ການໂຈມຕີຜ່ານເວບບາວເຊີ ແລະ ການປ້ອງ ກັນ.
ເວັບບຣາວເຊີ (Web Browser) ຫລືເອີ້ນສັ້ນໆວ່າ ບຣາວເຊີ (Browser) ຄືໂປແກມທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ຄອມພິວເຕີສາມາດເຂົ້າໃຊ້ງານເວັບໄຊໄດ້ ເວັບບາວເຊີຈະແປໂຄດພາສາ HTML ໃຫ້ອອກມາສະແດງຜົນເປັນຂໍ້ຄວາມ ຮູບພາບ ສຽງ ຫລືຄິບວິດີໂອອື່ນໆ ຕາມທີ່ຜູ້ອອກແບບເວັບໄຊກຳນົດ [1] ຕົວຢ່າງເວັບບາວເຊີທີ່ໄດ້ຮັບຄວາມນິຍົມ ເຊັ່ນ Internet Explorer, Firefox, Chrome, Safari, Opera ດັ່ງຮູບທີ 1
ຮູບທີ່ 1 ເວັບບາວເຊີທີ່ໄດ້ຮັບຄວາມນິຍົມ
ຈາກການພັດທະນາຂອງເທັກໂນໂລຍີ ເວັບໄຊສະໄໝໃໝ່ຈຶ່ງບໍ່ໄດ້ຖືກໃຊ້ພຽງແຕ່ສະແດງຂໍ້ມູນພຽງຢ່າງດຽວອີກຕໍ່ໄປ ແຕ່ໄດ້ຖືກພັດທະນາໃຫ້ສາມາດເຮັດວຽກໄດ້ຫລາກຫລາຍຫລາຍຂຶ້ນ ເຊັ່ນ ຫລິ້ນເກມ ຕົກແຕ່ງພາບ ຕັດຕໍ່ວິດີໂອ ຈັດເຮັດເອກະສານ [2] ຫລືແມ່ນກະທັ່ງໃຊ້ເປັນລະບົບປະຕິບັດການເລີຍກໍຍັງໄດ້ [3] ຊຶ່ງການເຮັດວຽກຕ່າງໆ ເຫລົ່ານີ້ກໍຕ້ອງອາໄສຄວາມສາມາດຂອງເວັບບາວເຊີທີ່ຫລາຍຂຶ້ນຕາມໄປດ້ວຍ
ຈາກຄວາມສາມາດທີ່ຫລາຍຂຶ້ນ ຊ່ອງໂຫວ່ ແລະຄວາມສ່ຽງ ກໍຈະເພີ່ມຫລາຍຂຶ້ນຕາມໄປດ້ວຍ ປະຈຸບັນການໂຈມຕີຜ່ານເວັບບາວເຊີນັ້ນມີແນວໂນ້ມທີ່ຈະເພີ່ມຫລາຍຂຶ້ນ [4] ເນື່ອງຈາກເປັນສິ່ງທີ່ຜູ້ໃຊ້ອິນເຕີເນັດທຸກຄົນຈຳເປັນຕ້ອງໃຊ້ ດັ່ງນັ້ນການສຶກສາເຖິງຮູບແບບໄພຄຸກຄາມ ແລະ ການຮັບມືການໂຈມຕີຈຶ່ງເປັນສິ່ງທີ່ຈຳເປັນ ເພື່ອໃຫ້ມີຄວາມຫມັ້ນຄົງປອດໄພໃນການໃຊ້ງານອິນເຕີເນັດ
ການໂຈມຕີຜ່ານເວັບບາວເຊີ
ການໂຈມຕີຜ່ານເວັບບາວເຊີ ໂດຍຫລັກໆ ຈະມີຢູ່ນຳກັນ 3 ຊ່ອງທາງ ຄື ໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງຕົວເວັບບາວເຊີເອງ ໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນຈາກຜູ້ພັດທະນາພາຍນອກ ແລະ ການສ້າງ Extension ທີ່ເປັນອັນຕະລາຍເພື່ອໃຊ້ໃນການໂຈມຕີ
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີ
ໃນການຂຽນໂປແກມຄອມພິວເຕີ ຈະມີການຈອງພື້ນທີ່ໃນຫນ່ວຍຄວາມຈຳເພື່ອໃຊ້ໃນການເກັບຂໍ້ມູນຊົ່ວຄາວ ພື້ນທີ່ດັ່ງກ່າວຮຽກວ່າ Buffer ຊຶ່ງພື້ນທີ່ຂອງ Buffer ນັ້ນມີຂະໜາດຈຳກັດ ຫາກຜູ້ຂຽນໂປແກມບໍ່ກວດສອບຂະໜາດຂອງຂໍ້ມູນທີ່ຈະນຳມາຈັດເກັບ ປ່ອຍໃຫ້ໂປແກມເກັບຂໍ້ມູນທີ່ມີຂະໜາດໃຫຍ່ກວ່າຄວາມຈຸຂອງ Buffer ຂໍ້ມູນທີ່ເກັບນັ້ນກໍຈະລົ້ນອອກມາ ສະຖານນະການເຊັ່ນນີ້ຮຽກວ່າ Buffer Overflow ຊຶ່ງຂໍ້ມູນທີ່ລົ້ນອອກມານັ້ນກໍຈະໄປທັບກັບຂໍ້ມູນສ່ວນອື່ນໆ ທີ່ຢູ່ໃນຫນ່ວຍຄວາມຈຳ ເຊັ່ນ ໂຄດຂອງໂປແກມທີ່ກຳລັງເຮັດວຽກຢູ່ ເຮັດໃຫ້ໂປແກມເຮັດວຽກຜິດພາດຫລືບໍ່ສາມາດເຮັດວຽກຕໍ່ໄດ້ [5]
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີ ໂດຍສ່ວນໃຫຍ່ຈະເປັນການໃຊ້ເທັກນິກ Buffer Overflow ຜູ້ໂຈມຕີຈະເຮັດການສ້າງຂໍ້ມູນທີ່ມີຂະໜາດໃຫຍ່ກວ່າຄວາມຈຸຂອງ Buffer ຊຶ່ງພາຍໃນບັນຈຸໂຄ້ດອັນຕະລາຍໄວ້ ເມື່ອໂປແກມໂຫລດຂໍ້ມູນດັ່ງກ່າວເຂົ້າມາໃນຫນ່ວຍຄວາມຈຳ ຂໍ້ມູນສ່ວນທີ່ລົ້ນອອກມານັ້ນກໍຈະໄປທັບກັບສ່ວນທີ່ເປັນໂຄ້ດຂອງໂປແກມທີ່ກຳລັງ ເຮັດວຽກຢູ່ ເຮັດໃຫ້ໂຄ້ດອັນຕະລາຍ ທີ່ແຮັກເກີໃສ່ເຂົ້າມານັ້ນຖືກນຳໄປປະມວນຜົນແທນ ຊຶ່ງເຄື່ອງຄອມພິວເຕີທີ່ຕົກເປັນເຫຍື່ອກໍຈະຕົກຢູ່ພາຍໃຕ້ການຄວບຄຸມຂອງແຮັກເກີໃນທ້າຍທີ່ສຸດ ຕົວຢ່າງວິດີໂອການໂຈມຕີດ້ວຍວິທີ Buffer Overflow ສາມາດເບິ່ງໄດ້ຈາກ http://youtu.be/znO1Mc8EiDE
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນ
ປັກອິນ (Plugin) ຄືໂປແກມທີ່ສາມາດຕິດຕັ້ງເພື່ອໃຫ້ເວັບບາວເຊີສາມາດສະແດງຜົນເນື້ອຫາອື່ນໆ ເພິ່ມເຕິມໄດ້ ຕົວຢ່າງປັກອິນ ທີ່ໄດ້ຮັບຄວາມນິຍົມ ເຊັ່ນ Adobe Flash Player ທີ່ຕິດຕັ້ງເພື່ອໃຫ້ເວັບບາວເຊີສາມາດຫລິ້ນໄຟລ Flash ໄດ້ ຫລື Java Runtime ທີ່ຕິດຕັ້ງເພື່ອໃຊ້ງານ Java Application ຜ່ານເວັບບາວເຊີ ເປັນຕົ້ນ [6]
ປັກອິນ ໂດຍສ່ວນໃຫຍ່ຈະຖືກພັດທະນາໂດຍຜູ້ພັດທະນາພາຍນອກ ຊຶ່ງອາດບໍ່ມີການຮັບຮອງເລື່ອງຄວາມຫມັ້ນຄົງປອດໄພ ແລະປັກອິນ ແທບທັງໝົດຈະເປັນໄຟລໂປແກມຫລືໄລບາລີທີ່ເວັບບາວເຊີຈະຕ້ອງໂຫລດເຂົ້າມາໃນທຸກເທື່ອທີ່ເປີດໂປແກມ ເນື່ອງຈາກປັກອິນ ເປັນໂປແກມທີ່ຢູ່ພາຍນອກ ເຮັດໃຫ້ການເຮັດວຽກຂອງປັກອິນຕ່າງໆນັ້ນຢູ່ນອກເໜືອການຄວບຄຸມຂອງເວັບບາວເຊີ ຫາກປັກອິນ ທີ່ຕິດຕັ້ງເພີ່ມເຂົ້າມາມີຊ່ອງໂຫວ່ ກໍຈະເພີ່ມຄວາມສ່ຽງທີ່ຈະເຮັດໃຫ້ເບລ໌າວເຊີລ໌ຖືກໂຈມຕີຜ່ານປັກອິນ ດັ່ງກ່າວໄດ້ດ້ວຍ ຕົວຢ່າງວິດີໂອການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນ ສາມາດເບິ່ງໄດ້ຈາກ http://youtu.be/7MvimAN9fQ8 ຊຶ່ງເປັນການໂຈມຕີ Mozilla Firefox ຜ່ານປັກອິນ Adobe Reader
ການສ້າງ Extension ທີ່ເປັນອັນຕະລາຍ
Extension ຄືໂປແກມເສີມທີ່ສາມາດຕິດຕັ້ງເພິ່ມເຕິມເພື່ອຊ່ວຍຂະຫຍາຍຄວາມສາມາດໃນການເຮັດວຽກງານຂອງເວັບບາວເຊີ ເຊັ່ນ Extension ທີ່ຊື່ FireFTP ທີ່ຊ່ວຍໃຫ້ບາວເຊີ Mozilla Firefox ສາມາດເຮັດວຽກເປັນໂປແກມ FTP Client ໄດ້ [7]
ເນື່ອງຈາກ Extension ເປັນໂປແກມທີ່ເຮັດວຽກຮ່ວມກັບເວັບບາວເຊີໂດຍກົງ ເຮັດໃຫ້ມີຜູ້ພັດທະນາ Extension ເພື່ອໃຊ້ສ້າງຄວາມເສຍຫາຍ ເຊັ່ນ ຫລອກລວງຜູ້ໃຊ້ ຫລືລັກຂໍ້ມູນ ເປັນຕົ້ນ ຕົວຢ່າງ Extension ອັນຕະລາຍ ເຊັ່ນ ຫລອກຜູ້ໃຊ້ວ່າເປັນປັກອິນ ປອມຂອງ YouTube ຫລືສວມຮອຍໂພດຂໍ້ຄວາມດ້ວຍບັນຊີ Facebook ຂອງຜູ້ໃຊ້ ເປັນຕົ້ນ
ວິທີການໂຈມຕີ
ຫາກເປັນການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີຫລືການໂຈມຕີຜ່ານປັກອິນ ໂດຍສ່ວນໃຫຍ່ແຮັກເກີຈະສ້າງເວັບໄຊທີ່ຝັງໂຄດອັນຕຣາຍໄວ້ ແລ້ວຫລອກລໍ້ໃຫ້ເຫຍື່ອເຂົ້າໄປຍັງເວັບໄຊນັ້ນ ທັນທີທີ່ເຫຍື່ອເຂົ້າສູ່ໜ້າເວັບໄຊ ໂຄດດັງກ່າວກໍສາມາດເຮັດວຽກໄດ້ທັນທີໂດຍທີ່ເຫຍື່ອບໍ່ຮູ້ຕົວ ຕົວຢ່າງການໂຈມຕີ ເຊັ່ນ ການຝັງ Java Script ໄວ້ໃນເວັບໄຊເພື່ອລັກຂໍ້ມູນ ເປັນຕົ້ນ [10]
ຫາກເປັນການໂຈມຕີຜ່ານ Extension ຜູ້ໂຈມຕີຈະຫລອກລໍ້ໃຫ້ເຫຍື່ອເປີດເຂົ້າໄປທີ່ເວັບໄຊທີ່ມີໃຫ້ດາວໂຫລດ Extension ມາຕິດຕັ້ງ ໂດຍຈະຫລອກວ່າເປັນ Extension ທີ່ຈຳເປັນໃນການໃຊ້ງານເວັບໄຊ ເພື່ອໃຫ້ເຫຍື່ອຫລົງເຊື່ອແລະເຜີຕິດຕັ້ງ Extension ດັ່ງກ່າວ
ການໂຈມຕີໂດຍສ່ວນໃຫຍ່ແຮັກເກີຈະໃຊ້ວິທີສົ່ງອີເມວທີ່ມີລິງໃຫ້ຜູ້ໃຊ້ຄິກ ຊຶ່ງຫາກຜູ້ໃຊ້ຄິກເຂົ້າສູ່ລິງດັ່ງກ່າວກໍຈະຕົກເປັນເຫຍື່ອໂດຍທັນທີ ໃນປະຈຸບັນມີການພັດທະນາຮູບແບບການໂຈມຕີໄປອີກຂັ້ນໂດຍການໂພດລິງອັນຕະລາຍໄວ້ໃນ Social Network ແລະ ເມື່ອຜູ້ໃຊ້ຫລົ້ງຄິກເຂົ້າໄປກໍຈະຖືກສວມຮອຍບັນຊີຜູ້ໃຊ້ແລະເຜີຍແຜ່ລິງ ອັນຕະລາຍນັ້ນໃຫ້ກັບຜູ້ອື່ນຕໍ່ໄປ ຕົວຢ່າງການເຜີຍແຜ່ລິງອັນຕະລາຍໃນ Social Network ເປັນດັ່ງຮູບທີ 2
ຮູບທີ່ 2 ຕົວຢ່າງການເຜີຍແຜ່ລິງອັນຕະລາຍໃນ Social Network [11]
ການປ້ອງກັນ
ເນື່ອງຈາກການທີ່ຈະຖືກໂຈມຕີຜ່ານເວັບບາວເຊີໄດ້ນັ້ນ ຜູ້ທີ່ຕົກເປັນເຫຍື່ອຕ້ອງເຂົ້າໄປຍັງເວັບໄຊຕ໌ທີ່ແຮັກເກີສ້າງໄວ້ກ່ອນ ດັ່ງນັ້ນການປ້ອງກັນທີ່ງ່າຍທີ່ສຸດຄືການກວດສອບຄວາມຫມັ້ນຄົງປອດໄພຂອງເວັບໄຊປາຍທາງກ່ອນທີ່ຈະຄິກລິງ ເຊັ່ນ ຖ້າຕ້ອງການເປີດລິງຈາກເວັບບໍລິການຫຍໍ້ URL ຄວນນຳລິງນັ້ນໄປກວດສອບກັບເວັບໄຊທີ່ໃຫ້ບໍລິການຂະຫຍາຍ URL ເຕັມ ເຊັ່ນ http://longurl.org ເສຍກ່ອນເພື່ອໃຫ້ແນ່ໃຈວ່າປາຍທາງເປັນ URL ຫຍັງ ລວມເຖິງການຕິດຕັ້ງໂປແກມແອນຕີ້ໄວລັດທີ່ສາມານສະແກນເນື້ອຫາໃນເວັບໄຊ ກໍສາມາດຊ່ວຍປ້ອງກັນອັນຕະລາຍຈາກການໂຈມຕີຜ່ານເວັບບາວເຊີໄດ້ ແລະສິ່ງທີ່ສຳຄັນທີ່ສຸດຄືການອັບເດດໂປແກມເວັບບາວເຊີແລະປັກອິນ ທຸກຕົວ ທີ່ຕິດຕັ້ງໃຫ້ເປັນເວີຊັ່ນປະຈຸບັນຢູ່ສະເໝີ ເພື່ອເປັນການປັບປຸງຊ່ອງໂຫວ່ບໍ່ໃຫ້ແຮັກເກີໃຊ້ໃນການໂຈມຕີໄດ້
ອ້າງອິງ
- http://whatismyipaddress.com/web-browser
- https://chrome.google.com/webstore
- http://tech-tweak.com/2011/08/browser-based-operating-systems.html
- http://www.pcworld.com/businesscenter/article/144490/hackers_increasingly_target_browsers.html
- http://www.windowsecurity.com/articles/analysis_of_buffer_overflow_attacks.html
- http://www.tech-faq.com/browser-plugins.html
- http://fireftp.mozdev.org/
- http://thehackernews.com/2012/01/one-million-pages-infected-by.html
- http://www.switched.com/2011/04/04/facebook-photoshop-scam-spreading-like-wildfire/
laocert 04 February 2020 4764 reads
Print
ເວັບບຣາວເຊີ (Web Browser) ຫລືເອີ້ນສັ້ນໆວ່າ ບຣາວເຊີ (Browser) ຄືໂປແກມທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ຄອມພິວເຕີສາມາດເຂົ້າໃຊ້ງານເວັບໄຊໄດ້ ເວັບບາວເຊີຈະແປໂຄດພາສາ HTML ໃຫ້ອອກມາສະແດງຜົນເປັນຂໍ້ຄວາມ ຮູບພາບ ສຽງ ຫລືຄິບວິດີໂອອື່ນໆ ຕາມທີ່ຜູ້ອອກແບບເວັບໄຊກຳນົດ [1] ຕົວຢ່າງເວັບບາວເຊີທີ່ໄດ້ຮັບຄວາມນິຍົມ ເຊັ່ນ Internet Explorer, Firefox, Chrome, Safari, Opera ດັ່ງຮູບທີ 1
ຮູບທີ່ 1 ເວັບບາວເຊີທີ່ໄດ້ຮັບຄວາມນິຍົມ
ຈາກການພັດທະນາຂອງເທັກໂນໂລຍີ ເວັບໄຊສະໄໝໃໝ່ຈຶ່ງບໍ່ໄດ້ຖືກໃຊ້ພຽງແຕ່ສະແດງຂໍ້ມູນພຽງຢ່າງດຽວອີກຕໍ່ໄປ ແຕ່ໄດ້ຖືກພັດທະນາໃຫ້ສາມາດເຮັດວຽກໄດ້ຫລາກຫລາຍຫລາຍຂຶ້ນ ເຊັ່ນ ຫລິ້ນເກມ ຕົກແຕ່ງພາບ ຕັດຕໍ່ວິດີໂອ ຈັດເຮັດເອກະສານ [2] ຫລືແມ່ນກະທັ່ງໃຊ້ເປັນລະບົບປະຕິບັດການເລີຍກໍຍັງໄດ້ [3] ຊຶ່ງການເຮັດວຽກຕ່າງໆ ເຫລົ່ານີ້ກໍຕ້ອງອາໄສຄວາມສາມາດຂອງເວັບບາວເຊີທີ່ຫລາຍຂຶ້ນຕາມໄປດ້ວຍ
ຈາກຄວາມສາມາດທີ່ຫລາຍຂຶ້ນ ຊ່ອງໂຫວ່ ແລະຄວາມສ່ຽງ ກໍຈະເພີ່ມຫລາຍຂຶ້ນຕາມໄປດ້ວຍ ປະຈຸບັນການໂຈມຕີຜ່ານເວັບບາວເຊີນັ້ນມີແນວໂນ້ມທີ່ຈະເພີ່ມຫລາຍຂຶ້ນ [4] ເນື່ອງຈາກເປັນສິ່ງທີ່ຜູ້ໃຊ້ອິນເຕີເນັດທຸກຄົນຈຳເປັນຕ້ອງໃຊ້ ດັ່ງນັ້ນການສຶກສາເຖິງຮູບແບບໄພຄຸກຄາມ ແລະ ການຮັບມືການໂຈມຕີຈຶ່ງເປັນສິ່ງທີ່ຈຳເປັນ ເພື່ອໃຫ້ມີຄວາມຫມັ້ນຄົງປອດໄພໃນການໃຊ້ງານອິນເຕີເນັດ
ການໂຈມຕີຜ່ານເວັບບາວເຊີ
ການໂຈມຕີຜ່ານເວັບບາວເຊີ ໂດຍຫລັກໆ ຈະມີຢູ່ນຳກັນ 3 ຊ່ອງທາງ ຄື ໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງຕົວເວັບບາວເຊີເອງ ໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນຈາກຜູ້ພັດທະນາພາຍນອກ ແລະ ການສ້າງ Extension ທີ່ເປັນອັນຕະລາຍເພື່ອໃຊ້ໃນການໂຈມຕີ
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີ
ໃນການຂຽນໂປແກມຄອມພິວເຕີ ຈະມີການຈອງພື້ນທີ່ໃນຫນ່ວຍຄວາມຈຳເພື່ອໃຊ້ໃນການເກັບຂໍ້ມູນຊົ່ວຄາວ ພື້ນທີ່ດັ່ງກ່າວຮຽກວ່າ Buffer ຊຶ່ງພື້ນທີ່ຂອງ Buffer ນັ້ນມີຂະໜາດຈຳກັດ ຫາກຜູ້ຂຽນໂປແກມບໍ່ກວດສອບຂະໜາດຂອງຂໍ້ມູນທີ່ຈະນຳມາຈັດເກັບ ປ່ອຍໃຫ້ໂປແກມເກັບຂໍ້ມູນທີ່ມີຂະໜາດໃຫຍ່ກວ່າຄວາມຈຸຂອງ Buffer ຂໍ້ມູນທີ່ເກັບນັ້ນກໍຈະລົ້ນອອກມາ ສະຖານນະການເຊັ່ນນີ້ຮຽກວ່າ Buffer Overflow ຊຶ່ງຂໍ້ມູນທີ່ລົ້ນອອກມານັ້ນກໍຈະໄປທັບກັບຂໍ້ມູນສ່ວນອື່ນໆ ທີ່ຢູ່ໃນຫນ່ວຍຄວາມຈຳ ເຊັ່ນ ໂຄດຂອງໂປແກມທີ່ກຳລັງເຮັດວຽກຢູ່ ເຮັດໃຫ້ໂປແກມເຮັດວຽກຜິດພາດຫລືບໍ່ສາມາດເຮັດວຽກຕໍ່ໄດ້ [5]
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີ ໂດຍສ່ວນໃຫຍ່ຈະເປັນການໃຊ້ເທັກນິກ Buffer Overflow ຜູ້ໂຈມຕີຈະເຮັດການສ້າງຂໍ້ມູນທີ່ມີຂະໜາດໃຫຍ່ກວ່າຄວາມຈຸຂອງ Buffer ຊຶ່ງພາຍໃນບັນຈຸໂຄ້ດອັນຕະລາຍໄວ້ ເມື່ອໂປແກມໂຫລດຂໍ້ມູນດັ່ງກ່າວເຂົ້າມາໃນຫນ່ວຍຄວາມຈຳ ຂໍ້ມູນສ່ວນທີ່ລົ້ນອອກມານັ້ນກໍຈະໄປທັບກັບສ່ວນທີ່ເປັນໂຄ້ດຂອງໂປແກມທີ່ກຳລັງ ເຮັດວຽກຢູ່ ເຮັດໃຫ້ໂຄ້ດອັນຕະລາຍ ທີ່ແຮັກເກີໃສ່ເຂົ້າມານັ້ນຖືກນຳໄປປະມວນຜົນແທນ ຊຶ່ງເຄື່ອງຄອມພິວເຕີທີ່ຕົກເປັນເຫຍື່ອກໍຈະຕົກຢູ່ພາຍໃຕ້ການຄວບຄຸມຂອງແຮັກເກີໃນທ້າຍທີ່ສຸດ ຕົວຢ່າງວິດີໂອການໂຈມຕີດ້ວຍວິທີ Buffer Overflow ສາມາດເບິ່ງໄດ້ຈາກ http://youtu.be/znO1Mc8EiDE
ການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນ
ປັກອິນ (Plugin) ຄືໂປແກມທີ່ສາມາດຕິດຕັ້ງເພື່ອໃຫ້ເວັບບາວເຊີສາມາດສະແດງຜົນເນື້ອຫາອື່ນໆ ເພິ່ມເຕິມໄດ້ ຕົວຢ່າງປັກອິນ ທີ່ໄດ້ຮັບຄວາມນິຍົມ ເຊັ່ນ Adobe Flash Player ທີ່ຕິດຕັ້ງເພື່ອໃຫ້ເວັບບາວເຊີສາມາດຫລິ້ນໄຟລ Flash ໄດ້ ຫລື Java Runtime ທີ່ຕິດຕັ້ງເພື່ອໃຊ້ງານ Java Application ຜ່ານເວັບບາວເຊີ ເປັນຕົ້ນ [6]
ປັກອິນ ໂດຍສ່ວນໃຫຍ່ຈະຖືກພັດທະນາໂດຍຜູ້ພັດທະນາພາຍນອກ ຊຶ່ງອາດບໍ່ມີການຮັບຮອງເລື່ອງຄວາມຫມັ້ນຄົງປອດໄພ ແລະປັກອິນ ແທບທັງໝົດຈະເປັນໄຟລໂປແກມຫລືໄລບາລີທີ່ເວັບບາວເຊີຈະຕ້ອງໂຫລດເຂົ້າມາໃນທຸກເທື່ອທີ່ເປີດໂປແກມ ເນື່ອງຈາກປັກອິນ ເປັນໂປແກມທີ່ຢູ່ພາຍນອກ ເຮັດໃຫ້ການເຮັດວຽກຂອງປັກອິນຕ່າງໆນັ້ນຢູ່ນອກເໜືອການຄວບຄຸມຂອງເວັບບາວເຊີ ຫາກປັກອິນ ທີ່ຕິດຕັ້ງເພີ່ມເຂົ້າມາມີຊ່ອງໂຫວ່ ກໍຈະເພີ່ມຄວາມສ່ຽງທີ່ຈະເຮັດໃຫ້ເບລ໌າວເຊີລ໌ຖືກໂຈມຕີຜ່ານປັກອິນ ດັ່ງກ່າວໄດ້ດ້ວຍ ຕົວຢ່າງວິດີໂອການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງປັກອິນ ສາມາດເບິ່ງໄດ້ຈາກ http://youtu.be/7MvimAN9fQ8 ຊຶ່ງເປັນການໂຈມຕີ Mozilla Firefox ຜ່ານປັກອິນ Adobe Reader
ການສ້າງ Extension ທີ່ເປັນອັນຕະລາຍ
Extension ຄືໂປແກມເສີມທີ່ສາມາດຕິດຕັ້ງເພິ່ມເຕິມເພື່ອຊ່ວຍຂະຫຍາຍຄວາມສາມາດໃນການເຮັດວຽກງານຂອງເວັບບາວເຊີ ເຊັ່ນ Extension ທີ່ຊື່ FireFTP ທີ່ຊ່ວຍໃຫ້ບາວເຊີ Mozilla Firefox ສາມາດເຮັດວຽກເປັນໂປແກມ FTP Client ໄດ້ [7]
ເນື່ອງຈາກ Extension ເປັນໂປແກມທີ່ເຮັດວຽກຮ່ວມກັບເວັບບາວເຊີໂດຍກົງ ເຮັດໃຫ້ມີຜູ້ພັດທະນາ Extension ເພື່ອໃຊ້ສ້າງຄວາມເສຍຫາຍ ເຊັ່ນ ຫລອກລວງຜູ້ໃຊ້ ຫລືລັກຂໍ້ມູນ ເປັນຕົ້ນ ຕົວຢ່າງ Extension ອັນຕະລາຍ ເຊັ່ນ ຫລອກຜູ້ໃຊ້ວ່າເປັນປັກອິນ ປອມຂອງ YouTube ຫລືສວມຮອຍໂພດຂໍ້ຄວາມດ້ວຍບັນຊີ Facebook ຂອງຜູ້ໃຊ້ ເປັນຕົ້ນ
ວິທີການໂຈມຕີ
ຫາກເປັນການໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບບາວເຊີຫລືການໂຈມຕີຜ່ານປັກອິນ ໂດຍສ່ວນໃຫຍ່ແຮັກເກີຈະສ້າງເວັບໄຊທີ່ຝັງໂຄດອັນຕຣາຍໄວ້ ແລ້ວຫລອກລໍ້ໃຫ້ເຫຍື່ອເຂົ້າໄປຍັງເວັບໄຊນັ້ນ ທັນທີທີ່ເຫຍື່ອເຂົ້າສູ່ໜ້າເວັບໄຊ ໂຄດດັງກ່າວກໍສາມາດເຮັດວຽກໄດ້ທັນທີໂດຍທີ່ເຫຍື່ອບໍ່ຮູ້ຕົວ ຕົວຢ່າງການໂຈມຕີ ເຊັ່ນ ການຝັງ Java Script ໄວ້ໃນເວັບໄຊເພື່ອລັກຂໍ້ມູນ ເປັນຕົ້ນ [10]
ຫາກເປັນການໂຈມຕີຜ່ານ Extension ຜູ້ໂຈມຕີຈະຫລອກລໍ້ໃຫ້ເຫຍື່ອເປີດເຂົ້າໄປທີ່ເວັບໄຊທີ່ມີໃຫ້ດາວໂຫລດ Extension ມາຕິດຕັ້ງ ໂດຍຈະຫລອກວ່າເປັນ Extension ທີ່ຈຳເປັນໃນການໃຊ້ງານເວັບໄຊ ເພື່ອໃຫ້ເຫຍື່ອຫລົງເຊື່ອແລະເຜີຕິດຕັ້ງ Extension ດັ່ງກ່າວ
ການໂຈມຕີໂດຍສ່ວນໃຫຍ່ແຮັກເກີຈະໃຊ້ວິທີສົ່ງອີເມວທີ່ມີລິງໃຫ້ຜູ້ໃຊ້ຄິກ ຊຶ່ງຫາກຜູ້ໃຊ້ຄິກເຂົ້າສູ່ລິງດັ່ງກ່າວກໍຈະຕົກເປັນເຫຍື່ອໂດຍທັນທີ ໃນປະຈຸບັນມີການພັດທະນາຮູບແບບການໂຈມຕີໄປອີກຂັ້ນໂດຍການໂພດລິງອັນຕະລາຍໄວ້ໃນ Social Network ແລະ ເມື່ອຜູ້ໃຊ້ຫລົ້ງຄິກເຂົ້າໄປກໍຈະຖືກສວມຮອຍບັນຊີຜູ້ໃຊ້ແລະເຜີຍແຜ່ລິງ ອັນຕະລາຍນັ້ນໃຫ້ກັບຜູ້ອື່ນຕໍ່ໄປ ຕົວຢ່າງການເຜີຍແຜ່ລິງອັນຕະລາຍໃນ Social Network ເປັນດັ່ງຮູບທີ 2
ຮູບທີ່ 2 ຕົວຢ່າງການເຜີຍແຜ່ລິງອັນຕະລາຍໃນ Social Network [11]
ການປ້ອງກັນ
ເນື່ອງຈາກການທີ່ຈະຖືກໂຈມຕີຜ່ານເວັບບາວເຊີໄດ້ນັ້ນ ຜູ້ທີ່ຕົກເປັນເຫຍື່ອຕ້ອງເຂົ້າໄປຍັງເວັບໄຊຕ໌ທີ່ແຮັກເກີສ້າງໄວ້ກ່ອນ ດັ່ງນັ້ນການປ້ອງກັນທີ່ງ່າຍທີ່ສຸດຄືການກວດສອບຄວາມຫມັ້ນຄົງປອດໄພຂອງເວັບໄຊປາຍທາງກ່ອນທີ່ຈະຄິກລິງ ເຊັ່ນ ຖ້າຕ້ອງການເປີດລິງຈາກເວັບບໍລິການຫຍໍ້ URL ຄວນນຳລິງນັ້ນໄປກວດສອບກັບເວັບໄຊທີ່ໃຫ້ບໍລິການຂະຫຍາຍ URL ເຕັມ ເຊັ່ນ http://longurl.org ເສຍກ່ອນເພື່ອໃຫ້ແນ່ໃຈວ່າປາຍທາງເປັນ URL ຫຍັງ ລວມເຖິງການຕິດຕັ້ງໂປແກມແອນຕີ້ໄວລັດທີ່ສາມານສະແກນເນື້ອຫາໃນເວັບໄຊ ກໍສາມາດຊ່ວຍປ້ອງກັນອັນຕະລາຍຈາກການໂຈມຕີຜ່ານເວັບບາວເຊີໄດ້ ແລະສິ່ງທີ່ສຳຄັນທີ່ສຸດຄືການອັບເດດໂປແກມເວັບບາວເຊີແລະປັກອິນ ທຸກຕົວ ທີ່ຕິດຕັ້ງໃຫ້ເປັນເວີຊັ່ນປະຈຸບັນຢູ່ສະເໝີ ເພື່ອເປັນການປັບປຸງຊ່ອງໂຫວ່ບໍ່ໃຫ້ແຮັກເກີໃຊ້ໃນການໂຈມຕີໄດ້
ອ້າງອິງ
- http://whatismyipaddress.com/web-browser
- https://chrome.google.com/webstore
- http://tech-tweak.com/2011/08/browser-based-operating-systems.html
- http://www.pcworld.com/businesscenter/article/144490/hackers_increasingly_target_browsers.html
- http://www.windowsecurity.com/articles/analysis_of_buffer_overflow_attacks.html
- http://www.tech-faq.com/browser-plugins.html
- http://fireftp.mozdev.org/
- http://thehackernews.com/2012/01/one-million-pages-infected-by.html
- http://www.switched.com/2011/04/04/facebook-photoshop-scam-spreading-like-wildfire/
