Thaiadmin
บุคคลทั่วไป, คุณถูกห้ามตั้งกระทู้หรือส่งข้อความส่วนตัวในฟอรั่มนี้
This ban is not set to expire.

Cross-Site Scripting คืออะไรคับ

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

เจ้ากุ้ง

Cross-Site Scripting คืออะไรคับ
« เมื่อ: 17 เมษายน 2006, 14:12:16 »
ตามหัวข้อเลยคับงงมากคับไม่รู้คือไร  :D

ออฟไลน์ Shin_amuro

  • *****
  • 533
  • 15
  • เพศ: ชาย
Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #1 เมื่อ: 17 เมษายน 2006, 14:18:10 »
Cross Site Scripting เป็นเทคนิคการส่งลิงค์ที่ฝังโค้ด หรือสคริปท์การทำงานของแฮคเกอร์เข้าไป เพื่อให้ปรากฎบนหน้าเว็บของเว็บไซต์ที่มีช่องโหว่ โดยหลอกให้ผู้ใช้กรอกข้อมูลสำคัญแล้วส่งกลับมาให้แฮคเกอร์แทนที่จะผ่านเข้าไปในเว็บไซต์ที่เรากำลังเข้าไปเยี่ยมชมอยู่ในขณะนั้นนั่นเอง

copy มาจาก
http://www.arip.co.th/2006/news.php?id=404640

ออฟไลน์ warzwar

  • *****
  • 546
  • 1
  • เพศ: ชาย
  • Chinese's Eyes Killer
Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #2 เมื่อ: 17 เมษายน 2006, 14:30:57 »
เหมือน Phishing หรือเปล่าครับ
http://en.wikipedia.org/wiki/Phishing
CCNA --> JNCIS-ER --NEXT--> failure

ออฟไลน์ Shin_amuro

  • *****
  • 533
  • 15
  • เพศ: ชาย
Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #3 เมื่อ: 17 เมษายน 2006, 14:40:26 »
เท่าที่ผมอ่านดู ผมเข้าใจว่าอย่างนี้นะครับ
Phishing จะเป็นการปลอมหน้าเว็บหรืออีเมล์ขึ้นมาให้คนหลงเชื่อ โดยอ้างว่ามาจากธนาคารหรือบริษัทอื่นๆ เพื่อที่จะให้กรอกข้อมูลที่เป็นความลับต่างๆ
Cross Site Scripting จะเป็นการอาศัยช่วงโหว่ของเว็บต้นฉบับเลย คือเข้าไปแอบใส่โค๊ดบางอย่างที่ทำให้เวลาผู้ใช้กรอกข้อมูลลงไปแล้ว มันส่งไปหาผู้ไม่หวังดีแทน

รอผู้รู้ท่านอื่นมาบอกอีกทีแล้วกันครับ

McX

Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #4 เมื่อ: 18 เมษายน 2006, 10:02:31 »
cross site scripting (XSS) เป็นการฝัง Code(HTML/Java/etc) ไว้ตามกระทู้ใน webboard หรือ web ต่างๆ เพื่อให้มีการ run code เหล่านั้นเมื่อมีการ browse กระทู้หรือ web นั้นๆครับ ซึ่งมีผลตั้งแต่ การขโมย Cookie / Session Hijack หรืออื่นๆมากมายซึ่งทั้งนี้ตัว Webboard หรือ web นั้นๆจะต้องมีช่องโหว่ด้านนี้ด้วยไม่ใช่ว่าจะทำได้ทุกทีนะครับ  >:D

รายละเอียดลึกๆลองเข้าไปอ่านที่นี่ละกันเค้าเขียนไว้เข้าใจง่ายพอสมควรครับ  ;)
http://www.cgisecurity.com/articles/xss-faq.shtml

ออฟไลน์ Nostalgia

  • *****
  • 3,864
  • 140
  • เพศ: ชาย
  • <= ถึงจะเป็น admin เซอๆ แต่ผมก็จน =>
    • ส่วนตัว
Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #5 เมื่อ: 18 เมษายน 2006, 10:11:49 »
ถ้าอย่างนั้นก็หมายความว่าถ้า Webboard หรือ Web ไหนที่มีช่องโหว่อย่างที่ว่านั้นก็สามารถทำการแฮกได้สิคับ อันนี้ตามความเข้าใจของผมนะคับ
ให้ฉันดูแลเธอ รักเธอได้ไหม

(\_/)
(='.'=)
("")_("")

ออฟไลน์ sandbox

  • *****
  • 506
  • 29
  • เพศ: ชาย
  • กลับสู่ด้านมืด : Welcome back my dark side.
Re: Cross-Site Scripting คืออะไรคับ
« ตอบกลับ #6 เมื่อ: 18 เมษายน 2006, 13:39:24 »
ถ้าอย่างนั้นก็หมายความว่าถ้า Webboard หรือ Web ไหนที่มีช่องโหว่อย่างที่ว่านั้นก็สามารถทำการแฮกได้สิคับ อันนี้ตามความเข้าใจของผมนะคับ
แฮ้กไม่ได้ครับ

ยกตัวอย่าง....
ในเว็บบอร์ด...
ผมทำการตอบกะทู้ๆหนึ่งแล้วในคำตอบนั้นมีส่วนหนึ่งที่สามารถคลิ้กแล้วลิ้งค์ไปที่หน้าเพจอื่นได้....
แล้วผมวางสคริปต์บางอย่างไว้ที่ลิ้งค์นั้นด้วย....
แล้วผมก็ทำการหลอกล่อโดยใช้ถ้อยคำเชิญชวนให้คุณคลิ้ก..เช่น..คลิ้กเลย...ฟรี..ได้ตัง..ฯลฯ...
แล้วในที่สุด..ก็มีคนหลงคลิ้กที่ลิ้งค์นั้นของผม....
แล้วสคริปต์ที่วางไว้ก็ทำงาน..(เช่นผมเขียนสคริปต์ที่ทำให้เอาค่าคุกกี้ของคนที่คลิ้กส่งมาให้ผม).ขั้นตอนการทำงานไม่ขออธิบายนะครับ
แล้วค่าคุกกี้+ค่าเซสชั่นต่างๆของคุณก็จะมาถึงผม...
แล้วผมก็เอาค่าเหล่านั้นไปทำไรมันก็เรื่องของผมแล้วววว....(ทำไรได้เยอะแยะครับ)...

เพราะงั้น...เว็บที่วางสคริปต์ได้ก็ไม่ได้หมายความว่าเว็บนั้นแฮ้กได้นะครับ

ปล. ผิดพลาดประการใดก็ขออภัยครับ.......
« แก้ไขครั้งสุดท้าย: 18 เมษายน 2006, 17:15:38 โดย sandbox »
SANS Reading Room
เงินเดือนน้อย มิใช่ได้มา เพราะโชคช่วย