technic ่javascript injection' ภาษาไทยครับเขาเขีียนไว้เข้าใจง่ายดี

**xecool** · 29-04-2007, 06:41 AM

technic ่javascript injection' อันนี้เจอมาใน net น่าจะแปลมาจากภาษา Eng. ผมเคยอ่านต้นฉบับแล้ว แต่พอมาเจอมีแปลเป็นไทยก็เข้าใจมากขึ้นนะ เอาเป็นว่าใครเป็นผู้แปลก็ของยก cadit ให้นะครับผมว่าเขาก็น่าจะ อยู่แถวๆนี้นะ สัญชาติญาณมันฟ้อง

เริ่มเลยหละกัน

ก่อนที่ทุกคนจะเข้าอ่านบทความนี้ ต้องขออกตัวก่อนว่าที่เขียนบทความนี้ขึ้นไม่ได้มีจุดประสงค์ที่จะสอนทุกคนให้เป็น Hacker นะครับ เนื่องจากมันทั้งเป็นการผิดศีลธรรม และยังผิดกฏหมายอีกด้วย แต่อยากให้เพื่อนๆ ที่เข้ามายังเวบ dev-square นั้น ระมัดระวังในการเขียน code ของท่านด้วย

เชื่อว่าบรรดาเซียน hacker ทั้งหลายหากจะเริ่ม hack เวบไซต์ไดเว็บหนึ่งแล้วอันดับแรกที่จะทำคือ เปิดเวบนั้นและทำการ View source ดูเพื่อหาจุดอ่อนของเวบไซต์นั้นๆ โดยจุดแรกที่จะเป็นจุดอ่อนของ hacker นั้นคือการตรวจสอบข้อมูลหรือ input field ต่างๆ โดยใช้ java script

โดยวิธีหลบ java validation(การตรวจสอบข้อมูลโดยใช้ java script) นั้นก็ง่ายนิดเดียวคือการสั่งให้ Browser ปิดการทำงานของ java นั้นซะ Java นั้นก็จะทำงานหยุดทำงานแล้วครับ แต่แค่นั้นคงไม่ยากไปสำหรับสมาชิก dev-square หรอกครับ เราลองมาดูวิธีการเจาะระบบที่ แยบยลกว่านี้กันเถอะครับ

Imageบางคนที่ต้องการส่งพารามิเตอร์กันระหว่าง page ก็มักจะใช้ hidden field ในการเก็บค่าแล้วส่ง ดังนี้
< input type="hidden" value="xxxx" name="aa" >
แ ล้วพารามิเตอร์ก็จะถูกส่งไปกับการ submit form ด้วย แต่วิธีนี้ก็ยังมีจุดอ่อนอีกนั่นแหละครับ คือทาง hacker สามารถที่จะ save html ของเพจนั้นแล้วเอา source ไปแก้และทำการ post form นั้นกลับมายังเว็บไซต์เดิม เพื่อให้ค่า
ใน hidden เปลี่ยนแปลงไป แต่ programmerบางคนก็ได้ทำการป้องกันโดยมีการ check referer ของเพจที่ทำการ submit form มาว่ามาจากเวบไซต์เขาหรือไม่ หากไม่ใช่ก็ให้ทำการแสดง error message ออกมา นี่
แหละครับคือที่มาของการโจมตีแบบ Javascript Injection

*Referer คือค่าที่ใช้ตรวจสอบว่าเพจที่เราเข้าก่อนหน้าเพจปัจจุบนคือเพจใด มีประโยชน์สำหรับเว็บขายของ ในการตรวจสอบเว็บไซต์ที่แนะนำให้ลูกค้ามาซื้อสินค้าภายเว็บเรา*

Javascript Injection

J

**Hidden Content: To see this hidden content your post count must be 5 or greater.**

**vengrum** · 11-05-2007, 03:04 PM

คงไม่มีคำอธิบายไหน บอกได้ดีกว่าคำว่า "สุดยอด" โอ้ว์พระเจ้าจอร์จมันยอดมาก ผมลองทำแล้วสรุปว่าเข้าใจขึ้นเพียบเลย งานนี้มีเฮอีกแล้ว

**up4u** · 14-05-2007, 06:12 AM

ยอมรับนะครับ ว่าเคยอ่านบทความเกี่ยวกับเรื่อง injection มาพอสมควร แต่ส่วนใหญ่จะอธิบายเปรย ๆ ไม่ได้ลงรายละเอียดให้เข้าใจขนาดนี้ ขอบคุณมากๆ นะครับ ที่ทำให้ผมได้เข้าใจเกี่ยวกับหลักการทำงานของมันสักที ขอบคุณมากๆ ครับ

**nai_com** · 19-07-2007, 04:10 AM

thank u

**plioilq** · 03-08-2007, 05:25 AM

ขอบคุนครับ ความรุใหม่อีกแร้ว

**gunkimsong** · 04-08-2007, 03:26 AM

เยี่ยมมากครับ ผมศึกษาด้าน Java อยู่พอดี

ขอบคุณสำหรับบทความครับ

pii · 04-08-2007, 09:31 AM

ขอบคุณนะ ได้ความรู้ดีๆไปอีก

Thread: technic ่javascript injection' ภาษาไทยครับเขาเขีียนไว้เข้าใจง่ายดี

Thread Tools

Similar Threads

More Advanced Sql Injection SiXSS, SiHRS and the Client Side SQL Injection

Server Side Includes Injection (SSI Injection)

แนะนำเว็บสอน Technic การใช้ MS Excel ดีๆ

Members who have read this thread : 0

Tags for this Thread

Posting Permissions