PDA

View Full Version : อยากทราบวิธีป้องกัน Javascript Injection


jaynarol
26-12-2008, 10:30 AM
คือตอนนี้ผมทำเว็บโดยใช้ Ajax อยุ่อะครับ ปวดหัวมากกับการป้องกัน Javascript Injection

ไม่ทราบว่าพอมีวิธีตรวจสอบ address bar ไหมครับว่าuserได้แอบส่ง Javascript Injection มาหรือป่าว

หรือใครมีคำแนะนำยังไงก็ช่วยหน่อยครับ

ถ้าไม่ได้จริงๆคงต้องรื้อมาตรวจสอบเองทั้งระบบซึ่งสาหัสมากๆT-T
jaynarol
27-12-2008, 06:27 AM
ไม่มีวิธีแก้จริงๆหรอครับเนี่ย

แล้วระบบ AJAX นี่มี Security อะไรมั่งอะครับ

ท่านใดมีความรู้ด้านนี้โปรดชี้แนะด้วยครับ

:(

(รื้อระบบใหม่หมดแหงๆT-T)
chidkido
27-12-2008, 06:57 AM
AJAX ผมก็รู้แค่พอให้มันทำงานได้ ไม่แน่ใจคำตอบเท่าไร
เท่าที่จำได้ผมเคยคุยกับเพื่อนเมื่อปีก่อน
เพื่อนผมบอกว่าที่บริษัทเค้ามี database สำหรับเช็ค input ด้วย -_-

ส่วนการป้องกันที่ client ผมยังไม่เห็นทางป้องกันเลย
Edkung_
27-12-2008, 09:09 AM
วิธีที่ที่จะแก้ปัญหาได้อย่างเด็ดขาดคือ verify input ทาง server side ครับ การป้องกันอะไรก็ตามที่กระทำทางฝั่ง client มันช่วยอะไรไม่ได้หรอกครับ แค่เขา disable script ทุกอย่างก็จบแล้ว อยากให้มองในมุมของ security การที่เราไป verify ที่ client หมายถึงการ trust client ซึ่งมีร้อยพ่อพันแม่ มันเป็นไปไม่ได้ครับ ที่จะปลอดภัย ดังนั้น ต่อให้มีวิธีป้องกัน javascript injection อย่างที่ว่า แต่หากกระทำทางฝั่ง client ยังไงก็ต้องรื้อทำใหม่อยู่ดีด้วยเหตุผลทาง security อยู่ดี
jaynarol
30-12-2008, 12:06 AM
เข้าใจแล้วครับ...

มีอีกเรื่องครับ

cracker สามารถเปลี่ยน referer ได้ไหมครับ

แล้วถ้าทำได้เขาสามารถทำได้ยังไงครับ

ผมจะได้หาวิธีการอื่นมาป้องกันเพิ่ม

ขอบคุณทุกความคิดเห็น ทุกการแบ่งปันความรู้ครับ
Gen0TypE
30-12-2008, 12:32 AM
เปลี่ยนได้แน่นอนครับ

วิธีก็มีหลากหลาย หาได้ตาม internet ถามอากู๋ หรือในบอร์ดนี้ก็อาจจะมีบอกไว้ครับ

เพราะฉะนั้นให้คิดว่าไว้ก่อนเลยว่า ผู้ไม่หวังดีสามารถเปลี่ยน referer เป็นอะไรก็ได้ตามที่เขาต้องการครับ
chidkido
30-12-2008, 12:34 AM
เปลี่ยนได้ครับ
เช่นการเขียนโปรแกรมมาจัดการรับส่ง http เอง

หรือโปรแกรม proxy ที่เป็นที่พักข้อมูล ให้แก้ไขก่อนส่ง

edit เพิ่มอีกหน่อย

ถ้าอย่าง firefox ผมเห็นมี plugin สำหรับแก้ไข header ด้วย

แล้วก็โปรแกรมสำหรับ modify packet