Thursday, July 8, 2010

Home » , » Cross Site Scripting (XSS) Bug Found on YouTube

Cross Site Scripting (XSS) Bug Found on YouTube

By  8:27:00 AM  No comments
แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog

ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก

โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"

สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber

นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้

"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."

โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บนทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้

อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบนหน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับอนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น

แหล่งข้อมูลอ้างอิง
Softpedia

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • 10 อันดับไวรัสที่ระบาดทั่วโลก (ก.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลกเดือนกรกฎาคม 2552บทความโดย: Thai Windows Administrator Blogสรุป 10 อันดับไวรัสที่ระบาดทั่วโลกในระหว่างเดือนกรกฎาคม 2552 ซึ่งรวบรวมจากข้อมูลการตรวจพบไวรัสคอมพิวเตอร์ของโปรแกรม 3 ตัวของ Trend Micro … Read More
  • Virus Alert: Trojan-Win32/Winwebsecระวังโทรจัน Win32/Winwebsecบทความโดย: Thai Windows Administrator Blogชื่อไวรัส: Trojan-Win32/Winwebsecวันที่ออกระบาด: 21 เมษายน 2552ชื่ออื่นๆ:System Security (other)Winweb Security (other)FakeAlert-WinwebSecurity.gen (McAfee)… Read More
  • ระวังเวิร์ม Conficker หรือ Downadup โจมตีวินโดวส์มีการเตือนผู้ใช้วินโดวส์ ให้ระวังเวิร์ม Conficker หรือ Downadup โจมตีระบบไมโครซอฟท์รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conficker หรือ W32/Downadup.AL ไวรั… Read More
  • 10 อันดับไวรัสที่ระบาดทั่วโลก (มี.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลก (มี.ค. 52)บทความโดย: Thai Windows Administrator BlogTrend Micro รายงาน 10 อันดับไวรัสที่ระบาดทั่วโลกในระหว่างเดือนมีนาคม 2552 ซึ่งเป็นข้อมูลที่ทำการรวบรวมจากการตรวจพบไวรัสคอมพิวเตอร์จากโปรแกรม 3 … Read More
  • 10 อันดับไวรัสที่ระบาดทั่วโลก (ก.พ. 52)10 อันดับไวรัสที่ระบาดทั่วโลก (ก.พ. 52)บทความโดย: Thai Windows Administrator BlogTrend Micro รายงาน 10 อันดับไวรัสที่ระบาดทั่วโลกในระหว่างเดือนกุมภาพันธ์ 2552 ซึ่งเป็นข้อมูลที่ทำการรวบรวมจากการตรวจพบไวรัสคอมพิวเตอร์จากโปรแกรม… Read More

0 Comment:

Post a Comment