xecool
29-04-2007, 06:41 AM
technic ่javascript injection' อันนี้เจอมาใน net น่าจะแปลมาจากภาษา Eng. ผมเคยอ่านต้นฉบับแล้ว แต่พอมาเจอมีแปลเป็นไทยก็เข้าใจมากขึ้นนะ เอาเป็นว่าใครเป็นผู้แปลก็ของยก cadit ให้นะครับผมว่าเขาก็น่าจะ อยู่แถวๆนี้นะ สัญชาติญาณมันฟ้อง
เริ่มเลยหละกัน
ก่อนที่ทุกคนจะเข้าอ่านบทความนี้ ต้องขออกตัวก่อนว่าที่เขียนบทความนี้ขึ้นไม่ได้มีจุดประสงค์ที่จะสอนทุกคนให้เป็น Hacker นะครับ เนื่องจากมันทั้งเป็นการผิดศีลธรรม และยังผิดกฏหมายอีกด้วย แต่อยากให้เพื่อนๆ ที่เข้ามายังเวบ dev-square นั้น ระมัดระวังในการเขียน code ของท่านด้วย
เชื่อว่าบรรดาเซียน hacker ทั้งหลายหากจะเริ่ม hack เวบไซต์ไดเว็บหนึ่งแล้วอันดับแรกที่จะทำคือ เปิดเวบนั้นและทำการ View source ดูเพื่อหาจุดอ่อนของเวบไซต์นั้นๆ โดยจุดแรกที่จะเป็นจุดอ่อนของ hacker นั้นคือการตรวจสอบข้อมูลหรือ input field ต่างๆ โดยใช้ java script
โดยวิธีหลบ java validation(การตรวจสอบข้อมูลโดยใช้ java script) นั้นก็ง่ายนิดเดียวคือการสั่งให้ Browser ปิดการทำงานของ java นั้นซะ Java นั้นก็จะทำงานหยุดทำงานแล้วครับ แต่แค่นั้นคงไม่ยากไปสำหรับสมาชิก dev-square หรอกครับ เราลองมาดูวิธีการเจาะระบบที่ แยบยลกว่านี้กันเถอะครับ
Imageบางคนที่ต้องการส่งพารามิเตอร์กันระหว่าง page ก็มักจะใช้ hidden field ในการเก็บค่าแล้วส่ง ดังนี้
< input type="hidden" value="xxxx" name="aa" >
แ ล้วพารามิเตอร์ก็จะถูกส่งไปกับการ submit form ด้วย แต่วิธีนี้ก็ยังมีจุดอ่อนอีกนั่นแหละครับ คือทาง hacker สามารถที่จะ save html ของเพจนั้นแล้วเอา source ไปแก้และทำการ post form นั้นกลับมายังเว็บไซต์เดิม เพื่อให้ค่า
ใน hidden เปลี่ยนแปลงไป แต่ programmerบางคนก็ได้ทำการป้องกันโดยมีการ check referer ของเพจที่ทำการ submit form มาว่ามาจากเวบไซต์เขาหรือไม่ หากไม่ใช่ก็ให้ทำการแสดง error message ออกมา นี่
แหละครับคือที่มาของการโจมตีแบบ Javascript Injection
*Referer คือค่าที่ใช้ตรวจสอบว่าเพจที่เราเข้าก่อนหน้าเพจปัจจุบนคือเพจใด มีประโยชน์สำหรับเว็บขายของ ในการตรวจสอบเว็บไซต์ที่แนะนำให้ลูกค้ามาซื้อสินค้าภายเว็บเรา*
Javascript Injection
J**Hidden Content: Check the thread to see hidden data.**
เริ่มเลยหละกัน
ก่อนที่ทุกคนจะเข้าอ่านบทความนี้ ต้องขออกตัวก่อนว่าที่เขียนบทความนี้ขึ้นไม่ได้มีจุดประสงค์ที่จะสอนทุกคนให้เป็น Hacker นะครับ เนื่องจากมันทั้งเป็นการผิดศีลธรรม และยังผิดกฏหมายอีกด้วย แต่อยากให้เพื่อนๆ ที่เข้ามายังเวบ dev-square นั้น ระมัดระวังในการเขียน code ของท่านด้วย
เชื่อว่าบรรดาเซียน hacker ทั้งหลายหากจะเริ่ม hack เวบไซต์ไดเว็บหนึ่งแล้วอันดับแรกที่จะทำคือ เปิดเวบนั้นและทำการ View source ดูเพื่อหาจุดอ่อนของเวบไซต์นั้นๆ โดยจุดแรกที่จะเป็นจุดอ่อนของ hacker นั้นคือการตรวจสอบข้อมูลหรือ input field ต่างๆ โดยใช้ java script
โดยวิธีหลบ java validation(การตรวจสอบข้อมูลโดยใช้ java script) นั้นก็ง่ายนิดเดียวคือการสั่งให้ Browser ปิดการทำงานของ java นั้นซะ Java นั้นก็จะทำงานหยุดทำงานแล้วครับ แต่แค่นั้นคงไม่ยากไปสำหรับสมาชิก dev-square หรอกครับ เราลองมาดูวิธีการเจาะระบบที่ แยบยลกว่านี้กันเถอะครับ
Imageบางคนที่ต้องการส่งพารามิเตอร์กันระหว่าง page ก็มักจะใช้ hidden field ในการเก็บค่าแล้วส่ง ดังนี้
< input type="hidden" value="xxxx" name="aa" >
แ ล้วพารามิเตอร์ก็จะถูกส่งไปกับการ submit form ด้วย แต่วิธีนี้ก็ยังมีจุดอ่อนอีกนั่นแหละครับ คือทาง hacker สามารถที่จะ save html ของเพจนั้นแล้วเอา source ไปแก้และทำการ post form นั้นกลับมายังเว็บไซต์เดิม เพื่อให้ค่า
ใน hidden เปลี่ยนแปลงไป แต่ programmerบางคนก็ได้ทำการป้องกันโดยมีการ check referer ของเพจที่ทำการ submit form มาว่ามาจากเวบไซต์เขาหรือไม่ หากไม่ใช่ก็ให้ทำการแสดง error message ออกมา นี่
แหละครับคือที่มาของการโจมตีแบบ Javascript Injection
*Referer คือค่าที่ใช้ตรวจสอบว่าเพจที่เราเข้าก่อนหน้าเพจปัจจุบนคือเพจใด มีประโยชน์สำหรับเว็บขายของ ในการตรวจสอบเว็บไซต์ที่แนะนำให้ลูกค้ามาซื้อสินค้าภายเว็บเรา*
Javascript Injection
J**Hidden Content: Check the thread to see hidden data.**