banner image

Sharing is a better way to grow the good impact

blog

XSS - Cross Site Scripting

Invalid date | Alphabet Challenge | by

Cross site scripting(XSS) ဆိုတာက web application တွေဆီကနေ user data တွေခိုးယူတဲ့ နည်းပညာတစ်ခုဖြစ်ပါတယ်။ တစ်ခါတစ်ရံ website တွေကို deface လုပ်တဲ့အချိန်မှာလည်း သုံးပါတယ်။ ဒီနည်းပညာဟာ web application တွေရဲ့ အားနည်းချက်တွေကိုရှာပြီး user ရဲ့ browser (client site) မှာ attacker ရဲ့ file တွေကို အလုပ်လုပ်စေပါတယ်။ file အမျိုးအစားတွေက Javscript, VBScript, ActiveX တို့လို Script file အများစုဖြစ်ပြီးတော့ CSS လို file တွေအထိ ဖြစ်နိုင်ပါတယ်။ Javscript ကိုတော့ အများဆုံး တွေ့ရပါတယ်။ ဒီမှာ မေးစရာရှိတာက Javascript file လေး browser မှာ run လို့ ရတာ ဘာများ လုပ်နိုင်မှာလဲလို့ပါ။ ပုံမှန် script file က browser ကတစ်ဆင့် run ရတာမို့ သိနေကြ virus တွေလို OS ကိုလဲ ထိခိုက်အောင်လုပ်လို့မရပါဘူး။ ဒါပေမယ့် သူတို့က user’s cookie တွေကိုတော့ access လုပ်လို့ရပါတယ်။ user cookie ဆိုတာက browser က သိမ်းထားတဲ့ data အတိုအစလေးတွေပါ။ အရေးကြီး data တွေဖြစ်တဲ့ session token လိုတွေလဲ ဒီ cookie အနေနဲ့ သိမ်းတတ်ပါတယ်။ session token ဆိုတာ user name, password နဲ့ အချို့ data တွေကို encode လုပ်ထားတဲ့ string ပါ။ ဒီတော့ session token ကိုရတယ်ဆိုတာ user ရဲ့ authority ကို ရတာနဲ့တူပြီး user ရဲ့ အရေးကြီး data တွေကို access ရသွားတာပါပဲ။ ဒီတော့ developer တွေအနေနဲ့ သိထားသင့်တာက attacker တွေကဘယ်လိုနည်းလမ်းတွေသုံးပြီး ကိုယ့် website မှာ သူတို့ script တွေကို embed လုပ်လဲဆိုတာပါ။ အများဆုံး ဖြစ်နိုင်ခြေရှိတာက comment section ကပါ။ တကယ်လို့ attacker ကသာ “ဒီစာအုပ်တကယ်ဖတ်လို့ကောင်းတယ်။ ကျွန်တော့ review ဒီမှာဖတ်ကြည့်ပါလို့” comment ပေးလိုက်ရင် သူ comment ပေးလိုက်တဲ့ webpage ကို user တစ်ယောက်က ဖွင့်လိုက်တိုင်း authstealer.js ဆိုတဲ့ file က user ရဲ့ browser မှာ အလုပ်လုပ်နေတော့မှာပါ။ XSS attack လုပ်လို့ မရအာင် ကာကွယ်ရမယ့်နည်းလမ်းကတော့ user input တွေကို malicious code တွေပါမပါ သထိထားပြီး စစ်ဖို့ပါပဲ။ အမှတ်မထင် ကိုယ်လက်ခံလိုက်တဲ့ Code တစ်ခုကနေ ကိုယ့်ရဲ့ အရေးကြီးတဲ့ ဒေတာတွေ ပါနိုင်တာမလို့ အားလုံးပဲ သတိထားသင့်ပါတယ်။ ကျေးဇူးတင်ပါတယ်။ #venuslab #idea_to_impact #alphabet_challenge

by Admin