XSS တိုက်ခိုက်မှု၏ ဖြစ်နိုင်ချေရှိသော အကျိုးဆက်များကား အဘယ်နည်း။
XSS (Cross-Site Scripting) တိုက်ခိုက်မှုသည် အထူးသဖြင့် PHP နှင့် MySQL အခြေခံသဘောတရားများတွင် ဝဘ်ဖွံ့ဖြိုးတိုးတက်မှုနယ်ပယ်တွင် အန္တရာယ်ရှိသောအကျိုးဆက်များရှိလာနိုင်သည့် လုံခြုံရေးအားနည်းချက်အမျိုးအစားတစ်ခုဖြစ်သည်။ ဤတိုက်ခိုက်မှုအမျိုးအစားတွင်၊ တိုက်ခိုက်သူသည် မသင်္ကာဖွယ်အသုံးပြုသူများမှ လုပ်ဆောင်သည့် ယုံကြည်စိတ်ချရသော ဝဘ်ဆိုက်တစ်ခုထဲသို့ အန္တရာယ်ရှိသော script များကို ထိုးသွင်းသည်။ ဤဇာတ်ညွှန်းများကို အသုံးပြုနိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဝဘ်ဖွံ့ဖြိုးရေးပါတီ, EITC/WD/PMSF PHP နှင့် MySQL အခြေခံများ, PHP မှာပုံစံများ, XSS တိုက်ခိုက်မှုများ, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းများတွင် ကွတ်ကီးများကို အလားအလာရှိသော တိုက်ခိုက်ရေး vector အဖြစ် မည်သို့အသုံးပြုနိုင်သနည်း။
ကွတ်ကီးများကို ကလိုင်းယင့်နှင့် ဆာဗာကြားတွင် အရေးကြီးသော အချက်အလက်များကို သိမ်းဆည်းခြင်းနှင့် ပေးပို့နိုင်ခြင်းတို့ကြောင့် ဝဘ်အက်ပ်လီကေးရှင်းများတွင် ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်ရေး vector အဖြစ် အသုံးပြုနိုင်သည်။ ကွတ်ကီးများကို စက်ရှင်စီမံခန့်ခွဲမှုနှင့် အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းကဲ့သို့သော တရားဝင်ရည်ရွယ်ချက်များအတွက် ယေဘူယျအားဖြင့် အသုံးပြုသော်လည်း၊ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိစေရန် တိုက်ခိုက်သူများမှလည်း ၎င်းတို့ကို အသုံးချနိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
အရေးကြီးသော အချက်အလက်များကို ခိုးယူရန် သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများ လုပ်ဆောင်ရန် HTML ထိုးဆေးကို မည်သို့အသုံးပြုရမည်နည်း။
Cross-site scripting (XSS) ဟုလည်းသိကြသော HTML ထိုးဆေးသည် တိုက်ခိုက်သူအား အန္တရာယ်ရှိသော HTML ကုဒ်ကို ပစ်မှတ်ဝဘ်ဆိုက်တစ်ခုထဲသို့ ထိုးသွင်းခွင့်ပြုသည့် ဝဘ်အားနည်းချက်တစ်ခုဖြစ်သည်။ ဤအားနည်းချက်ကို အသုံးချခြင်းဖြင့် တိုက်ခိုက်သူတစ်ဦးသည် အရေးကြီးသောအချက်အလက်များကို ခိုးယူနိုင်သည် သို့မဟုတ် ပစ်မှတ်ဝဘ်ဆိုက်တွင် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများ လုပ်ဆောင်နိုင်သည်။ ဤအဖြေတွင်၊ HTML ထိုးခြင်းကို မည်သို့အသုံးပြုနိုင်ကြောင်း လေ့လာပါမည်။
XSS တိုက်ခိုက်မှုမှတဆင့် cookies များခိုးယူခြင်း၏အလားအလာကဘာလဲ။
Cross-Site Scripting တိုက်ခိုက်မှုများဟုလည်းသိကြသော XSS တိုက်ခိုက်မှုများသည် ဝဘ်အက်ပလီကေးရှင်းများ၏လုံခြုံရေးကို သိသိသာသာ ခြိမ်းခြောက်လာစေသည်။ ဤတိုက်ခိုက်မှုများသည် ဝဘ်အပလီကေးရှင်းတစ်ခု၏ အသုံးပြုသူထည့်သွင်းမှုကို ကိုင်တွယ်ရာတွင် အားနည်းချက်များကို အသုံးချကာ အထူးသဖြင့် အခြားအသုံးပြုသူများကြည့်ရှုသည့် ဝဘ်စာမျက်နှာများအတွင်းသို့ အန္တရာယ်ရှိသော script များကို ထိုးသွင်းခြင်း၏အခြေအနေတွင်ဖြစ်သည်။ XSS တိုက်ခိုက်မှုများ၏ ဖြစ်နိုင်ချေရှိသော အန္တရာယ်တစ်ခုမှာ ခိုးယူခြင်းပင်ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, HTTP အရည်အချင်းများ - ကွတ်ကီးခိုးယူခြင်း။, စာမေးပွဲသုံးသပ်ချက်
HTTP cookies များရှိ "httpOnly" ရည်ညွှန်းချက်၏ ရည်ရွယ်ချက်ကား အဘယ်နည်း။
HTTP cookies များရှိ "httpOnly" ရည်ညွှန်းချက်သည် ဝဘ်အက်ပလီကေးရှင်းများ၏ လုံခြုံရေးကို မြှင့်တင်ရာတွင် အရေးကြီးသော ရည်ရွယ်ချက်ကို ဆောင်ရွက်ပေးပါသည်။ ကွတ်ကီးခိုးယူမှုအန္တရာယ်ကို လျော့ပါးသက်သာစေရန်နှင့် အသုံးပြုသူဒေတာကို အန္တရာယ်ရှိသော တိုက်ခိုက်သူများ ဝင်ရောက်ခြင်း သို့မဟုတ် ကြိုးကိုင်ခြင်းမှ ကာကွယ်ရန် အထူးဒီဇိုင်းပြုလုပ်ထားသည်။ ဝဘ်ဆာဗာတစ်ခုသည် အသုံးပြုသူ၏ဘရောက်ဆာထံ ကွတ်ကီးတစ်ခုပေးပို့သောအခါ၊ ၎င်းကို ယေဘုယျအားဖြင့် သိမ်းဆည်းထားသည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, HTTP အရည်အချင်းများ - ကွတ်ကီးခိုးယူခြင်း။, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းပေါ်တွင် အောင်မြင်သော XSS တိုက်ခိုက်မှု၏ အလားအလာကောင်းများကား အဘယ်နည်း။
ဝဘ်အက်ပလီကေးရှင်းတစ်ခုပေါ်တွင် အောင်မြင်သော Cross-Site Scripting (XSS) တိုက်ခိုက်မှုသည် ပြင်းထန်သောအကျိုးဆက်များ ဖြစ်ပေါ်စေနိုင်ပြီး၊ အပလီကေးရှင်း၏ လုံခြုံရေးနှင့် ဂုဏ်သိက္ခာကို ထိခိုက်စေသည့်အပြင် ၎င်းကို ကိုင်တွယ်သည့် ဒေတာများကိုလည်း ထိခိုက်စေနိုင်သည်။ XSS တိုက်ခိုက်မှုသည် တိုက်ခိုက်သူသည် ယုံကြည်ရသော ဝဘ်ဆိုက်တစ်ခုထဲသို့ အန္တရာယ်ရှိသောကုဒ်ကို ထိုးသွင်းလိုက်သောအခါ၊ ထို့နောက် သားကောင်၏ဘရောက်ဆာမှ လုပ်ဆောင်သွားပါသည်။ ဒါက တိုက်ခိုက်သူကို ခွင့်ပြုတယ်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, Cross-site scripting, Cross-Site Scripting (XSS), စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းတစ်ခုရှိ XSS အားနည်းချက်တစ်ခု၏ အလားအလာကောင်းများကား အဘယ်နည်း။
ဝဘ်အက်ပလီကေးရှင်းတစ်ခုရှိ XSS (Cross-Site Scripting) အားနည်းချက်တစ်ခုသည် အပလီကေးရှင်း၏လုံခြုံရေးနှင့် ဂုဏ်သိက္ခာကို ထိခိုက်နိုင်သည့်အပြင် အသုံးပြုသူများနှင့် အပလီကေးရှင်းကို လက်ခံဆောင်ရွက်ပေးသည့် အဖွဲ့အစည်းကို ထိခိုက်မှုဖြစ်စေနိုင်သည်။ XSS သည် တိုက်ခိုက်သူမှ ကြည့်ရှုသော ဝဘ်စာမျက်နှာများအတွင်းသို့ အန္တရာယ်ရှိသော script များကို ထိုးသွင်းနိုင်စေသည့် အားနည်းချက်အမျိုးအစားတစ်ခုဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, Cross-site scripting, Cross-Site Scripting (XSS), စာမေးပွဲသုံးသပ်ချက်
ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိရန် စက်ရှင်တိုက်ခိုက်မှုများတွင် လက်အောက်ခံဒိုမိန်းများကို မည်သို့အသုံးချနိုင်သနည်း။
ပင်မဒိုမိန်းနှင့် ၎င်း၏ ဒိုမိန်းခွဲများကြားတွင် ယုံကြည်စိတ်ချရသော ဆက်ဆံရေးကို အသုံးချခြင်းဖြင့် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိရန် စက်ရှင်တိုက်ခိုက်မှုများတွင် ဆပ်ဒိုမိန်းများကို အသုံးချနိုင်သည်။ ဝဘ်အပလီကေးရှင်းများတွင်၊ အသုံးပြုသူအခြေအနေကို ထိန်းသိမ်းရန်နှင့် ပုဂ္ဂိုလ်ရေးသီးသန့်အတွေ့အကြုံကို ပေးဆောင်ရန် စက်ရှင်များကို အသုံးပြုသည်။ Session attacks များသည် အရေးကြီးသော အချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိစေရန် အသုံးပြုသူ sessions များကို အပိုင်စီးရန် သို့မဟုတ် ကြိုးကိုင်ရန် ရည်ရွယ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, Session တိုက်ခိုက်မှုများ, ကွတ်ကီးနှင့် ဆက်ရှင်တိုက်ခိုက်မှုများ, စာမေးပွဲသုံးသပ်ချက်
ပုံအရင်းအမြစ်တစ်ခုတွင် ထည့်သွင်းထားသော HTTP GET တောင်းဆိုမှုကို အသုံးပြု၍ တိုက်ခိုက်သူသည် အသုံးပြုသူ၏ cookies များကို မည်သို့ခိုးယူနိုင်မည်နည်း။
ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးနယ်ပယ်တွင်၊ တိုက်ခိုက်သူများသည် အားနည်းချက်များကို အသုံးချရန်နှင့် အသုံးပြုသူအကောင့်များသို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိရန် နည်းလမ်းများကို အဆက်မပြတ်ရှာဖွေနေပါသည်။ တိုက်ခိုက်သူများ အသုံးပြုနိုင်သည့် နည်းလမ်းတစ်ခုမှာ ပုံအရင်းအမြစ်တစ်ခုတွင် ထည့်သွင်းထားသော HTTP GET တောင်းဆိုမှုကို အသုံးပြု၍ အသုံးပြုသူ၏ cookies များကို ခိုးယူခြင်းဖြစ်သည်။ session attack သို့မဟုတ် cookie နှင့် session attack ဟုခေါ်သော ဤနည်းပညာ၊
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, Session တိုက်ခိုက်မှုများ, ကွတ်ကီးနှင့် ဆက်ရှင်တိုက်ခိုက်မှုများ, စာမေးပွဲသုံးသပ်ချက်
စက်ရှင်အပိုင်စီးတိုက်ခိုက်မှုများကို လျော့ပါးစေရန်အတွက် ကွတ်ကီးများအတွက် "လုံခြုံသော" အလံကို သတ်မှတ်ရခြင်း၏ ရည်ရွယ်ချက်မှာ အဘယ်နည်း။
စက်ရှင်အပိုင်စီးတိုက်ခိုက်မှုများကို လျော့ပါးသက်သာစေရန်အတွက် ကွတ်ကီးများအတွက် "secure" အလံကို သတ်မှတ်ခြင်း၏ရည်ရွယ်ချက်မှာ အရေးကြီးသော session data များကို လုံခြုံသောချန်နယ်များမှသာ ပေးပို့ကြောင်းသေချာစေခြင်းဖြင့် ဝဘ်အက်ပ်လီကေးရှင်းများ၏ လုံခြုံရေးကို မြှင့်တင်ရန်ဖြစ်သည်။ Session hijacking သည် ခွင့်ပြုချက်မရှိဘဲ တစ်ဦးတစ်ယောက်အား ကြားဖြတ်ခိုးယူခြင်းဖြင့် အသုံးပြုသူ၏ session ကို ထိန်းချုပ်နိုင်စေသည့် တိုက်ခိုက်မှုအမျိုးအစားတစ်ခုဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, Session တိုက်ခိုက်မှုများ, ကွတ်ကီးနှင့် ဆက်ရှင်တိုက်ခိုက်မှုများ, စာမေးပွဲသုံးသပ်ချက်
- 1
- 2