**Hidden Content: To see this hidden content your post count must be 2 or greater.**


ด้านใน มี
1. e-book xss
2. สไลท์

กล่าวนำ
XSS ย่อมาจาก Cross Site Scripting เป็น Top 10 ยอดนิยมของการแฮกเว็บ (จัดอันดับโดย OWASP ปี 2007)
หมายเหตุ: บางตำราใช้ตัวย่อเป็น CSS แต่เนื่องจากอาจจะทำให้เขาผิดคิดว่าเป็น Cascading Style Sheets ดังนั้นส่วนมากจึงใช้ตัวย่อ XSS

หลักการของ Cross Site Scripting (XSS)
- Script ของ Site หนึ่งแต่ไปทำงานอีก Site หนึ่ง
- มักใช้เพื่อขโมย Cookie ของสมาชิกของเว็บไซต์ หรือของ admin
- ป้อนสคริปเช่น <script> ..Some script </script> ไปยัง Server หรือไปยังเหยื่อ เพื่อให้ผลการทำงานเกิดกับเหยื่อเช่น
- ป้อน script ทางเว็บบอร์ด
- ป้อน script ในช่องทาง Chat
- แทรก script ไปกับอีเมล์
-อาจจะหมายความรวมไปถึง CSRF: Cross Site Request Forgery ซึ่ง CSRF คือการโจมตีแบบ “คลิกแล้วทำงานเลย” ไม่ต้องรอเอา Cookie จากเหยื่อ การโจมตีแบบ CSRF ก็อย่างเช่นการหลอกโอนเงินผ่านทางเว็บ ตัวอย่าง (CSRF)

ความเสี่ยง 7
ความนิยม 10
ความใหม่ 6

โหว่นี้ครั้งแรก ดูเหมือนมันจะไม่เป็นปัญหาร้ายแรงเนื่องจากมีเพียงแต่ผู้ใช้เท่านั้นที่สามารถส่งโค้ดเข้าไปในหน้าเว็บของพวกเขาได้ อย่างไรก็ตามโดยการอาศัยเทคนิค social engineering เพียงเล็กน้อย ผู้โจมตีสามารถหลอกล่อให้ผู้ใช้เปิดเว็บมุ่งร้ายซึ่งจะส่งโค้ดเข้าไปยังหน้าแสดงผลลัพธ์ ทำให้ผู้โจมตีสามารถเข้าถึงเนื้อหาของหน้าเว็บนั้นได้อย่างไม่จำกัด เนื่องจากปัญหาในการใช้เทคนิค social engineering บางประการในกรณีนี้ (และในกรณีของช่องโหว่ชนิด 0 เช่นเดียวกัน)

เครดิต อ.ธวัชชัย ชมศิริ CS MSU ครับ
**Hidden Content: To see this hidden content your post count must be 1 or greater.**