- 04/07/2019
- Posted by: petcha
- Category: News
Barak Tawily นักวิจัยด้านความปลอดภัยแอพพลิเคชั่น ได้แสดงผลการพิสูจน์ปัญหาที่มีมานานกว่า 17 ปี บนเบราว์เซอร์ Firefox
ปัญหาที่พบนี้เกิดจากการใช้ประโยชน์ “file://” ของ SOP (Same Origin Policy) ที่มีอยู่บน Firefox ที่อนุญาตให้ทุกไฟล์ในโฟลเดอร์บนระบบสามารถเข้าถึงไฟล์ที่อยู่ในซับโฟลเดอร์หรือโฟลเดอร์เดียวกันได้ ซึ่งทาง Barak ได้ทำการพิสูจน์ช่องโหว่นี้แล้ว สามารถดูได้จากวิดีโอนี้
ที่มาวิดีโอ: The Hacker News
โดยแฮกเกอร์จะหลอกให้เปิดไฟล์ HTML ที่แฮกเกอร์สร้างขึ้นผ่านปุ่มที่สร้างขึ้นบนเบราว์เซอร์ Firefox เมื่อผู้ใช้คลิกที่ปุ่มไฟล์ HTML นี้จะถูกดาวน์โหลดเก็บไว้บนเครื่องผู้ใช้ทันที จากนั้นมันจะทำการอ่านไฟล์ที่มีทั้งหมด โดยใช้ Fetch API แล้วทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ ผ่านการร้องขอ HTTP
ทาง Barakได้ รายงานปัญหาที่พบนี้ไปยัง Moziila เรียบร้อยแล้ว โดยทาง Mozilla ตอบกลับมาว่า “นโยบายของ SOP (Same Origin Policy) ระบุไว้ว่าอนุญาตให้ทุกไฟล์ในโฟลเดอร์บนระบบสามารถเข้าถึงไฟล์ที่อยู่ในซับโฟลเดอร์หรือโฟลเดอร์เดียวกันได้” ซึ่งอาจตีความหมายได้ว่าทาง Mozilla อาจจจะไม่แก้ไขปัญหาที่เกิดขึ้นนี้ ในตอนนี้
ในปัจจุบันมีการโจมตีโดยใช้วิธีและรูปแบบใหม่ๆ เพิ่มขึ้น ผู้ใช้หลายๆ คนอาจจะตกเป็นเหยื่อในการโจมตีได้ง่าย ดังนั้นจึงต้องระวัง และป้องกันเพื่อไม่ให้ตกเป็นเหยื่อของการโจมตีได้
ที่มา : The Hacker News