IT業界資訊媒體

【Demo180】拆解黑客連鎖攻擊(一):睇留言都中招 

成日話黑客嘅攻擊層出不窮,但到底變化有幾多端?本地網絡保安組織 VXRL 嘅成員 Boris So 嚟緊一連幾集就會親自示範一連串黑客常用嘅 Chained Exploits 連鎖技,透過一個漏洞去鑽取其他漏洞,達成盜取其他網民私隱嘅目標,甚至喺用戶電腦入面植入後門。
Obfuscated Javascript 瞞騙保安基制
Cross-Site Scripting(簡稱 XSS) 及 SQL Injection 攻擊,Boris 利用網站「留言區」處理異常 Javascript 嘅行為漏洞,喺輸入位置植入一堆混淆(obfuscated)Javascript ,成功繞過網站阻止 Javascript 執行嘅保護基制,當有其他網民閱讀呢個留言,黑客嘅電腦就可以睇到對方上線,仲可以 pop-up 一個對話框,要求對方輸入網站嘅登入資料。由於網民係喺官網上留言,所以會大大減低戒心而按指示輸入資料,真係中咗招都唔知乜事。當黑客成功令到一部 workstation 中招,之後就會透過呢個後門,進而入侵內部網站,修改埋網站嘅私密資料㗎喇。
上網睇個留言,咁簡單嘅動作竟然就中招,你都咪話唔驚。網站管理員想知點樣預防呢啲漏洞?就要聽下 Boris 點講。