Semalt: ဆိုက်ကို Cross-Scripting မှကာကွယ်နည်း

အွန်လိုင်းလုပ်ငန်းအများစုသည် hack ရန်ကြိုးစားခြင်းခံရသည်။ တစ်နှစ်ကျော် ၀ က်ဘ်ဆိုက်ပိုင်ဆိုင်သောလူတိုင်းနီးပါးသည် hack ကြိုးပမ်းမှုတစ်ခုကိုတွေ့ကြုံခံစားရမည်။ ဤအားနည်းချက်သည်လူများစွာကိုအန္တရာယ်ဖြစ်စေနိုင်သည်။ ဘလော့ဂါများနှင့်အီလက်ထရောနစ်ကူးသန်းရောင်းဝယ်ရေးဝက်ဘ်ဆိုက်ပိုင်ရှင်များသည်ဤစိတ်ကူးယဉ်တိုက်ခိုက်မှုများကိုသတိပြုသင့်ပြီးထို hack ကြိုးပမ်းမှုကြောင့်ဖြစ်ပေါ်လာသည့် coding အမှားအချို့ကိုပြင်ဆင်သင့်သည်။ အွန်လိုင်းဆိုက်ဘာလုံခြုံရေးပြissuesနာအများစုတွင်ဝက်ဘ်ဆိုက်များကိုခွင့်ပြုချက်မရှိဘဲဝင်ရောက်ခွင့်ရရန်နှင့်သတင်းအချက်အလက်အမြောက်အမြားကိုရယူရန်ကြိုးစားသူဟက်ကာများပါဝင်သည်။ အများစုမှာအကြွေးဝယ်ကဒ်သတင်းအချက်အလက်ကဲ့သို့သောဖောက်သည်များ၏အချက်အလက်များနှင့်သက်ဆိုင်သည်။ အချို့သောဟက်ကာများသည်ဝက်ဘ်ဆိုက်အားဖြိုဖျက်ခြင်းသို့မဟုတ်တရားမ ၀ င်ယှဉ်ပြိုင်မှုနည်းစနစ်များကို e-commerce ပလက်ဖောင်းတွင်မိတ်ဆက်ခြင်းစသည့်ဥပဒေနှင့်မညီသောလုပ်ဆောင်မှုများပြုလုပ်နိုင်သည်။

အများဆုံးသော web application တိုက်ခိုက်မှုများအနက်တစ်ခုမှာ Cross-site Scripting (XSS) တိုက်ခိုက်ခြင်းဖြစ်သည်။ ဒီ hack မှာ client-side code injection attack ပါ ၀ င်ပြီး ၄ င်းသည်တိုက်ရိုက်စာသားထည့်သွင်းခြင်းအားဖြင့်ဝက်ဘ်ဆိုက်တစ်ခုသို့မဟုတ်ဝက်ဘ်အပလီကေးရှင်းများသို့ပြေးရန်ရည်ရွယ်သည်။ အန္တရာယ်ရှိသည့် payload code သည် code ၏ကိုယ်အတွင်းရှိအမျိုးမျိုးသောလုပ်ဆောင်မှုများကိုပြုလုပ်ပေးပြီးအပြင်သားကောင်၏ browser ကိုကုဒ်များကိုဟက်ကာမှသာသိသည့်မသိသောလျှို့ဝှက်တည်နေရာသို့ပေးပို့သည်။

Artem Abgarian ၏အကြီးတန်းဖောက်သည်အောင်မြင်မှု Manager ကို Semalt , ဒီ java script ကိုအလုပ်လုပ်တယ်နှင့်မည်သို့ဒီတိုက်ခိုက်မှုကနေသင့်ရဲ့ website မှာကာကွယ်စောင့်ရှောက်ဖို့ဘယ်လိုသင့်ရဲ့အာရုံစူးစိုက်မှုကိုကွဲပြားခြားနားသောနည်းလမ်းများမှကမ်းလှမ်းမှုများ:

Cross-site Scripting (XSS) တိုက်ခိုက်မှု

ဤတိုက်ခိုက်မှုတွင်သားကောင်သည် browser (ဘရောက်ဆာ) များစွာကိုချိတ်ဆက်ရန် script တစ်ခုဖွင့်သည့် link ကိုနှိပ်ပါ။ ဤနည်းလမ်းသည် VBScript, ActiveX နှင့် Flash ကဲ့သို့သောအခြားနည်းလမ်းများကိုသုံးနိုင်သည်၊ သို့သော်ဝဗ်အပလီကေးရှင်းအများစုတွင်အသုံးပြုသောကြိမ်နှုန်းကြောင့် Javascript သည်သာမန်နည်းလမ်းဖြစ်သည်။ ဤတိုက်ခိုက်မှုတွင်ဟက်ကာသည် input စာမျက်နှာအချို့သို့ညွှန်ကြားထားသည်။ ဒီလုပ်ထုံးလုပ်နည်းမှာသားကောင်ဘရောက်ဇာကိုအန္တရာယ်ရှိတဲ့ link တစ်ခုနှိပ်ပြီး payload သွင်းခြင်းပါ ၀ င်သည်။ ဤအဆင့်တွင်များစွာသောလိမ်လည်မှုတိုက်ခိုက်မှုများအပြင်အချို့သော PTC bait-and-switch ကြော်ငြာလှုပ်ရှားမှုများလည်းပါဝင်သည်။

အလားအလာရှိသောခြိမ်းခြောက်မှုများ

JavaScript ဖြင့်တိုက်ခိုက်သူသည် HTTPS တောင်းဆိုမှုများကိုပေးပို့နိုင်ပြီးလက်ခံနိုင်သည်။ အထူးသဖြင့်ဘရောင်ဇာကိုချိတ်ထားသည့်အခါဟက်ကာသည် password နှင့် login အထောက်အထားများကိုမသင်္ကာဖွယ်အသုံးပြုသူထံမှရနိုင်သည်။ ဒီ hack သည်လူတစ် ဦး အား website တစ်ခု၏အဖိုးတန်သောအချက်အလက်အားလုံးကိုဆုံးရှုံးစေနိုင်သကဲ့သို့သုံးစွဲသူတည်နေရာ၊ အိုင်ပီလိပ်စာ၊ မိုက်ခရိုဖုန်း၊ ဝက်ဘ်ကင်မရာနှင့် SQL ထိုးဖောက်ခြင်းကိုခံရသည့်အခြားတိုက်ခိုက်မှုများစသည့်လိမ်လည်လှည့်ဖြားသည့်တိုက်ခိုက်မှုများကိုဖြစ်စေနိုင်သည်။

အခြားကိစ္စများတွင် Cross-site Scripting (XSS) တိုက်ခိုက်မှုသည် browser ၏ cookie တစ်ခုလုံးကိုရှူရှိုက်နိုင်သည်။ XSS သည်ရှုပ်ထွေးသောအင်ဂျင်နီယာလုပ်ငန်းစဉ်ဖြစ်ပြီး၎င်းသည် browser ကိုပွင့်လင်းမြင်သာသောအလွှာတစ်ခုဖြစ်စေနိုင်သည်။ ရလဒ်အနေနှင့်သင်သည် XSS မှကာကွယ်ရန်သင်၏ဝက်ဘ်ဆိုက်၏ဒီဇိုင်းအသွင်အပြင်အချို့ကိုထည့်သွင်းစဉ်းစားရန်လိုအပ်သည်။

နိဂုံး

မည်သည့် e-commerce site အတွက်မဆိုသင်၏ site ကို Cross-site Scripting (XSS) တိုက်ခိုက်ခြင်းမှကာကွယ်ရန်အရေးကြီးသည်။ ဤ exploit သည် ၀ က်ဘ်ဆိုက်အားထိခိုက်စေရုံသာမကအဆုံးအသုံးပြုသူအတွက်ပါ client-side ကုဒ်နံပါတ်ထိုးခြင်းတိုက်ခိုက်မှုဖြစ်သည်။ ဆာဗာတွင် script တစ်ခု run ။ ဟက်ကာများသည် ၄ င်းတို့ကိုလျှို့ဝှက်အချက်အလက်များကိုရယူနိုင်သည်။ Cross-site Scripting (XSS) တိုက်ခိုက်မှုကိုကာကွယ်ရန်နည်းလမ်းအချို့ကိုဤလမ်းညွှန်တွင်တွေ့ရသည်။ သင်၏ ၀ က်ဘ်ဆိုဒ်အား XSS တိုက်ခိုက်မှုမှကာကွယ်နိုင်ပြီးသင်၏ဖောက်သည်များ၏ဟက်ကာများမှလည်းကာကွယ်နိုင်သည်။