Cross Site Scripting (XSS) Bug Found on YouTube ~ Windows Administrator Blog

Thursday, July 8, 2010

Cross Site Scripting (XSS) Bug Found on YouTube

By dtp 8:27:00 AM No comments

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog

ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก

โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"

สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber

นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้

"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."

โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บนทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้

อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบนหน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับอนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น

แหล่งข้อมูลอ้างอิง
• Softpedia

© 2010 TWA Blog. All Rights Reserved.

Antimalware Engine 1.1.8403.0 released to Microsoft Security Essentialsไมโครซอฟท์อัปเดท Antimalware Engine ของโปรแกรม Microsoft Security Essentials เป็นเวอร์ชัน 1.1.8403.0 16 พฤษภาคม 2555: ไมโครซอฟท์อัปเดทแอนตี้มัลแวร์เอนจินของโปรแกรม Microsoft Security Essentials (MSE) เป็นเวอร์ชัน 1.1.8403.0 โ… Read More
Microsoft will release 6 updates to address 11 vulnerabilities in Windows, Office, IE, Forefront UAG and .NET Framework next weekไมโครซอฟท์เตรียมออก 6 อัปเดทในสัปดาห์หน้าเพื่อแก้ 11 ช่องโหว่ความปลอดภัยในระบบ Windows, Office, Internet Explorer, Forefront UAG และ .NET Framework มี 4 อัปเดทสำหรับแก้ปัญหาร้ายแรงวิกฤต 11 เมษายน 2555: ไมโครซอฟท์ออก Patch Tu… Read More
Microsoft will release 7 updates to address 23 vulnerabilities in Windows, Office, Silverlight, and .NET Framework in May 2012 Security Updateไมโครซอฟท์เตรียมออกอัปเดทความปลอดภัยเดือนพฤษภาคม 7 ตัว เพื่อปรับปรุง 23 ช่องโหว่ความปลอดภัยใน Windows, Office, Silverlight และ .NET Framework 9 พฤษภาคม 2555: ไมโครซอฟท์ออกอัปเดทความปลอดภัยเพื่อปรับปรุงช่องโหว่ความปลอดภัยร้าย… Read More
New Windows Live SkyDrive optimized with HTML5, faster, easier, more beautifulไมโครซอฟท์ปรับปรุง SkyDrive โดยใช้ HTML5 เพื่อให้ทำงานเร็วขึ้น ใช้งานง่ายขึ้น และสวยงามมากขึ้น วันที่ 21 มิถุนายน 2554 ที่ผ่านมา ไมโครซอฟท์ได้ทำการปรับปรุงบริการ SkyDrive ซึ่งเป็นบริการพื้นที่เก็บข้อมูลแบบกลุ่มเมฆ (Cloud) ฟรี… Read More
Antimalware Engine 1.1.8304.0 released to Microsoft Security Essentialsไมโครซอฟท์อัปเดท Antimalware Engine ของโปรแกรม Microsoft Security Essentials เป็นเวอร์ชัน 1.1.8304.0 24 เมษายน 2555: ไมโครซอฟท์ออกโปรแกรม Microsoft Security Essentials 4.0 เวอร์ชันเต็มแล้ว 18 เมษายน 2555: ไมโครซอฟท์อัปเดทแอ… Read More