การโจมตี (Exploit)คือวิธีการหรือโค้ดที่ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์แอปพลิ เค ชันเครือข่ายระบบปฏิบัติการหรือฮาร์ดแวร์โดยทั่วไปเพื่อจุดประสงค์ที่เป็นอันตราย คำว่า "exploit" มาจากคำกริยาภาษาอังกฤษ "to exploit" ซึ่งหมายถึง "การใช้บางสิ่งบางอย่างให้เป็นประโยชน์แก่ตนเอง" การโจมตีถูกออกแบบมาเพื่อระบุข้อบกพร่อง หลีกเลี่ยงมาตรการรักษาความปลอดภัย เข้าถึงระบบโดยไม่ได้รับอนุญาต ควบคุมระบบ ติดตั้งมัลแวร์หรือขโมยข้อมูลที่สำคัญแม้ว่าการโจมตีเองอาจไม่ใช่มัลแวร์แต่ก็ทำหน้าที่เป็นพาหนะในการส่งมอบซอฟต์แวร์ที่เป็นอันตรายโดยการละเมิดการควบคุมความปลอดภัย^{[ 1 ] [ 2 ] [ 3 ] [ 4 ]}

การประมาณการต้นทุนทางเศรษฐกิจของการโจมตีทางไซเบอร์ที่อาศัยช่องโหว่นั้นแตกต่างกันอย่างมาก ขึ้นอยู่กับวิธีการและขอบเขต รายงานของ McAfee / CSIS ในปี 2020 ประมาณการต้นทุนอาชญากรรมไซเบอร์ ทั่วโลก ไว้ที่มากกว่า 1 ล้านล้านดอลลาร์สหรัฐต่อปี เพื่อตอบสนองต่อภัยคุกคามนี้ องค์กรต่างๆ จึงใช้ข่าวกรองภัยคุกคามทางไซเบอร์ มากขึ้นเรื่อยๆ เพื่อระบุช่องโหว่และป้องกันการแฮ็กก่อนที่จะเกิดขึ้น^{[ 5 ]}

การโจมตีมุ่งเป้าไปที่ช่องโหว่ ซึ่งโดยพื้นฐานแล้วคือข้อบกพร่องหรือจุดอ่อนในการป้องกันของระบบ เป้าหมายทั่วไปของการโจมตี ได้แก่ระบบปฏิบัติการเว็บเบราว์เซอร์และแอปพลิเคชัน ต่างๆ ซึ่งช่องโหว่ที่ซ่อนอยู่สามารถบั่นทอนความสมบูรณ์และความปลอดภัยของระบบคอมพิวเตอร์ได้ การโจมตีอาจทำให้เกิดพฤติกรรมที่ไม่ตั้งใจหรือไม่คาดคิดในระบบ ซึ่งอาจนำไปสู่การละเมิดความปลอดภัยอย่าง ร้ายแรง ^{[ 6 ] [ 7 ]}

ช่องโหว่จำนวนมากถูกออกแบบมาเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบคอมพิวเตอร์ในระดับผู้ใช้สูงสุดได้ ผู้โจมตีอาจใช้ช่องโหว่หลายรายการต่อเนื่องกันเพื่อเข้าถึงระบบในระดับต่ำก่อน จากนั้นจึงค่อย ๆ เพิ่มระดับสิทธิ์ไปเรื่อย ๆ จนกระทั่งถึงระดับผู้ดูแลระบบสูงสุด ซึ่งมักเรียกว่า "root" เทคนิคการเชื่อมโยงช่องโหว่หลายรายการเข้าด้วยกันเพื่อทำการโจมตีเพียงครั้งเดียวนี้เรียกว่า "ห่วงโซ่ช่องโหว่" (exploit chain)

ช่องโหว่ที่ไม่มีใครรู้จักนอกจากบุคคลที่ค้นพบและพัฒนาช่องโหว่นั้นเรียกว่าช่องโหว่ศูนย์วันหรือ "0day" หลังจากที่ช่องโหว่ถูกเปิดเผยต่อผู้เขียนซอฟต์แวร์ที่ได้รับผลกระทบ ช่องโหว่ที่เกี่ยวข้องมักจะได้รับการแก้ไขผ่านแพทช์ทำให้ช่องโหว่นั้นใช้งานไม่ได้ นี่คือเหตุผลที่แฮกเกอร์หมวกดำ บางคน รวมถึงแฮกเกอร์ของกองทัพหรือหน่วยข่าวกรอง ไม่เผยแพร่ช่องโหว่ของตน แต่เก็บไว้เป็นส่วนตัว โครงการหนึ่งที่นำเสนอ ^ช่องโหว่ศูนย์วันเรียกว่าexploit as a service [ ^{8 ]}

มีหลายวิธีในการจำแนกประเภทของการโจมตีช่องโหว่ ตัวอย่างเช่น การจำแนกตามส่วนประกอบที่ตกเป็นเป้าหมาย หรือตามประเภทของช่องโหว่ วิธีที่พบได้บ่อยที่สุดคือการจำแนกตามวิธีการที่การโจมตีสื่อสารกับซอฟต์แวร์ที่มีช่องโหว่ อีกวิธีหนึ่งคือการจำแนกตามการกระทำต่อระบบที่มีช่องโหว่ เช่น การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การเรียกใช้โค้ดตามอำเภอใจ และการปฏิเสธการให้บริการ

สิ่งเหล่านี้ได้แก่: ^{[ 9 ]}

• การโจมตีระยะไกล – ทำงานผ่านเครือข่ายและใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยโดยไม่จำเป็นต้องเข้าถึงระบบที่มีช่องโหว่ก่อน
• การโจมตีแบบเจาะระบบภายใน – ต้องอาศัยการเข้าถึงระบบที่เปราะบางมาก่อน หรือการเข้าถึงทางกายภาพของระบบนั้น ๆ และโดยปกติแล้วจะเพิ่มสิทธิ์ของผู้ที่ทำการโจมตีให้สูงกว่าสิทธิ์ที่ผู้ดูแลระบบกำหนดไว้

ตัวอย่างเช่น: ^{[ 9 ]}

• การโจมตีฝั่งเซิร์ฟเวอร์ – มุ่งเป้าไปที่ช่องโหว่ในแอปพลิเคชันฝั่งเซิร์ฟเวอร์ เช่น เว็บเซิร์ฟเวอร์หรือฐานข้อมูลเซิร์ฟเวอร์ โดยมักจะส่งคำขอที่สร้างขึ้นอย่างมีเจตนาร้ายเพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย
• การโจมตีฝั่งไคลเอ็นต์ – มุ่งเป้าไปที่ช่องโหว่ในแอปพลิเคชันไคลเอ็นต์ เช่น เว็บเบราว์เซอร์ ( การโจมตีเบราว์เซอร์ ) หรือโปรแกรมเล่นสื่อ การโจมตีเหล่านี้มักต้องอาศัยการโต้ตอบจากผู้ใช้ เช่น การเข้าชมเว็บไซต์ที่เป็นอันตรายหรือการเปิดไฟล์ที่ถูกบุกรุก การโจมตีแอปพลิเคชันไคลเอ็นต์อาจต้องอาศัยการโต้ตอบกับผู้ใช้เช่นกัน และอาจใช้ร่วมกับวิธีการวิศวกรรมสังคมได้

การจำแนกประเภทของการโจมตีตาม^{[ 10 ] [ 11 ]}ประเภทของช่องโหว่ที่ถูกโจมตีและผลลัพธ์ของการโจมตี (เช่น การยกระดับสิทธิ์ ( EoP ), การปฏิเสธการให้บริการ ( DoS ), การปลอมแปลง ) เป็นแนวทางปฏิบัติทั่วไปในด้านความปลอดภัยทางไซเบอร์ แนวทางนี้ช่วยในการระบุและจัดการภัยคุกคามด้านความปลอดภัยอย่างเป็นระบบ ตัวอย่างเช่น โมเดลภัยคุกคาม STRIDE จำแนกภัยคุกคามออกเป็น 6 ประเภท ได้แก่ การปลอมแปลง การดัดแปลง การปฏิเสธความรับผิดชอบ การเปิดเผยข้อมูล การปฏิเสธการให้บริการ และการยกระดับสิทธิ์^{[ 12 ]}ในทำนองเดียวกัน ฐานข้อมูลช่องโหว่แห่งชาติ (NVD) จำแนกช่องโหว่ตามประเภท เช่น การข้ามการตรวจสอบสิทธิ์โดยการปลอมแปลงและการข้ามการอนุญาต^{[ 13 ]}

ช่องโหว่ที่ถูกใช้ประโยชน์ ได้แก่:

• ช่องโหว่การเรียกใช้โค้ด – อนุญาตให้ผู้โจมตีเรียกใช้โค้ดใดๆ ก็ได้บนระบบเป้าหมาย ซึ่งอาจนำไปสู่การเจาะระบบได้ทั้งหมด
• การโจมตีแบบปฏิเสธการให้บริการ (Denial-of-serviceหรือDoS ) – มีเป้าหมายเพื่อขัดขวางการทำงานปกติของระบบหรือบริการ ทำให้ผู้ใช้ที่ถูกต้องไม่สามารถใช้งานได้
• ช่องโหว่การยกระดับสิทธิ์ – ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ที่สูงกว่าที่ได้รับอนุญาตไว้ในตอนแรกบนระบบ ซึ่งอาจนำไปสู่การกระทำที่ไม่ได้รับอนุญาตได้
• ช่องโหว่ที่ทำให้เกิดการเปิดเผยข้อมูล – นำไปสู่การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาตเนื่องจากช่องโหว่ในระบบ

ผู้โจมตีใช้วิธีการต่างๆ เพื่อแสวงหาประโยชน์จากช่องโหว่และบรรลุเป้าหมาย วิธีการทั่วไปบางส่วนได้แก่: ^{[ 9 ]}

• บัฟเฟอร์โอเวอร์โฟลว์ – ผู้โจมตีส่งข้อมูลไปยังบัฟเฟอร์มากกว่าที่บัฟเฟอร์จะรับมือได้ ทำให้บัฟเฟอร์ล้นและเขียนทับหน่วยความจำที่อยู่ติดกัน ซึ่งอาจทำให้สามารถเรียกใช้โค้ดตามอำเภอใจได้
• การโจมตีแบบ SQL injection – การแทรกโค้ดSQL ที่เป็นอันตรายเข้าไปในช่องป้อนข้อมูลของเว็บแอปพลิเคชัน ทำให้ผู้โจมตีสามารถเข้าถึงหรือแก้ไขฐานข้อมูลได้
• การโจมตีแบบ Cross-site scripting ( XSS ) – ผู้โจมตีจะแทรกสคริปต์ที่เป็นอันตรายเข้าไปในหน้าเว็บที่ผู้ใช้รายอื่นกำลังดูอยู่ ซึ่งอาจนำไปสู่การโจรกรรมเซสชันหรือการขโมยข้อมูลได้
• การปลอมแปลงคำขอข้ามเว็บไซต์ ( CSRF ) – ผู้โจมตีหลอกล่อผู้ใช้ให้กระทำการที่ไม่ได้ตั้งใจ เช่น การเปลี่ยนแปลงการตั้งค่าบัญชี โดยใช้ประโยชน์จากเซสชันการตรวจสอบสิทธิ์ของผู้ใช้

การโจมตีแบบไม่ต้องคลิกถือเป็นช่องโหว่ที่ไม่ต้องมีการโต้ตอบจากผู้ใช้ในการทำงาน กล่าวคือ ไม่มีการกดปุ่มหรือคลิกเมาส์^{[ 14 ]}ช่องโหว่เหล่านี้มักเป็นช่องโหว่ที่เป็นที่ต้องการมากที่สุด (โดยเฉพาะในตลาดช่องโหว่ใต้ดิน) เนื่องจากเป้าหมายมักไม่มีทางรู้ว่าตนเองถูกบุกรุกในขณะที่ถูกโจมตี

FORCEDENTRYซึ่งค้นพบในปี 2021 เป็นตัวอย่างของการโจมตีแบบไม่ต้องคลิก^{[ 15 ] [ 16 ]}

ในปี 2022 มีรายงานว่า NSO Groupขายช่องโหว่แบบไม่ต้องคลิกให้กับรัฐบาลเพื่อเจาะเข้าไปในโทรศัพท์ของบุคคล^{[ 17 ]}

สำหรับอุปกรณ์เคลื่อนที่สำนักงานความมั่นคงแห่งชาติ (NSA) ชี้ให้เห็นว่าการอัปเดตซอฟต์แวร์และแอปพลิเคชันอย่างทันท่วงที การหลีกเลี่ยงการเชื่อมต่อเครือข่ายสาธารณะ และการปิดและเปิดอุปกรณ์อย่างน้อยสัปดาห์ละครั้ง สามารถลดภัยคุกคามจากการโจมตีแบบไม่ต้องคลิกได้^{[ 18 ] [ 19 ] [ 20 ]}ผู้เชี่ยวชาญกล่าวว่าแนวทางการป้องกันสำหรับอุปกรณ์ปลายทางแบบดั้งเดิมยังสามารถนำไปใช้กับอุปกรณ์เคลื่อนที่ได้อีกด้วย ช่องโหว่จำนวนมากมีอยู่เฉพาะในหน่วยความจำไม่ได้อยู่ในไฟล์ ในทางทฤษฎี การรีสตาร์ทอุปกรณ์สามารถลบมัลแวร์ออกจากหน่วยความจำ ทำให้ผู้โจมตีต้องกลับไปเริ่มต้นใหม่ตั้งแต่ต้นห่วงโซ่การโจมตี^{[ 21 ] [ 22 ]}

การเปลี่ยนเป้าหมาย (Pivoting) เป็นเทคนิคต่อเนื่อง: หลังจากที่เจาะระบบได้แล้ว การเข้าถึงอุปกรณ์อื่นๆ ในเครือข่ายก็สามารถทำได้เช่นกัน ดังนั้นกระบวนการจึงซ้ำไปเรื่อยๆ กล่าวคือ สามารถค้นหาช่องโหว่เพิ่มเติมและพยายามโจมตีช่องโหว่เหล่านั้นต่อไปได้ ทั้งแฮกเกอร์และผู้ทดสอบการเจาะระบบ ใช้การเปลี่ยนเป้าหมาย เพื่อขยายการเข้าถึงภายในเครือข่ายเป้าหมาย โดยการเจาะระบบ ผู้โจมตีสามารถใช้ระบบนั้นเป็นแพลตฟอร์มในการโจมตีระบบอื่นๆ ที่มักจะถูกป้องกันจากการเข้าถึงภายนอกโดยตรงด้วยไฟร์วอลล์เครือข่ายภายในมักมีเครื่องที่เข้าถึงได้มากกว่าเมื่อเทียบกับเครื่องที่เชื่อมต่อกับอินเทอร์เน็ต ตัวอย่างเช่น ผู้โจมตีอาจเจาะเว็บเซิร์ฟเวอร์ในเครือข่ายของบริษัท แล้วใช้มันเพื่อโจมตีระบบอื่นๆ ภายในเครือข่ายเดียวกัน วิธีการนี้มักเรียกว่าการโจมตีแบบหลายชั้น การเปลี่ยนเป้าหมายยังเป็นที่รู้จักในชื่อการกระโดดข้ามเกาะ (Island Hopping )

การเปลี่ยนเส้นทาง (Pivoting) สามารถแบ่งย่อยออกเป็น การเปลี่ยนเส้นทาง ผ่านพร็อกซี (Proxy pivoting) และ การเปลี่ยนเส้นทาง ผ่าน VPN (VPN pivoting) ได้อีกสองประเภท :

• การเปลี่ยนเส้นทางพร็อกซีเป็นการปฏิบัติในการส่งทราฟฟิกผ่านเป้าหมายที่ถูกบุกรุกโดยใช้เพย์โหลดพร็อกซีบนเครื่องและเปิดการโจมตีจากคอมพิวเตอร์^{[ 23 ]}การเปลี่ยนเส้นทางประเภทนี้ถูกจำกัดเฉพาะ พอร์ต TCPและUDP บาง พอร์ตที่พร็อกซีรองรับ

• การใช้ VPN เป็นช่องทางในการเจาะระบบ ทำให้ผู้โจมตีสามารถสร้างชั้นการเข้ารหัสเพื่อเจาะเข้าไปในเครื่องที่ถูกบุกรุก และส่งต่อการรับส่งข้อมูลเครือข่ายใดๆ ผ่านเครื่องเป้าหมายนั้น ตัวอย่างเช่น การสแกนหาช่องโหว่ในเครือข่ายภายในผ่านเครื่องที่ถูกบุกรุก ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้อย่างเต็มที่ราวกับว่าพวกเขาอยู่หลังไฟร์วอลล์

โดยทั่วไป แอปพลิเคชันพร็อกซีหรือ VPN ที่ช่วยให้สามารถเจาะระบบได้ จะถูกเรียกใช้งานบนคอมพิวเตอร์เป้าหมายในรูป แบบของ เพย์โหลดของการโจมตี

การโจมตีแบบ Pivoting มักทำโดยการแทรกซึมเข้าไปในส่วนใดส่วนหนึ่งของโครงสร้างพื้นฐานเครือข่าย (เช่น เครื่องพิมพ์หรือเทอร์โมสตัทที่มีช่องโหว่) และใช้โปรแกรมสแกนเพื่อค้นหาอุปกรณ์อื่นๆ ที่เชื่อมต่ออยู่เพื่อโจมตีอุปกรณ์เหล่านั้น การโจมตีส่วนที่เปราะบางของเครือข่ายจะทำให้ผู้โจมตีสามารถแพร่เชื้อไปยังเครือข่ายส่วนใหญ่หรือทั้งหมด และควบคุมเครือข่ายได้อย่างสมบูรณ์

• สื่อที่เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยทางคอมพิวเตอร์ในวิกิมีเดียคอมมอนส์