เตือนองค์กรธุรกิจระวังการโจมตีแบบแฝงสคริปต์

Posted by admin on November 12, 2013 in คอมพิวเตอร์ ไอที |

บริษัท เทรนด์ไมโคร อินคอร์ปอเรท ได้เปิดเผยข้อมูลล่าสุดเกี่ยวกับเว็บไซต์สำนักนายกรัฐมนตรีสิงคโปร์ (Singapore Prime Minister Office: PMO) ที่เกิดความเสียหายเมื่อเร็วพลันๆ นี้ ว่า จากการพิจารณาของผู้เชี่ยวชาญด้านภัยคุกคามของบริษัทเทรนด์ไมโคร เจอว่า การโจมตีดังกล่าวไม่ใช่การโจมตีในสภาพเจาะระบบ (แฮก) แต่เป็นการใช้ประโยชน์จากช่องโหว่ที่มีอยู่ภายในเว็บไซต์ดังกล่าว
กรณีของเว็บไซต์ PMO เป็นวิธีการการโจมตีแบบแฝงสคริปต์ (Cross Site Scripting: XSS) ที่อาชญากรไซเบอร์ใช้ประโยชน์จากฟังก์ชั่น “ค้นหา” บนเว็บไซต์และแอบใส่เนื้อหาจากแหล่งภายนอกเข้าไป โดยในกรณีนี้อาชญากรไซเบอร์ได้เปลี่ยนเส้นทาง URL ไปยังรูปที่กำหนดไว้อย่างทะเยอทะยาน
เมื่อตรวจสอบผ่านเครือข่ายป้องกันภัยฉลาด (เทรนด์ไมโคร สมาร์ท โพรเท็คชั่น เน็ตเวิร์ค) เจอว่า URL ที่ถูกนำไปใช้ประโยชน์ได้รับการเผยแพร่บนไซต์เครือข่ายสังคมออนไลน์หลายแห่ง รวมถึงทวิตเตอร์ เฟซบุ๊ก แล้วอื่นๆ ซึ่งนั่นส่งผลให้เว็บไซต์ของ PMO เสียชื่อเสียง โดยเมื่อมีการคลิกลิงก์ที่มีการดัดแปลงซึ่งอ้างอิงไปคง URL ทางการของเว็บไซต์ PMO (www.pmo.gov.sg) ผู้ใช้งานอินเทอร์เน็ตแล้วผู้บริโภคที่ไม่รู้สึกสงสัยก็น่าจะถูกลวงให้เชื่อว่าเว็บไซต์ PMO ถูกแฮกระบบแล้ว แล้วยิ่งมีการแสดงภาพที่อาชญากรไซเบอร์ได้จัดเตรียมไว้ก็ยิ่งส่งผลให้ผู้ใช้แล้วผู้บริโภคเชื่อว่าเป็นผลงานของกลุ่มแฮกเกอร์ที่ชื่อ Anonymous Collective
คงจะเห็นได้ว่าในช่วงสองสามสัปดาห์ที่ผ่านมา สินทรัพย์ออนไลน์ของหน่วยงานภาครัฐหลายแห่งในสิงคโปร์ถูกบุกรุกโดยอาชญากรไซเบอร์ที่ส่งผลให้บริการต่างๆนาๆ หยุดชะงักแล้วกระทบในด้านต่างๆ
โดย บริษัท เทรนด์ไมโครได้ให้คำแนะนำองค์กรธุรกิจต่างๆ ในการตรวจสอบความสามารถของโครงสร้างระบบ ไอทีของตนอย่างสม่ำเสมอเพื่อป้องกันไม่ให้เกิดช่องโหว่ขึ้น ดังนี้ สแกนหาช่องโหว่ของเว็บแอพพลิเคชัน ตรวจสอบโค้ด HTML เพื่อให้มั่นใจว่าฟังก์ชันการค้นหาเป็นปกติ ซึ่งรวมถึงตั้งค่าข้อจำกัดในการใส่เนื้อหาที่มีอักขระสำคัญ ตลอดจนกลั่นกรองผลลัพธ์โดยใช้การเข้ารหัสลับ HTML ของข้อมูลหรือสตริงที่ผู้ใช้ใส่เข้าไป สำหรับการป้องกันระบบทั้งหลายภายในระยะเวลาสั้นๆ ให้ปิดใช้งานฟังก์ชั่นค้นหาของเว็บไซต์

เตือนองค์กรธุรกิจระวังการโจมตีแบบแฝงสคริปต์
0 votes, 0.00 avg. rating (0% score)

Copyright © 2013-2014 แหล่งรวมซอฟต์แวร์คอม ฯ ข่าวคอม ฯ เทคโนโลยี All rights reserved.