'

Featured Posts

ေငြလဲႏူန္းေတြတြက္မယ္

ကြ်န္ေတာ္ ၏ Blogger ဆိုဒ္ကေလးျပဳျပင္ဆဲကာလျဖစ္ပါေသာေၾကာင့္ လိုအပ္တာမ်ား လုပ္မရေသာအရာမ်ား ရွိပါက sl.northerstar@gmail.com ကိုဆက္သြယ္ေမးျမန္းႏိုင္ပါသည္...ခင္ဗ်ာ....

Monday, April 23, 2012

ဟက္ကာ


ပင္တဂြန္ email စနစ္ထဲ hacker ၀င္ေႏွာက္ယွက္

အေမရိကန္ စစ္႒ာနခ်ဳပ္ ပင္တဂြန္၏ လံုျခံဳေရး အဆင့္သတ္မွတ္ထားျခင္း မရွိေသာ email စနစ္ထဲသို႔ကြန္ျပဴတာ heaker တစ္ဦးက ၀င္ေရာက္ထုိးေဖါက္ ေနွာင့္ယွက္မႈေၾကာင့္ သက္ဆုိင္ရာအာဏာပို္င္မ်ားက အေမရိကန္ ကာကြယ္ေရး ႒ာန၏ email စနစ္မွ အသံုးျပဳသူ ၁၀၀၀ မွ ၁၅၀၀ ကိုခ်က္ခ်င္း ပိတ္ပစ္ခ့ေဲ ၾကာင္း ကာကယြ ္ေရး ၀န္ႀကီး ေရာဘတ္ကိတ္က ေျပာၾကားခဲ့သည္။၎ထုိးေဖါက္ေနွာင့္ ယွက္မႈေၾကာင့္ ႀကိဳတင္သတိ္ေပး ေဆာင္ရြက္မႈမ်ား ျပဳလုပ္ခဲ့ရသည္ဟု ဆုိသည္။ဗုဒၶဟူးေန႔ကလည္း အေမရိကန္ အစိုးရ၏ အဓိက   ေအဂ်င္စီ တစ္ခုျဖစ္ေသာ Homeland Security႒ာန၏ ကြန္ျပဴတာမ်ားကိုလည္း hacker မ်ားက ၀င္ေရာက္ေနွာင့္ယွက္မႈမ်ား ရွိခဲ့သည္ ဟုဆုိသည္။



          ပင္တဂြန္၏ email စနစ္သည္ ပံုမွန္ email လုပ္ငန္းကို အုပ္ခ်ဳပ္ေရးနည္းလမ္းအရ လံုျခံဳေရးအဆင့္မသတ္မွတ္ဘဲ ဖြင့္လွစ္ထား ရိွခ့ျဲခင္းျဖစ္ၿပီး လုံျခံဳေရး အဆင့္သတ္မွတ္ထားေသာ စစ္ဆင္မႈလုပ္ငန္းမ်ားနွင့္ ပတ္သက္သည့္ သတင္းအခ်က္အလက္မ်ား မပါ ၀င္ေၾကာင္း ပင္တဂြန္ စစ္႒ာနခ်ဳပ္မွဗိုလ္မႉးႀကီး ဂယ္ရီကက္ ကေျပာသည္။အဆုိပါ ကြန္ျပဴတာ hacker ၏ ရင္းျမစ္နွင့္ ၎ hecker က ပင္တဂြန္၏ email မ်ားကို ဖတ္နုိင္ခဲ့မႈရွိမရွိနွင့္ ပတ္သက္၍မူ ပင္တဂြန္က ေ၀ဖန္ေျပာၾကားျခင္း မရွိခဲ့ေခ်။ပင္တဂြန္ ကြန္ျပဴတာမ်ားတြင္ ယခုက့ဲသို႔ ၀င္ေရာက္ေနွာင့္ယွက္မွႈမ်ား မၾကာခဏ ၾကံဳေတြ႔ခဲ့ရေၾကာင္းေရာဘတ္ဂိတ္က ေျပာၾကားခ့ဲသည္။


ကြန္ျပဴတာ သရဲတစ္ေကာင္ Mac ကြန္ျပဴတာsystem ထဲ ထိုးေဖာက္ဝင္ျပၿပီး ဆုေၾကး ေဒၚလာ10000 ယူသြား

ဗန္ကူဗား CanSecWest security conference မွာ လုပ္ခဲ႔ တဲ႔ ဧပရယ္ ၂၀ ရက္ေန႕ ၿပိဳင္ပြဲမွာကြန္ျပဴတာ သရဲ တစ္ေယာက္က Mac ကြန္ျပဴတာ system ထဲကို ေအာင္ျမင္စြာ ထိုးေဖာက္၀င္ေရာက္ ျပခ႔ ဲ ၿပီး ဆုေငြ ေဒၚလာ 10000 ရယူ သြားပါတယ္။ ၿပိဳင္ပြဲမွာ အႏိုင္ရသြား တဲ႔ ပရိုဂရမ္မာက Apple ထုတ္တဲ႕ safari ဘရိုဇာ ရဲ႕ ဟာကြက္ တစ္ကြက္ ကို ထုတ္ေဖၚျပသြားတာပါ။လက္ရွိအသံုး ျပဳေနၾကတဲ႕ OS X တိုင္းမွာ အဲဒီဟာကြက္ ရိွေနတယ္လို႔ အဲဒီပဲကြ ို စီစဥ္တဲ႕ SeanComeau အတည္ျပဳ ေျပာခ့ဲပါတယ္။
ၿပိဳင္ပြဲစီစဥ္ ျဖစ္တ႔ ဲအဓိက ရည္ ရြယ္ခ်က္ ကေတာ႔ Mac ကြန္ျပဳတာရိွ ထိုးေဖာက္ခံရဖို႕ အလားအလာရွိတဲ႔ လံုျခံဳေရးဆိုင္ရာ ဟာ ကြက္ေပ်ာ႔ကြက္ေတြကို သတိျပဳသိရိွၿပီးပိုမိုအာရံုစိုက္လာၾကေအာင္လို႔ပဲျဖစ္တယ္လို႕ Dragos Ruiu ကေျပာခဲ႔ပါတယ္။ သူဟာ ဒီပြဲအပါအ၀င္အလားတူ security conferences ေတြကို ဦးေဆာင္ စီစဥ္ေနသူ တစ္ေယာက္လည္းျဖစ္ပါတယ္။

ၿပိဳင္ပြဲ အစ  မွာေတာ႔ Macs ကြန္ျပဳတာ ႏွစ္လံုး မွာ တစ္လံုး ကို ဘာပရိုဂရမ္ မွ Run မထားပဲ၀ါယာလက္နဲ႕ ခ်ိတ္ေပးထားၿပီး ဟက္ကာ   ေတြ ကို ထိုးေဖာက္ၾကဖို႕ ဖိတ္ေခၚခဲ႔ တာပါ၊ ဒါေပမယ္႔တစ္ေယာက္မွ လက္စမြ ္းမျပႏိုင္ ခ႔ ဲ ၾကပါဘူး၊ ဒါနဲ႕ ပြဲစီစဥ္သူေတြက ေနာက္ Macs တစ္လုံးမွာ ဘရိုဇာသံုးၿပီး URL ေတြ အီးေမးလ္နဲ႕ ပို႕တာကို ခြင္႔ျပဳလိုက္ ပါတယ္။အဲဒီမွာဘဲ နယူးေရာက္မွာ ရိွေနတ႔ ဲ Dino Di Zovie က ဟာကြက္ျဖစ္ေနတဲ႕ အေပါက္ကို ၀င္ႏိုင္မယ္႕URL အရွည္ႀကီး ကို ပို႔လာပါေတာ႔တယ္၊ ၿပိဳင္ပြဲ ရဲ႕ စည္းကမ္းခ်က္က ဗန္ကူးဗားၿပိဳင္ပြဲ မွာ ရွိေနသူေတြပဲ အၾကံဳး၀င္တာမို႔ ဒီေမာင္ က ပြဲထဲမွာ ရွိေနတဲ႔ သူ႕သူငယ္ခ်င္း တစ္ေယာက္ကေန တစ္ဆင္႔ခံ
ပို႕လာၿပီး ေတာ႕ လက္စြမ္း ျပသြားတာပါ။

သူရဲ႕ URL ကိုဖြင္႔လိုက္ရင္ေတာ႔ ဘာမွမရွိတဲ႔ စာမ်က္ႏွာ ကိုပဲ ေတြ႕ ရတာပါ၊ ဒါေပမယ္႔ safari ဘရိုဇာရဲ႕ အဲဒ ီ ဟာကြက္ ေၾကာင္႕ ဟက္ကာ တစ္ေယာက္ အေနနဲ႕ Mac ကြန္ျပဴတာ ကို နည္းလမ္းမ်ဳိးစံုနဲ႕လိုသလို ကိုင္တယြ ္ အသုံးခ်လို႕ ရတ႔ ဲ အေနအ ထား   ျဖစ္ သြားပါတယ္၊ Dino Di Zovie ကေတာ႔ backdoor ကိုဖြင္႔တဲ႕ နည္းကို ပဲ သံုးၿပီး Mac ကြန္ျပဴတာ ထဲမွာ ရွိေနတဲ႕ အခ်က္အ လက္ေတြ ကိုရယူျပသြားတယ္လို႔ Comeau ကေျပာ ခဲ႔ပါတယ္။ဒီ ဟာကြက္ ကိုေတာ႔ တရား၀င္ ထုတ္ေဖၚသြားမွာ မဟုတ္ပါဘူး၊ ဒီ အခ်က္အ လက္ေတြကို Apple ကိုဘဲ ေပးပို႔သြားမွာ ပါလို႔ ဆုေၾကးစီစဥ္ေပးတဲ႕ 3Com Corp’s ရဲ႕ TippingPoint division ဆိုပါတယ္။
Mac အသံုးျပဳ ကြန္ျပဴတာေတြဟာ Window ေတြေလာက္ အတိုက္အခိုက္ မခံ ရဘူး ဆိုတဲ႔ ေနရာမွာMac ကြန္ျပဴတာ အလံုးေရဟာ Window နဲ႕ ယွဥ္ရင္ အေတာ္နည္းတာ က လည္း အခ်က္တစ္ခ်က္ပါ၊

ၿပီးေတာ႕ Mac အသံုးျပဳတဲ႕ ပလက္ေဖာင္း က Window ေလာက္ က်ယ္က်ယ္ ျပန္႕ ျပန္႕ မရွိတာကလည္း ဟက္ကာ ေတြ အေနနဲ႕ သိပ္ၿပီး အာရံု မက်ေစတာပါ၊ အခုဒီပြဲ မွာ ေတာ႕ ဆုေၾကးေငြကဟက္ကာ ေတြရဲ႕ စိတ္ အာရံုကို ႏိႈးဆြေစ ခဲ႕တာလို႕ TippingPoint ရဲ႕ ကြန္ျပဴတာ လံုျခံဳေရး ဆုိင္ရာမန္ေနဂ်ာ Terri Forslof ဆိုပါတယ္။
ၿဗိတိန္ႏုိင္ငံသားဟက္ကာ၏ အယူခံဝင္ခြင့္ကို ပယ္ခ်ခံရ
အေမရိကန္၏ စစ္ဘက္ဆုိင္ရာ သတင္းမ်ားအား ၀င္ေဖာက္သူဟု စြပ္စြဲ ခံရေသာ ၿဗိတိန္ ႏုိင္ငံသားကြန္ပ်ဴတာ ဟက္ကာ တစ္ေယာက္ သည္ ၎အား အမႈ စစ္ေဆးရန္ အတြက္ အေမရိကန္ႏုိင္ငံသုိ႔အပ္ႏွံေရး ကိစၥႏွင့္ ပတ္သက္၍ အယူခံ၀င္ရာ ပယ္ခ်ျခင္း ခံရေၾကာင္း သတင္းရရွိသည္။ၿဗိတိန္ႏုိင္ငံသား ဟက္ကာတစ္ဦး ျဖစ္သူ "ကေရး မတ္ကင္ႏုိ" သည္ ၂၀၀၂ ခုႏွစ္တြင္ဖမ္းဆီးခံ  ခဲ့ရသည္။ ၁၉၉၇ ခုႏွစ္တြင္ အေမရိကန္ အစုိးရဘက္ ဆုိင္ရာ ကြန္ပ်ဴတာမ်ား ျဖစ္ေသာပင္တဂြန္၊ အေမရိကန္ ၾကည္းတပ္၊ ေရတပ္ႏွင့္ NASA မွ ကြန္ပ်ဴတာ System မ်ားဆီသုိ႔ တရားမ၀င္၀င္ေရာက္ၿပီး ေဒၚလာ ၇၀၀၀၀၀၀ ဖုိး ဖ်က္ဆီးခဲ့သည္ဟု အေမရိကန္ အစုိးရက စြဲခ်က္
တင္ခဲ့ေလသည္။"မတ္ကင္ႏုိ" ၏ အယူခံ၀င္ျခင္းကုိ ၿဗိတိန္ႏုိင္ငံ၏ တရားသူႀကီးခ်ဳပ္ ႏွစ္ဦးမွ ပယ္ခ်ခဲ့ျခင္းျဖစ္ၿပီးအေမရိကန္ ႏုိင္ငံသုိ႔ အပ္ႏွံသင့္သည္ဟု အမိန္႔ခ်မွတ္ခဲ့သည္။
ထုိ တရားသူႀကီးခ်ဳပ္ ႏွစ္ဦးအနက္မွ "ေလာ့ဒ္ ဂ်တ္စတင္ ေမာ္႐ုိက္ေကး" က " မစၥတာ မတ္ကင္ႏုိရဲ႕ အျပဳအမူဟာ တမင္ ႀကိဳတင္ၾကံ စည္ခ့ဲတာ ျဖစ္ၿပီး အေမရိကန္အစိုးရရဲ႕ ကြန္ပ်ဴတာထဲက သတင္းအခ်က္အလက္ေတြ၊system ေတြ၊ program ေတြရဲ႕ လုပ္ေဆာင္ ခ်က္ေတြ၊ ယုံၾကည္စိတ္ခ်မႈနဲ႔ လုံျခံဳမႈ အပုိင္းေတြကုိယုတ္ေလ်ာ့ေစတာပါပဲ။ ဒါေၾကာင့္မုိ႔ သူ႔ရဲ႕ အယူခံ၀င္မႈကုိ စဥ္းစားေပးစရာ ဘာ အေၾကာင္းျပခ်က္မွမရွိပါဘူး။" ဟု ေျပာၾကားသြားေလသည္။

"မတ္ကင္ႏုိ" ရဲ႕ ေရွ႕ေနကလည္း ဒီလုိ အေမရိကန္ ႏုိင္ငံရဲ႕ လက္ထဲ ထုိးထည့္လုိက္တာဟာလူ႔အခြင့္အေရးကုိ ခ်ိဳးေဖာက္တာ ျဖစ္ၿပီး စစခ်င္းမွာပဲ ဒီလုိ အၾကမ္းနည္းနဲပ မေျဖရွင္းသင့္ပါဘူး။အမ်ားျပည္သူရဲ႕ ဆႏၵန႔ဲ ႏိုင္ငံရဲ႕ သေဘာထားကို ထည့္သြင္းစဥ္းစားသင့္တယ္ ဟု ေလွ်ာက္လဲခ့ဲသည္။"မတ္ကင္ႏုိ" ၏ ဟက္ကာ အမည္မွာ "ဆုိလုိ" ျဖစ္ၿပီး သူက အေမရိကန္ အစုိးရ၏ ကြန္ပ်ဴတာမ်ားကုိ
တရား  မ၀င္ ၀င္ေရာက္မိသည္ဟု ၀န္ခံခဲ့ေသာ္လည္း ဖ်က္ဆီးမႈ မလုပ္ခဲ့ဟု ျငင္းဆုိလ်က္ ရွိသည္။
၎၏ ျပစ္မႈ ထင္ရွားခ့ပဲ ါက "မတ္ကင္ႏို"   အေနျဖင့္ ေထာင္ဒဏ္ ႏွစ္ (၇၀) က်ခံရမည္ ျဖစ္ၿပီးဒဏ္ေငြအျဖစ္ ေဒၚလာသန္းေပါင္း (၁.၇၅) ေက်ာ္ ေပးေဆာင္ရမည္ ျဖစ္သည္။ "မတ္ကင္ႏုိ" က သူအခုအခ်ိန္ထိ ၿဗိတိန္ လႊတ္ေတာ္ခုံ႐ုံးတြင္ အယူခံ၀င္ႏုိင္ ရန္ ေမွ်ာ္ လင့္ဆဲ ျဖစ္ေၾကာင္းေျပာၾကားသြားခ့ေဲ လသည္။

Merkel ၏ လက္ေဗြရာအား ထုတ္ေဖာ္ ျပမည္ဟု“ဟက္ကာ” အုပ္စု ၿခိမ္းေျခာက္
အလံုးစံု ပ်က္စီးေရး ကြန္ပ်ဴတာအဖြဲ႔ (CCC) မွာ ဂ်ာမနီႏိုင္ငံ၏ သက္တမ္း အရွည္ဆံုးႏွင့္အႀကီးဆုံး ဟတ္ကာ အဖ႔ဲြအစည္း ျဖစ္ၿပီး ဂ်ာမန္ ဝန္ႀကီးခ်ဳပ္ Angela Merkel ၏ လက္ေဗြရာအားအစိုးရ၏ ႏိုင္ငံကူး လက္မွတ္ အသစ္ ထုတ္ေပးျခင္း စနစ္အရ ဇီဝ စနစ္သံုး သတင္း
အခ်က္အလက္မ်ား အေပၚ မေက်နပ္သျဖင့္ လူထု ပရိတ္သတ္ထံသုိ႔ ထုတ္ေဖာ္ျပမည္ ျဖစ္ေၾကာင္းၿခိမ္းေျခာက္ လိုက္သည္ဟု မီဒီယာ သတင္းမ်ား တြင္ အဂၤါေန႔က ေရးသား ပါရွိသည္။
လြန္ခဲ့သည့္ ႏိုဝင္ဘာလ ၂၀၀၇ ခုႏွစ္က စတင္ထုတ္ေပးခဲ့သည့္ ႏိုင္ငံကူး လက္မွတ္မ်ားတြင္ဇီဝနည္းသံုး ခ်ပ္(စ္)ျပားတြင္ ကိုင္ဆိုင္သူ၏ လက္ေဗြရာအား ထည့္သြင္း ထားၿပီး လူဝင္မႈ႔ ႀကီးၾကပ္ေရးတာဝန္ ရွိသူမ်ားမွ အလြယ္တကူ စစ္ေဆးႏိုင္ရန္ စီမံထားေၾကာင္း သိရသည္။
အထက္ပါ ကိစၥႏွင့္ ပါတ္သတ္ၿပီး (CCC) မွ ေျပာရာတြင္ လက္ေဗြရာ စစ္ေဆးသည့္ ကိစၥမွာ လူတစ္ေယာက္စီ၏ အမွတ္အသား ကိစၥတြင္ အလြန္လြယ္ကူေၾကာင္းႏွင့္ စုေဆာင္းရသည္မွာလြယ္ကူသည့္ အျပင္ ျပန္လည္ ျပဳလုပ္ရသည္မွာ လည္း လြယ္ကူေၾကာင္း ေျပာၾကား ခဲ့သည္။ ထို႔အျပင္ ၎တို႔၏ ဝက္(ဘ္) ဆိုဒ္ထဲတြင္လည္း လက္ေဗြရာ အတူအား မည္သို႔ ျပဳလုပ္ရသည္ကိုအဆင့္၁၂ဆင့္ ျဖင့္ ရွင္းလင္း   ျပထားေၾကာင္း သိရသည္။
အဓိက ျပႆနာမွာ ယင္းလက္ေဗြရာ လုပ္ေဆာင္သည့္ ကိစၥ ျဖစ္ေၾကာင္းႏွင့္ ယင္းဇီဝ နည္းစနစ္ လက္ေဗြရာမွာ လုံၿခံဳေရးကို ေကာင္းစြာ အေထာက္ အကူမျဖစ္ေၾကာင္း (CCC) မွ စေနေန႔တြင္ေျပာၾကား လုိက္သည္။

Hack/Crack
Microsoft's ထုတ္ JavaScript ျဖစ္တ့ဲ jScript ေတြနဲ႕ ECMAScript ေတြကို လည္းအသံုးျပဳၾကပါတယ္။ တစ္ခါတစ္ရံမွာ XSS ေတြဟာ Sun Microsystems's Java, Microsoft'sActiveX ,VBScript, Adobe's Flash, ActionScript ေတြနဲ႕ RSS Atom feeds ေတြထိ ၀င္ေရာက္ႏိုင္ပါတယ္။ XSS ေတြကို 1990 ခုႏွစ္ ၀န္းက်င္ ေလာက္က ေပၚေပါက္ခဲ့တယ္လို႕ခန္႕မွန္းၾကပါတယ္။ နာမည္အႀကီးဆံုး Cross-site scripting ေတြတိုက္ခိုက္ခံရတဲ့ websiteေတြရွိပါတယ္။ ကၽြန္ေတာ္တို႕ရဲ႕ အခ်စ္ေတာ္ Google search engine ထိပ္ဆံုးက ပါ၀င္ခဲ့ပါတယ္။

Google နဲ႕ Yahoo တို႕ရဲ႕ email services, Social networking မွာ နာမည္ႀကီးတဲ့ Facebook,Myspace နဲ႕ Australia ရဲ႕ အစိုးရထာဌာနေတြ Italian နဲ႕ German တို႕ရဲ႕ bank လုပ္ငန္းမွာအသုံးျပဳေနတ့ဲ paypal account ေတြ၊ sourceforge.net, Netscape, Nokia နဲ႕ eBay တို႕ရဲ႕cusumer ေတြ Microsoft Xbox, Obama dicussion forum ေတြနဲ႕ အျခားျခား နာမည္ႀကီး siteေပါင္းမ်ား  စြာ တိုက္ခိုင္ျခင္း ခံခ့ရဲ ပါတယ္။ MediaWiki ကလည္း wikipedia နဲ႕ အျခား wiki မ်ားမွာရွိတဲ့ user ေတြကို ကာကြယ္ဖို႕ MediaWiki ရဲ႕ XSS တိုက္ခိုက္ မႈခံရႏိုင္တဲ့ အေပါက္ေပါင္း 20 ကိုျပဳျပင္ခဲ့ရပါတယ္။ 2008 ခုႏွစ္မွ စတင္ၿပီး browser ေတြဟာ blacklisted ေတြကို ကာကြယ္ေပးႏိုင္တ့ဲ နည္းလမ္းေတြ ထ့ဲသြင္း ခ့ပဲ ါတယ္။
XSS သုံးမ်ိဳးရိွပါတယ္။ ပထမ တစ္မ်ိဳးကေတာ့ DOMbasedျဖစ္ပါတယ္။ DOM-based ကို Type "0" XSS လို႕ေခၚပါတယ္။ သူဟာ Html, Xhtml ေတြကိုတိုက္ခိုက္ဖို႕အတကြ ္ ရည္႐ယြ ္ထားတ့ဲ Cross-site scripting ျဖစ္ပါတယ္။ Url တစ္ခုကို email ဒါမွမဟုတ္ နည္း လမ္း တစ္ခုခုနဲ႕ သင့္ဆီ အေရာက္ပို႕လိုက္ပါတယ္။ ဒီ url ကေနတစ္ဆင့္ attackerေတြရဲ႕ ထိန္းခ်ဳပ္မႈ အျပည့္အ၀ရိွတ့ဲ url ေတြဆီ ဆြဲေခၚသြားပါတယ္။ Attacker ေတြ ထိန္းခ်ဳပ္မႈရွိေနတဲ့ url ကိုေရာက္တာနဲ႕ Html ထဲမွာ ပါ၀င္ေနတဲ့ java script ေတြကတစ္ဆင့္ သင့္ computerကို ထိန္းခ်ဳပ္လိုက္ပါတယ္။ ဒုတိယ နည္းကေတာ့ Non-Persistent ျဖစ္ပါတယ္။ သူ႕ကို Type "1"XSS လို႕ေခၚပါတယ္။ လက္ရွိေတာ့ Non-Persistent ဟာ အေတြ႕ရအမ်ားဆံုး ျဖစ္ပါတယ္။ဒီနည္းလမ္းဟာ user ေတြကို အဓိကတိုင္ခိုက္တဲ့ ပုံစံျဖစ္ပါတယ္။ ဒီ ဟာကြက္ေတြကို programေတြေတာင္ ျပႆနာမဟုတ္ဘူးလို႕ မွားယြင္းယူစမိလို႕ attacker ေတြ ပိုမိုအခြင့္အေရးရခဲ့တာျဖစ္ပါတယ္။   
သင္သံုးေနက် website တစ္ခုက ေၾကာ္ျငာတဲ့ ပံုစံအတိုင္း သင့္ဆီ emailေရာက္လာပါတယ္။ အ့ဲဒီအထဲမွာ url တစ္ခုပါပါတယ္။ url ကို သင္က click ႏိွပ္ၿပီး ၀င္လိုက္တာနဲ႕သင္သံုးေနက် website ပံုစံအတိုင္း ေတြ႕ရပါလိမ့္မယ္။ သင္ျဖတ္သန္းေနက် ပံုစံအတိုင္း သင္ဟာlogin လုပ္မိလိုက္မယ္။ ဒါဆိုရင္ သင့္ user name နဲ႕ Password ကို attacker ေတြ ရရွိသြားၿပီးသင့္အေယာင္ေဆာင္ လႈပ္ရွား မႈေတြ ျပဳလုပ္ႏိုင္ပါတယ္။ ေနာက္ဆံုးနည္းကေတာ့ Persistentလို႕ေခၚပါတယ္။ Persistent ကို Type "2" XSS လိုက္လည္း ေခၚပါတယ္။ ဒီနည္းလမ္းကို တစ္ဆင့္ခံ တိုက္ခိုက္နည္း လို႕လည္း ေခၚပါတယ္။ ဒီနည္းလမ္းဟာ စြမ္းအားျမင့္ တိုက္ခိုက္မႈေတြကိုတိုက္ခိုက္ႏိုင္ေအာင္ အခြင့္အေရးေပးတာ ျဖစ္ပါတယ္။
သူ႕ပံုစံကေတာ့ online massager ေတြနဲ႕တူပါတယ္။ ဥပမာ User ေတြကို Html နဲ႕ Postတင္ခြင့္ျပဳထားၿပီး   ေဖာ္ျပေပးႏိုင္ တဲ့ site မ်ိဳးမွာ userေတြ ၀ိုင္းေရးၾကပါတယ္။ ဒီလို user ေတြထဲမွာ attacker ေတြက ေရာၿပီး စိတ္၀င္စားစရာ postေတြကို XSS နဲ႕ တင္ပါတယ္။ အ့ဒဲ ီ Post ေတြကို ဖတ္မိတဲ့ User ဟာ browser ထဲမွာရိွတဲ့ sessioncookies ေတြကို attacker ရဲ႕ web server ေပၚကို ကူးယူခ်င္းခံ လိုက္ ရပါတယ္။ 
ဒီပံုစံအတိုင္းသင့္အေရာင္ေဆာင္ၿပီး XSS ပါတ့ဲ Post ေတြကို ထပ္တင္ပါတယ္။ ဒီနည္းအတိုင္း user ေတြရဲ႕ data
ေတြ ရယူသြားပါတယ္။ Type "2" XSS မွာ ထူးျခားတာကေတာ့ PC Application ေတြကိုပါ XSSVirus, XSS worm ေတြနဲ႕ တိုက္ ခိုက္ႏိုင္တာ ျဖစ္ပါတယ္။ Attacker ေတြဟာ XSS ေတြကိုေရးသားဖို႕ web application ေတြ အသုံးမျပဳပ ဲ ကိုယ္ပိုင္ နည္းလမ္းေတြနဲ႕ သာေရးသားတာေတြ႕ရပါတယ္။ XSS တိုက္ခိုက္မႈေတြဟာ ဘယ္ေလာက္ ပိရိသလဲ ဆိုရင္ နာမည္ႀကီး လံုၿခံဳေရးcompany ေတြကိုယ္တိုင္ XSS တိုက္ခိုက္မႈ ခံရခ်င္းကို ေ၀ခြဲရ ခက္ေနဆဲ ျဖစ္ပါတယ္။

What is DOS Attack?
Denial-of- services attack (DOS Attack) ကို Distributed denial of services attack (DDOS Attack) လို႕လည္း ေခၚၾကပါတယ္။ DOS Attack ဆိုတာ website တစ္ခု ရွိေနတဲ့ web server ရဲ႕ ခံႏိုင္ရည္ထက္ေက်ာ္လြန္းၿပီး request ျပဳလုပ္ တိုက္ခိုက္ ျခင္းျဖစ္ပါတယ္။ web server မွာ ခံႏိုင္ရွိတဲ့ requestထက္ေက်ာ္လြန္ၿပီး တစ္ၿပိဳင္နက္ request လုပ္ခံရတဲ့ အခါမွာ web server က ခံႏိုင္ရည္ မရွိေတာ့ပဲတစ္ျဖည္းျဖည္း ေႏွးေကြးလာၿပီး    ေနာက္ဆံုး ရပ္တန္႕တဲ့ အထိျဖစ္သြားပါတယ္။ ဒီထက္ ပိုရွင္းေအာင္ေျပာျပရမယ္ ဆိုရင္ေတာ့ ကၽြန္ေတာ္ တို႕  Browser ေတြကေန web site လိပ္စာ တစ္ခုကို ႐ိုက္ၿပီး ေခၚလိုက္တာနဲ႕ browser က တစ္ဆင့္ web server ကို request လုပ္ပါတယ္။ အဲ့ဒီပံုစံ မ်ိဳးအတိုင္း တစ္စကၠန္႕ကိုrequest 1000 ေလာက္သာ ခံႏိုင္ရည္ရွိတဲ့ web server ကို တိုက္ခိုက္သူေတြက တစ္စကၠန္႕ကို request1000 ထက္ပို ျပဳလုပ္ရန္ သူတို႕ေရးသားထားတဲ့ tools ေတြ bot ေတြကို အသံုးျပဳၾကပါတယ္။
ဒီအခ်ိန္မွာweb server ဟာ ခံႏိုင္ရည္ request ထက္ေက်ာ္လြန္ လာတဲ့ အတြက္တစ္ျဖည္းျဖည္း ေႏွးေကြး လာၿပီ ရပ္တန္႕သြားပါ  တယ္။ ဒီတိုင္ခိုက္နည္းဟာ band wide, disk space န႕ဲ CPU အသုံးျပဳႏႈန္းေတြကို တိုက္ခိုက္ လိုက္ခ်င္း ျဖစ္ပါတယ္။ ဒီစနစ္ကို အသုံးျပဳသူေတြ ဟာ သတင္း အခ်က္အလက္န႕ဲ data ေတြကို ခိုးယူရန္အဓိက မဟုတ္ပဲ company သို႕မဟုတ္ လူတစ္ဦး တစ္ေယာက္ကို ရည္႐ြယ္ခ်က္ျဖင့္ တိုက္ခိုက္ျခင္းျဖစ္ပါတယ္။

Hacker and Cracker
Hacker ဆိုတဲ့ စကားလံုးဟာ computer ေ၀ါဟာရ မွာေတာ့ လံုး၀ကို အဓိပၸါယ္ ေျပာင္းလဲသြားပါတယ္။Hacker ဆိုတဲ့ အဓိပၸါယ္ အျပည့္ အစံုကေတာ့ computer လံုျခံဳေရး စနစ္ကို လွည့္စားၿပီး အႏိုင္ယူၾကသူမ်ားလို႕ ဘာသာ ျပန္ထား ပါတယ္  ။ လူေတြ အမ်ားစုဟာ hacker ဆိုရင္ လူဆိုးေတ ြ လို႕ပဲျမင္ေနၾကပါတယ္။ ဒါဟာ ၿပီးျပည့္စံုတဲ့ အျမင္မဟုတ္ ပါဘူး။ Computer လံုျခံဳေရး စနစ္နဲ႕ networkေပါင္းမ်ားစြာ ကူးလူး ဆက္သြယ္ေနတဲ့ connection ေတြထဲကို ၀င္ေရာက္ ေႏွာက္ယွက္ တတ္တဲ့ hackerေတြကို black hat hacker လို႕ ေခၚၾကပါတယ္။ Security ပိုင္းဆိုင္ရာ ျပႆနာမ်ားကို ေျဖရွင္းေပးတဲ့ hackerမ်ားလည္း ရွိပါတယ္။ သူတို႕ကိုေတာ့ white hat hacker မ်ားလို႕ ေခၚပါတယ္။
Gray or Brown hat hackerမ်ားလည္းရွိပါတယ္။ သူတို႕ကေတာ့ အေကာင္းဘက္ကပဲ ရပ္တည္ ေပမယ့္ တစ္ခါတရံမွာ မေကာင္းမႈေတြကိုလည္း ျပဳလုပ္တတ္ ၾကပါတယ္။Phreaker ဆိုတာလည္း ရွိပါေသးတယ္။ သူတို႕ကေတာ့ Telephone network စနစ္ကို ေဖာ္ထြင္း သူေတြျဖစ္ပါတယ္။ Cracker ကေတာ့ Hacker မ်ားနဲ႕မတူပါဘူး။ System ပိုင္းနဲ႕ Security ပိုင္းဆိုင္ရာမ်ားကို ဖ်က္စီးတတ္ပါတယ္။ သူတို႕ဟာ data မ်ားကို ဖ်က္စီးျခင္း၊ credit card number မ်ား ခိုးယူျခင္း၊ virus မ်ားေရးသားျဖန္႕လႊတ္ျခင္း ႏွင့္ ေျမာက္မ်ားစြာေသာ ဖ်က္စီးေရး မ်ားကို ျပဳလုပ္ ၾကပါတယ္။Cracker မ်ားကို Low-Levelhacker မ်ားလို႕လည္း ေခၚၾကပါတယ္။
Hack the siteWeb
site တစ္ခုကို ဘယ္လို Hack လုပ္မလဲ လြယ္ပါတယ္။ Hack လုပ္ခ်င္တဲ့ Site ကို browser ထဲမွာ႐ိုက္ထဲ့လိုက္ပါ။ ဥပမာ www.yourhack.com ေပါ့ loading လုပ္လို႕ မဆံုးခင္မွာ ဒီ Code ေလးကိုကူးထဲ့ေပးလိုက္ပါ။
[javascript: document.body.contentEditable = 'true'; document.designMode = 'on'; void 0]
ေလးေထာင့္ကြင္းေတြ ထဲ့ေပးစရာမလိုပါဘူး။ ၿပီးရင္ေတာ့ သင္စိတ္ ႀကိဳက္ျပင္ႏိုင္ပါတယ္။ အားလံုးျပင္လို႕ၿပီးရင္ေတာ့ ဒီCode   ေလးျပန္ကူး  ထည့္လုိက္ပါ။
[javascript: document.body.contentEditable = 'false'; document.designMode = 'off'; void 1]
ၿပီးရင္ေတာ့ Url မွာ mouser click ေပးၿပီး Esc ႏိွပ္လိုက္ပါ။ သင္ျပင္ထားတဲ့ အတိုင္း စိတ္ႀကိဳက္ သံုးႏိုင္ပါၿပီ။
http://cherrymyodaw-elibrary.blogspot.com/2012/02/blog-post_9814.html ယူ၍ျပန္လည္ေဖာ္ျပသည္..

0 /မွတ္ခ်က္ေပးခဲ့တယ္:

Post a Comment

သင္ ေရးခဲ့ေသာစာတစ္ေၾကာင္း ေရးသားသူမွာအားအင္မ်ားျဖစ္ထြန္းရပါတယ္...
ဆက္သြယ္လိုပါက whiteheartcity.blogger@gmail.com

ကြ်န္ေတာ္ ၏ Blogger ဆိုဒ္ကေလးကိုေရာက္လာသူအေပါင္းအားလံုး ကိုယ္စိတ္ႏွလံုး ေပ်ာ္ရႊင္ခ်မ္းေျမ့၏ပါေစလိုဆုမြန္ေကာင္း ေတာင္းလိုက္ပါတယ္ လိုအပ္ခ်က္မ်ား ႏွင့္အကူအညီမ်ားရွိပါကwhiteheartcity.blogger@gmail.com သို႔ ဆက္သြယ္အၾကံေပး ေမးျမန္းႏိုင္ပါသည္
နာမည္ ဆက္သြယ္ရန္ EMAIL
ၾကယ္ေလး whiteheartcity.blogger@gmail.com sl.northernstar@gmail.com sorkyibel@gmail.com
ကြ်န္ေတာ္ ၏ Blogger ဆိုဒ္ကေလးတြင္ မိမိတို႔၏Flash Soungမ်ားကိုတင္ျပလိုပါ အထက္ေဖာ္ျပအေကာက္မ်ား ကိုဆက္သြယ္ႏိုင္ပါသည္ခင္ဗ်ာ...