สมาธิดีเลิศ แฮกเกอร์พบช่องโหว่รันโค้ดบน Pornhub ได้สำเร็จ ได้รางวัล 20,000 ดอลลาร์

   

 Pornhub ประกาศให้รางวัลกับแฮกเกอร์ที่พบช่องโหว่ของเว็บมาตั้งแต่เดือนพฤษภาคม และเพิ่มเงินรางวัลหลังเริ่มโครงการไปไม่นาน ตอนนี้ผู้ใช้ static บนเว็บ HackerOne ก็ออกมาเปิดเผยข้อมูลช่องโหว่สำคัญที่ทำให้ Pornhub ให้เงินรางวัลถึง 20,000 ดอลลาร์

     นักวิจัยเริ่มสำรวจเว็บและพบว่าบาง path ของเว็บจะ unserialize ข้อมูลในพารามิเตอร์บางตัวออกมา เช่น /album_upload/create จะ unserialize พารามิเตอร์ cookie เสมอ แต่ก็ได้ผลลัพธ์เพียงค่า exception ที่เปิดเผยชื่อไฟล์ออกมาเท่านั้น ทีมงานพยายามทดสอบทางเจาะโค้ดต่อไป โดยใช้สตริงที่สร้างจากซอฟต์แวร์ fuzzer ที่เขียนขึ้นเองเพื่อหาความเป็นไปได้ต่างๆ และพบว่าบางกรณีข้อมูลที่ส่งเข้าไปให้ไบนารีออกมาขนาดใหญ่กว่า 200KB

     ทีมงานสำรวจข้อมูลที่ได้มาและพบว่ามันคือช่องโหว่ของ PHP เองที่ยังไม่มีใครพบ ช่องโหว่ที่พบมีสองกรณี ได้แก่ CVE-2016-5771 และ CVE-2016-5773 เป็นช่องโหว่ use-after-free ของ garbage collector ของ PHP

      เมื่อได้ช่องโหว่เช่นนี้แล้ว ทีมงานพยายามสร้างสร้างโค้ดที่ขึ้นไปรันบนเซิร์ฟเวอร์ของ Pornhub แต่เซิร์ฟเวอร์ก็ใช้มาตรการป้องกันอย่าง position-independent executable (PIE) และ ASLR ทีมงานสำรวจจนกระทั่งสามารถรันฟังก์ชั่นzend_eval_string ได้สำเร็จ และสั่งอ่านไฟล์ /etc/passwd ออกมาได้

ทีมงานวิจัยทั้งหมดประกอบไปด้วย Dario Weißer, @_cutz, และ Ruslan Habalov

      ทีมงานรายงานช่องโหว่นี้ไปยัง Pornhub ตั้งแต่วันที่ 30 พฤษภาคมที่ผ่านมา และทาง Pornhub แก้ไขภายในเวลาไม่กี่ชั่วโมง จากนั้นใช้เวลาสองสัปดาห์พิจารณาเงินรางวัล 20,000 ดอลลาร์ นอกจากนี้ทีมงานยังได้รางวัลอีก 2,000 ดอลลาร์จากช่องโหว่ของ PHP ทั้งสองอัน ทีมงานชื่นชม Pornhub ว่าตอบกลับอย่างรวดเร็วและสุภาพ และใส่ใจต่อความปลอดภัยอย่างจริงจัง

ที่มา: Ruslan Habalov -  Evonide (July 23, 2016)

แปลโดย: lew - blognone (July 24, 2016)

พรบ.คอมพิวเตอร์ 2550

เนื่องจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ได้การประกาศใช้ในวันที่ 19 กรกฎาคม 2550 ในด้านของการศึกษา โดยเฉพาะการผลิตสื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับการศึกษาถือเป็นเรื่องที่มีความสำคัญมาก ในฐานะผู้ออกแบบและพัฒนานั้นจะต้องคำนึงถึงความถูกต้องเป็นสำคัญ จึงจำเป็นต้องรู้กฎหมาย และมีความรอบคอบในการทำงานและระวังให้มากขึ้น

1. เจ้าของเครื่องคอมพิวเตอร์ไม่อนุญาตให้เข้าระบบคอมพิวเตอร์ของเขา ถ้าเราแอบเข้าไป … จำคุก 6 เดือน

2. เจาะเข้าระบบคอมพิวเตอร์ของคนอื่น แล้วเผยแพร่ให้คนอื่นรู้   จำคุกไม่เกิน 2 ปี

3. แอบเข้าไปล้วงข้อมูลส่วนบุคคลที่เก็บเอาไว้ในระบบคอมพิวเตอร์   จำคุกไม่เกิน 2 ปี

4. ข้อมูลที่ถูกส่งหากันผ่านเครือข่ายคอมพิวเตอร์ แล้วไปดักจับข้อมูลของเขา จำคุกไม่เกิน 3 ปี

5. ข้อมูลที่อยู่ในระบบคอมพิวเตอร์ ถ้ามีไปตัดต่อ ดัดแปลง … จำคุกไม่เกิน 5 ปี (ดังนั้นอย่าไปแก้ไขงานเอกสารที่อยู่ในเครื่องคอมพิวเตอร์คนอื่น)

6. ปล่อย Malware เช่น virus, Trojan, worm เข้าระบบคอมพิวเตอร์คนอื่นแล้วระบบเข้าเสียหาย … จำคุกไม่เกิน 5 ปี

7. ถ้าเราทำผิดข้อ 5. กับ ข้อ 6. และสร้างความเสียหายใหญ่โต เช่น เข้าไปดัดแปลงแก้ไข ทำลาย ก่อกวน ระบบสาธารณูปโภค หรือระบบจราจร ที่ควบคุมโดยคอมพิวเตอร์ ……..จำคุกสิบปีขึ้น

8. ถ้ารบกวนโดยการส่ง email โฆษณาต่างๆไปสร้างความรำคาญให้ผู้อื่น  … ปรับไม่เกินหนึ่งแสนบาท

9. ถ้าเราสร้างโปรแกรม หรือซอฟต์แวร์เพื่อเพื่อสนับสนุนผู้กระทำความผิด … จำคุกไม่เกินปีนึง

10. ส่งภาพโป๊ , ประเด็นที่ไม่มีมูลความจริง, ท้าทายอำนาจรัฐ … จำคุกไม่เกิน 5 ปี

11. เจ้าของเว็บไซด์โหรือเครือข่ายที่ยอมให้เกิดข้อ 10. โดนลงโทษด้วย … จำคุกไม่เกิน 5 ปี

12. ชอบเอารูปคนอื่นมาตัดต่อ … จำคุกไม่เกิน 3 ปี