កាលពីពេលថ្មីៗនេះ អ្នកវិភាគសុវត្ថិភាពឯករាជ្យ និងអ្នកស្វែងរកកំហុស Nagli (@naglinagli) រកឃើញភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដ៏សំខាន់នៅក្នុង ChatGPT ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកភាពងាយរងគ្រោះយ៉ាងងាយស្រួល និងទទួលការគ្រប់គ្រងពេញលេញទៅលើគណនីរបស់អ្នកប្រើប្រាស់ ChatGPT ណាមួយ។
គួររំលឹកផងដែរថា ChatGPT ត្រូវប្រើប្រាស់យ៉ាងទូលំទូលាយនៅទូទាំងពិភពលោក ប្រមាណជា 100លាននាក់ក្នុងរយៈពេលត្រឹមតែ២ខែនៃការចេញផ្សាយជាសាធារណៈរបស់ខ្លួន។ កាលពីពេលថ្មីៗនេះ ក្រុមហ៊ុន OpenAI ដែលគាំទ្រដោយក្រុមហ៊ុន Microsoft បើកដំណើរការកម្មវិធី bug bounty របស់ខ្លួនចាប់តាំងពីអ្នកស្រាវជ្រាវសន្តិសុខជាច្រើនរាយការណ៍អំពីបញ្ហាសំខាន់ៗជាច្រើននៅលើ ChatGPT។
Web Cache deception គឺជាវ៉ិចទ័រវាយប្រហារថ្មីមួយដែលត្រូវណែនាំដោយលោក Omer Gil នៅក្នុងសន្និសីទ Blackhat USA កាលពីឆ្នាំ2017 ដែលធ្វើឡើងនៅទីក្រុង Las Vegas។នៅក្នុងការវាយប្រហារនេះ អ្នកវាយប្រហារអាចរៀបចំម៉ាស៊ីនវេបសាយមួយក្នុងការរក្សាទុក web cache ដោយផ្តល់ URL ដែលក្លែងក្លាយ ជាមួយប្រភេទឯកសារដែលក្លែងក្លាយ ដូចជា CSS, JPG ឬ PNG។ យោងតាមសារទ្វីតទ័រ ដោយលោក Nagli ជំហានខាងក្រោមអាចត្រូវប្រើដើម្បីចម្លងបញ្ហានេះ៖
- អ្នកវាយប្រហារលុកចូល ChatGPT ហើយចូលទៅកាន់ URL។
- អ្នកវាយប្រហារផ្លាស់ប្តូរ URL ទៅ css ហើយផ្ញើ URL ទៅកាន់អ្នកប្រើប្រាស់។
- អ្នកវាយប្រហារលុកចូល ChatGPT ហើយចូលទៅកាន់ URL។ ម៉ាស៊ីនមេរក្សាទុកព័ត៌មានសំខាន់របស់អ្នកប្រើនៅលើ URL ដើម្បីធ្វើជាឃ្លាំងសម្ងាត់នៅលើម៉ាស៊ីនមេ។
- អ្នកវាយប្រហារចូលមើល៖ https://chat.openai.com/api/auth/session/vicitm.css
ដែលបង្ហាញព័ត៌មានសំខាន់របស់អ្នកប្រើប្រាស់ដូចជា ឈ្មោះ អ៊ីមែល លេខសម្ងាត់លុកចូលប្រើជាដើម។
- ឥឡូវនេះ អ្នកវាយប្រហារអាចប្រើព័ត៌មាននេះដើម្បីលុកចូលទៅ ChatGPT ដូចអ្នកប្រើប្រាស់ ហើយអាចធ្វើសកម្មភាពព្យាបាទណាមួយ។
វិធីសាស្ត្រកាត់បន្ថយការវាយប្រហារ Web Cache deception
1-ម៉ាស៊ីនមេគួរតែឆ្លើយតបជានិច្ចជាមួយនឹងកំហុសគាំង 302 ឬ 404 ប្រសិនបើ URL ដែលក្លែងក្លាយត្រូវស្នើសុំ។
2-អ្នកគួរតែរក្សាទុកឯកសារដោយផ្អែកលើបឋមកថាមាតិកា ជំនួសឱ្យផ្នែកបន្ថែមឯកសារ
3-ប្រើ Cache files only លុះត្រាតែ HTTP caching header អនុញ្ញាត៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី២០ ខែមេសា ឆ្នាំ២០២៣
