ให้เรตสมาชิก: 5 / 5

ดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งาน
 

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS)
Cross-site Scripting (XSS) คืออะไร

 

 

 

          xss หรือ cross site scripting คือการส่งสคริปข้ามเว็บไซต์ เพื่อโจมตีเหยื่อที่เปิดเข้าไป หรือโจมตีหน้าเว็บเพจ ที่ Hacker นิยมใช้กัน โดยอาศัยช่องโหว่ ของเว็บ จำพวก เว็บบอร์ด เป็น ต้น เพื่อ อัพ Script ซึ่งเขียนด้วย java Script


สาเหตุของ XSS

          การโจมตีและช่องโหว่ประเภท Cross-site Scripting (XSS) ช่องโหว่ทั้ง 3 ประเภท (Reflected, Stored, และ DOM-based XSS) เกิดจากการที่ผู้พัฒนา เว็บแอปพลิเคชัน ไม่ได้ทำการตรวจสอบข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี ก่อนนำไปแสดงผลให้กับผู้ใช้งานคนอื่น ดังนั้น หากต้องการป้องกันการเกิดช่องโหว่ประเภทนี้ ต้องเริ่มต้นที่การตรวจสอบและคัดกรองข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี (หลักการป้องกันเดียวกับ SQL Injection)

 

การป้องกัน

          การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้ ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

           ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

          XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญ เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง ในฝั่งเบราว์เซอร์ เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

 

 

 

ภาพประกอบจาก :https://www.indusface.com

บทความที่เกี่ยวข้อง : Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร 
 
กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
การเขียน do while loop ในภาษา C
โดย Grammanano อ 03 ธ.ค. 2019 5:24 pm บอร์ด Share Knowledge
0
71
อ 03 ธ.ค. 2019 5:24 pm โดย Grammanano
บทความ Draft ภาพนับว่าละเมิดลิขสิทธิ์หรือไม่
โดย noppadonsk อ 03 ธ.ค. 2019 4:47 pm บอร์ด Share Knowledge
0
30
อ 03 ธ.ค. 2019 4:47 pm โดย noppadonsk
Module "Weather Forcecast" การพยากรณ์อากาศสำหรับประเทศไทยล่วงหน้า
โดย prmindphp อ 03 ธ.ค. 2019 4:43 pm บอร์ด MindPHP News & Feedback
0
172
อ 03 ธ.ค. 2019 4:43 pm โดย prmindphp
การเขียน while loop ในภาษา C
โดย Grammanano อ 03 ธ.ค. 2019 4:29 pm บอร์ด Share Knowledge
0
35
อ 03 ธ.ค. 2019 4:29 pm โดย Grammanano
ออนไลน์มาร์เก็ตติ้ง กับ ดิจิตอลมาเก็ตติ้ง แตกต่างกันอย่างไร
โดย noppadonsk อ 03 ธ.ค. 2019 4:16 pm บอร์ด Share Knowledge
0
35
อ 03 ธ.ค. 2019 4:16 pm โดย noppadonsk
มาทำความรู้จักกับ FYI (For your Information) FYI คืออะไร
โดย noppadonsk อ 03 ธ.ค. 2019 3:54 pm บอร์ด Share Knowledge
0
71
อ 03 ธ.ค. 2019 3:54 pm โดย noppadonsk
font ที่นิยมในการออกแบบให้ปัง
โดย noppadonsk อ 03 ธ.ค. 2019 3:38 pm บอร์ด Graphic design
0
63
อ 03 ธ.ค. 2019 3:38 pm โดย noppadonsk
จะ preg_match ยังไงให้ได้แค่ชื่อรูปครับ
โดย jamepiyawat อ 03 ธ.ค. 2019 3:03 pm บอร์ด Programming - PHP
2
109
อ 03 ธ.ค. 2019 3:20 pm โดย jamepiyawat
วิธีการการใช้ Node.js เพื่อสำหรับทำ Restful API
โดย Grammanano อ 03 ธ.ค. 2019 2:54 pm บอร์ด Jquery & Ajax Knowledge
0
122
อ 03 ธ.ค. 2019 2:54 pm โดย Grammanano
วิธีการใช้งาน Adobe permier pro เพื่อตัดต่อคลิปวีดิโอให้น่าสนใจ
โดย noppadonsk อ 03 ธ.ค. 2019 2:53 pm บอร์ด Graphic design
0
89
อ 03 ธ.ค. 2019 2:53 pm โดย noppadonsk
Module "Login" ของ MooZiicart ใช้งานง่ายเพียงติดตั้ง
โดย prmindphp อ 03 ธ.ค. 2019 11:43 am บอร์ด MindPHP News & Feedback
0
376
อ 03 ธ.ค. 2019 11:43 am โดย prmindphp
การเขียน if/else ในภาษา C
โดย Grammanano อ 03 ธ.ค. 2019 11:43 am บอร์ด Programming - C/C++ & java & Python
1
327
พ 11 ธ.ค. 2019 4:28 pm โดย Pragatisatpute
ออกแบบแบนเนอร์ให้เหมาะกับธุรกิจออนไลน์
โดย noppadonsk อ 03 ธ.ค. 2019 11:40 am บอร์ด Share Knowledge
0
30
อ 03 ธ.ค. 2019 11:40 am โดย noppadonsk
สร้างงานสวยด้วยASPECT RATIO
โดย noppadonsk อ 03 ธ.ค. 2019 11:03 am บอร์ด Share Knowledge
0
162
อ 03 ธ.ค. 2019 11:03 am โดย noppadonsk
วิธีแก้ไขรูปแบบวันที่ ในเอกสาร google sheet
โดย thatsawan อ 03 ธ.ค. 2019 10:47 am บอร์ด Microsoft Office Knowledge & line & Etc
1
86
อ 03 ธ.ค. 2019 1:35 pm โดย chatee supasand
สอบถาม ปุ่มส่งค่า Activityไปยังหน้าอื่นและกลับมาหน้าหลัก
โดย Dhanaporn Promchatsoonthorn จ 02 ธ.ค. 2019 10:01 pm บอร์ด Mobile Programming - Android, iOS, Window Phone
0
67
จ 02 ธ.ค. 2019 10:01 pm โดย Dhanaporn Promchatsoonthorn
วิธีการเพิ่ม - ลบ ช่องกรอกข้อมูล โดยใช้ jquery เพื่อปรับเพิ่มลดช่องกรอกข้อมูลได้ตามต้องการ
โดย Ittichai_chupol จ 02 ธ.ค. 2019 5:03 pm บอร์ด Jquery & Ajax Knowledge
0
84
จ 02 ธ.ค. 2019 5:03 pm โดย Ittichai_chupol
ขอความอนุเคราะห์เรื่อง การเขียนคิวรี่ข้อมูลในเดือน
โดย 9kitti จ 02 ธ.ค. 2019 1:39 pm บอร์ด SQL - Database
1
95
จ 02 ธ.ค. 2019 2:22 pm โดย mindphp
วิธีเดินทางจากสุราษฎร์ธานี (เกาะสมุย) มา กทม.
โดย Grammanano จ 02 ธ.ค. 2019 12:21 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
1
118
จ 02 ธ.ค. 2019 3:49 pm โดย thatsawan
การเดินทางจาก พัทยา มา กทม.(หมอชิต2)
โดย noppadonsk จ 02 ธ.ค. 2019 12:06 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
123
จ 02 ธ.ค. 2019 12:06 pm โดย noppadonsk