10 kỹ thuật hack hay nhất năm 2010

Như thường lệ, tổ chức bảo mật Whitehat
Security lại công bố 10 kĩ thuật hack hay nhất trong năm. Kĩ thuật do
một người Việt Nam phát hiện đã tự hào dẫn đầu danh sách.

Kĩ thuật “Padding oracle” dùng để tấn công các hệ thống bảo mật đã
được các chuyên gia bầu chọn là kĩ thuật hay nhất năm 2010. Kĩ thuật này
do Juliano Rizzo và Dương Ngọc Thái phát hiện, cho phép chỉ với rất ít thông tin lộ ra ngoài của hệ thống, có thể dùng để giải mã hoặc mã hoá bất kì thông điệp nào mà không cần đến mật khẩu.


Danh sách 10 kĩ thuật hack của năm 2010:

1. “Padding Oracle” trong tấn công mật mã: Juliano Rizzo và Dương Ngọc Thái

2. Evercookie: Samy Kamkar

3. Tấn công Auto-Complete: Jeremiah Grossman

4. Tấn công HTTPS bằng Cache Injection: Elie Bursztein, Baptiste Gourdin, Dan Boneh

5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: Lavakumar Kuppan

6. Universal XSS trong IE8: Eduardo Vela, David Lindsay

7. HTTP POST DDoS: Wong Onn Chee, Tom Brennan

8. JavaSnoop: Arshan Dabirsiaghi

9. CSS History Hack trong Firefox không cần JavaScript cho Intranet Portscanning: Robert Hansen

10. Java Applet DNS Rebinding: Stefano Di Paola

Đáng chú ý là kĩ thuật tấn công DDoS dựa trên một lỗ hổng về kiến
trúc của phương thức POST trong HTTP. Đây là một kĩ thuật tương tự
Slowloris, dùng cách kéo dài thời gian kết nối để làm cạn kiệt tài
nguyên máy chủ.

Năm ngoái, việc Dương Ngọc Thái phát hiện lỗ hổng trong API của
Flickr cũng được bầu chọn trong 10 kĩ thuật hack hàng đầu của năm 2009.
Với việc xếp thứ nhất trong năm nay, Thái được 1 vé miễn phí tham dự
BlackHat 2011, hội nghị hàng đầu trong lĩnh vực bảo mật.