คือตอนนี้ผมทำเว็บโดยใช้ Ajax อยุ่อะครับ ปวดหัวมากกับการป้องกัน Javascript Injection
ไม่ทราบว่าพอมีวิธีตรวจสอบ address bar ไหมครับว่าuserได้แอบส่ง Javascript Injection มาหรือป่าว
หรือใครมีคำแนะนำยังไงก็ช่วยหน่อยครับ
ถ้าไม่ได้จริงๆคงต้องรื้อมาตรวจสอบเองทั้งระบบซึ่งสาหัสมากๆT-T
ไม่มีวิธีแก้จริงๆหรอครับเนี่ย
แล้วระบบ AJAX นี่มี Security อะไรมั่งอะครับ
ท่านใดมีความรู้ด้านนี้โปรดชี้แนะด้วยครับ
(รื้อระบบใหม่หมดแหงๆT-T)
AJAX ผมก็รู้แค่พอให้มันทำงานได้ ไม่แน่ใจคำตอบเท่าไร
เท่าที่จำได้ผมเคยคุยกับเพื่อนเมื่อปีก่อน
เพื่อนผมบอกว่าที่บริษัทเค้ามี database สำหรับเช็ค input ด้วย
ส่วนการป้องกันที่ client ผมยังไม่เห็นทางป้องกันเลย
วิธีที่ที่จะแก้ปัญหาได้อย่างเด็ดขาดคือ verify input ทาง server side ครับ การป้องกันอะไรก็ตามที่กระทำทางฝั่ง client มันช่วยอะไรไม่ได้หรอกครับ แค่เขา disable script ทุกอย่างก็จบแล้ว อยากให้มองในมุมของ security การที่เราไป verify ที่ client หมายถึงการ trust client ซึ่งมีร้อยพ่อพันแม่ มันเป็นไปไม่ได้ครับ ที่จะปลอดภัย ดังนั้น ต่อให้มีวิธีป้องกัน javascript injection อย่างที่ว่า แต่หากกระทำทางฝั่ง client ยังไงก็ต้องรื้อทำใหม่อยู่ดีด้วยเหตุผลทาง security อยู่ดี
เข้าใจแล้วครับ...
มีอีกเรื่องครับ
cracker สามารถเปลี่ยน referer ได้ไหมครับ
แล้วถ้าทำได้เขาสามารถทำได้ยังไงครับ
ผมจะได้หาวิธีการอื่นมาป้องกันเพิ่ม
ขอบคุณทุกความคิดเห็น ทุกการแบ่งปันความรู้ครับ
เปลี่ยนได้แน่นอนครับ
วิธีก็มีหลากหลาย หาได้ตาม internet ถามอากู๋ หรือในบอร์ดนี้ก็อาจจะมีบอกไว้ครับ
เพราะฉะนั้นให้คิดว่าไว้ก่อนเลยว่า ผู้ไม่หวังดีสามารถเปลี่ยน referer เป็นอะไรก็ได้ตามที่เขาต้องการครับ
เปลี่ยนได้ครับ
เช่นการเขียนโปรแกรมมาจัดการรับส่ง http เอง
หรือโปรแกรม proxy ที่เป็นที่พักข้อมูล ให้แก้ไขก่อนส่ง
edit เพิ่มอีกหน่อย
ถ้าอย่าง firefox ผมเห็นมี plugin สำหรับแก้ไข header ด้วย
แล้วก็โปรแกรมสำหรับ modify packet
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote