Cross-site Scripting
Ibrahim Raafat นักวิจัยความปลอดภัยจากอียิปต์รายงานปัญหาความปลอดภัย Cross Site Scripting (XSS) บนเว็บ Google Drive ด้วยการตั้งชื่อโฟลเดอร์ว่า ‘”><svg/onload=prompt(1337)>
จากนั้นจึงย้ายเอกสารเข้าไปในโฟลเดอร์นี้ แล้วย้ายเอกสารออกไปยังโฟลเดอร์อื่น จะทำให้โค้ดจาวาสคริปต์ถูกรัน
กูเกิลยอมรับปัญหานี้และแก้ปัญหาในเวลาต่อมา พร้อมกับจ่ายเงินรางวัลให้กับทีมงานเป็นเงิน 1337 ดอลลาร์
Raafat อธิบายว่าปัญหานี้เกิดจากโค้ดส่วนแจ้งเตือนผู้ใช้ที่แจ้งเตือนการย้ายเอกสารออกจากโฟลเดอร์ว่าผู้ใช้อื่นที่แชร์โฟลเดอร์อยู่จะมองไม่เห็นเอกสารอีกต่อไป โค้ดส่วนนี้ไม่ได้เช็คชื่อโฟลเดอร์ให้ดีทำให้แฮกเกอร์สามารถรันโค้ดได้เอง
Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์
Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ
คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่
ต่อจาก CSRF ปัญหาความปลอดภัยในเว็บที่พบได้มาก แต่ปัญหาอีกอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้
Mozilla ได้ปล่อยแพตซ์อุดช่องโหว่ให้กับไฟร์ฟ็อกซ์แล้วหลังจากมีการค้นพบช่องโหว่ประเภท Cross-Site Scripting (XSS) บนเบราว์เซอร์ โดยไฟร์ฟ็อกซ์รุ่นที่มีช่องโหว่ดังกล่าวได้แก่เวอร์ชัน 16.0.2, ESR 10.0.10, Thunderbird 16.0.2, Thunderbird ESR 10.0.10 และ SeaMonkey 2.13.2
จากกรณี Twitter โดน Cross-Site Scripting โจมตี รอบล่าสุด ก็มีการเปิดเผยแล้วว่าเป็นผลงานของ Pearce Delphin ชาวออสเตรเลียวัย 17 ปี
Delphin ให้สัมภาษณ์กับ AFP ว่าเขาต้องการทดลองดูว่าสามารถรันโค้ด JavaScript จากข้อความทวีตได้หรือไม่ (ซึ่งผลก็เห็นๆ กันแล้วว่าได้) แต่เขาไม่นึกว่ามันจะสร้างผลสะเทือนมากถึงขนาดนี้ ตอนที่เขาทวีตไม่เคยนึกเรื่องนี้มาก่อนเลย Delphin พัฒนาโค้ดนี้ขึ้นมาจากโค้ดของคนอื่น ที่ใช้สำหรับเปลี่ยนสีของหน้า profile ให้เป็นไปตามต้องการ
หนึ่งในผู้ได้รับผลกระทบจาก "mouseover bug" ในรอบนี้คือ Sarah Brown ภรรยาของอดีตนายกรัฐมนตรีอังกฤษ Gordon Brown
หลังจากเหตุการณ์ที่ Twitter โดน XSS Attack ไปครั้งแรกเมื่อปีที่แล้ว วันนี้เว็บ Twitter ก็โดน XSS Attack กันอีกรอบ โดยอาการของการถูกโจมตีในรอบนี้คือ เมื่อเหยื่อเข้าไปที่หน้าเว็บหลัก ก็จะติด Worm ในเครื่องทันที และเมื่อทำการอัพเดทสถานะ สถานะก็จะไม่ใช่ข้อความที่เหยื่อพิมพ์เข้าไป แต่จะเป็นลักษณะ Code HTML ออกมาแทน และเมื่อทำการลากเมาส์ผ่าน ก็จะถูก RT ข้อความนี้โดยอัตโนมัติ
จากเหตุการณ์ในครั้งนี้ ทำให้ Twitter ต้องทำการอุดช่องโหว่ของอาการนี้โดยเร็ว และสามารถอุดช่องโหว่ไปได้ แต่ Hacker เองก็ไม่ยอมแพ้ หาช่องโหว่จนสามารถเข้าโจมตีได้อีกครั้ง และ Twitter ก็ทำการอุดช่องโหว่นี้ไปอีกครั้งเมื่อเวลาสองทุ่มที่ผ่านมาครับ
เนื่องจากว่ากระผมเหลือบเข้าไปเห็นในหน้าเวปที่เกี่ยวข้องกับความปลอดภัยเจอเข้าอย่างจังเลย
เนื่องจากว่ามี Hacker คนหนึ่งได้ค้นพบโค้ด xss (cross-site scripting) ที่ซึ่งเป็นอันตรายต่อคนที่เข้าไปใช้ Facebook โดยโค้ดส่วนนี้ทำให้ผู้ใช้งานมีโอกาสที่จะติดไวรัส, โทรจันหรือ มัลแวร์ต่างๆ ได้ ดังนั้นทางแก้อันดับหนึ่งที่ผมคิดได้ตอนนี้คือ