ให้เรตสมาชิก: 5 / 5

ดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งานดาวใช้งาน
 

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS)
Cross-site Scripting (XSS) คืออะไร

 

 

 

          xss หรือ cross site scripting คือการส่งสคริปข้ามเว็บไซต์ เพื่อโจมตีเหยื่อที่เปิดเข้าไป หรือโจมตีหน้าเว็บเพจ ที่ Hacker นิยมใช้กัน โดยอาศัยช่องโหว่ ของเว็บ จำพวก เว็บบอร์ด เป็น ต้น เพื่อ อัพ Script ซึ่งเขียนด้วย java Script


สาเหตุของ XSS

          การโจมตีและช่องโหว่ประเภท Cross-site Scripting (XSS) ช่องโหว่ทั้ง 3 ประเภท (Reflected, Stored, และ DOM-based XSS) เกิดจากการที่ผู้พัฒนา เว็บแอปพลิเคชัน ไม่ได้ทำการตรวจสอบข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี ก่อนนำไปแสดงผลให้กับผู้ใช้งานคนอื่น ดังนั้น หากต้องการป้องกันการเกิดช่องโหว่ประเภทนี้ ต้องเริ่มต้นที่การตรวจสอบและคัดกรองข้อมูลที่ได้รับมาจากผู้ใช้งานให้ดี (หลักการป้องกันเดียวกับ SQL Injection)

 

การป้องกัน

          การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้ ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

           ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

          XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญ เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง ในฝั่งเบราว์เซอร์ เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

 

 

 

ภาพประกอบจาก :https://www.indusface.com

บทความที่เกี่ยวข้อง : Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร

 

Cross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไรCross-site Scripting (XSS) (ครอส ไซต์ สคริปต์ติ้ง) คืออะไร 
 
กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
อยากทราบวิธีการสร้างปุ่มสำหรับดาวน์โหลดรูป
โดย Ittichai_chupol จ 06 ม.ค. 2020 3:05 pm บอร์ด Programming - PHP
1
41
อ 14 ม.ค. 2020 2:00 pm โดย mindphp
สอบถาม ubuntu เข้าไม่ได้เป็นเพราะอะไร
โดย jirawoot จ 06 ม.ค. 2020 3:04 pm บอร์ด ถาม - ตอบ คอมพิวเตอร์
3
73
จ 06 ม.ค. 2020 4:43 pm โดย mindphp
พาทัวร์พัทยา 1 วันในมุมมองของไกด์
โดย benzas00123 จ 06 ม.ค. 2020 2:36 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
52
จ 06 ม.ค. 2020 2:36 pm โดย benzas00123
วิธีการเขียนโคดเพื่ออัพโหลดไฟล์ เข้าไปในโฟลเดอร์ที่ต้องการพร้อมกับข้อมูลของไฟล์ลงฐานข้อมูล โดยใช้ phpbb
โดย Ittichai_chupol จ 06 ม.ค. 2020 2:20 pm บอร์ด PHP Knowledge
0
34
จ 06 ม.ค. 2020 2:20 pm โดย Ittichai_chupol
ต้องทำยังไงถึงจะให้แสดงภาพที่เป็นนามสกุล gif ได้ครับ
โดย jamepiyawat ส 04 ม.ค. 2020 3:26 pm บอร์ด HTML CSS
4
76
จ 06 ม.ค. 2020 5:28 pm โดย jamepiyawat
วิธีการสร้าง Extension ในส่วนของ User control panel
โดย Ittichai_chupol ศ 03 ม.ค. 2020 1:25 pm บอร์ด PHP Knowledge
0
40
ศ 03 ม.ค. 2020 1:25 pm โดย Ittichai_chupol
ปฏิทินประจําปี 2563 ธีมรูปแบบเงินดิจิตอล
โดย noppadonsk ศ 03 ม.ค. 2020 10:40 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
1
105
ส 04 ม.ค. 2020 4:37 am โดย mindphp
สวัสดิการที่คนวัยทำงานควรมีเพื่อสร้างความสมดุลชีวิต
โดย medalezga ศ 03 ม.ค. 2020 4:09 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
30
ศ 03 ม.ค. 2020 4:09 am โดย medalezga
B - เข้าเว็ป Leads CRM ไม่ได้
โดย thatsawan พฤ 02 ม.ค. 2020 9:30 pm บอร์ด MD-CRM - Tester
1
5
ศ 03 ม.ค. 2020 6:24 am โดย mindphp
มาแล้ว MDRental ตัวช่วยในการบริหารจัดการพื้นที่สำหรับธุรกิจให้เช่า
โดย prmindphp พฤ 02 ม.ค. 2020 7:33 pm บอร์ด MindPHP News & Feedback
0
73
พฤ 02 ม.ค. 2020 7:33 pm โดย prmindphp
วิธีก่ารแปลง ข้อมมูลจาก Excel เพื่อบันทึกลงในฐานข้อมูล
โดย Ittichai_chupol พฤ 02 ม.ค. 2020 4:58 pm บอร์ด PHP Knowledge
0
1206
พฤ 02 ม.ค. 2020 4:58 pm โดย Ittichai_chupol
อยากทราบวิธีการเรียกใช้งานไฟล์ javascript ได้ทั้งใน phpbb 3.1 กับ phpbb 3.2
โดย Ittichai_chupol พฤ 02 ม.ค. 2020 3:44 pm บอร์ด Programming - PHP
1
62
พฤ 02 ม.ค. 2020 4:09 pm โดย thatsawan
ท่องเที่ยวจังหวัดเชียงราย รู้ไหมจะต้องไป วัดพระแก้ว
โดย Meygrand พฤ 02 ม.ค. 2020 1:18 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
37
พฤ 02 ม.ค. 2020 1:18 pm โดย Meygrand
ปฏิทินประจําปี 2563 อาหารใครสายกิน สารหิวต้องโดน
โดย noppadonsk พฤ 02 ม.ค. 2020 12:31 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
90
พฤ 02 ม.ค. 2020 12:31 pm โดย noppadonsk
ตำแหน่งไฟล์ ที่เก็บ my.cnf ไฟล์ ตั้งค่าระบบของ MySQL เวอร์ชั่นต่างๆ และ ติดตั้งบน OS ต่างๆ
โดย mindphp พ 01 ม.ค. 2020 1:24 pm บอร์ด Linux - Web Server
0
25
พ 01 ม.ค. 2020 1:24 pm โดย mindphp
เปิดใช้งาน log_slow_queries MySQL 5.7 บน Ubuntu
โดย mindphp อ 31 ธ.ค. 2019 5:55 pm บอร์ด Linux - Web Server
0
730
อ 31 ธ.ค. 2019 5:55 pm โดย mindphp
อยากทราบวิธีการแสดงที่มี id ซ้ำกันครับ
โดย jamepiyawat ส 28 ธ.ค. 2019 4:22 pm บอร์ด Programming - PHP
3
80
พฤ 02 ม.ค. 2020 8:47 am โดย tsukasaz
ปฏิทินประจําปี 2563 นักษัตย์ 12 ราศี ของจีนที่เรามักคุ้นเคยกัน
โดย noppadonsk ส 28 ธ.ค. 2019 10:40 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
1
234
ส 04 ม.ค. 2020 4:38 am โดย mindphp
คำสั่งจาก LINE API บันทึกเรียบร้อยแล้ว แต่ไม่เข้าไปใน inbox e-mail : order@dapper.com [2019-12][002]
โดย thatsawan ศ 27 ธ.ค. 2019 5:56 pm บอร์ด MD-CRM - Tester
2
5
ศ 27 ธ.ค. 2019 9:25 pm โดย mindphp
อยากทราบวิธีการอัพโหลดรูปภาพลงใน9kik'ฐานข้อมูล ของ phpbb
โดย Ittichai_chupol ศ 27 ธ.ค. 2019 4:22 pm บอร์ด Programming - PHP
1
73
ศ 27 ธ.ค. 2019 4:38 pm โดย thatsawan