Blockdit Logo (Mobile)
Shoper Gamer
3 ก.ย. 2024 เวลา 14:13 • การศึกษา
Cyber Attack By Shoper Gamer

XSS คืออะไร

โดย
XSS หรือ Cross-Site Scripting เป็นช่องโหว่ความปลอดภัยประเภทหนึ่งที่เกิดขึ้นในเว็บแอปพลิเคชัน ซึ่งผู้โจมตีสามารถแทรกโค้ด JavaScript หรือสคริปต์อื่นๆ เข้าไปในเว็บไซต์ที่ถูกโจมตีได้ ทำให้สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งานคนอื่นๆ หรือควบคุมการทำงานของเบราว์เซอร์ของผู้ใช้งานได้
1
  • ​ทำงานอย่างไร
1) ผู้โจมตีสร้างสคริปต์
ผู้โจมตีจะสร้างสคริปต์ที่เป็นอันตราย เช่น JavaScript เพื่อขโมยคุกกี้ รหัสผ่าน หรือทำการเปลี่ยนแปลงข้อมูลบนเว็บไซต์
2) แทรกสคริปต์เข้าไปในเว็บไซต์
ผู้โจมตีจะหาช่องโหว่ในเว็บไซต์ เช่น ฟอร์มสำหรับให้ผู้ใช้กรอกข้อมูล และแทรกสคริปต์ที่สร้างขึ้นเข้าไปในช่องนั้น
3) ผู้ใช้งานเข้าถึงเว็บไซต์
เมื่อผู้ใช้งานคนอื่นๆ เข้ามาใช้งานเว็บไซต์และกรอกข้อมูลตามปกติ สคริปต์ที่ผู้โจมตีฝังไว้จะถูกเรียกใช้งานในเบราว์เซอร์ของผู้ใช้งาน
4) สคริปต์ทำงาน
สคริปต์ที่ถูกเรียกใช้งานจะทำตามคำสั่งที่ผู้โจมตีเขียนไว้ เช่น ขโมยคุกกี้เพื่อเข้าสู่ระบบในนามของผู้ใช้งาน หรือเปลี่ยนแปลงเนื้อหาของเว็บไซต์
  • ​ประเภทของ XSS
○ Stored XSS
สคริปต์ที่เป็นอันตรายถูกเก็บไว้ในฐานข้อมูลของเว็บไซต์ และจะถูกแสดงผลทุกครั้งที่มีการเรียกข้อมูลนั้นๆ เช่น ใน
ฟอรัม บล็อก หรือ คอมเมนต์
1
○ Reflected XSS
สคริปต์ที่เป็นอันตรายถูกส่งมาพร้อมกับ URL หรือข้อมูลที่ผู้ใช้งานส่งไปยังเซิร์ฟเวอร์ และจะถูกแสดงผลทันทีที่เซิร์ฟเวอร์ส่งกลับมา
○ DOM-based XSS
สคริปต์ที่เป็นอันตรายถูกแทรกเข้าไปใน Document Object Model (DOM) ของเบราว์เซอร์โดยตรง โดยไม่ต้องผ่านเซิร์ฟเวอร์
  • ​ความอันตราย
○ ขโมยข้อมูลส่วนบุคคล
ผู้โจมตีสามารถขโมยคุกกี้ รหัสผ่าน หรือข้อมูลส่วนบุคคลอื่นๆ ของผู้ใช้งานได้
○ ควบคุมเบราว์เซอร์
ผู้โจมตีสามารถควบคุมเบราว์เซอร์ของผู้ใช้งานได้ เช่น เปลี่ยนเส้นทางไปยังเว็บไซต์อื่น หรือดาวน์โหลดมัลแวร์
○ ทำลายเว็บไซต์
ผู้โจมตีสามารถทำลายหน้าเว็บ หรือทำให้เว็บไซต์ทำงานผิดปกติได้
  • ​วิธีป้องกัน
○ Input Validation
ตรวจสอบและทำความสะอาดข้อมูลที่ผู้ใช้ป้อนเข้ามาในระบบ
○ Output Encoding
เข้ารหัสข้อมูลที่ส่งออกไปยังเบราว์เซอร์เพื่อป้องกันไม่ให้สคริปต์ทำงาน
○ Content Security Policy (CSP)
กำหนดกฎระเบียบในการทำงานของสคริปต์ในเบราว์เซอร์
○ HTTPOnly Cookies
ป้องกันไม่ให้ JavaScript สามารถเข้าถึงคุกกี้
○ อัปเดตซอฟต์แวร์และแพตช์ความปลอดภัยอยู่เสมอ
Credit :
👇
  • ​https://www.nsm.or.th/nsm/th/node/5500
  • ​https://portswigger.net/web-security/cross-site-scripting
  • ​https://owasp.org/www-community/attacks/xss/
  • ​https://rb.gy/nyiym8
✏️ Shoper Gamer
>> https://linkbio.co/ShoperGamer

ดูเพิ่มเติมในซีรีส์

โฆษณา