Blog

ภัยคุกคามผู้ใช้งานอินเทอร์เน็ตนั้น นับวันยิ่งจะมีมากขึ้นและมีภัยใหม่เกิดขึ้นเรื่อย อย่างไวรัส เวิร์ม ไทรจัน มีข่าวระบาดเกือบทุกวันจนแทบจะเป็นส่วนหนึ่งในชีวิตประจำวันของผู้ใช้อินเทอร์เน็ตไปแล้ว และปัจจุบันก็มีภัยอีกตัวหนึ่งเพิ่มขึ้นมา นั้นคือ Clickjacking ซึ่งคิดว่าหลายๆ ท่านคงเคยได้ทราบหรือได้ยินกันบ้างแล้ว

Clickjacking นั้นเป็นเทคนิคการโจมตีอันหนึ่งที่แฮกเกอร์ใช้ในการหลอกผู้ใช้ให้ทำการคลิกไฮเปอร์ลิงค์ของเว็บไซต์ที่ดูเรียบง่าย มีความน่าเชื่อถือ และไม่น่ามีพิษมีภัยอะไรแฝงอยู่ แต่เมื่อผู้ใช้คลิกลิงก์ดังกล่าวก็จะนำผู้ใช้ไปยังหน้าเว็บไซต์อื่นซึ่งไม่ใช่เว็บไซต์ที่ผู้ใช้คาดหวัง ขอยกตัวอย่างเพื่อให้เห็นภาพชัดเจนขึ้นดังนี้

ตัวอย่างการทำ Clickjacking
แฮกเกอร์ส่งอีเมลถึงผู้ใช้โดยแนบไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ เมื่อผู้ใช้เปิดอ่านอีเมลและเห็นไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ ผู้ใช้จึงทำการคลิกที่ไฮเปอร์ลิงค์ดังกล่าวเพื่อที่จะเข้าไปยังเว็บไซต์ abc.com แต่แทนที่จะไปยังหน้าเว็บไซต์ abc.com แต่เว็บบราวเซอร์กลับนำผู้ใช้เข้าไปยังเว็บไซต์ xxx.com ซึ่งเป็นเว็บไซต์ขายสินค้า เป็นต้น

โดยจากรายงานบนเว็บไซต์ US-Cert กล่าวว่า เทคนิคการทำ Clickjacking นี้จะมีผลกับเว็บบราวเซอร์ส่วนใหญ่ที่เป็นที่นิยมใช้งานกันอยู่ในปัจจุบัน เช่น Apple Safari, Google Chrome, Internet Explorer, Mozilla Firefox และ Opera และที่สำคัญยังไม่มีอัพเดท (Update) หรือฮอตฟิกซ์ (Hotfix) สำหรับใช้ทำการปิดช่องโหว่ดังกล่าวนี้

วิธีการป้องกัน Clickjacking
สำหรับวิธีการป้องกันนั้น ผู้เชี่ยวชาญด้านความปลอดภัยได้แนะนำผู้ใช้ให้ปิดการใช้งาน Scripting และ Plug-ins (Add-ons) ของเว็บบราวเซอร์จนกว่าจะมีอัพเดทหรือฮอตฟิกซ์สำหรับปิดช่องโหว่ โดยยูสเซอร์ที่ใช้งาน Mozilla Firefox สามารถใช้โปรแกรม NoScript (ดาวน์โหลดได้จากเว็บไซต์ http://noscript.net/) ช่วยในการปิดการทำงานของ Script ได้

ที่มา:
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=210604261&subSection=All+Stories

Clickjacking

© 2008 Thai Windows Administrator, All Rights Reserved.

ไมโครซอฟท์เตรียมออกอัปเดทปิดช่องโหว่ร้ายแรงใน Internet Explorer และ Windows ในสัปดาห์หน้าไมโครซอฟท์ประกาศออกอัปเดทจำนวน 6 ตัวในการออกอัปเดทความปลอดภัยเดือนกรกฎาคม 2557 ที่จะออกในวันอังคารที่ 8 นี้ โดยเดือนนี้จะเป็นการปิดช่องโหว่ความปลอดภัยใน Windows และ Internet Explorer (IE) เท่านั้น สำหรับ IE นั้นจะมีผลกับทุกเว… Read More
ไมโครซอฟท์ปิดช่องโหว่ร้ายแรง 66 จุด ใน Windows, Internet Explorer และ Office, ผู้ใช้ Windows 8.1 ต้องติดตั้ง Windows 8.1 Update เพื่อรับอัปเดทต่อ10 มิถุนายน 2557: ไมโครซอฟท์ออกอัปเดทความปลอดภัยเดือนมิถุนายนแล้ว ซึ่งเป็นอีกครั้งที่มีการออกอัปเดทสำหรับปิดช่องโหว่ความปลอดภัยร้ายแรงใน Internet Explorer (IE) บน Windows ทุกเวอร์ชันยกเว้น Windows XP ที่หมดเวลาการสนับสนุนแล้ว… Read More
โอราเคิลอออ Java Runtime Environment 7 Update 60 เพื่อปรับปรุงการทำงานอัปเดท (28 พฤษภาคม 2557): โอราเคิลออก Java Runtime Environment 7 Update 60 เพื่อปรับปรุงการทำงาน อ่านรายละเอียดได้จากรีลีสโน้ตในแหล่งข้อมูลอ้างอิง [ต้นฉบับ] Java Runtime Environment (JRE) เป็นปลั๊ก-อินสำหรับใช้รันแอพพลิเคชั… Read More
พบช่องโหว่ความปลอดภัยร้ายแรงใน Microsoft Malware Protection Engine ของโปรแกรมแอนตี้มัลแวร์ของไมโครซอฟท์ไมโครซอฟท์ประกาศเตือนผู้ใช้ Windows ที่ทำการติดตั้งใช้งานโปรแกรมแอนตี้มัลแวร์ของไมโครซอฟท์ (ตามรายชื่อด้านล่าง) ให้ระวังการโจมตีผ่านทางช่องโหว่ความปลอดภัย CVE-2014-2779 ที่พบใน Microsoft Malware Protection Engine จากแฮกเกอร์ … Read More
ไมโครซอฟท์เตรียมแพตช์ช่องโหว่ร้ายแรงใน Internet Explorer บน Windows ทุกเวอร์ชันยกเว้น Windows XP (อีกครั้ง)ไมโครซอฟท์ปิดช่องโหว่ร้ายแรง 66 จุด ใน Windows, Internet Explorer และ Office [10 มิถุนายน 2557] ไมโครซอฟท์ประกาศออกอัปเดทความปลอดภัยเดือนมิถุนายน 2557 จำนวน 7 ตัวในการออกอัปเดทความปลอดภัยในวันอังคารหน้า ในอัปเดทจำนวน 7 นี้มี… Read More