Cross-site Scripting

By lew Founder on Tag: Security, XSS, Google Drive
Security

Ibrahim Raafat นักวิจัยความปลอดภัยจากอียิปต์รายงานปัญหาความปลอดภัย Cross Site Scripting (XSS) บนเว็บ Google Drive ด้วยการตั้งชื่อโฟลเดอร์ว่า ‘”><svg/onload=prompt(1337)> จากนั้นจึงย้ายเอกสารเข้าไปในโฟลเดอร์นี้ แล้วย้ายเอกสารออกไปยังโฟลเดอร์อื่น จะทำให้โค้ดจาวาสคริปต์ถูกรัน

กูเกิลยอมรับปัญหานี้และแก้ปัญหาในเวลาต่อมา พร้อมกับจ่ายเงินรางวัลให้กับทีมงานเป็นเงิน 1337 ดอลลาร์

By lew Founder on Tag: Security, PayPal, XSS
Security

Paypal มีโครงการให้จ่ายเงินรางวัลสำหรับการค้นพบช่องโหว่ความปลอดภัยมาเกือบหนึ่งปี มีการค้นพบบั๊กและจ่ายเงินไปบ้าง แต่บั๊กล่าสุดกลับมีปัญหาเพราะเงื่อนไขอายุของผู้พบบั๊กไม่ถึงเกณฑ์

Robert Kugler นักเรียนอายุ 17 ปีเป็นผู้พบบั๊กในช่องค้นหาของ Paypal ที่สามารถใส่อินพุตเป็นจาวาสคริปต์เพื่อให้รันสคริปต์ได้ตามกำหนด แต่ข้อกำหนดของทาง Paypal ระบุให้ผู้รับรางวัลได้จะต้องมีอายุอย่างต่ำ 18 ปีขึ้นไป ความรำคาญระเบียบข้อนี้ทำให้ Kugler นำบั๊กนี้ออกประกาศสู่สาธารณะ

By lew Founder on Tag: Security, Internet, In-Depth, XSS
Security

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ หากผมทราบว่าสมาชิก Blognone มีการทดลอง โทษคือแบนถาวรอย่างเดียวไม่ว่าจะเกิดความเสียหายหรือไม่

By pe3z Writer on Tag: Security, Firefox, XSS, Mozilla
Security

Mozilla ได้ปล่อยแพตซ์อุดช่องโหว่ให้กับไฟร์ฟ็อกซ์แล้วหลังจากมีการค้นพบช่องโหว่ประเภท Cross-Site Scripting (XSS) บนเบราว์เซอร์ โดยไฟร์ฟ็อกซ์รุ่นที่มีช่องโหว่ดังกล่าวได้แก่เวอร์ชัน 16.0.2, ESR 10.0.10, Thunderbird 16.0.2, Thunderbird ESR 10.0.10 และ SeaMonkey 2.13.2

By mk Founder on Tag: Security, Twitter, XSS
Security

จากกรณี Twitter โดน Cross-Site Scripting โจมตี รอบล่าสุด ก็มีการเปิดเผยแล้วว่าเป็นผลงานของ Pearce Delphin ชาวออสเตรเลียวัย 17 ปี

Delphin ให้สัมภาษณ์กับ AFP ว่าเขาต้องการทดลองดูว่าสามารถรันโค้ด JavaScript จากข้อความทวีตได้หรือไม่ (ซึ่งผลก็เห็นๆ กันแล้วว่าได้) แต่เขาไม่นึกว่ามันจะสร้างผลสะเทือนมากถึงขนาดนี้ ตอนที่เขาทวีตไม่เคยนึกเรื่องนี้มาก่อนเลย Delphin พัฒนาโค้ดนี้ขึ้นมาจากโค้ดของคนอื่น ที่ใช้สำหรับเปลี่ยนสีของหน้า profile ให้เป็นไปตามต้องการ

By magnamonkun on Tag: Virus, Security, Spam, Twitter, XSS
Virus

หลังจากเหตุการณ์ที่ Twitter โดน XSS Attack ไปครั้งแรกเมื่อปีที่แล้ว วันนี้เว็บ Twitter ก็โดน XSS Attack กันอีกรอบ โดยอาการของการถูกโจมตีในรอบนี้คือ เมื่อเหยื่อเข้าไปที่หน้าเว็บหลัก ก็จะติด Worm ในเครื่องทันที และเมื่อทำการอัพเดทสถานะ สถานะก็จะไม่ใช่ข้อความที่เหยื่อพิมพ์เข้าไป แต่จะเป็นลักษณะ Code HTML ออกมาแทน และเมื่อทำการลากเมาส์ผ่าน ก็จะถูก RT ข้อความนี้โดยอัตโนมัติ

By Anjue Contributor on Tag: Security, XSS, exploit
Security

เนื่องจากว่ากระผมเหลือบเข้าไปเห็นในหน้าเวปที่เกี่ยวข้องกับความปลอดภัยเจอเข้าอย่างจังเลย

เนื่องจากว่ามี Hacker คนหนึ่งได้ค้นพบโค้ด xss (cross-site scripting) ที่ซึ่งเป็นอันตรายต่อคนที่เข้าไปใช้ Facebook โดยโค้ดส่วนนี้ทำให้ผู้ใช้งานมีโอกาสที่จะติดไวรัส, โทรจันหรือ มัลแวร์ต่างๆ ได้ ดังนั้นทางแก้อันดับหนึ่งที่ผมคิดได้ตอนนี้คือ

Subscribe to XSS