- ข้อความ
- ประวัติศาสตร์
In the last few years researchers h
In the last few years researchers have observed two significant changes in
malicious activity on the Internet [Schneier 2005; Williams and Heiser 2004;
Symantec 2005]. The first is the shift from amateur proof-of-concept attacks
to professional profit-driven criminal activity. The second is the increasing
sophistication of the attacks. Although significant efforts are made towards
addressing the underlying vulnerabilities, it is very likely that attackers will
try to adapt to any security response by discovering new ways of exploiting systems
to their advantage [Nachenberg 1997]. In this arms race, it is important
for security researchers to proactively explore and mitigate new threats before
they materialize.
This article discusses one such threat, for which we have coined the term
puppetnets. Puppetnets rely on Web sites that coerce Web browsers to (unknowingly)
participate in malicious activities. Such activities include distributed
denial-of-service, worm propagation, and reconnaissance probing and can
be engineered to be carried out in stealth, without any observable impact on
an otherwise innocent-looking Web site. Puppetnets exploit the high degree of
flexibility granted to the mechanisms comprising the Web architecture, such
as HTML and JavaScript. In particular, these mechanisms impose few restrictions
on how remote hosts are accessed. A Web site under the control of an attacker
can thereby transform a collection of Web browsers into an impromptu
distributed system that is effectively controlled by the attacker. Puppetnets
expose a deeper problem in the design of the Web. The problem is that the
security model is focused almost exclusively on protecting browsers and their
host environment from malicious Web servers, as well as servers from malicious
browsers. As a result, the model ignores the potential of attacks against
third parties.
Web sites controlling puppetnets could be either legitimate sites that have
been subverted by attackers, malicious “underground” Web sites that can lure
unsuspected users by providing interesting services (such as free Web storage,
illegal downloads, etc.), or Web sites that openly invite users to participate
in vigilante campaigns. We must note however that puppetnet attacks are
different from previous vigilante campaigns against spam and phishing sites
that we are aware of. For instance, the Lycos “Make Love Not Spam” campaign
[TechWeb.com 2004] required users to install a screensaver in order to
attack known spam sites. Although similar campaigns can be orchestrated using
puppetnets, in puppetnets users may not be aware of their participation, or
may be coerced to do so; the attack can be launched stealthily froman innocentlooking
Web page, without requiring any extra software to be installed, or any
other kind of user action.
ACM Transactions
malicious activity on the Internet [Schneier 2005; Williams and Heiser 2004;
Symantec 2005]. The first is the shift from amateur proof-of-concept attacks
to professional profit-driven criminal activity. The second is the increasing
sophistication of the attacks. Although significant efforts are made towards
addressing the underlying vulnerabilities, it is very likely that attackers will
try to adapt to any security response by discovering new ways of exploiting systems
to their advantage [Nachenberg 1997]. In this arms race, it is important
for security researchers to proactively explore and mitigate new threats before
they materialize.
This article discusses one such threat, for which we have coined the term
puppetnets. Puppetnets rely on Web sites that coerce Web browsers to (unknowingly)
participate in malicious activities. Such activities include distributed
denial-of-service, worm propagation, and reconnaissance probing and can
be engineered to be carried out in stealth, without any observable impact on
an otherwise innocent-looking Web site. Puppetnets exploit the high degree of
flexibility granted to the mechanisms comprising the Web architecture, such
as HTML and JavaScript. In particular, these mechanisms impose few restrictions
on how remote hosts are accessed. A Web site under the control of an attacker
can thereby transform a collection of Web browsers into an impromptu
distributed system that is effectively controlled by the attacker. Puppetnets
expose a deeper problem in the design of the Web. The problem is that the
security model is focused almost exclusively on protecting browsers and their
host environment from malicious Web servers, as well as servers from malicious
browsers. As a result, the model ignores the potential of attacks against
third parties.
Web sites controlling puppetnets could be either legitimate sites that have
been subverted by attackers, malicious “underground” Web sites that can lure
unsuspected users by providing interesting services (such as free Web storage,
illegal downloads, etc.), or Web sites that openly invite users to participate
in vigilante campaigns. We must note however that puppetnet attacks are
different from previous vigilante campaigns against spam and phishing sites
that we are aware of. For instance, the Lycos “Make Love Not Spam” campaign
[TechWeb.com 2004] required users to install a screensaver in order to
attack known spam sites. Although similar campaigns can be orchestrated using
puppetnets, in puppetnets users may not be aware of their participation, or
may be coerced to do so; the attack can be launched stealthily froman innocentlooking
Web page, without requiring any extra software to be installed, or any
other kind of user action.
ACM Transactions
0/5000
สุดท้าย ไม่กี่ปีนักวิจัยได้สังเกตการเปลี่ยนแปลงอย่างมีนัยสำคัญที่สองในกิจกรรมที่เป็นอันตรายบนอินเทอร์เน็ต [Schneier 2005 วิลเลียมส์และ Heiser 2004Symantec 2005] แรกคือ เปลี่ยนจากมือสมัครเล่นโจมตีกันของแนวคิดการทำงานขับเคลื่อนกำไรอาชญากรรม ที่สองคือ เพิ่มขึ้นความซับซ้อนของการโจมตี แม้ว่าความพยายามที่สำคัญจะต่อแก้ปัญหาช่องโหว่ที่ขีดเส้นใต้ จึงน่าที่จะโจมตีพยายามปรับการตอบสนองใด ๆ ความปลอดภัย โดยการค้นพบวิธีการใหม่ของระบบ exploitingให้เป็นประโยชน์ [Nachenberg 1997] ในการแข่งขันนี้แขน มันเป็นสิ่งสำคัญสำหรับนักวิจัยความปลอดภัยจะได้วันนี้ และลดภัยคุกคามใหม่ก่อนพวกเขาเป็นตัวเป็นตนบทความนี้กล่าวถึงหนึ่งเช่นภัยคุกคาม เรามีจังหวะคำpuppetnets Puppetnets พึ่งเว็บไซต์ที่เว็บเบราว์เซอร์เพื่อบังคับ (โดยไม่รู้ตัว)มีส่วนร่วมในกิจกรรมที่เป็นอันตราย กิจกรรมดังกล่าวรวมถึงการกระจายโดยปฏิเสธการให้บริการ การ แพร่กระจายหนอน และอาศัยมารวมกัน และสามารถจะได้วางแผนดำเนินการในการชิงทรัพย์ ไม่มีผลกระทบใด ๆ observable บนการมิฉะนั้นบริสุทธิ์มองเว็บไซต์ Puppetnets ใช้ประโยชน์ในระดับสูงเพิ่มความยืดหยุ่นให้กับกลไกที่ประกอบด้วยสถาปัตยกรรมเว็บ เช่นHTML และ JavaScript โดยเฉพาะอย่างยิ่ง กลไกเหล่านี้กำหนดข้อจำกัดบางบนโฮสต์ระยะไกลว่าจะเข้าถึง เว็บไซต์ภายใต้การควบคุมของผู้โจมตีจึงสามารถแปลงของเว็บเบราว์เซอร์เป็นการอะไรบ้างระบบแบบกระจายที่มีประสิทธิภาพควบคุมการโจมตี Puppetnetsเปิดเผยปัญหาที่ลึกซึ้งในการออกแบบของเว็บ ปัญหาคือการรูปแบบความปลอดภัยเน้นโดยเฉพาะปกป้องเบราว์เซอร์ และของพวกเขาสภาพแวดล้อมที่โฮสต์จากเว็บเซิร์ฟเวอร์ที่เป็นอันตราย เป็นเซิร์ฟเวอร์จากอันตรายเบราว์เซอร์ เป็นผลให้ แบบละเว้นศักยภาพของการโจมตีบุคคลที่สามเว็บไซต์การควบคุม puppetnets อาจเป็นไซต์อย่างใดอย่างหนึ่งถูกต้องตามกฎหมายที่มีsubverted ถูกโจมตี อันตราย "ใต้ดิน" เว็บไซต์ที่สามารถล่อผู้ใช้ unsuspected โดยการให้บริการที่น่าสนใจ (เช่นฟรีเก็บเว็บดาวน์โหลดผิดกฎหมาย ฯลฯ), หรือเว็บไซต์ที่เชิญชวนผู้มีส่วนร่วมอย่างเปิดเผยในแคมเปญ vigilante เราต้องสังเกตอย่างไรก็ตามการโจมตี puppetnetแตกต่างจากแคมเปญ vigilante ก่อนหน้ากับสแปมและฟิชชิ่งที่เราได้ทราบ ตัวอย่าง Lycos "ทำให้รักไม่สแปม" ส่งเสริมการขายการติดตั้งสกรีนเซฟเวอร์เพื่อจำเป็น [TechWeb.com 2004]โจมตีที่ทราบไซต์สแปม แม้ว่าสามารถกลั่นเหมือนการส่งเสริมการใช้puppetnets ในการ puppetnets ผู้ใช้อาจไม่ทราบถึงการเข้าร่วม หรืออาจบีบบังคับให้ทำเช่นนั้น สามารถเปิดการโจมตีแอบ froman innocentlookingเว็บเพจ โดยไม่ต้องใช้ซอฟต์แวร์ใด ๆ เพิ่มเติมสามารถติดตั้ง หรืออื่น ๆประเภทอื่น ๆ ของผู้ใช้ธุรกรรมพลอากาศ
การแปล กรุณารอสักครู่..
นักวิจัยในไม่กี่ปีที่ผ่านมาได้สังเกตเห็นสองการเปลี่ยนแปลงที่สำคัญในกิจกรรมที่เป็นอันตรายบนอินเทอร์เน็ต [Schneier 2005;
วิลเลียมส์และ Heiser 2004;
ไซแมนเทค 2005]
ครั้งแรกคือการเปลี่ยนจากการโจมตีของหลักฐานของแนวคิดมือสมัครเล่นเพื่อผลกำไรระดับมืออาชีพกิจกรรมทางอาญา
ประการที่สองคือเพิ่มความซับซ้อนของการโจมตี แม้ว่าความพยายามที่จะทำอย่างมีนัยสำคัญต่อการแก้ไขช่องโหว่พื้นฐานก็มีโอกาสมากที่การโจมตีจะพยายามที่จะปรับตัวเข้ากับการตอบสนองต่อการรักษาความปลอดภัยโดยการค้นพบวิธีการใหม่ของการใช้ประโยชน์จากระบบเพื่อประโยชน์ของตน[Nachenberg 1997] ในการนี้การแข่งขันแขนมันเป็นสิ่งสำคัญสำหรับการวิจัยด้านความปลอดภัยเชิงรุกสำรวจและบรรเทาภัยคุกคามใหม่ ๆ ก่อนที่พวกเขาเป็นตัวเป็นตน. บทความนี้กล่าวถึงหนึ่งในภัยคุกคามดังกล่าวที่เราได้บัญญัติศัพท์คำpuppetnets Puppetnets พึ่งพาเว็บไซต์ที่บีบบังคับเว็บเบราเซอร์ไป (ไม่รู้) มีส่วนร่วมในกิจกรรมที่เป็นอันตราย กิจกรรมดังกล่าวรวมถึงการกระจายการปฏิเสธการให้บริการ, การขยายพันธุ์หนอนและลาดตระเวนพิสูจน์และสามารถได้รับการออกแบบมาเพื่อดำเนินการในการลักลอบโดยไม่ส่งผลกระทบใดๆ ที่สังเกตได้ในเว็บไซต์อื่นบริสุทธิ์ที่ดู Puppetnets ใช้ประโยชน์จากระดับสูงของความยืดหยุ่นให้แก่กลไกประกอบด้วยสถาปัตยกรรมเว็บดังกล่าวเป็นHTML และ JavaScript โดยเฉพาะอย่างยิ่งกลไกเหล่านี้กำหนดข้อ จำกัด ไม่กี่เกี่ยวกับวิธีการโฮสต์ระยะไกลมีการเข้าถึง เว็บไซต์เว็บภายใต้การควบคุมของผู้บุกรุกที่จึงสามารถเปลี่ยนคอลเลกชันของเว็บเบราเซอร์ลงในทันควันระบบการกระจายที่ถูกควบคุมอย่างมีประสิทธิภาพโดยการโจมตี Puppetnets เปิดเผยปัญหาที่ลึกลงไปในการออกแบบเว็บ ปัญหาคือว่ารูปแบบการรักษาความปลอดภัยจะเน้นเป็นพิเศษในการปกป้องเบราว์เซอร์ของพวกเขาและสภาพแวดล้อมโฮสต์จากเซิร์ฟเวอร์ของเว็บที่เป็นอันตรายเช่นเดียวกับเซิร์ฟเวอร์ที่เป็นอันตรายจากเบราว์เซอร์ เป็นผลให้รูปแบบการละเว้นที่มีศักยภาพของการโจมตีต่อบุคคลที่สาม. เว็บไซต์ควบคุม puppetnets สามารถเป็นได้ทั้งเว็บไซต์ที่ถูกต้องที่ได้รับการล้มเลิกโดยโจมตีที่เป็นอันตราย"ใต้ดิน" เว็บไซต์ที่สามารถล่อให้ผู้ใช้งานไม่น่าสงสัยโดยการให้บริการที่น่าสนใจ(เช่นฟรี การจัดเก็บข้อมูลเว็บดาวน์โหลดที่ผิดกฎหมายและอื่นๆ ) หรือเว็บไซต์ที่ตรงไปตรงมาเชิญผู้ใช้จะมีส่วนร่วมในแคมเปญศาลเตี้ย เราจะต้องทราบว่าการโจมตี แต่ puppetnet มีความแตกต่างจากแคมเปญศาลเตี้ยก่อนหน้านี้จากสแปมและฟิชชิ่งเว็บไซต์ที่เรามีความตระหนักใน ยกตัวอย่างเช่น Lycos "ให้ความรักไม่ Spam แคมเปญ" [TechWeb.com 2004] จำเป็นต้องใช้ผู้ใช้ติดตั้งหน้าจอเพื่อที่จะโจมตีเว็บไซต์ที่รู้จักกันสแปม แม้ว่าแคมเปญที่คล้ายกันสามารถบงการโดยใช้puppetnets ใน puppetnets ผู้ใช้อาจจะไม่ได้ตระหนักถึงการมีส่วนร่วมของพวกเขาหรืออาจจะถูกบังคับให้ทำเช่นนั้น; การโจมตีสามารถเปิดลอบสนั่น innocentlooking หน้าเว็บโดยไม่ต้องมีซอฟแวร์พิเศษใด ๆ ที่จะติดตั้งหรือชนิดอื่นๆ ของการกระทำของผู้. รายการที่พลอากาศเอก
วิลเลียมส์และ Heiser 2004;
ไซแมนเทค 2005]
ครั้งแรกคือการเปลี่ยนจากการโจมตีของหลักฐานของแนวคิดมือสมัครเล่นเพื่อผลกำไรระดับมืออาชีพกิจกรรมทางอาญา
ประการที่สองคือเพิ่มความซับซ้อนของการโจมตี แม้ว่าความพยายามที่จะทำอย่างมีนัยสำคัญต่อการแก้ไขช่องโหว่พื้นฐานก็มีโอกาสมากที่การโจมตีจะพยายามที่จะปรับตัวเข้ากับการตอบสนองต่อการรักษาความปลอดภัยโดยการค้นพบวิธีการใหม่ของการใช้ประโยชน์จากระบบเพื่อประโยชน์ของตน[Nachenberg 1997] ในการนี้การแข่งขันแขนมันเป็นสิ่งสำคัญสำหรับการวิจัยด้านความปลอดภัยเชิงรุกสำรวจและบรรเทาภัยคุกคามใหม่ ๆ ก่อนที่พวกเขาเป็นตัวเป็นตน. บทความนี้กล่าวถึงหนึ่งในภัยคุกคามดังกล่าวที่เราได้บัญญัติศัพท์คำpuppetnets Puppetnets พึ่งพาเว็บไซต์ที่บีบบังคับเว็บเบราเซอร์ไป (ไม่รู้) มีส่วนร่วมในกิจกรรมที่เป็นอันตราย กิจกรรมดังกล่าวรวมถึงการกระจายการปฏิเสธการให้บริการ, การขยายพันธุ์หนอนและลาดตระเวนพิสูจน์และสามารถได้รับการออกแบบมาเพื่อดำเนินการในการลักลอบโดยไม่ส่งผลกระทบใดๆ ที่สังเกตได้ในเว็บไซต์อื่นบริสุทธิ์ที่ดู Puppetnets ใช้ประโยชน์จากระดับสูงของความยืดหยุ่นให้แก่กลไกประกอบด้วยสถาปัตยกรรมเว็บดังกล่าวเป็นHTML และ JavaScript โดยเฉพาะอย่างยิ่งกลไกเหล่านี้กำหนดข้อ จำกัด ไม่กี่เกี่ยวกับวิธีการโฮสต์ระยะไกลมีการเข้าถึง เว็บไซต์เว็บภายใต้การควบคุมของผู้บุกรุกที่จึงสามารถเปลี่ยนคอลเลกชันของเว็บเบราเซอร์ลงในทันควันระบบการกระจายที่ถูกควบคุมอย่างมีประสิทธิภาพโดยการโจมตี Puppetnets เปิดเผยปัญหาที่ลึกลงไปในการออกแบบเว็บ ปัญหาคือว่ารูปแบบการรักษาความปลอดภัยจะเน้นเป็นพิเศษในการปกป้องเบราว์เซอร์ของพวกเขาและสภาพแวดล้อมโฮสต์จากเซิร์ฟเวอร์ของเว็บที่เป็นอันตรายเช่นเดียวกับเซิร์ฟเวอร์ที่เป็นอันตรายจากเบราว์เซอร์ เป็นผลให้รูปแบบการละเว้นที่มีศักยภาพของการโจมตีต่อบุคคลที่สาม. เว็บไซต์ควบคุม puppetnets สามารถเป็นได้ทั้งเว็บไซต์ที่ถูกต้องที่ได้รับการล้มเลิกโดยโจมตีที่เป็นอันตราย"ใต้ดิน" เว็บไซต์ที่สามารถล่อให้ผู้ใช้งานไม่น่าสงสัยโดยการให้บริการที่น่าสนใจ(เช่นฟรี การจัดเก็บข้อมูลเว็บดาวน์โหลดที่ผิดกฎหมายและอื่นๆ ) หรือเว็บไซต์ที่ตรงไปตรงมาเชิญผู้ใช้จะมีส่วนร่วมในแคมเปญศาลเตี้ย เราจะต้องทราบว่าการโจมตี แต่ puppetnet มีความแตกต่างจากแคมเปญศาลเตี้ยก่อนหน้านี้จากสแปมและฟิชชิ่งเว็บไซต์ที่เรามีความตระหนักใน ยกตัวอย่างเช่น Lycos "ให้ความรักไม่ Spam แคมเปญ" [TechWeb.com 2004] จำเป็นต้องใช้ผู้ใช้ติดตั้งหน้าจอเพื่อที่จะโจมตีเว็บไซต์ที่รู้จักกันสแปม แม้ว่าแคมเปญที่คล้ายกันสามารถบงการโดยใช้puppetnets ใน puppetnets ผู้ใช้อาจจะไม่ได้ตระหนักถึงการมีส่วนร่วมของพวกเขาหรืออาจจะถูกบังคับให้ทำเช่นนั้น; การโจมตีสามารถเปิดลอบสนั่น innocentlooking หน้าเว็บโดยไม่ต้องมีซอฟแวร์พิเศษใด ๆ ที่จะติดตั้งหรือชนิดอื่นๆ ของการกระทำของผู้. รายการที่พลอากาศเอก
การแปล กรุณารอสักครู่..
ในช่วงไม่กี่ปีที่ผ่านมานักวิจัยได้สังเกตสองการเปลี่ยนแปลงใน
กิจกรรมที่เป็นอันตรายบนอินเทอร์เน็ต [ schneier 2005 ; วิลเลียมส์และลิฟท์ 2004 ;
Symantec 2548 ] อย่างแรกคือเปลี่ยนจากหลักฐานของแนวคิดการโจมตี
ามือสมัครเล่นมืออาชีพขับเคลื่อนกิจกรรมทางอาญา . ส่วนที่สอง คือ การเพิ่ม
ความซับซ้อนของการโจมตี แม้ว่าความพยายามอย่างมีนัยสำคัญต่อ
จะทําที่อยู่ ( ช่องโหว่ มันมีโอกาสมากที่ผู้โจมตีจะ
พยายามปรับให้เข้ากับการรักษาความปลอดภัยใด ๆ การค้นพบวิธีการใหม่ของการใช้ประโยชน์จากระบบเพื่อประโยชน์ nachenberg
[ 1997 ] ในการแข่งขันอาวุธเป็นสิ่งสำคัญ
สำหรับนักวิจัยด้านความปลอดภัยเชิงรุกสำรวจและบรรเทาภัยคุกคามใหม่ก่อนที่พวกเขาจริง
.
บทความนี้กล่าวถึงภัยคุกคามเช่นหนึ่งที่เราได้ใช้คำว่า
puppetnets . puppetnets พึ่งพาเว็บไซต์ที่บีบบังคับให้เว็บเบราเซอร์ ( ไม่รู้ )
เข้าร่วมในกิจกรรมที่เป็นอันตราย กิจกรรมดังกล่าวรวมถึงการกระจาย
ปฏิเสธการให้บริการขยายพันธุ์หนอน และการลาดตระเวนและสามารถ
เป็นวิศวกรรมที่จะดําเนินการในการลักลอบไม่มีผลกระทบใด ๆที่สังเกตบน
มิฉะนั้น บริสุทธิ์ ดูเว็บไซต์puppetnets ประโยชน์ระดับ
ความยืดหยุ่นได้รับกลไกประกอบด้วยเว็บสถาปัตยกรรม เช่น
เป็น HTML และ JavaScript โดยเฉพาะกลไกเหล่านี้กำหนดไม่กี่ข้อ
ว่าโฮสต์ระยะไกลการเข้าถึง เว็บไซต์ภายใต้ การควบคุมของผู้โจมตี
จึงสามารถแปลงคอลเลกชันของเว็บเบราเซอร์ในทันควัน
ระบบแบบกระจาย ที่ ได้อย่างมีประสิทธิภาพ ควบคุมโดยผู้โจมตี puppetnets
เปิดเผยปัญหาลึกในการออกแบบเว็บ ปัญหาคือว่ารูปแบบ
การรักษาความปลอดภัยที่มุ่งเน้นเกือบเฉพาะในการปกป้องข้อมูลและสภาพแวดล้อมเซิร์ฟเวอร์โฮสต์เว็บที่เป็นอันตรายจาก
เช่นเดียวกับเซิร์ฟเวอร์จากเบราว์เซอร์ที่เป็นอันตราย
เป็นผลให้แบบจำลองมองข้ามศักยภาพของการโจมตี
บุคคลที่สามเว็บไซต์การควบคุม puppetnets อาจจะถูกต้องตามกฎหมายเว็บไซต์ที่มี
ถูก subverted โดยผู้โจมตีที่เป็นอันตราย " ใต้ดิน " เว็บไซต์ที่สามารถล่อ
ผู้ใช้สิ่งที่ไม่คาดหมาย โดยการให้บริการที่น่าสนใจ ( เช่นเว็บฟรีกระเป๋า ,
ผิดกฎหมายดาวน์โหลด ฯลฯ ) , หรือเว็บไซต์ที่ตรงไปตรงมา ขอเชิญผู้ใช้มีส่วนร่วม
ในแคมเปญอธรรม เราต้องทราบ แต่ที่โจมตีอยู่
puppetnetแตกต่างจากก่อนหน้าศาลเตี้ยแคมเปญต่อต้านสแปมและฟิชชิ่งเว็บไซต์
ที่เราทราบ สำหรับตัวอย่าง , Lycos " ทำรักไม่ใช่สแปม " แคมเปญ
[ 2004 ] techweb.com เป็นผู้ใช้ให้ติดตั้งสกรีนเซฟเวอร์เพื่อ
โจมตีสแปมที่รู้จักเว็บไซต์ แม้ว่าแคมเปญที่คล้ายกันสามารถบงการใช้
puppetnets ใน puppetnets ผู้ใช้อาจไม่ตระหนักถึงการมีส่วนร่วมของพวกเขาหรือ
อาจถูกบังคับให้ทำเช่นนั้น ; การโจมตีสามารถเปิดลับๆ ล่อๆ โฟรแมน innocentlooking
เว็บโดยไม่ต้องเพิ่มเติมใด ๆ ซอฟต์แวร์ที่จะติดตั้งหรือชนิดอื่น ๆของการกระทำของผู้ใช้ใด ๆ
.
ธุรกรรม ACM
กิจกรรมที่เป็นอันตรายบนอินเทอร์เน็ต [ schneier 2005 ; วิลเลียมส์และลิฟท์ 2004 ;
Symantec 2548 ] อย่างแรกคือเปลี่ยนจากหลักฐานของแนวคิดการโจมตี
ามือสมัครเล่นมืออาชีพขับเคลื่อนกิจกรรมทางอาญา . ส่วนที่สอง คือ การเพิ่ม
ความซับซ้อนของการโจมตี แม้ว่าความพยายามอย่างมีนัยสำคัญต่อ
จะทําที่อยู่ ( ช่องโหว่ มันมีโอกาสมากที่ผู้โจมตีจะ
พยายามปรับให้เข้ากับการรักษาความปลอดภัยใด ๆ การค้นพบวิธีการใหม่ของการใช้ประโยชน์จากระบบเพื่อประโยชน์ nachenberg
[ 1997 ] ในการแข่งขันอาวุธเป็นสิ่งสำคัญ
สำหรับนักวิจัยด้านความปลอดภัยเชิงรุกสำรวจและบรรเทาภัยคุกคามใหม่ก่อนที่พวกเขาจริง
.
บทความนี้กล่าวถึงภัยคุกคามเช่นหนึ่งที่เราได้ใช้คำว่า
puppetnets . puppetnets พึ่งพาเว็บไซต์ที่บีบบังคับให้เว็บเบราเซอร์ ( ไม่รู้ )
เข้าร่วมในกิจกรรมที่เป็นอันตราย กิจกรรมดังกล่าวรวมถึงการกระจาย
ปฏิเสธการให้บริการขยายพันธุ์หนอน และการลาดตระเวนและสามารถ
เป็นวิศวกรรมที่จะดําเนินการในการลักลอบไม่มีผลกระทบใด ๆที่สังเกตบน
มิฉะนั้น บริสุทธิ์ ดูเว็บไซต์puppetnets ประโยชน์ระดับ
ความยืดหยุ่นได้รับกลไกประกอบด้วยเว็บสถาปัตยกรรม เช่น
เป็น HTML และ JavaScript โดยเฉพาะกลไกเหล่านี้กำหนดไม่กี่ข้อ
ว่าโฮสต์ระยะไกลการเข้าถึง เว็บไซต์ภายใต้ การควบคุมของผู้โจมตี
จึงสามารถแปลงคอลเลกชันของเว็บเบราเซอร์ในทันควัน
ระบบแบบกระจาย ที่ ได้อย่างมีประสิทธิภาพ ควบคุมโดยผู้โจมตี puppetnets
เปิดเผยปัญหาลึกในการออกแบบเว็บ ปัญหาคือว่ารูปแบบ
การรักษาความปลอดภัยที่มุ่งเน้นเกือบเฉพาะในการปกป้องข้อมูลและสภาพแวดล้อมเซิร์ฟเวอร์โฮสต์เว็บที่เป็นอันตรายจาก
เช่นเดียวกับเซิร์ฟเวอร์จากเบราว์เซอร์ที่เป็นอันตราย
เป็นผลให้แบบจำลองมองข้ามศักยภาพของการโจมตี
บุคคลที่สามเว็บไซต์การควบคุม puppetnets อาจจะถูกต้องตามกฎหมายเว็บไซต์ที่มี
ถูก subverted โดยผู้โจมตีที่เป็นอันตราย " ใต้ดิน " เว็บไซต์ที่สามารถล่อ
ผู้ใช้สิ่งที่ไม่คาดหมาย โดยการให้บริการที่น่าสนใจ ( เช่นเว็บฟรีกระเป๋า ,
ผิดกฎหมายดาวน์โหลด ฯลฯ ) , หรือเว็บไซต์ที่ตรงไปตรงมา ขอเชิญผู้ใช้มีส่วนร่วม
ในแคมเปญอธรรม เราต้องทราบ แต่ที่โจมตีอยู่
puppetnetแตกต่างจากก่อนหน้าศาลเตี้ยแคมเปญต่อต้านสแปมและฟิชชิ่งเว็บไซต์
ที่เราทราบ สำหรับตัวอย่าง , Lycos " ทำรักไม่ใช่สแปม " แคมเปญ
[ 2004 ] techweb.com เป็นผู้ใช้ให้ติดตั้งสกรีนเซฟเวอร์เพื่อ
โจมตีสแปมที่รู้จักเว็บไซต์ แม้ว่าแคมเปญที่คล้ายกันสามารถบงการใช้
puppetnets ใน puppetnets ผู้ใช้อาจไม่ตระหนักถึงการมีส่วนร่วมของพวกเขาหรือ
อาจถูกบังคับให้ทำเช่นนั้น ; การโจมตีสามารถเปิดลับๆ ล่อๆ โฟรแมน innocentlooking
เว็บโดยไม่ต้องเพิ่มเติมใด ๆ ซอฟต์แวร์ที่จะติดตั้งหรือชนิดอื่น ๆของการกระทำของผู้ใช้ใด ๆ
.
ธุรกรรม ACM
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- ซักครั้งหนึ่ง
- it make difficult for you
- Multiplitcation
- with regard to the routine work a work i
- attach file
- hickens are dumb. lf there was an intell
- ทิ้ง Notebook และอุปกรณ์ IT อื่นให้แก่บุ
- lf write wrong somewords you don't wheth
- Would you want me produce follow MOQ ? I
- ฉันจะซื้อเสื้อ และกางเกง, หมวก สำหรับคุณ
- นกหวีด
- ฉันต้องฝึกพูดฝึกฟังมากกว่านี้
- Sedanconvertiblestation wagonminivancoup
- route is a reckless road
- เปิดมุมมองใหม่ๆ ให้กับฉัน
- 此時電源板LED會有綠色
- เดี๋ยวก็หลงรักเลยเนี่ย
- A new structure was finally set up in 20
- คุณมีอะไรอัพเดทสำหรับใบเสนอราคานี้มั้ยคะ
- We are no original drawing of this produ
- อีก30นาที
- The store cannot be discounted because t
- อยู่กับลูกหลาน
- ฉันเขียนจดหมายถึงเพื่อนสวัสดีเพื่อนรัก เ
