Search
 
 

Display results as :
 


Rechercher Advanced Search

Latest topics
» NewBlueFx TotalFX Windows-FL | 1.11 GB
Tue Dec 17, 2013 12:42 pm by titquarra

» NewBlueFx TotalFX Windows-FL | 1.11 GB
Tue Dec 17, 2013 12:42 pm by titquarra

» Celebrity.Sex.Tape.UNCUT.&.UNRATED.2012.720p.BRrip.x264.YIFY.mp4
Tue Dec 17, 2013 8:32 am by titquarra

» Maya Autodesk Personal Learning Edition 8.5
Tue Dec 17, 2013 7:47 am by titquarra

» Tuyệt Kỹ Đong Giai Chân Kinh (tuyệt Kỹ cua trai)
Thu Aug 23, 2012 5:38 am by Admin

» Tuyệt kỹ cua giai
Thu Aug 23, 2012 5:36 am by Admin

» NETCAT.........
Mon Aug 13, 2012 6:35 am by Admin

» Bảo mật CSDL bằng phương pháp mã hóa.
Tue Apr 17, 2012 10:04 pm by Admin

» Hàm mã hóa MD5 bằng JavaScript
Tue Apr 17, 2012 10:03 pm by Admin

Shopmotion


Affiliates
free forum


Top 10 kỹ thuật tấn công trên web

View previous topic View next topic Go down

Top 10 kỹ thuật tấn công trên web

Post  Admin on Thu Feb 24, 2011 7:23 am

Các chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người Việt Nam đứng hàng đầu.

Hội đồng các chuyên gia bảo mật đã xếp hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá trình đánh giá và ghi nhận.

Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.

Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:

1. Kiểu tấn công “padding oracle crypto”, kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net, hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn toàn các máy chủ Windows chứa các trang web này. (Người phát hiện: Dương Ngọc Thái và Juliano Rizzo).

2. Evercookie: có thể dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie đã bị xóa. (Người tạo ra: Samy Kamkar).

3. Tấn công Autocomplete: tính năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể “buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah Grossman).

4. Tấn công HTTPS bằng cache injection: “tiêm” mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và Dan Boneh).

5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail. Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).

6. Universal XSS trong IE8: Lỗ hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).

7. HTTP POST DoS: đây là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và Tom Brennan).

8. JavaSnoop: Khi dữ liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).

9. Tấn công qua CSS History trong Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt. Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa đảo trang web (phishing). (Người tạo: Robert "RSnake" Hansen).

10. Java Applet DNS Rebinding: Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di Paola).

Admin
Admin

Tổng số bài gửi : 782
Join date : 2009-08-15

View user profile http://hackis.forumotion.com

Back to top Go down

View previous topic View next topic Back to top

- Similar topics

 
Permissions in this forum:
You cannot reply to topics in this forum