![About XSS and How to do it
====================
ကၽြန္ေတာ္ အခု ေျပာမယ့္ Topic ကေတာ့ XSS ဆိုတဲ့ Technology အေၾကာင္းေလးပဲျဖစ္ပါတယ္။
XSS ဆိုတာဘာလဲ ၊ ဘယ္လိုလုပ္ ရတာလဲ.. ဆုိတာေတြကို
ကၽြန္ေတာ္ ဒီ Topic ကအလုံးစုံေျပာျပနိုင္လိမ့္မွာမဟုတ္ပါဘူး။
ဘာလို႕လဲဆိုေတာ့ XSS Technology ကစာအုပ္ရွာဖတ္မယ္ဆုိရင္
စာမ်က္နွာ ၄၀၀ ေက်ာ္ ၅၀၀ နီးပါး နားမွာရိွပါတယ္။
ဒီ Technology ၾကီး ၁ခုလုံးကၽြန္ေတာ္ Post ေလးကအကုန္ေျပာျပနိုင္မွာမဟုတ္ပါဘူး။
:) Bro တုိ႕ နားလည္ေလာက္တဲ့အထိကၽြန္ေတာ္ၾကိဳးစားပီး ေရးသြားပါ့မယ္ ။
XSS ဆိုတာက Cross Site Scripting ကုိေျပာတာျဖစ္ပါတယ္။
XSS က Hacking Technology တစ္ခုျဖစ္ပီး Hacker အမ်ားစု အသုံးမ်ားတဲ့ Technology ၁ ခုလည္း ျဖစ္ပါတယ္။
XSS ကို Javascript programming language နဲ႕ အမ်ားအားျဖင့္ Handel လုပ္ပီး Site တစ္ခုရဲ႕ XSS ေပါက္ေနတဲ့ေနရာကေန User ရဲ႕ Data ကိုရယူသည္ျဖစ္ေစ၊ Code ကိုတစ္ဆင့္ Run ခိုင္းသည္ျဖစ္ေစ မိမိတို႕ရဲ႕ အဓိကရည္ရြယ္ခ်က္ကိုရေအာင္လုပ္ၾကပါတယ္။
(P.S ကၽြန္ေတာ္ေျပာမွာ ဒီအပိုင္းေတြပါလိမ့္မွာမဟုတ္ပါဘူး XSS ဆိုတာဘာလဲ.. ဘယ္လုိသုံးရလဲဆုိတာေလးပဲေျပာျပေပးသြားမွာပါ။
Bro တုိ႕ ကိုယ္တိုင္က XSS ကိုသိပီး တျခား hacking technology ေတြနဲ႕ေပါင္းကာ အေကာင္းဆုံးအေနအထားနဲ႕ website ကိုတိုက္ခိုက္နိုင္ေအာင္ရည္ရြယ္ပီးေရးသားေပးတာပါ :) Thx )
XSS ကဘယ္လိုအလုပ္လုပ္သလဲ ??
---------------------------------------------
XSS ကိုအမ်ားအားျဖင့္ Website ေတြမွာေတြ႕ရတတ္ပါတယ္။
ဘယ္လုိေနရာမ်ိဳးမွာေတြ႕နိုင္သလဲဆုိရင္ chat box, search box, comment box, စသည္ျဖင့္ေပါ့ေလ။
XSS ဘာလို႕ေပါက္တယ္ ဆုိတဲ့အေျခခံသေဘာတရားနားလည္ရင္ေတာ့ XSS နဲ႕တိုက္ခိုက္တာကို လြယ္လင့္တကူကာကြယ္နိုင္မွာျဖစ္ပါတယ္။
(P.S ဒီလို Protect လုပ္ထားတာကို By pass ေတြနဲ႕ ျဖတ္လို႕လည္းရပါတယ္။ ကၽြန္ေတာ္က အေပၚယံေလာက္ပဲ ပီးေတာ့ ကၽြန္ေတာ္ နားလည္သေလာက္ အသုံးဝင္သေလာက္ပဲ Bro တုိ႕ကိုေျပာျပနိုင္မွာပါ။
တကယ္လို႕ Bro တို႕ ေသခ်ာနားလည္ခ်င္ရင္ ကၽြန္ေတာ္ မူရင္း XSS စာအုပ္ကိုပါ Link ေပးထားပါမယ္။ Bro တို႕အေနနဲ႕ စိတ္ဝင္စားရင္ Download လုပ္သြားလုိ႕ရပါတယ္)
လူသုံးမ်ားတဲ့ XSS တိုက္ခိုက္ပုံစံ ၃ခု
--------------------------------------------
နံပါတ္ ၁ ခုနက ကၽြန္ေတာ္ခုနကေျပာခဲ့သလိုေပါ့ input box ေတြကေန Run ခိုင္းတာ
နံပါတ္ ၂ XSS ထည့္ထားတဲ့ URL (link) ကိုနိပ္မိမွထ Run တာ
နံပါတ္ ၃ Code ကိုတဆင့္ျပန္ Run ခိုင္းတာ
( အဓိကအားျဖင့္ Forum, Blog စတာေတြမွာတိုက္ခိုက္တာ မ်ားပါတယ္)
ဒီလို အသုံးမ်ားတဲ့ ပုံစံ ၃ ခုထဲကမွ ကၽြန္ေတာ္ Bro တုိ႕ကို Input box ကေန တိုက္ခိုက္တဲ့နည္းလမ္းေလးကိုေျပာျပခ်င္ပါတယ္ :)
XSS ေပါက္ေနတဲ့ Site ၁ခု ကိုအရင္ရွာေပါ့ ။
(Bro တုိ႕ကို ဒီေနရာမွာ Request ၁ ခုလုပ္ခ်င္ပါတယ္။
XSS ေပါက္ေနတဲ့ Site ကုိရွာတဲ့ေနရာမွာ Google Dock ကိုသုံးပီးရွာေပးပါ။
ကၽြန္ေတာ္ေရးတဲ့ Post ရဲ႕အားနည္းခ်က္လုိ႕ဆုိလည္းဆုိနုိင္ပါတယ္။
ကၽြန္ေတာ္ Bro တုိ႕ကို XSS ေပါက္ေနတဲ့ လက္ေတြ႕ Tutorial site ေပးခ်င္ပါတယ္။
But ကၽြန္ေတာ္ေရးေနတဲ့ပုံစံနဲ႕ မကုိက္ညီလို႕ သူမ်ားဆုိက္ ကို အပုပ္ခ်သလို လည္းျဖစ္သြားမွာစိုးလုိ႕ပါ။
တကယ္လို႕ လက္ေတြ႕စမ္းခ်င္ရင္ ကၽြန္ေတာ့္ကို ဆက္သြယ္နိုင္ပါတယ္ဗ်ာ )
ကဲ ေပါက္ေနတဲ့ Site ကိုေတြ႕ပီပဲထားပါေတာ့ မ်က္စိထဲျမင္ေယာင္ၾကည့္ဗ်ာ။
အဲဆိုက္မွာ Search box ရိွလိမ့္မယ္
အဲ Search Box မွာ ေအာက္က Code ေလးရိုက္ၾကည့္လိုက္ေပါ့
<script>alert(“XSS Hack Testing”)</script>
ဒီေနရာမွာကၽြႏ္ေတာ္တစ္ခုေျပာခ်င္တာက Bro တုိ႕ေရးလိုက္တဲ့ ‘Hack’ ဆုိတာကို Site admin မ်ားက Bun ထားတတ္ပါတယ္။
အဲလိုအခ်ိန္မ်ိိဳးမွာ By pass လုပ္ပီး Hackဆုိတဲ့ စာလုံးရေအာင္လုပ္ရပါမယ္. :P
တကယ္လုိ႕ ေအာင္ျမင္သြားရင္ Bro တို႕ Alert box ေလးနဲ႕ XSS Hack Testing ဆိုတာေလးေပၚလာပါလိမ့္မယ္။
ကဲ ေနာက္တစ္ဆင့္တက္မယ္
ဒီလိုေလးရိုက္ထည့္ၾကည့္ပါဦး ဘာထပ္ပီးထူးဆန္းသြားလဲလို႕။
“<h1>Hack by Vodakar</h1>”
ကၽြႏ္ေတာ့္နာမည္ၾကီးနဲ႕သြားမသုံးနဲ႕ဦးေနာ္. ကဲ မိုက္တယ္ဟုတ္ ;)
ကဲကၽြန္ေတာ္ေျပာမယ့္ Topic က ဒီမွာပဲအဆုံးသတ္ရေအာင္။
ေနာက္ပိုင္းဆုိေရွာ့ရိွနိုင္တယ္ေနာ္။ :P
ကဲဒါေလးပဲလားဆုိပီးကၽြန္ေတာ့္ကိုစိတ္မဆုိးက်ပါနဲ႕
ကၽြန္ေတာ္ေပးခ်င္တဲ့ Message က Bro တုိ႕ XSS ေပါက္ေနတဲ့ Input Box ကေနပီး Cookie ေတြခိုးမယ္ User Data ရမယ္။
ပြဲၾကမ္းမယ္ေပါ့ :P
ဒီထပ္ပိုသိခ်င္ရင္ Bro တို႕ Google ကေနရွာပီးလက္ေတြ႕စမ္းသပ္နိုင္ပါတယ္ဗ်ာ။
ဒီ Post ေလးဖတ္လိုက္လို႕အခ်ိန္ကုန္သြားတယ္ဆုိပီး စိတ္မညစ္ပါနဲ႕
အနည္းဆုံးေတာ့ XSS ကဘာလဲဆုိတာသိတာေပါ့ မဟုတ္ဘူးလား ;) :P
ကဲ XSS စာအုပ္ (English version) ကိုေဒါင္းပါခင္ဗ် >
https://www[dot]dropbox[dot]com/s/k8hbu6xq4xmnf63/cross_site_scripting_attacks_xss_exploits_and_defense_tqw__darksiderg.pdf
အားလုံးပဲအဆင္ေျပနိုင္ၾကပါေစလို႕ ဆုေတာင္းပါတယ္ :D
© by MyanmarITGroup (www[dot]itgroupmyanmar[dot]com)
Author ® by #VoDaKar
Reference® by Jeremiah Grossman (XSS Attack)
*Have a good luck*
Admin VoDa Kar ;)](https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-frc3/s403x403/1426244_248744408615986_413074985_n.jpg)
ကၽြန္ေတာ္ အခု ေျပာမယ့္ Topic ကေတာ့ XSS ဆိုတဲ့ Technology အေၾကာင္းေလးပဲျဖစ္ပါတယ္။
XSS ဆိုတာဘာလဲ ၊ ဘယ္လိုလုပ္ ရတာလဲ.. ဆုိတာေတြကို
ကၽြန္ေတာ္ ဒီ Topic ကအလုံးစုံေျပာျပနိုင္လိမ့္မ
ဘာလို႕လဲဆိုေတာ့ XSS Technology ကစာအုပ္ရွာဖတ္မယ္ဆုိရင္
စာမ်က္နွာ ၄၀၀ ေက်ာ္ ၅၀၀ နီးပါး နားမွာရိွပါတယ္။
ဒီ Technology ၾကီး ၁ခုလုံးကၽြန္ေတာ္ Post ေလးကအကုန္ေျပာျပနိုင္မွာမဟု
Bro တုိ႕ နားလည္ေလာက္တဲ့အထိကၽြန္ေတာ္
XSS ဆိုတာက Cross Site Scripting ကုိေျပာတာျဖစ္ပါတယ္။
XSS က Hacking Technology တစ္ခုျဖစ္ပီး Hacker အမ်ားစု အသုံးမ်ားတဲ့ Technology ၁ ခုလည္း ျဖစ္ပါတယ္။
XSS ကို Javascript programming language နဲ႕ အမ်ားအားျဖင့္ Handel လုပ္ပီး Site တစ္ခုရဲ႕ XSS ေပါက္ေနတဲ့ေနရာကေန User ရဲ႕ Data ကိုရယူသည္ျဖစ္ေစ၊ Code ကိုတစ္ဆင့္ Run ခိုင္းသည္ျဖစ္ေစ မိမိတို႕ရဲ႕ အဓိကရည္ရြယ္ခ်က္ကိုရေအာင္လု
(P.S ကၽြန္ေတာ္ေျပာမွာ ဒီအပိုင္းေတြပါလိမ့္မွာမဟုတ
Bro တုိ႕ ကိုယ္တိုင္က XSS ကိုသိပီး တျခား hacking technology ေတြနဲ႕ေပါင္းကာ အေကာင္းဆုံးအေနအထားနဲ႕ website ကိုတိုက္ခိုက္နိုင္ေအာင္ရည္
XSS ကဘယ္လိုအလုပ္လုပ္သလဲ ??
--------------------------
XSS ကိုအမ်ားအားျဖင့္ Website ေတြမွာေတြ႕ရတတ္ပါတယ္။
ဘယ္လုိေနရာမ်ိဳးမွာေတြ႕နိုင
XSS ဘာလို႕ေပါက္တယ္ ဆုိတဲ့အေျခခံသေဘာတရားနားလည္
(P.S ဒီလို Protect လုပ္ထားတာကို By pass ေတြနဲ႕ ျဖတ္လို႕လည္းရပါတယ္။ ကၽြန္ေတာ္က အေပၚယံေလာက္ပဲ ပီးေတာ့ ကၽြန္ေတာ္ နားလည္သေလာက္ အသုံးဝင္သေလာက္ပဲ Bro တုိ႕ကိုေျပာျပနိုင္မွာပါ။
တကယ္လို႕ Bro တို႕ ေသခ်ာနားလည္ခ်င္ရင္ ကၽြန္ေတာ္ မူရင္း XSS စာအုပ္ကိုပါ Link ေပးထားပါမယ္။ Bro တို႕အေနနဲ႕ စိတ္ဝင္စားရင္ Download လုပ္သြားလုိ႕ရပါတယ္)
လူသုံးမ်ားတဲ့ XSS တိုက္ခိုက္ပုံစံ ၃ခု
--------------------------
နံပါတ္ ၁ ခုနက ကၽြန္ေတာ္ခုနကေျပာခဲ့သလိုေပ
နံပါတ္ ၂ XSS ထည့္ထားတဲ့ URL (link) ကိုနိပ္မိမွထ Run တာ
နံပါတ္ ၃ Code ကိုတဆင့္ျပန္ Run ခိုင္းတာ
( အဓိကအားျဖင့္ Forum, Blog စတာေတြမွာတိုက္ခိုက္တာ မ်ားပါတယ္)
ဒီလို အသုံးမ်ားတဲ့ ပုံစံ ၃ ခုထဲကမွ ကၽြန္ေတာ္ Bro တုိ႕ကို Input box ကေန တိုက္ခိုက္တဲ့နည္းလမ္းေလးကိ
XSS ေပါက္ေနတဲ့ Site ၁ခု ကိုအရင္ရွာေပါ့ ။
(Bro တုိ႕ကို ဒီေနရာမွာ Request ၁ ခုလုပ္ခ်င္ပါတယ္။
XSS ေပါက္ေနတဲ့ Site ကုိရွာတဲ့ေနရာမွာ Google Dock ကိုသုံးပီးရွာေပးပါ။
ကၽြန္ေတာ္ေရးတဲ့ Post ရဲ႕အားနည္းခ်က္လုိ႕ဆုိလည္းဆ
ကၽြန္ေတာ္ Bro တုိ႕ကို XSS ေပါက္ေနတဲ့ လက္ေတြ႕ Tutorial site ေပးခ်င္ပါတယ္။
But ကၽြန္ေတာ္ေရးေနတဲ့ပုံစံနဲ႕ မကုိက္ညီလို႕ သူမ်ားဆုိက္ ကို အပုပ္ခ်သလို လည္းျဖစ္သြားမွာစိုးလုိ႕ပါ။
တကယ္လို႕ လက္ေတြ႕စမ္းခ်င္ရင္ ကၽြန္ေတာ့္ကို ဆက္သြယ္နိုင္ပါတယ္ဗ်ာ )
ကဲ ေပါက္ေနတဲ့ Site ကိုေတြ႕ပီပဲထားပါေတာ့ မ်က္စိထဲျမင္ေယာင္ၾကည့္ဗ်ာ။
အဲဆိုက္မွာ Search box ရိွလိမ့္မယ္
အဲ Search Box မွာ ေအာက္က Code ေလးရိုက္ၾကည့္လိုက္ေပါ့
<script>alert(“XSS Hack Testing”)</script>
ဒီေနရာမွာကၽြႏ္ေတာ္တစ္ခုေျပ
အဲလိုအခ်ိန္မ်ိိဳးမွာ By pass လုပ္ပီး Hackဆုိတဲ့ စာလုံးရေအာင္လုပ္ရပါမယ္.
တကယ္လုိ႕ ေအာင္ျမင္သြားရင္ Bro တို႕ Alert box ေလးနဲ႕ XSS Hack Testing ဆိုတာေလးေပၚလာပါလိမ့္မယ္။
ကဲ ေနာက္တစ္ဆင့္တက္မယ္
ဒီလိုေလးရိုက္ထည့္ၾကည့္ပါဦ
“<h1>Hack by Vodakar</h1>”
ကၽြႏ္ေတာ့္နာမည္ၾကီးနဲ႕သြား
ကဲကၽြန္ေတာ္ေျပာမယ့္ Topic က ဒီမွာပဲအဆုံးသတ္ရေအာင္။
ေနာက္ပိုင္းဆုိေရွာ့ရိွနိုင
ကဲဒါေလးပဲလားဆုိပီးကၽြန္ေတာ
ကၽြန္ေတာ္ေပးခ်င္တဲ့ Message က Bro တုိ႕ XSS ေပါက္ေနတဲ့ Input Box ကေနပီး Cookie ေတြခိုးမယ္ User Data ရမယ္။
ပြဲၾကမ္းမယ္ေပါ့
ဒီထပ္ပိုသိခ်င္ရင္ Bro တို႕ Google ကေနရွာပီးလက္ေတြ႕စမ္းသပ္နို
ဒီ Post ေလးဖတ္လိုက္လို႕အခ်ိန္ကုန္သ
အနည္းဆုံးေတာ့ XSS ကဘာလဲဆုိတာသိတာေပါ့ မဟုတ္ဘူးလား
ကဲ XSS စာအုပ္ (English version) ကိုေဒါင္းပါခင္ဗ် >
https://
အားလုံးပဲအဆင္ေျပနိုင္ၾကပါေ
© by MyanmarITGroup (www[dot]itgroupmyanmar[do
Author ® by #VoDaKar
Reference® by Jeremiah Grossman (XSS Attack)
*Have a good luck*
Admin VoDa Kar
0 comments:
Post a Comment