ให้เรตสมาชิก: 5 / 5

ดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งาน
 

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS)
Cross-site Scripting (XSS) คืออะไร

 

 

 

          xss หรือ cross site scripting คือการส่งสคริปข้ามเว็บไซต์ เพื่อโจมตีเหยื่อที่เปิดเข้าไป หรือโจมตีหน้าเว็บเพจ ที่ Hacker นิยมใช้กัน โดยอาศัยช่องโหว่ ของเว็บ จำพวก เว็บบอร์ด เป็น ต้น เพื่อ อัพ Script ซึ่งเขียนด้วย java Script


สาเหตุของ XSS

          การโจมตีและช่องโหว่ประเภท Cross-site Scripting (XSS) ช่องโหว่ทั้ง 3 ประเภท (Reflected, Stored, และ DOM-based XSS) เกิดจากการที่ผู้พัฒนา เว็บแอปพลิเคชัน ไม่ได้ทำการตรวจสอบข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี ก่อนนำไปแสดงผลให้กับผู้ใช้งานคนอื่น ดังนั้น หากต้องการป้องกันการเกิดช่องโหว่ประเภทนี้ ต้องเริ่มต้นที่การตรวจสอบและคัดกรองข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี (หลักการป้องกันเดียวกับ SQL Injection)

 

การป้องกัน

          การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้ ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

           ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

          XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญ เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง ในฝั่งเบราว์เซอร์ เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

 

 

 

ภาพประกอบจาก :https://www.indusface.com

บทความที่เกี่ยวข้อง : Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร 
 
กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
วิธีการใช้ JQuery เก็บ cookie เพื่อลดขั้นตอนการเปลี่ยนภาษาของแต่ละ user ใน phpbb
โดย Ittichai_chupol พฤ 19 ธ.ค. 2019 11:24 am บอร์ด Jquery & Ajax Knowledge
0
981
พฤ 19 ธ.ค. 2019 11:24 am โดย Ittichai_chupol
ปฏิทินประจําปี 2563 คริสมาสเพิ่มความหวาน และ สดใส - โหลดเก็บไว้ได้เลย
โดย noppadonsk พ 18 ธ.ค. 2019 6:31 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
1
2181
พ 01 ม.ค. 2020 3:11 pm โดย mindphp
ปฏิทินวันหยุด 2563 วันหยุดราชการ วันหยุดใน ปฏิทิน 2563 / 2020 ปฏิทิน 2563 พร้อมวันหยุดราชการ
โดย noppadonsk พ 18 ธ.ค. 2019 6:20 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
16
384
อ 14 ม.ค. 2020 3:32 pm โดย LEG
วิธีการปรับเปลี่ยนตัวอักษรให้เป็น พิมพ์ใหญ่ - พิมพ์เล็ก ทั้งมด
โดย Ittichai_chupol พ 18 ธ.ค. 2019 5:27 pm บอร์ด CSS Knowledge
0
51
พ 18 ธ.ค. 2019 5:27 pm โดย Ittichai_chupol
วิธีการปรับแก้ไขส่วนการแสดงผลหน้าสมาชิก ใน phpbb
โดย Ittichai_chupol พ 18 ธ.ค. 2019 5:07 pm บอร์ด PHP Knowledge
0
38
พ 18 ธ.ค. 2019 5:07 pm โดย Ittichai_chupol
อยากทราบวิธีการที่จะทำให้ extension เข้าไปอ่านไฟล์ bookmark ได้ครับ
โดย Ittichai_chupol พ 18 ธ.ค. 2019 4:18 pm บอร์ด Programming - PHP
2
47
พ 18 ธ.ค. 2019 5:09 pm โดย Ittichai_chupol
Joomla เวอร์ชั่นใหม่มาแล้ว 3.9.14 มีปรับปรุงกว่า 36 รายการ
โดย tsukasaz พ 18 ธ.ค. 2019 11:07 am บอร์ด MindPHP News & Feedback
0
47
พ 18 ธ.ค. 2019 11:07 am โดย tsukasaz
นำหน้าเว็บให้สามารถค้นหาไฟล์ PDF ได้
โดย Anonymous อ 17 ธ.ค. 2019 11:23 pm บอร์ด HTML CSS
1
62
ศ 27 ธ.ค. 2019 1:03 pm โดย mindphp
หน้าเว็บโหลดช้า ขนาดภาพไม่ได้สัดส่วน MImageoptimize Plugin ของ Joomla ช่วยได้
โดย prmindphp อ 17 ธ.ค. 2019 7:03 pm บอร์ด MindPHP News & Feedback
0
78
อ 17 ธ.ค. 2019 7:03 pm โดย prmindphp
Programmer Funny To Day : ดูให้ดีก่อนไหม ???
โดย chatee supasand อ 17 ธ.ค. 2019 6:26 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
51
อ 17 ธ.ค. 2019 6:26 pm โดย chatee supasand
วิธีการการจัดแบ่งคอลัมน์เป็น 2 คอลัมน์เมื่อทำการย่อหน้าจอ
โดย Ittichai_chupol อ 17 ธ.ค. 2019 3:31 pm บอร์ด CSS Knowledge
0
39
อ 17 ธ.ค. 2019 3:31 pm โดย Ittichai_chupol
Youtube Originals คืออะไร
โดย noppadonsk อ 17 ธ.ค. 2019 3:13 pm บอร์ด Share Knowledge
1
61
อ 14 ม.ค. 2020 3:29 pm โดย LEG
วิธีการการปิดเครื่องหมายหน้าข้อความ ของ <li>
โดย Ittichai_chupol อ 17 ธ.ค. 2019 3:08 pm บอร์ด CSS Knowledge
0
33
อ 17 ธ.ค. 2019 3:08 pm โดย Ittichai_chupol
พบปัญหา LINE AP อีกแล้ว อยากทราบสาเหตุ [2019-12][001] - Urgent
โดย thatsawan อ 17 ธ.ค. 2019 3:05 pm บอร์ด MD-CRM - Tester
6
15
พ 25 ธ.ค. 2019 2:51 pm โดย thatsawan
ภัยคุกคามด้าน Security ปี 2020
โดย noppadonsk อ 17 ธ.ค. 2019 2:40 pm บอร์ด Share Knowledge
1
65
ศ 20 ธ.ค. 2019 2:43 pm โดย LEG
Google Assistants เพิ่มล่ามแปลภาษา บนมือถือ และรองรับภาษาไทยด้วย
โดย noppadonsk อ 17 ธ.ค. 2019 2:05 pm บอร์ด Share Knowledge
0
35
อ 17 ธ.ค. 2019 2:05 pm โดย noppadonsk
แนะวิธีปล่อยเช่าคอนโดแบบไหนให้มีกำไร
โดย Pattita Dumrongsappakit อ 17 ธ.ค. 2019 12:06 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
52
อ 17 ธ.ค. 2019 12:06 pm โดย Pattita Dumrongsappakit
สอบถามหน่อยค่ะ ในการบันทึกสินทรัพย์เข้าบริษัทจะต้องใช้หลักฐานอะไรเพิ่มเติม นอกจากใบเสร็จรับเงิน/ใบกำกับภาษีคะ
โดย nnamfon.26 อ 17 ธ.ค. 2019 11:34 am บอร์ด ถาม - ตอบ ธุรกิจ กฏหมาย ภาษี บัญชี
1
63
ศ 20 ธ.ค. 2019 1:10 am โดย mindphp
โปรแกรมคำนวณหาระยะเวลาในการลงทุน NPER (Number of Periods)
โดย prmindphp จ 16 ธ.ค. 2019 7:21 pm บอร์ด MindPHP News & Feedback
0
574
จ 16 ธ.ค. 2019 7:21 pm โดย prmindphp
Visual Studio 2019 อัพเดตเครื่องมือค้นหาใหม่ ค้นหาเร็วกว่าเดินหลายเท่า !!!
โดย chatee supasand จ 16 ธ.ค. 2019 5:25 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
101
จ 16 ธ.ค. 2019 5:25 pm โดย chatee supasand