ให้เรตสมาชิก: 5 / 5

ดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งาน
 

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS)
Cross-site Scripting (XSS) คืออะไร

 

 

 

          xss หรือ cross site scripting คือการส่งสคริปข้ามเว็บไซต์ เพื่อโจมตีเหยื่อที่เปิดเข้าไป หรือโจมตีหน้าเว็บเพจ ที่ Hacker นิยมใช้กัน โดยอาศัยช่องโหว่ ของเว็บ จำพวก เว็บบอร์ด เป็น ต้น เพื่อ อัพ Script ซึ่งเขียนด้วย java Script


สาเหตุของ XSS

          การโจมตีและช่องโหว่ประเภท Cross-site Scripting (XSS) ช่องโหว่ทั้ง 3 ประเภท (Reflected, Stored, และ DOM-based XSS) เกิดจากการที่ผู้พัฒนา เว็บแอปพลิเคชัน ไม่ได้ทำการตรวจสอบข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี ก่อนนำไปแสดงผลให้กับผู้ใช้งานคนอื่น ดังนั้น หากต้องการป้องกันการเกิดช่องโหว่ประเภทนี้ ต้องเริ่มต้นที่การตรวจสอบและคัดกรองข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี (หลักการป้องกันเดียวกับ SQL Injection)

 

การป้องกัน

          การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้ ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

           ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

          XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญ เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง ในฝั่งเบราว์เซอร์ เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

 

 

 

ภาพประกอบจาก :https://www.indusface.com

บทความที่เกี่ยวข้อง : Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร 
 
กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
เปิดตัวเว็บบอร์ด รูปแบบใหม่ ของเรา มีอะไรมาใหม่ ลองมาดูกัน เราใช้ phpBB 3.2 นะ
โดย mindphp พ 04 ธ.ค. 2019 7:44 pm บอร์ด MindPHP News & Feedback
1
23
พ 04 ธ.ค. 2019 8:03 pm โดย thatsawan
วิธีการ ใช้งาน Jquery คำนวณเลขฐาน 2 8 16
โดย Ittichai_chupol พ 04 ธ.ค. 2019 6:58 pm บอร์ด Jquery & Ajax Knowledge
0
244
พ 04 ธ.ค. 2019 6:58 pm โดย Ittichai_chupol
การใช้บอร์ด Arduino ต่อกับเซ็นเซอร์สี TCS3200
โดย Grammanano พ 04 ธ.ค. 2019 6:54 pm บอร์ด Share Knowledge
0
12
พ 04 ธ.ค. 2019 6:54 pm โดย Grammanano
คำสั่ง cmd และโปรแกรมที่ใช้สำหรับการเขียน python
โดย Grammanano พ 04 ธ.ค. 2019 6:02 pm บอร์ด M098 - อนงค์นาท ไฝขาว
2
13
พ 04 ธ.ค. 2019 8:04 pm โดย Grammanano
Google One เปิดสำรองข้อมูลบนระบบ Android
โดย noppadonsk พ 04 ธ.ค. 2019 5:42 pm บอร์ด Share Knowledge
0
15
พ 04 ธ.ค. 2019 5:42 pm โดย noppadonsk
แคปหน้าจอเว็ป แล้วแปลงเป็นไฟล์ PDF บนChrome
โดย noppadonsk พ 04 ธ.ค. 2019 5:28 pm บอร์ด Share Knowledge
0
14
พ 04 ธ.ค. 2019 5:28 pm โดย noppadonsk
วิธี ซ่อนไฟล์ใน Google Drive หายังไงก็ไม่เจอ
โดย noppadonsk พ 04 ธ.ค. 2019 5:16 pm บอร์ด Share Knowledge
0
13
พ 04 ธ.ค. 2019 5:16 pm โดย noppadonsk
รู้รึยังการใส่เพลงใน Google Slides
โดย noppadonsk พ 04 ธ.ค. 2019 4:41 pm บอร์ด Share Knowledge
0
13
พ 04 ธ.ค. 2019 4:41 pm โดย noppadonsk
คู่มือการเลือกใช้ไฟล์สำหรับงานออกแบบ
โดย noppadonsk พ 04 ธ.ค. 2019 4:20 pm บอร์ด Graphic design
0
10
พ 04 ธ.ค. 2019 4:20 pm โดย noppadonsk
แนะนำเทมเพลต MooZii Opencart - Template MooZiicart เรียบง่าย ทันสมัย ง่ายต่อการใช้งาน
โดย prmindphp พ 04 ธ.ค. 2019 4:04 pm บอร์ด MindPHP News & Feedback
1
253
พ 04 ธ.ค. 2019 5:02 pm โดย mindphp
MEMPHIS STYLE กราฟิกที่เรียบง่ายช่วยให้งานโดดเด่น
โดย noppadonsk พ 04 ธ.ค. 2019 3:58 pm บอร์ด Graphic design
0
244
พ 04 ธ.ค. 2019 3:58 pm โดย noppadonsk
ตัวอย่างการใช้บอร์ด Arduino ต่อกับจอแสดงผล OLED
โดย Grammanano พ 04 ธ.ค. 2019 3:57 pm บอร์ด Share Knowledge
0
10
พ 04 ธ.ค. 2019 3:57 pm โดย Grammanano
VDO - แนะนำการใช้งาน Module Weather Forcecast
โดย numtan5839 พ 04 ธ.ค. 2019 12:08 pm บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
4
17
พ 04 ธ.ค. 2019 2:27 pm โดย numtan5839
การสืบทอด (Inheritance) ใน JAVA
โดย Grammanano พ 04 ธ.ค. 2019 1:48 pm บอร์ด Share Knowledge
0
12
พ 04 ธ.ค. 2019 1:48 pm โดย Grammanano
พาส่อง ต้นไม้เรียกทรัพย์ เริ่มต้น 10.- ที่ตลาดต้นไม้จตุจักร
โดย promotions พ 04 ธ.ค. 2019 11:50 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
21
พ 04 ธ.ค. 2019 11:50 am โดย promotions
งานประจำวันที่ 4 ธันวาคม 2562
โดย numtan5839 พ 04 ธ.ค. 2019 10:09 am บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
3
13
พ 04 ธ.ค. 2019 7:46 pm โดย numtan5839
งานประจำวันที่ 4 ธันวาคม 2562
โดย noppadonsk พ 04 ธ.ค. 2019 10:05 am บอร์ด MT36 - นายนพดล สุชญากูล
3
20
พ 04 ธ.ค. 2019 6:52 pm โดย noppadonsk
งานประจำวันที่ 4 ธันวาคม 2562
โดย Grammanano พ 04 ธ.ค. 2019 10:01 am บอร์ด M098 - อนงค์นาท ไฝขาว
1
6
พ 04 ธ.ค. 2019 7:03 pm โดย Grammanano
การเขียน for loop ในภาษา C
โดย Grammanano อ 03 ธ.ค. 2019 6:24 pm บอร์ด Share Knowledge
1
263
อ 03 ธ.ค. 2019 7:15 pm โดย chatee supasand
วิธีการทำ pulgin ให้ copy รูปภาพที่อยู่ในโฟนเดอร์ images ของ joomla
โดย jamepiyawat อ 03 ธ.ค. 2019 6:23 pm บอร์ด Joomla Developing Knowledge
0
260
อ 03 ธ.ค. 2019 6:23 pm โดย jamepiyawat