โค้ดดิ้งให้ปลอดภัยจาก hacker
💥การโจมตีแบบ Cross-Site Scripting ชื่อย่อ "XSS"
เป็นช่องโหว่ที่ปล่อยให้ผู้ไม่หวังดี
สามารถใส่ โค้ดJava Script หรือฉีด (inject) เข้ามาได้
จากนั้น JavaScript ก็จะทำงานหน้าเว็บของผู้ใช้งาน
ซึ่งเป็นอันตรายอย่างยิ่งยวด
.
ตัวอย่างในรูปที่โพสต์
โค้ด Java Script ของ hacker
่เป็นโค้ดโชว์กล่องข้อความ ไม่มีพิษสง ไม่อันตราย
ของจริงอาจเจอผู้ประสงค์ร้าย
สามารถดำเนินการ เช่น
- อาจโดนขโมย session id
- ล้วงตับข้อมูลผู้ใช้งานนั้น
- เด้งหน้าจอให้ผู้ใช้คลิกลิงก์ไปยังเว็บอันตราย
- เด้งหน้าจอให้กดลงโปรแกรม malware
- และอื่นๆ สุดแต่ครีเอททีฟฝ่าย hacker เข้าละ
.
หมายเหตุ
🤓 เทคนิคการโจมตี XSS มีหลายแบบ
แต่นี้เป็นตัวอย่าง ชนิด Stored XSS
เป็นช่องโหว่ที่โค้ดฝั่ง Web Application
ปล่อยให้เก็บ Java Script ได้
.
พอผู้ใช้ส่ง request url มา
เว็บแอพลิเคชั่นก็เอาข้อมูล javaScript ที่อยู่ในฐานข้อมูล (hacker แอบส่งมา)
นำมาแนบไปพร้อม HTML
ส่งไปยังหน้าบราวเซอร์ของผู้ใช้
จากนั้น JavaScript ก็จะทำงานทันที
.
ซึ่งช่องโหว่นี้
#โปรแกรมเมอร์ ต้องรับผิดชอบนะจะบอกให้
แต่แก้ง่ายมากเลยสมัยนี่ เพราะ
.
1) เพราะ library/framework สายเว็บแอพลิเคชั่น
เดี๋ยวนี้มันช่วยเราได้เยอะตรงจุดๆ นี้
.
มันจะช่วยเข้ารหัสข้อมูลที่เป็น java script ไม่ให้ทำงานได้ ทำให้มันเป็นแค่ข้อความหนึ่งเท่านั้นเอง
คือเข้ารหัสพวกเครื่องหมาย <, >, /> และอื่นๆ
.
2) หรือจะใช้วิธี validation ตอนผู้ใช้กรอกข้อความ
ต้องห้ามกรอก java script ก็เป็นการป้องกันอีกวิธีหนึ่ง
.
.
เป็นช่องโหว่เจอบ่อย แต่ก็ป้องกันได้
แต่ถ้าเราไม่ใช่ library/framework มาตรฐาน
ที่เขาผ่านร้อนผ่านหน้า แก้ช่องโหว่มาให้เราแล้ว
ก็ต้องลำบากหาทางป้องกันเอา อย่าลืม
.
.
✍ เขียนโดย โปรแกรมเมอร์ไทย thai programmer
「javascript url validation」的推薦目錄:
- 關於javascript url validation 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最佳解答
- 關於javascript url validation 在 Check if a JavaScript string is a URL - Stack Overflow 的評價
- 關於javascript url validation 在 JavaScript - URL validation RegExp - gists · GitHub 的評價
- 關於javascript url validation 在 Simple Node.js URL Validation Library - YouTube 的評價
- 關於javascript url validation 在 jQuery Youtube URL Validation with regex - JavaScript中文网 的評價
- 關於javascript url validation 在 What do you think of my regex for URL validation? - Code ... 的評價
- 關於javascript url validation 在 url-validation · GitHub Topics 的評價
javascript url validation 在 JavaScript - URL validation RegExp - gists · GitHub 的推薦與評價
JavaScript - URL validation RegExp. GitHub Gist: instantly share code, notes, and snippets. ... <看更多>
javascript url validation 在 Simple Node.js URL Validation Library - YouTube 的推薦與評價
Simple Node.js URL Validation LibraryWelcome Folks My name is Gautam and Welcome to Coding Shiksha a ... ... <看更多>
javascript url validation 在 Check if a JavaScript string is a URL - Stack Overflow 的推薦與評價
... <看更多>
相關內容