ให้เรตสมาชิก: 5 / 5

ดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งาน
 

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS)
Cross-site Scripting (XSS) คืออะไร

 

 

 

          xss หรือ cross site scripting คือการส่งสคริปข้ามเว็บไซต์ เพื่อโจมตีเหยื่อที่เปิดเข้าไป หรือโจมตีหน้าเว็บเพจ ที่ Hacker นิยมใช้กัน โดยอาศัยช่องโหว่ ของเว็บ จำพวก เว็บบอร์ด เป็น ต้น เพื่อ อัพ Script ซึ่งเขียนด้วย java Script


สาเหตุของ XSS

          การโจมตีและช่องโหว่ประเภท Cross-site Scripting (XSS) ช่องโหว่ทั้ง 3 ประเภท (Reflected, Stored, และ DOM-based XSS) เกิดจากการที่ผู้พัฒนา เว็บแอปพลิเคชัน ไม่ได้ทำการตรวจสอบข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี ก่อนนำไปแสดงผลให้กับผู้ใช้งานคนอื่น ดังนั้น หากต้องการป้องกันการเกิดช่องโหว่ประเภทนี้ ต้องเริ่มต้นที่การตรวจสอบและคัดกรองข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี (หลักการป้องกันเดียวกับ SQL Injection)

 

การป้องกัน

          การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้ ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

           ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

          XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญ เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง ในฝั่งเบราว์เซอร์ เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

 

 

 

ภาพประกอบจาก :https://www.indusface.com

บทความที่เกี่ยวข้อง : Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร 
 
กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
ทำความรู้เกี่ยวประเภทของสมุดรายวันขั้นต้น
โดย nutchasn อ 28 ม.ค. 2020 3:33 pm บอร์ด Accounting software & ERP โปรแกรมบัญชี ระบบอีอาร์พี
0
7
อ 28 ม.ค. 2020 3:33 pm โดย nutchasn
ความขี้เกียจ
โดย noppadonsk อ 28 ม.ค. 2020 3:14 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
16
อ 28 ม.ค. 2020 3:14 pm โดย noppadonsk
เรียนรู้หลักการในการเขียน Flow chart
โดย nutchasn อ 28 ม.ค. 2020 2:46 pm บอร์ด Accounting software & ERP โปรแกรมบัญชี ระบบอีอาร์พี
0
14
อ 28 ม.ค. 2020 2:46 pm โดย nutchasn
ขอสอบถามครับ ไม่สามารถแสดงผลรูปภาพบน html ได้
โดย benzas00123 อ 28 ม.ค. 2020 2:28 pm บอร์ด HTML CSS
6
32
อ 28 ม.ค. 2020 3:03 pm โดย benzas00123
ความแตกต่างของการบันทึกบัญชีแบบ Periodic และ Perpetual
โดย nutchasn อ 28 ม.ค. 2020 1:38 pm บอร์ด Accounting software & ERP โปรแกรมบัญชี ระบบอีอาร์พี
0
9
อ 28 ม.ค. 2020 1:38 pm โดย nutchasn
ทำความรู้จักกับโปรแกรม easy acc โปรแกรมอำนวยความสะดวยต่อการจัดการระบบบัญชี
โดย nutchasn จ 27 ม.ค. 2020 7:12 pm บอร์ด Accounting software & ERP โปรแกรมบัญชี ระบบอีอาร์พี
0
63
จ 27 ม.ค. 2020 7:12 pm โดย nutchasn
อยากทรบวิธีการตรวจสอบความถูกต้องของเลขบัตรประชาชน
โดย Ittichai_chupol จ 27 ม.ค. 2020 6:33 pm บอร์ด Programming - PHP
0
77
จ 27 ม.ค. 2020 6:33 pm โดย Ittichai_chupol
Pillow library ฟังก์ชั่น rotate ใช้สำหรับการหมุนรูปภาพ
โดย benzas00123 จ 27 ม.ค. 2020 6:22 pm บอร์ด Python Knowledge
0
25
จ 27 ม.ค. 2020 6:22 pm โดย benzas00123
Pillow library ความแตกต่างระหว่างฟังก์ชั่น thumbnail และ resize
โดย benzas00123 จ 27 ม.ค. 2020 6:10 pm บอร์ด Python Knowledge
0
18
จ 27 ม.ค. 2020 6:10 pm โดย benzas00123
Pillow library การปรับขนาดรูปภาพด้วยฟังก์ชั่น resize()
โดย benzas00123 จ 27 ม.ค. 2020 5:58 pm บอร์ด Python Knowledge
0
34
จ 27 ม.ค. 2020 5:58 pm โดย benzas00123
วิธีการเดินทางจากบ้าน นครราชสีมา - กรุงเทพฯ
โดย nutchasn จ 27 ม.ค. 2020 3:40 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
18
จ 27 ม.ค. 2020 3:40 pm โดย nutchasn
คนเจ้าชู้?
โดย noppadonsk จ 27 ม.ค. 2020 11:16 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
25
จ 27 ม.ค. 2020 11:16 am โดย noppadonsk
รับติดตั้งระบบ Skype for Business และ Microsoft Teams
โดย Atomseed Suckseed จ 27 ม.ค. 2020 11:05 am บอร์ด ถาม - ตอบ คอมพิวเตอร์
0
58
จ 27 ม.ค. 2020 11:05 am โดย Atomseed Suckseed
ขอสอบถามเกี่ยวกับ การ send_file zip ครับ
โดย benzas00123 ส 25 ม.ค. 2020 8:44 pm บอร์ด Programming - C/C++ & java & Python
6
68
อ 28 ม.ค. 2020 10:24 am โดย benzas00123
ขอสอบถามเกี่ยวกับวิธีสร้างตัวไว้สำหรับ download หน่อยครับ
โดย benzas00123 ส 25 ม.ค. 2020 5:53 pm บอร์ด Programming - C/C++ & java & Python
2
41
จ 27 ม.ค. 2020 4:00 pm โดย mindphp
pycharm รันภาษาไทยไม่ได้
โดย Anonymous ส 25 ม.ค. 2020 5:29 pm บอร์ด Programming - C/C++ & java & Python
0
14
ส 25 ม.ค. 2020 5:29 pm โดย บุคคลทั่วไป
pycharm รันภาษไม่ได้
โดย Anonymous ส 25 ม.ค. 2020 5:15 pm บอร์ด Programming - C/C++ & java & Python
1
13
ส 25 ม.ค. 2020 5:16 pm โดย mindphp
ขอสอบถามวิธีการ ปิด ip หน่อยครับ
โดย benzas00123 ส 25 ม.ค. 2020 2:48 pm บอร์ด Programming - C/C++ & java & Python
2
24
ส 25 ม.ค. 2020 5:39 pm โดย benzas00123
จะทำไรให้ View Detail จัดเรียงได้ครับ
โดย jamepiyawat ส 25 ม.ค. 2020 2:32 pm บอร์ด Joomla Development
1
1217
ส 25 ม.ค. 2020 2:41 pm โดย mindphp
os.mkdir ฟังก์ชั่นสำหรับการสร้าง folder ใหม่
โดย benzas00123 ศ 24 ม.ค. 2020 6:44 pm บอร์ด Python Knowledge
0
17
ศ 24 ม.ค. 2020 6:44 pm โดย benzas00123