วันนี้เอาความรู้เรื่อง xss หรือ Cross Site Scripting มาฝากกันครับ
– Cross Site Scripting / XSS คืออะไร
เป็นประเภทของการช่องโหว่เรื่องความปลอดภัยของคอมพิวเตอร์ที่แฮกเกอร์นิยมใช้ในการโจมตี และรู้จักกันเป็นอย่างดี โดยจะทำการส่ง script ที่อยู่ทางฝั่งของ hacker เข้าไปทำงานในเครื่องของเป้าหมาย โดยเป้าหมายที่ถูกโจมตีส่วนใหญ่แล้วก็เป็นพวก web application ครับ (facebook ก็เป็น web application ตัวหนึ่งเหมือนกัน) ดังนั้นเราจึงควรระวังไว้ด้วยนะครับ
– แฮกเกอร์โจมตีไปทำไม? / โจมตีแล้วได้อะไร ?
ส่วนใหญ่แล้วแฮกเกอร์ที่แฮกด้วยวิธีการนี้จะเขียน script ให้ส่ง cookie, username, password, ข้อมูลบัตรเครดิตต่างๆ ของเราไปให้กับแฮกเกอร์ ซึ่งเขาอาจจะนำข้อมูลดังกล่าวนั้นไปแอบอ้างหรือหาผลประโยชน์ในภายหลัง
– แล้วแฮกเกอร์โจมตียังไง ?
การโจมตีนั้นง่ายมากครับ แฮกเกอร์ก็จะทำการฝังโค้ดหรือ script ไว้ในรูปภาพหรือ link เมื่อเรากดดูหรือโหลดรูปภาพ / link ไปแล้ว script ก็จะเริ่มทำงานอยู่ที่ว่าแฮกเกอร์คนนั้นเขียน script ไว้ยังไงนั่นเอง ถ้าโชคร้ายข้อมูลทางด้านการเงินเราติดไปด้วยหละ…ไม่อยากคิดค่อเลยครับ
– แนะนำ Add-on ของ firefox ตัวหนึ่งที่ช่วยป้องกันการรัน script และป้องกันการโจมตีแบบ XSS ได้ด้วยครับ
Add-on ที่ว่านี้ชื่อว่า NoScript ครับ ลองเข้าไปที่ https://addons.mozilla.org/
ไปที่ปุ่ม Search for Add-ons พิมพ์คำว่า “NoScript” เพื่อค้นหา แล้วกด Search เลยครับ
เมื่อเจอเป้าหมาย เอ๊ย! ไม่ใช่ Add-ons NoScript นั่นแล้ว กด +Add to firefox ครับ เท่านี้ก็เป็นที่เรียบร้อยแล้วครับ
เป็นไงครับ ด้วยวิธีง่ายๆ เราก็มั่นใจได้แล้วว่าเราจะไม่ถูกโจมตีผ่าน script ที่รัยมาจากอีกฝั่งอย่างแน่นอนครับ