Client Hacking

heha — Sun, 24 May 2009 03:29:57 +0000

XSS (Cross site script) คือมีผู้ฝัง script ไว้ที่ server แล้วมีผู้ใช้มาร้องขอข้อมูลจาก server จากนั้น script ใน server จะถือโอกาสขโมยข้อมูลของเครื่องผู้ใช้ไปเช่น cookie

Impact

Cookie Stealing
Phishing
Port Scanning – ไว้แอบสแกนพวก Private Network ที่อยู่หลัง NAT ได้
XSS Shell – hack shell

XSRF (Cross site Request Forgery) คือมีผู้ฝัง script ไว้ที่ server แล้วมีผู้ใช้มาร้องขอข้อมูลจาก server script นั้นจะแอบ request ข้อมูลไปยังอีกเว็บไซต์หนึ่ง โดยที่ผู้ใช้ไม่รู้ตัว (เช่นแอบฝัง iframe ไว้)

HttpOnly คือการกำหนดห้ามไม่ให้ server side script เรียก cookie มาใช้งานได้ สามารถเรียกมาใช้งานได้เฉพาะ static html ธรรมดาเท่านั้น

LevelUp! Studio » hack

Client Hacking