Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Monday, January 30, 2012

Hack Simsimi User


บทความนี้ผมทำเพียงวิดีโอ Proof of Concept เท่านั้นครับ 
ในส่วนของข้อความเขียนโดยพี่ Chakrit Sanbuapoh (InfoSec บริษัท MFEC )


simsimi - หยุดก่อนท่านผู้ชม!!! ที่กำลังเริงร่าอยู่บน www.simsimi.com/talk.htm กับลูกเจี๊ยบชวนหัวน่าตบกระบาล ไม่ได้บอกให้คุณหยุดสนุกสนานกับ simsimi หรือ รณรงค์อย่า Teach ภาษาวิบัติให้มันตามที่ kor. bor. wor ท่านหวั่นไหว!! เพียงแต่ด้วยกระแสที่ร้อนแรงของ simsimi ในตอนนี้ กำลังกลายเป็นทางสว่างให้เหล่าแฮกเกอร์  ได้ทำการแฮกข้อมูลของท่าน…ตามมาดู!!

Simsimi  มาจากภาษาเกาหลี (ซิมซิมิ) แปลว่า เบื่อ  เป็น Program สัญชาติเกาหลี ที่ฮิตมาก่อนใน iPhoneและ Android สามารถพูดคุย โต้ตอบกับเราได้เหมือนเพื่อนคุยกัน อันมาพร้อมกับคำตอบที่แสนจะกวน ชนิด18+   และตอนนี้สามารถเล่นผ่าน Web site ได้แล้วนั้น

แต่จะมีสักกี่คนที่ทราบว่าเว็บไซต์ SIMSIMI.com มีช่องโหว่ของ XSS (Cross Site Scripting) ตามมาตรฐานOWASP 2010  ติดอันดับที่ 2 ซึ่งถือว่าเป็นช่องโหว่ที่ Hacker นิยมใช้ สำหรับการหลอกให้ผู้ใช้กรอกข้อมูลสำคัญ แล้วส่งกลับไปยังแฮกเกอร์ ซึ่ง Hacker จะมองเว็บไซต์ ต่างจากบุคคลทั่วไป คือ จะหาช่องโหว่ของเว็บไซต์อยู่เสมอ ที่นี้เราดูถึงอันตรายกันดีกว่าว่า Hacker เขาทดสอบหาช่องโหว่กันอย่างไร? …

จากการทดสอบอาศัยช่องโหว่ของ XSS ทดสอบด้วยการใส่คำสั่ง



1. ลองพิมพ์คำว่า <script>alert(‘ MFEC’);</script> ก็จะได้ดังภาพ

2. หลังจาก กดที่ปุ่ม Send ผลปรากฏ คือ มีข้อความแสดง Popup “MFEC” ขึ้นมา

3. เมื่อทำได้แบบนี้ Hacker คงไม่หยุดอยู่เพียงแค่นี้  จากนั้นลองทดสอบเพื่อที่จะให้ส่ง ไปที่เว็บอื่น ทดสอบด้วยคำสั่ง : <script>window.location=”http://www.mthai.com”</script>จากนั้นกด Send ตามภาพ

4. หลังจากกดที่ปุ่ม Send รอสักพัก  URLก็จะส่งเราไปที่เว็บไซต์ http://www.mthai.com ตามภาพ

 

เมื่อ Hacker มองเห็นว่ามันสามารถที่จะ redirect ไปที่เว็บไซต์อื่นได้ดังนี้  Hacker ก็จะคิดต่อยอดไปอีกว่า มันน่าจะสามารถทำอะไรได้มากกว่านี้  ถ้าสามารถทำให้ทำให้กุ๊กไก่ (SIMSIMI) จำข้อมูลที่ต้องการได้

ตัวอย่างเช่น เมื่อ มีคนพิมพ์คำว่า MFEC  ก็ให้กุ๊กไก่ (SIMSIMI) ตอบไปว่า <script>window.location=”http://www.mfec.co.th”</script>  ใครก็ตามที่พิมพ์ MFEC ก็จะ redirect ไปที่เว็บไซต์ http://www.mfec.co.th

เพื่อเป็นการศึกษาให้ความรู้ความเข้าใจ จึงขอยกตัวอย่าง video ของน้อง NopMayaseven ที่ทำเป็นตัวอย่างไว้


จาก video จะเห็นว่า


1.  เวลาประมาณ วินาที ที่ 0:50  จะเห็นว่า เมื่อพิมพ์คำว่า “iloveyoubaby “   หน้าเว็บก็จะ redirect  ไปที่ไอพี http://192.168.1.2/ 
2. จะเห็นว่า Hacker เปิดหน้าจอ อีกหน้าจอหนึ่งไว้ เพื่อรอให้ใครก็ได้มา connect   (ไอพีเครื่องของ Hacker คือ 192.168.1.2 นั้นเอง) โดย Hacker อาศัยช่องโหว่ของ Internet  Explorer
3. จะเห็นว่า เมื่อคนที่คลิกมาที่  http://192.168.1.2/  ก็จะโดน Hacker เข้าถึงระบบ เครื่องเรียบร้อยแล้ว ซึ่งก็หมายความ โดนแฮกเครื่องแล้ว


ผลกระทบสำหรับบุคคลทั่วไปสรุปดังนี้


1. ถ้า User ที่ใช้  browser (เช่น IE6 ,Firefox, Safari หรือ chrome รุ่นที่มีช่องโหว่)   Hacker สามารถ ครอบครองเครื่องจาก ระยะไกลได้
2. ช่องโหว่นี้ Hacker อาจจะขโมยคุกกี้ (cookie) ของ User ที่สมัครเป็นสมาชิกของ SIMSIMI ได้

 

วิธีป้องกัน


1. ควรupdate browser ที่ใช้อยู่เสมอ
2. ควร update System operation  (OS) เช่น Windows ให้ใหม่อยู่เสมอ
3. เปิด Firewall ของ windows ไม่ควรปิด
4. Update Antivirus ให้มี Signature ใหม่อยู่เสมอ


บทความโดย : Chakrit Sanbuapoh (InfoSec บริษัท MFEC )
Original : http://tech.mthai.com/software/13950.html