Saturday, November 1, 2008

Clickjacking อีกภัยคุกคามของการใช้อินเทอร์เน็ต

Clickjacking อีกหนึ่งภัยคุกคามของการใช้งานอินเทอร์เน็ต
บทความโดย: Thai Windows Administrator Blog

ภัยคุกคามผู้ใช้งานอินเทอร์เน็ตนั้น นับวันยิ่งจะมีมากขึ้นและมีภัยใหม่เกิดขึ้นเรื่อย อย่างไวรัส เวิร์ม ไทรจัน มีข่าวระบาดเกือบทุกวันจนแทบจะเป็นส่วนหนึ่งในชีวิตประจำวันของผู้ใช้อินเทอร์เน็ตไปแล้ว และปัจจุบันก็มีภัยอีกตัวหนึ่งเพิ่มขึ้นมา นั้นคือ Clickjacking ซึ่งคิดว่าหลายๆ ท่านคงเคยได้ทราบหรือได้ยินกันบ้างแล้ว

Clickjacking นั้นเป็นเทคนิคการโจมตีอันหนึ่งที่แฮกเกอร์ใช้ในการหลอกผู้ใช้ให้ทำการคลิกไฮเปอร์ลิงค์ของเว็บไซต์ที่ดูเรียบง่าย มีความน่าเชื่อถือ และไม่น่ามีพิษมีภัยอะไรแฝงอยู่ แต่เมื่อผู้ใช้คลิกลิงก์ดังกล่าวก็จะนำผู้ใช้ไปยังหน้าเว็บไซต์อื่นซึ่งไม่ใช่เว็บไซต์ที่ผู้ใช้คาดหวัง ขอยกตัวอย่างเพื่อให้เห็นภาพชัดเจนขึ้นดังนี้

ตัวอย่างการทำ Clickjacking
แฮกเกอร์ส่งอีเมลถึงผู้ใช้โดยแนบไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ เมื่อผู้ใช้เปิดอ่านอีเมลและเห็นไฮเปอร์ลิงค์ของเว็บไซต์ abc.com ซึ่งเป็นเว็บไซต์ที่เป็นที่รู้จักและมีความน่าเชื่อถือ ผู้ใช้จึงทำการคลิกที่ไฮเปอร์ลิงค์ดังกล่าวเพื่อที่จะเข้าไปยังเว็บไซต์ abc.com แต่แทนที่จะไปยังหน้าเว็บไซต์ abc.com แต่เว็บบราวเซอร์กลับนำผู้ใช้เข้าไปยังเว็บไซต์ xxx.com ซึ่งเป็นเว็บไซต์ขายสินค้า เป็นต้น

โดยจากรายงานบนเว็บไซต์ US-Cert กล่าวว่า เทคนิคการทำ Clickjacking นี้จะมีผลกับเว็บบราวเซอร์ส่วนใหญ่ที่เป็นที่นิยมใช้งานกันอยู่ในปัจจุบัน เช่น Apple Safari, Google Chrome, Internet Explorer, Mozilla Firefox และ Opera และที่สำคัญยังไม่มีอัพเดท (Update) หรือฮอตฟิกซ์ (Hotfix) สำหรับใช้ทำการปิดช่องโหว่ดังกล่าวนี้

วิธีการป้องกัน Clickjacking
สำหรับวิธีการป้องกันนั้น ผู้เชี่ยวชาญด้านความปลอดภัยได้แนะนำผู้ใช้ให้ปิดการใช้งาน Scripting และ Plug-ins (Add-ons) ของเว็บบราวเซอร์จนกว่าจะมีอัพเดทหรือฮอตฟิกซ์สำหรับปิดช่องโหว่ โดยยูสเซอร์ที่ใช้งาน Mozilla Firefox สามารถใช้โปรแกรม NoScript (ดาวน์โหลดได้จากเว็บไซต์ http://noscript.net/) ช่วยในการปิดการทำงานของ Script ได้

ที่มา:
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=210604261&subSection=All+Stories

Clickjacking

© 2008 Thai Windows Administrator, All Rights Reserved.

1 Comment:

Anonymous said...

มีข้อมูลเยอะกว่านี้มั้ย ครับ อยากได้ครับจะเอาไปทำรายงาน