มีเทคนิคใหม่ๆมาฝากครับ ลองคิดดูว่าถ้าเราสามารถเปลี่ยน Primary DNS Server ใน wi-fi router ของคนอื่นให้เป็น DNS Server ของเราเอง เราสามารถหลอกให้ user เข้า website ปลอมที่เราสร้างขึ้นมาเพื่อขโมย password, creditcard, etc (phishing) ได้อย่างง่ายดายโดยที่ user ไม่รู้ตัว

การ hack wi-fi router เพื่อเปลี่ยน Primary DNS Server เราไม่ได้เป็นคนทำครับ เพราะเราจะหลอกให้ user ทำเองครับโดยใช้เทคนิค UPnP +XSS หรือ CSRF ครับ ลองคิดดูว่าถ้าเราหลอกให้ user (admin) เข้า website ที่เราสร้างไว้พิเศษแล้วสามารถสั่งให้ browser ของเขาเข้าไปเปลี่ยน config หรือ password ใน router เองได้โดยที่ user ไม่รู้เรื่องเลยจะน่ากลัวไหมครับ ลองคิดดูว่าถ้าเป็น wi-fi router สาธารณะที่คนใช้เยอยๆ

พอดีมีตัวอย่าง CSRF poc script ที่ว่านี้มาให้ด้วยครับ เป็นการ hack D-Link DSL-G604T เพื่อเข้าไปเปลี่ยนค่า DNS Server (รุ่นนี้เป็น wi-fi router ที่นิยมในบ้านเรามากด้วย)

ข้อมูลในส่วนนี้ถูกซ่อนไว้ (คุณต้องสมัครสมาชิกและมี 40 โพส}:
คุณมีสิทธิไม่เพียงพอในการดูข้อมูลที่ถูกซ่อน


เอา script ไปลองดูได้เลยครับ วันหลังจะเอาของรุ่นอื่นๆมาฝาก