Trang Chính
》》》》》》》1![[hacking kỹ thuật] Top 10 kỹ thuật tấn công trên web Empty](https://2img.net/i/empty.gif)
[hacking kỹ thuật] Top 10 kỹ thuật tấn công trên web Tue May 14, 2013 10:17 am
Admin
Admin
Các
chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và
dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm
nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người
Việt Nam đứng hàng đầu.
![[hacking kỹ thuật] Top 10 kỹ thuật tấn công trên web Hacker](https://2img.net/h/www.quantrimang.com.vn/photos/image/012011/26/hacker.jpg)
Hội đồng các chuyên gia bảo mật đã xếp
hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia
cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá
trình đánh giá và ghi nhận.
Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.
Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:
1. Kiểu tấn công “padding oracle crypto”,
kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net,
hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng
ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn
toàn các máy chủ Windows chứa các trang web này. (Người phát hiện:
Dương Ngọc Thái và Juliano Rizzo).
2. Evercookie: có thể
dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau
trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông
qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie
đã bị xóa. (Người tạo ra: Samy Kamkar).
3. Tấn công Autocomplete: tính
năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính
năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể
“buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ
các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah
Grossman).
4. Tấn công HTTPS bằng cache injection: “tiêm”
mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó
hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị
xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện
mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và
Dan Boneh).
5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách
tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail.
Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập
trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).
6. Universal XSS trong IE8: Lỗ
hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm
quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).
7. HTTP POST DoS: đây
là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương
thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài
nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng
thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và
Tom Brennan).
8. JavaSnoop: Khi dữ
liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm
tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker
có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).
9. Tấn công qua CSS History trong
Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách
tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt.
Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa
đảo trang web (phishing). (Người tạo: Robert "RSnake" Hansen).
10. Java Applet DNS Rebinding:
Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache
của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các
chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di
Paola).]
chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và
dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm
nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người
Việt Nam đứng hàng đầu.
Hội đồng các chuyên gia bảo mật đã xếp
hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia
cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá
trình đánh giá và ghi nhận.
Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.
Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:
1. Kiểu tấn công “padding oracle crypto”,
kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net,
hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng
ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn
toàn các máy chủ Windows chứa các trang web này. (Người phát hiện:
Dương Ngọc Thái và Juliano Rizzo).
2. Evercookie: có thể
dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau
trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông
qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie
đã bị xóa. (Người tạo ra: Samy Kamkar).
3. Tấn công Autocomplete: tính
năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính
năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể
“buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ
các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah
Grossman).
4. Tấn công HTTPS bằng cache injection: “tiêm”
mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó
hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị
xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện
mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và
Dan Boneh).
5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách
tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail.
Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập
trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).
6. Universal XSS trong IE8: Lỗ
hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm
quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).
7. HTTP POST DoS: đây
là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương
thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài
nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng
thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và
Tom Brennan).
8. JavaSnoop: Khi dữ
liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm
tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker
có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).
9. Tấn công qua CSS History trong
Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách
tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt.
Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa
đảo trang web (phishing). (Người tạo: Robert "RSnake" Hansen).
10. Java Applet DNS Rebinding:
Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache
của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các
chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di
Paola).]
