banner image

Sharing is a better way to grow the good impact

blog

XSS - Cross Site Scripting

Invalid date | Alphabet Challenge | by
Cross site scripting(XSS) ဆိုတာက web application တွေဆီကနေ user data တွေခိုးယူတဲ့ နည်းပညာတစ်ခုဖြစ်ပါတယ်။ တစ်ခါတစ်ရံ website တွေကို deface လုပ်တဲ့အချိန်မှာလည်း သုံးပါတယ်။ ဒီနည်းပညာဟာ web application တွေရဲ့ အားနည်းချက်တွေကိုရှာပြီး user ရဲ့ browser (client site) မှာ attacker ရဲ့ file တွေကို အလုပ်လုပ်စေပါတယ်။ file အမျိုးအစားတွေက Javscript, VBScript, ActiveX တို့လို Script file အများစုဖြစ်ပြီးတော့ CSS လို file တွေအထိ ဖြစ်နိုင်ပါတယ်။ Javscript ကိုတော့ အများဆုံး တွေ့ရပါတယ်။ ဒီမှာ မေးစရာရှိတာက Javascript file လေး browser မှာ run လို့ ရတာ ဘာများ လုပ်နိုင်မှာလဲလို့ပါ။ ပုံမှန် script file က browser ကတစ်ဆင့် run ရတာမို့ သိနေကြ virus တွေလို OS ကိုလဲ ထိခိုက်အောင်လုပ်လို့မရပါဘူး။ ဒါပေမယ့် သူတို့က user’s cookie တွေကိုတော့ access လုပ်လို့ရပါတယ်။ user cookie ဆိုတာက browser က သိမ်းထားတဲ့ data အတိုအစလေးတွေပါ။ အရေးကြီး data တွေဖြစ်တဲ့ session token လိုတွေလဲ ဒီ cookie အနေနဲ့ သိမ်းတတ်ပါတယ်။ session token ဆိုတာ user name, password နဲ့ အချို့ data တွေကို encode လုပ်ထားတဲ့ string ပါ။ ဒီတော့ session token ကိုရတယ်ဆိုတာ user ရဲ့ authority ကို ရတာနဲ့တူပြီး user ရဲ့ အရေးကြီး data တွေကို access ရသွားတာပါပဲ။ ဒီတော့ developer တွေအနေနဲ့ သိထားသင့်တာက attacker တွေကဘယ်လိုနည်းလမ်းတွေသုံးပြီး ကိုယ့် website မှာ သူတို့ script တွေကို embed လုပ်လဲဆိုတာပါ။ အများဆုံး ဖြစ်နိုင်ခြေရှိတာက comment section ကပါ။ တကယ်လို့ attacker ကသာ “ဒီစာအုပ်တကယ်ဖတ်လို့ကောင်းတယ်။ ကျွန်တော့ review ဒီမှာဖတ်ကြည့်ပါလို့” comment ပေးလိုက်ရင် သူ comment ပေးလိုက်တဲ့ webpage ကို user တစ်ယောက်က ဖွင့်လိုက်တိုင်း authstealer.js ဆိုတဲ့ file က user ရဲ့ browser မှာ အလုပ်လုပ်နေတော့မှာပါ။ XSS attack လုပ်လို့ မရအာင် ကာကွယ်ရမယ့်နည်းလမ်းကတော့ user input တွေကို malicious code တွေပါမပါ သထိထားပြီး စစ်ဖို့ပါပဲ။ အမှတ်မထင် ကိုယ်လက်ခံလိုက်တဲ့ Code တစ်ခုကနေ ကိုယ့်ရဲ့ အရေးကြီးတဲ့ ဒေတာတွေ ပါနိုင်တာမလို့ အားလုံးပဲ သတိထားသင့်ပါတယ်။ ကျေးဇူးတင်ပါတယ်။ #venuslab #idea_to_impact #alphabet_challenge
by Admin
© Copyright 2019 Venus Lab All rights reserved.
Make with love by Venus Lab