Các chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người Việt Nam đứng hàng đầu.
Hội đồng các chuyên gia bảo mật đã xếp hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá trình đánh giá và ghi nhận.
Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.
Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:
1. Kiểu tấn công “padding oracle crypto”, kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net, hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn toàn các máy chủ Windows chứa các trang web này. (Người phát hiện: Dương Ngọc Thái và Juliano Rizzo).
2. Evercookie: có thể dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie đã bị xóa. (Người tạo ra: Samy Kamkar).
3. Tấn công Autocomplete: tính năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể “buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah Grossman).
4. Tấn công HTTPS bằng cache injection: “tiêm” mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và Dan Boneh).
5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail. Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).
6. Universal XSS trong IE8: Lỗ hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).
7. HTTP POST DoS: đây là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và Tom Brennan).
8. JavaSnoop: Khi dữ liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).
9. Tấn công qua CSS History trong Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt. Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa đảo trang web (phishing). (Người tạo: Robert "RSnake" Hansen).
10. Java Applet DNS Rebinding: Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di Paola).