หน้าเว็บ

วันอังคารที่ 6 พฤษภาคม พ.ศ. 2557

HTML 5 Hacking – ClickJacking

Credit By: http://www.mindterra.com/


HTML 5 Hacking – ClickJacking

 BY ·0 COMMENT
สวัสดีคับเพื่อนๆ วันนี้ผมจะมาแนะนำเพื่อนๆ ให้รู้จักกับเทคนิคนึงที่นิยมใช้กันในยุคที่เราจะก้าวเข้าสู่ HTML5 นั่นก็คือ Clickjacking คับ 
หลังจากที่ HTML (Hypertext Markup Language) ที่ได้กำเนิดมาเป็นระยะเวลากว่า 22 ปีเศษ (นับตั้งแต่ปี 1991) ด้วยความสามารถที่ง่ายต่อการใช้งานและพัฒนา ต่อมาในปี 1996 ได้มีการนำเอา Javascript มาใช้งานร่วมกับ HTML ทำให้เกิดช่องโหว่สุดฮิตอย่าง Cross-Site Script(XSS) ที่ยังลุกลามมาจนถึงปัจจุบัน กระทั่งเมื่อปี 2009 ได้มีการเปิดตัว HTML5 พร้อมกับความสามารถต่างๆที่จะทำให้การท่อง Internet ดูหวือหวาและหลากหลายขึ้น แต่ความสามารถที่หลากหลายขึ้นก็มากับภัยคุกคามที่หลากหลายขึ้นเช่นเดียวกัน
ในที่นี้ผมขอยกตัวอย่างการโจมตีที่มาพร้อมกับ HTML5 มาซัก 1 ตัว ผมขอเลือกการโจมตีที่เรียกว่า Clickjacking แล้วกัน
Clickjacking คือ เทคนิคที่ผู้ไม่หวังดีใช้ล่อลวงให้เหยื่อคลิกลิงค์โดยมีจุดประสงค์อย่างใดอย่างหนึ่ง
ส่วนใหญ่แล้วผู้ไม่หวังดีจะทำการสร้างข้อความที่น่าสนใจ เช่น “แจกไอโฟน 5 คลิกด้านล่าง” และด้านล่างก็จะมีปุ่มให้คลิกซึ่งปุ่มนั้นเป็นเพียงกราฟฟิกหลอกๆ โดยที่ปุ่มจริงๆนั้นถูกซ่อนเอาไว้อยู่ข้างหลังด้วยเทคนิคการโปร่งใส(transparent)
clip_image002
รูปตัวอย่างโฆษณาชวนเชื่อซึ่งมีความเสี่ยงต่อ clickjacking

clickjacking รูปแสดงการซ่อนปุ่มเอาไว้ด้านหลัง

ลองจำลองเหตุการณ์ขึ้นมาสักเหตุการณ์โดยเขียนหรือไปนำโค๊ดมาจากอินเตอร์เน็ต หลังจากนั้นลองเข้าไปหน้าที่มีเทคนิค clickjacking แฝงอยู่ตามรูปด้านล่าง
clip_image004
จากรูปด้านบนมีลิงค์ที่ชื่อว่า “CLICK HERE” ซึ่งมองจากรูปแล้วเราจะไม่เห็นว่ามีลิงค์อะไรซ่อนอยู่ด้านหลังเลยเพราะถูกซ่อนด้วยเทคนิดโปร่งใส
เราลองไปแก้โค๊ดโดยตั้ง opacity=0.5 เราจะเห็นว่าปุ่ม “target button” ซ่อนอยู่ด้านหลังตามรูปด้านล่าง
clip_image006
ซึ่งปุ่มที่แท้จริงที่จะทำให้เกิดปฏิกิริยาโต้ตอบกับเราคือ “target button” ที่ซ่อนอยู่ด้านหลัง ในที่นี้เราลองให้มันแจ้งเตือนขึ้นมาหากมีคนไปคลิกตามรูปด้านล่าง
clip_image008

สำหรับวันนี้ผมมาแนะนำคร่าวๆ ก่อน แล้วไว้ผมจะลงรายละเอียดอีกครั้งนะคับ วันนี้ไปก่อนนะคับ ^^
ที่มา
https://media.blackhat.com/bh-eu-12/shah/bh-eu-12-Shah_HTML5_Top_10-WP.pdf
http://javascript.info/tutorial/clickjacking
https://www.owasp.org/index.php/Testing_for_Clickjacking_%28OWASP-CS-004%29
http://www.kobashicomputing.com/prevent-clickjacking-of-your-websites
เขียนโดย ที่
ป้ายกำกับ: , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)