ประวัติการโจมตี XSS


จากที่ทาง www.datasafehouse.net ซึ่งเป็นบริการเสริมสร้างความปลอดภัยให้กับเว็บไซต์ได้เปิดเผยสถิติเกี่ยวกับเว็บไซต์ในประเทศไทยที่มีความเสี่ยงต่อการโจมตีมีถึง 41 เว็บ (รายละเอียด) ส่วนใหญ่แล้วเป็นช่องโหว่เว็บที่เกิดจากเทคนิคที่เรียกว่า XSS

สืบเนื่องมาจากบทความการโจมตี XSS ตอนที่ 1 ในเว็บ SRAN
ผมจึงขอนำประวัติการโจมตีชนิดนี้มาเล่าสู่กันฟัง
ช่องโหว่ cross-site scripting นับร้อยเหตุการณ์ที่เกิดขึ้น แต่ในที่นี้จะยกเพียงไม่กี่ตัวอย่างเพื่อแสดงให้เห็นภาพของช่องโหว่ชนิดต่าง ๆ ดังต่อไปนี้

ตัวอย่างของช่องโหว่ชนิด 0 ที่ครั้งหนึ่งพบในหน้าที่ใช้แสดงข้อผิดพลาดของ Bugzilla ซึ่งใช้จาวาสคริปต์เพื่อเขียน URL ปัจจุบันผ่านทางตัวแปร document.location ไปยังหน้านั้นโดยไม่มีการแปลงหรือกรองข้อมูล ในกรณีนี้ผู้โจมตีที่สามารถควบคุม URL ดังกล่าวอาจสามารถส่งสคริปต์ ทั้งนี้ขึ้นอยู่กับพฤติกรรมของเว็บเบราว์เซอร์ ที่ใช้ด้วย ช่องโหว่นี้ได้รับการแก้ไขโดยการแปลงข้อมูลอักขระพิเศษในสายอักขระ document.location ก่อนที่จะเขียนมันลงในหน้าหน้าดังกล่าว

ตัวอย่างที่มีชื่อเสียงของช่องโหว่ XSS ชนิด 1 : ช่องโหว่สองประเด็นในเว็บไซต์ Google.com ที่ค้นพบและเผยแพร่โดย Yair Amit ในเดือนธันวาคม คศ. 2005 ช่องโหว่นี้เหล่านี้ยอมให้ผู้โจมตีสามารถปลอมตัวเป็นพนักงานของ Google หรือใช้เพื่อการโจมตีฟิชชิ่ง บทความนี้เผยแพร่วิธีหลบหลีกวิธีการรับมือกับการโจมตี XSS โดยการแปลงข้อมูลเป็นแบบ UTF-7

ช่องโหว่ XSS ชนิดที่ 1 ถูกโจมตีอย่างขบขัน 2 ครั้งด้วยกัน : ในเดือนสิงหาคม คศ. 2006 ผ่านทางข่าวย่อที่กุขึ้นที่อ้างว่าประธานาธิบดีบุชแต่งตั้งให้เด็กชายวัยเก้าขวบเป็นประธานของกระทรวงความปลอดภัยสารสนเทศ มีการทำให้คำอ้างนี้น่าเชื่อถือโดยอ้างถึงลิงค์ข่าวของ cbsnews.com และ www.bbc.co.uk เว็บไซต์ทั้งสองแห่งเคยมีช่องโหว่ XSS ที่แตกต่างกันซึ่งยอมให้ผู้โจมตีสามารถใส่บทความที่ต้องการเข้าไปได้

พบตัวอย่างของช่องโหว่ชนิด 2 ใน Hotmail ในเดือนตุลาคม คศ. 2001 โดย Marc Slemko ช่องโหว่ยอมนี้ยอมให้ผู้โจมตีสามารถขโมยเซสชั่นคุกกี้ของผู้ใช้ Microsoft .NET Passport ได้ การโจมตีช่องโหว่นี้ประกอบด้วยการส่งอีเมลมุ่งร้ายไปยังผู้ใช้ Hotmail อีเมลนี้ประกอบด้วยโค้ดเอชทีเอ็มแอลที่ผิดปกติ โค้ดที่ใช้ในการกลั่นกรองสคริปต์ในไซต์ของ Hotmail ไม่สามารถกำจัดโค้ดเอชทีเอ็มแอลที่ผิดปกตินี้ออกไปได้และอัลกอริทึมที่ใช้ในการวิเคราะห์คำของ Internet Explorer ก็ไม่ขัดข้องที่จะตีความโค้ดมุ่งร้ายนี้ ปัญหานี้ได้รับการแก้ไขอย่างรวดเร็ว แต่ยังคงพบปัญหาที่คล้ายคลึงกันหลาย ๆ ประเด็นใน Hotmail และไซต์ของ Passport ในเวลาต่อมาอีกด้วย

Netcraft ประกาศเมื่อวันที่ 16 มิถุนายน คศ. 2006 ถึงการค้นพบช่องโหว่ด้านความปลอดภัยในเว็บไซต์ของ Paypal ที่กำลังถูกโจมตีเพื่อขโมยหมายเลขบัตรเครดิตและข้อมูลส่วนตัวต่าง ๆ ของผู้ใช้ Paypal Netcraft ได้รับรายงานถึงปัญหาดังกล่าวผ่านทางทูลบาร์ที่ใช้เพื่อป้องกันการโจมตีฟิชชิ่งของพวกเขาเอง หลังจากนั้นไม่นาน Paypal รายงานว่ามีการเปลี่ยนแปลงโค้ดในเว็บไซต์ของ Paypal เพื่อกำจัดช่องโหว่ดังกล่าวออกไป

วันที่ 13 ตุลาคม คศ. 2005 ผู้ที่ใช้ชื่อว่า Samy ได้โจมตีช่องโหว่ด้านความปลอดภัยใน MySpace ทำให้มี friend request ส่งมายังโปรไฟล์ของผู้สร้างนับล้านครั้ง จัดอยู่ในช่องโหว่ชนิด 2 มันใช้ XMLHttpRequests จำนวนมากเพื่อแพร่กระจายตัวมันเอง

ช่องโหว่ XSS ในซอฟท์แวร์สมุดเยี่ยม Community Architech ค้นพบโดย Susam Pal เมื่อ 19 เมษายน คศ. 2006 ผู้ประสงค์ร้ายอาจสามารถใช้ช่องโหว่นี้เพื่อใส่สคริปต์ที่ต้องการได้ ทำให้บริการเว็บโฮสติ้งจำนวนมากซึ่งใช้ซอฟท์แวร์สมุดเยี่ยมดังกล่าวจึงอาจถูกโจมตีโดยใช้ช่องโหว่นี้ได้

วันที่ 8 พฤศจิกายน คศ. 2006 Rajesh Sethumadhavan ค้นพบช่องโหว่ชนิด 2 ในเว็บไซต์ social network ที่ชื่อว่า Orkut ซึ่งอาจยอมให้สมาชิกของเว็บไซต์ดังกล่าวสามารถใส่โค้ดเอชทีเอ็มแอลและจาวาสคริปต์ในโปรไฟล์ของพวกเขาได้ Rodrigo Lacerda ใช้ช่องโหว่นี้เพื่อสร้างสคริปต์ที่ใช้เพื่อขโมยคุกกี้ที่เรียกว่า Orkut Cookie Exploit ซึ่งถูกใส่เข้าไปในโปรไฟล์ Orkut ของสมาชิกที่ประสงค์ร้าย เพียงแต่เปิดดูโปรไฟล์เหล่านี้ ก็จะทำให้ข้อมูลเกี่ยวกับเหยื่อถูกส่งไปยังแอคเคาท์ปลอมของผู้โจมตี วันที่ 12 ธันวาคม Orkut ได้แก้ช่องโหว่นี้แล้ว

ข้อมูลจากป้อม Infosec

ข้อมูลเสริม
สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทย http://zemog.sran.org
สถิติเว็บไซต์ในประเทศไทยที่มีความเสี่ยง http://www.datasafehouse.net/xssthai.php
รูปนำมาแสดงในเว็บจาก http://www.techmynd.com/tag/antivirus/

นนทวรรธนะ สาระมาน
Nontawattana Saraman