ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

ซื้อของต้องระวัง พบช่องโหว่ของปลั๊กอินบน Wordpress ทำข้อมูลบัตรเครดิตเว็บ Ecommerce รั่ว

ซื้อของต้องระวัง พบช่องโหว่ของปลั๊กอินบน Wordpress ทำข้อมูลบัตรเครดิตเว็บ Ecommerce รั่ว
ภาพจาก : https://cyberinsider.com/wordpress-plugin-used-in-server-side-credit-card-skimmer-campaign/
เมื่อ :
|  ผู้เข้าชม : 2,178
เขียนโดย :
0 %E0%B8%8B%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%A3%E0%B8%B0%E0%B8%A7%E0%B8%B1%E0%B8%87+%E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%9B%E0%B8%A5%E0%B8%B1%E0%B9%8A%E0%B8%81%E0%B8%AD%E0%B8%B4%E0%B8%99%E0%B8%9A%E0%B8%99+Wordpress+%E0%B8%97%E0%B8%B3%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%A3%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%94%E0%B8%B4%E0%B8%95%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A+Ecommerce+%E0%B8%A3%E0%B8%B1%E0%B9%88%E0%B8%A7
A- A+
แชร์หน้าเว็บนี้ :

การซื้อของในยุคปัจจุบันนั้นเปลี่ยนแปลงไป เมื่อคนหันมาซื้อสินค้า และบริการต่าง ๆ ผ่านอินเทอร์เน็ตมากขึ้น นำมาซึ่งความเจริญรุ่งเรืองของธุรกิจ Ecommerce บริษัทจำนวนมากหันมาทำการเปิดเว็บไซต์ของตัวเอง ทั้งแบบสร้างเองบ้าง ทั้งแบบแพลตฟอร์มสำเร็จรูปแบบลงของได้เลยบ้าง หรือแบบกึ่งสำเร็จรูปที่มาในรูปแบบของปลั๊กอิน แน่นอนว่าในรูปแบบหลังสุดนั้นก็มักใช้กับระบบที่เป็นที่นิยมสำหรับนักสร้างเว็บไซต์มากที่สุดอย่าง Wordpress แต่เนื่องจากเป็นระบบที่มีผู้ใช้งานมากที่สุดนั้นก็ทำให้ตกเป็นเป้าของผู้ไม่ประสงค์ดีในการหาช่องว่างเพื่อเจาะระบบขโมยข้อมูลสำคัญเสมอมาเช่นเดียวกัน

จากรายงานโดย Sucuri ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ได้มีการตรวจพบช่องโหว่ด้านความปลอดภัยบนปลั๊กอิน Dessky Snippets ที่เป็นปลั๊กอินสำหรับอำนวยความสะดวกให้เหล่านักพัฒนาเว็บไซต์สามารถใส่โค้ดพิเศษในรูปแบบภาษา PHP ลงบนเว็บไซต์ที่พัฒนาบนรากฐานของ Wordpress ได้ แต่ด้วยความสามารถในการเปิดโอกาสให้นักพัฒนาใส่โค้ดพิเศษนี่เอง ที่เป็นช่องโหว่ให้แฮ็กเกอร์สามารถแทรกโค้ดเพื่อทำการอ่านรหัส (Skimming) บัตรเครดิตที่ผู้ใช้บริการนำมาใช้งานบนเว็บไซต์ได้ ซึ่งขั้นตอนการโจมตีนั้น ทางทีมงาน Sucuri ได้อธิบายไว้ว่า

บทความเกี่ยวกับ Website Development อื่นๆ

“แฮกเกอร์จะอาศัยการยิงโค้ด PHP เพื่อช่วยให้ตัวเองแทรกซึมเข้าสู่ระบบในฐานะผู้ดูแลระบบ และดำเนินการติดตั้งโค้ด PHP สำหรับการขโมยข้อมูลรหัสบัตรเครดิตผ่านช่องโหว่ของปลั๊กอินตัวดังกล่าว โดยทำการฝังโค้ดไว้ที่ฟีเจอร์ dnsp_settings ซึ่งเป็นส่วนหนึ่งของ Wordpress wp_options table เพื่อทำการควบคุมดัดแปลงระบบการจัดการบิล (Billing Form) บนแพลตฟอร์ม Ecommerce ชื่อดังอย่าง WooCommerce และเพิ่มช่องแบบฟอร์มหลอกให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิต ไม่ว่าจะเป็นเลขบัตร ชื่อ ที่อยู่ วันหมดอายุ เลข CVV และหลังจากที่กรอกไปแล้วข้อมูลจะถูกส่งไปที่ URL สำหรับเก็บข้อมูลของแฮกเกอร์อย่างเช่น  "hxxps://2of[.]cc/wp-content/." ทำให้แฮกเกอร์ได้ข้อมูลบัตรเครดิตแบบสมบูรณ์ครบถ้วนไป”

ซื้อของต้องระวัง พบช่องโหว่ของปลั๊กอินบน Wordpress ทำข้อมูลบัตรเครดิตเว็บ Ecommerce รั่ว
ภาพจาก https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html

เห็นดังนี้แล้ว เหล่าชุมชนนักพัฒนาเว็บไซต์บน Wordpress คงต้องเพิ่มความระมัดระวังตัวให้มากขึ้นกว่าเดิม หมั่นตรวจเช็คตัวปลั๊กอินต่าง ๆ ที่ใช้งานว่ามีช่องโหว่อะไรไหม มีโค้ดอะไรแปลกปลอมฝังอยู่หรือไม่ หรือแม้แต่มีบัญชีผู้ใช้งานแปลกปลอมหรือมี Login activity ที่ไม่คุ้นเคยบนบัญชีของผู้ดูแลหรือไม่ เนื่องจากข้อผิดพลาดเหล่านี้อาจนำไปสู่เหตุการณ์แบบที่กล่าวไว้ข้างต้น ซึ่งสามารถนำไปสู่การสูญเสียความน่าเชื่อถือของตัวเว็บไซต์และการมีคดีความกับทางลูกค้าได้


ที่มา : thehackernews.com

0 %E0%B8%8B%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%A3%E0%B8%B0%E0%B8%A7%E0%B8%B1%E0%B8%87+%E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%9B%E0%B8%A5%E0%B8%B1%E0%B9%8A%E0%B8%81%E0%B8%AD%E0%B8%B4%E0%B8%99%E0%B8%9A%E0%B8%99+Wordpress+%E0%B8%97%E0%B8%B3%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%A3%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%94%E0%B8%B4%E0%B8%95%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A+Ecommerce+%E0%B8%A3%E0%B8%B1%E0%B9%88%E0%B8%A7
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น