Course Content
Topic 1: บทนำและวัตถุประสงค์ (Introduction)
0/3
Lesson 1: ยินดีต้อนรับสู่โมดูลที่ 6 และวัตถุประสงค์การเรียนรู้
Lesson 2:การประยุกต์ใช้ IDNA2008 กับเครื่องมือและไลบรารีสำหรับชื่อโดเมนสากล
Lesson 3:ข้อจำกัด IDNA2003 และการปรับปรุงด้วย IDNA2008
Topic 2: ความแตกต่างและความเสี่ยงของมาตรฐาน IDNA
0/3
Lesson 4: ข้อจำกัดด้านการรองรับชุดอักขระของ IDNA2003
Lesson 5:ปัญหาการปลอมชื่อโดเมนด้วยตัวอักษรคล้ายกัน (Homograph Attack)
Lesson 6: กฎการใช้ชื่อโดเมนใน IDNA2003 และ IDNA2008
Topic 3: การวิเคราะห์ข้อมูลโดเมนสากล
0/1
Lesson 7: การวิเคราะห์และประมวลผล IDN TLDs (Parsing Active IDN TLDs)
โมดูลการเรียนรู้แบบไมโครด้าน Universal Acceptance โมดูลการเรียนรู้ที่ 6: การพัฒนาโปรแกรมที่รองรับชื่อโดเมนสากล ภายใต้แนวคิด Universal Acceptance (UA)

ช่องโหว่ด้านความมั่นคงปลอดภัยของ IDNA2003

เพื่อแสดงให้เห็นถึงช่องโหว่ด้านความมั่นคงปลอดภัยที่เกิดจากมาตรฐาน IDNA2003 โดยเฉพาะในประเด็นการโจมตีแบบ Homograph Attack และแนวทางที่มาตรฐาน IDNA2008 ได้เข้ามาแก้ไขปัญหาเหล่านี้ สามารถใช้ตัวอย่างที่เกี่ยวข้องกับอักขระจากระบบอักษรที่แตกต่างกันแต่มีลักษณะคล้ายกันทางสายตาได้ ตัวอย่างโค้ดด้านล่างแสดงให้เห็นว่า IDNA2003 อาจมีความเสี่ยงต่อการโจมตีลักษณะดังกล่าว ในขณะที่ IDNA2008 ได้กำหนดมาตรการเพื่อลดและป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยเหล่านี้

Example 6: การอธิบายช่องโหว่ด้านความมั่นคงปลอดภัยของ IDNA2003: การโจมตีแบบ Homograph ในภาษา Python

from idna import encode, decode

def demonstrate_idna2003_homograph_attack():

    # Visually similar characters from Latin and Cyrillic scripts

    unicode_domain_name_homograph = “example.cо.th”  # Latin ‘o’ and Cyrillic ‘о’ look similar

    try:

        # Convert Unicode domain name to Punycode using IDNA2003

        punycode_domain_name_idna2003 = unicode_domain_name_homograph.encode(‘idna’).decode(‘utf-8’)

        print(“Punycode domain name (IDNA2003):”, punycode_domain_name_idna2003)

    except UnicodeError as e:

        print(“Error (IDNA2003):”, str(e))

   def demonstrate_idna2008_homograph_attack_prevention():

    # Visually similar characters from Latin and Cyrillic scripts

    unicode_domain_name_homograph = “example.cо.th”  # Latin ‘o’ and Cyrillic ‘о’ look similar

    try:

        # Convert Unicode domain name to Punycode using IDNA2008

        punycode_domain_name_idna2008 = encode(unicode_domain_name_homograph)

        print(“Punycode domain name (IDNA2008):”, punycode_domain_name_idna2008)

 

    except UnicodeError as e:

        print(“Error (IDNA2008):”, str(e))

 

   if __name__ == “__main__”:

    print(“Demonstrating IDNA2003 Homograph Attack:”)

    demonstrate_idna2003_homograph_attack()

 

    print(“\nDemonstrating IDNA2008 Homograph Attack Prevention:”)

    demonstrate_idna2008_homograph_attack_prevention()

 

ตัวอย่างที่ 7: การอธิบายช่องโหว่ด้านความมั่นคงปลอดภัยของ IDNA2003: การโจมตีแบบ Homograph ในภาษา Java

import java.nio.charset.StandardCharsets;

import java.net.IDN; // Import statement for java.net.IDN

import com.ibm.icu.text.IDNA;

 

public class IDNAHomographAttackExample {

 

    // Method to demonstrate IDNA2003 Homograph Attack

    public static void demonstrateIDNA2003HomographAttack() {

        // Visually similar characters from Latin and Cyrillic scripts

        String unicodeDomainNameHomograph = “example.cо.th”;  // Latin ‘o’ and Cyrillic ‘о’ look similar

        try {

            // Convert Unicode domain name to Punycode using IDNA2003

            String punycodeDomainNameIDNA2003 = IDN.toASCII(unicodeDomainNameHomograph);

            System.out.println(“Punycode domain name (IDNA2003): ” + punycodeDomainNameIDNA2003);

        } catch (IllegalArgumentException e) {

            System.out.println(“Error (IDNA2003): ” + e.getMessage());

        }

    }

    // Method to demonstrate IDNA2008 Homograph Attack Prevention

    public static void demonstrateIDNA2008HomographAttackPrevention() {

        // Visually similar characters from Latin and Cyrillic scripts

        String unicodeDomainNameHomograph = “example.cо.th”;  // Latin ‘o’ and Cyrillic ‘о’ look similar

        try {

            // Convert Unicode domain name to Punycode using IDNA2008

            String punycodeDomainNameIDNA2008 = IDNA.convertToASCII(unicodeDomainNameHomograph, 0);

            System.out.println(“Punycode domain name (IDNA2008): ” + punycodeDomainNameIDNA2008);

        } catch (IllegalArgumentException e) {

            System.out.println(“Error (IDNA2008): ” + e.getMessage());

        }

    }

    public static void main(String[] args) {

        System.out.println(“Explaining IDNA2003 Security Vulnerabilities – Homograph Attack in Python.”);

        System.out.println(“\nDemonstrating IDNA2003 Homograph Attack:”);

        demonstrateIDNA2003HomographAttack();

 

        System.out.println(“\nDemonstrating IDNA2008 Homograph Attack Prevention:”);

        demonstrateIDNA2008HomographAttackPrevention();

    }

}

ในตัวอย่างโค้ดภาษา Python และ Java ที่แสดงไว้ข้างต้น ชื่อโดเมนแบบยูนิโค้ด “example.cо.th” ประกอบด้วยอักขระ ‘o’ จากอักษรละติน (Latin) และอักขระ ‘о’ จากอักษรซีริลลิก (Cyrillic) ซึ่งมีลักษณะคล้ายคลึงกันทางสายตาอย่างมาก มาตรฐาน IDNA2003 อาจไม่สามารถแยกแยะอักขระดังกล่าวได้อย่างมีประสิทธิภาพ ส่งผลให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัย และอาจนำไปสู่ช่องโหว่จากการโจมตีแบบ Homograph Attack ในทางตรงกันข้าม มาตรฐาน IDNA2008 ได้กำหนดกลไกและอัลกอริทึมที่มีความซับซ้อนมากขึ้น เพื่อช่วยในการตรวจจับและจัดการกับอักขระที่มีลักษณะคล้ายคลึงกันทางสายตา ซึ่งช่วยลดความเสี่ยงจากการโจมตีแบบ Homograph และเสริมสร้างความมั่นคงปลอดภัยให้กับระบบมากยิ่งขึ้น ขอแนะนำให้ทดลองรันโค้ดดังกล่าว เพื่อสังเกตความแตกต่างของผลลัพธ์และพฤติกรรมการทำงานระหว่าง IDNA2003 และ IDNA2008 ในสถานการณ์การโจมตีแบบ Homograph นี้

 

Previous
Next