ศัพท์ไอทีน่ารู้: Cross Site Scripting


คอลัมน์ศัพท์ไอทีน่ารู้วันนี้ขอเสนอคำว่า Cross Site Scripting (XSS) ซึ่งคำนี้แฮคเกอร์ส่วนใหญ่จะเข้าใจดี เพราะมันเป็นเทคนิคที่ใช้ในการจับตาดูเว็บไซต์ต่างๆ ที่มีช่องโหว่ของระบบรักษาความปลอดภัย

โดยเฉพาะเว็บไซต์ที่ต้องมีการใช้ข้อมูลส่วนตัวของผู้เยี่ยมชมในการเข้าถึง และไม่มีการตรวจสอบข้อมูล เมื่อพวกเขากลับเข้ามาเยี่ยมชมซ้ำอีกครั้งในภายหลัง
แฮคเกอร์จะแอบสร้างลิงค์ขึ้นมาใหม่บนเว็บไซต์เป้าหมายด้วยโค้ด หรือสคริปท์โดยอาศัยช่องโหว่ของระบบรักษาความปลอดภัยของเว็บไซต์นั้น แล้วแอบขโมยเอาข้อมูลที่ผู้ใช้กรอกเข้าไปโดยที่ผู้ใช้เข้าใจว่า ได้ให้ข้อมูลสำคัญกับทางเว็บไซต์ที่กำลังติดต่ออยู่ในขณะนั้น การโจมตีด้วยเทคนิค Cross Site Scripting แฮคเกอร์สามารถสร้าง และส่งลิงค์ไปให้กับเหยื่อ (ด้วยชื่อของเว็บไซต์ที่มีช่องโหว่ และต้องมีการป้อนข้อมูลเพื่อเป็นสมาชิก) ผ่านทางอีเมล์, เว็บบอร์ด เป็นต้น เมื่อแฮคเกอร์ได้ข้อมูลของคุณไปแล้ว พวกมันก็จะสวมรอยด้วยการใช้ข้อมูลของคุณล็อกออนเข้าไปยังเว็บไซต์ต่างๆ ได้







สังเกตุหน้าเว็บนี้จะประกอบด้วยข้อมูลจากเซิร์ฟเวอร์ MyBank กับแบบฟอร์มของแฮคเกอร์

กล่าวโดยสรุปก็คือ Cross Site Scripting เป็นเทคนิคการส่งลิงค์ที่ฝังโค้ด หรือสคริปท์การทำงานของแฮคเกอร์เข้าไป เพื่อให้ปรากฎบนหน้าเว็บของเว็บไซต์ที่มีช่องโหว่ โดยหลอกให้ผู้ใช้กรอกข้อมูลสำคัญแล้วส่งกลับมาให้แฮคเกอร์แทนที่จะผ่านเข้าไปในเว็บไซต์ที่เรากำลังเข้าไปเยี่ยมชมอยู่ในขณะนั้นนั่นเอง







อ้างอิงจาก : arip.co.th