+ Reply to Thread
Page 1 of 2 12 LastLast
Results 1 to 10 of 12

Thread: Hack โดยการประยุกต์ Javascript [ Injection ]

      
  1. #1
    Junior Member
    Join Date
    Nov 2010
    Posts
    18
    Say 'Thank You!' for this post. :
    5 For This Post
    21 Total


    4 out of 4 members found this post helpful.

    Hack โดยการประยุกต์ Javascript [ Injection ]

    technic ่javascript injection' อันนี้เจอมาใน net น่าจะแปลมาจากภาษา Eng. ผมเคยอ่านต้นฉบับแล้ว แต่พอมาเจอมีแปลเป็นไทยก็เข้าใจมากขึ้นนะ เอาเป็นว่าใครเป็นผู้แปลก็ของยก cadit ให้นะครับผมว่าเขาก็น่าจะ อยู่แถวๆนี้นะ สัญชาติญาณมันฟ้อง

    เริ่มเลยหละกัน

    ก่อนที่ทุกคนจะเข้าอ่านบทความนี้ ต้องขออกตัวก่อนว่าที่เขียนบทความนี้ขึ้นไม่ได้มีจุดประสงค์ที่จะสอนทุกคนให้เป็น Hacker นะครับ เนื่องจากมันทั้งเป็นการผิดศีลธรรม และยังผิดกฏหมายอีกด้วย แต่อยากให้เพื่อนๆ ที่เข้ามายังเวบ dev-square นั้น ระมัดระวังในการเขียน code ของท่านด้วย

    เชื่อว่าบรรดาเซียน hacker ทั้งหลายหากจะเริ่ม hack เวบไซต์ไดเว็บหนึ่งแล้วอันดับแรกที่จะทำคือ เปิดเวบนั้นและทำการ View source ดูเพื่อหาจุดอ่อนของเวบไซต์นั้นๆ โดยจุดแรกที่จะเป็นจุดอ่อนของ hacker นั้นคือการตรวจสอบข้อมูลหรือ input field ต่างๆ โดยใช้ java script

    โดยวิธีหลบ java validation(การตรวจสอบข้อมูลโดยใช้ java script) นั้นก็ง่ายนิดเดียวคือการสั่งให้ Browser ปิดการทำงานของ java นั้นซะ Java นั้นก็จะทำงานหยุดทำงานแล้วครับ แต่แค่นั้นคงไม่ยากไปสำหรับสมาชิก dev-square หรอกครับ เราลองมาดูวิธีการเจาะระบบที่ แยบยลกว่านี้กันเถอะครับ

    Imageบางคนที่ต้องการส่งพารามิเตอร์กันระหว่าง page ก็มักจะใช้ hidden field ในการเก็บค่าแล้วส่ง ดังนี้
    < input type="hidden" value="xxxx" name="aa" >
    แ ล้วพารามิเตอร์ก็จะถูกส่งไปกับการ submit form ด้วย แต่วิธีนี้ก็ยังมีจุดอ่อนอีกนั่นแหละครับ คือทาง hacker สามารถที่จะ save html ของเพจนั้นแล้วเอา source ไปแก้และทำการ post form นั้นกลับมายังเว็บไซต์เดิม เพื่อให้ค่า
    ใน hidden เปลี่ยนแปลงไป แต่ programmerบางคนก็ได้ทำการป้องกันโดยมีการ check referer ของเพจที่ทำการ submit form มาว่ามาจากเวบไซต์เขาหรือไม่ หากไม่ใช่ก็ให้ทำการแสดง error message ออกมา นี่
    แหละครับคือที่มาของการโจมตีแบบ Javascript Injection

    *Referer คือค่าที่ใช้ตรวจสอบว่าเพจที่เราเข้าก่อนหน้าเพจปัจจุบนคือเพจใด มีประโยชน์สำหรับเว็บขายของ ในการตรวจสอบเว็บไซต์ที่แนะนำให้ลูกค้ามาซื้อสินค้าภายเว็บเรา*

    Javascript Injection

    J
    avascript injection เป็นเทคนิคการแก้ไขค่าต่าง ๆ ในเพจนั้นโดยไม่ต้องเซฟ htmlนั้นออกมาซึ่งส่งผลให้ค่า referer ไม่มีการเปลี่ยนแปลง เพื่อใช้ในการหลบการตรวจสอบ referer จากทาง server

    มีวิธีการขั้นต้น 3 วิธีดังนี้:
    I. Injection Basics
    II. Cookie Editing
    III. Form Editing

    I. Injection Basics

    Javascript injections จะถูกสั่งให้จาก URL bar ที่เราใช้ใส่ address เพื่อที่จะเข้าเวบนั่นแหละครับ โดยปกติเราจะเข้าเว็บไซต์โดยใส่ address ดังนี้ใช่ไหมครับ Google
    เมื่อเราเรียก
    url นี้ browser จะเข้าใจว่าเราจะเรียกการทำงานผ่าน http protocal แต่รู้ไหมว่า javascript ก็สามารถรันอย่างนี้ได้เช่นกัน โดยการใส่ java script:xx; ลงในช่อง url นำหน้า address ดังนี้

    java script:alert('Hello, World'); Google


    จ ะเห็นว่าเราสามารถส่ง javascript เพื่อไปรันใน google.co.th ได้ โดยคำสั่ง javascript ที่เราจะใช้ในการโจมตีมี 2 คำสั่งคือ alert(); and void(); โดยเราไม่จำเป็น ที่จะต้องใส่คำสั่งทีละๆ คำสั่ง เราสามารถใส่ หลายๆ คำสั่งได้ดังนี้ java script:alert('Hello'); alert('World');

    II. Cookie Editing

    อันดับแรกในการแก้ค่า cookie เราต้องทำการดู cookie ทั้งหมดในเว็บนั้นก่อนว่ามีอะไรบ้าง โดยการส่ง injection ไปในไซต์ดังนี้

    java script:alert(document.cookie);

    และในการ แก้ไข variable ใดๆ ในเว็บเราจะใช้คำสั่ง void();ในการโจมตี ดังนี้

    java script:void(document.cookie="Field = myValue");

    ค ำสั่งด้านบนจะทำให้ค่า cookie ที่ชื่อว่า Field มีค่าเป็น myValue การ injection cookie นี้ใช้สำหรับเวบไซต์บางเว็บไซต์ ที่มีการใช้ cookie ในการ login หรือ การเก็บข้อมูลที่สำคัญๆ เช่นยอดซื้อสินค้า หรือ บัตรเครดิตเป็นต้น เช่นหากการเข้าระบบถูกตรวจสอบด้วย cookie เราก็สามารถที่เข้าระบบโดยไม่ต้อง login ดังนี้

    java script:void(document.cookie="Authorized=yes");

    คือให้มีการแก้ค่า cookie ที่ใช้ในการตรวจสอบให้เป็นจริง เราก็เข้าระบบได้แล้วครับ

    III. Form Editing

    ส ่วนวิธีการสุดท้ายก็เพื่อใช้ในการหลบการตรวจสอบการแก้ค่าโดยการ check referer ที่ได้กล่าวไปในข้างต้น ทำให้เราไม่สามารถที่จะ save html ของเพจนั้นมาแก้ค่า แต่เราสามารถที่จะส่ง injection สั้นๆ เพื่อทำการแก้ค่าใน form นั้นได้ แต่ก่อนที่เราจะมาบอกวิธีในการ hack เราจะต้องเข้าใน variable form ใน javascript ซะก่อนว่า form ทั้งหมดของ javascript นั้นจะเก็บเป็น array ในตัวแปร form ทั้งหมดดังนี้ forms[x] โดย X จะเป็นเลขใดๆ ที่เอาไว้แทนลำดับของ form ในเพจนั้นๆ โดย form แรกจะเริ่มต้นที่ 0 form แรก ก็จะถูกเรียกผ่านตัวแปร forms[0]

    โดย การเรียก form แรกของเพจเราก็จะเรียกผ่านตัวแปรดังนี้ document.forms[0].to.value โดย to นั้นคือชื่อของ hidden ที่ซ่อนอยู่ โดยเราสามารถใช้ alert ในการตรวจสอบการมีอยู่ของตัวแปรนั้นได้ ดังนี้

    java script:alert(document.forms[0].to.value)

    เมื่อเราพบว่าตัวแปรที่เราต้องการจะแก้ค่านั้นมีอยู่จริงแล้วเราจะใช้คำสั้ง void ในการแก้ค่า hidden ดังนี้

    java script:void(document.forms[0].to.value=email nhacks.com)

    โดยคำสั่งด้านบนจะเปลี่ยนค่าตัวแปร hidden ที่ชื่อ email ที่อยู่ใน form เป็น "email nhacks.com" โดยเราสามารถใช้คำสั่ง alert(); ตามเพื่อตรวจสอบการเปลี่ยนแปลงค่า hidden

    เ ห็นแล้วใช่ไหมครับว่าการตรวจสอบค่าฝั่ง client โดยใช้ javascript ไม่มีความปลอดภัยดังนั้นการตรวจสอบค่าใดๆ ในเว็บ ควรทำที่ฝั่ง server ด้วยนะครับ แต่ปัญหานี้ไม่พบใน firefox นะครับ
    แฮะๆๆลองดู

    credit [ VIRUS THAILAB ] - Thai Computer Virus Community & Reverse Engineering
    Reply With Quote Reply With Quote
    Thanks

  2. Who Said Thanks:

    Phenixsun (10-26-2012) , puwadonnue (10-06-2012) , Type-0 (01-08-2012) , Backbite (12-31-2010) , Cyanide (12-18-2010)

  3. #2
    Junior Member
    Join Date
    Nov 2011
    Posts
    7
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

  4. #3
    Member
    Join Date
    Feb 2012
    Posts
    81
    Say 'Thank You!' for this post. :
    0 For This Post
    13 Total


    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับผมเคยอ่านมาบ้างแล้วแต่เป็นอังกิดมันอ่านยากพอดีมีภาษาไทยแล้วเอานี้แหละ
    ....................................................................................................................
    Reply With Quote Reply With Quote
    Thanks

  5. #4
    Junior Member
    Join Date
    Apr 2012
    Posts
    12
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    สุดยอดเลยครับบเพราะผมกำลังต้องการความรู้ทางด้านนี้อยู่พอดีเลยถึงจะยังพึ่งเริ่มศึกษาแต่จะพยายามครับ
    ..........................................
    Reply With Quote Reply With Quote
    Thanks

  6. #5
    Junior Member
    Join Date
    Sep 2012
    Posts
    15
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    สุดยอดเลยครับ... ชอบมากๆพวก hack javascript เป็นประโยชน์มากกับคนที่สนใจด้านนี้แบบผม.....
    ไว้มีปัญหา หรือติดขัดตรงไหน จะมาสอบถามในภายหลังนะครับ
    Reply With Quote Reply With Quote
    Thanks

  7. #6
    Junior Member
    Join Date
    Sep 2012
    Posts
    18
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    ขอบคุณสำหรับ ข้อมูลที่มีประโยชน์ แล้วผมจะนำไปศึกษาคับขอบคุณมากๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆ

    .............................................................................................................................................
    Reply With Quote Reply With Quote
    Thanks

  8. #7
    Junior Member
    Join Date
    May 2012
    Location
    Amphoe Muang Nonthaburi, Nonthaburi, Thailand, Thailand
    Posts
    19
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    มีประโยชน์มากเลยครับ สำหรับการหาทางป้องกันตนเองจากภัยที่จะคุกคาม(คนที่ไม่ชอบเรา) แต่ไม่อยากให้เราไปภัยคุกคามต่อคนอื่นๆนะครับ ขอบคุณที่มาแบ่งปันครับ
    Reply With Quote Reply With Quote
    Thanks

  9. #8
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    มีประโยชน์มากเลยครับ สำหรับการหาทางป้องกันตนเองจากภัยที่จะคุกคาม(คนที่ไม่ชอบเรา) แต่ไม่อยากให้เราไปภัยคุกคามต่อคนอื่นๆนะครับ ขอบคุณที่มาแบ่งปันครับ
    Reply With Quote Reply With Quote
    Thanks

  10. #9
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    Did you find this post helpful? |
    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

  11. #10
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    Did you find this post
    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

+ Reply to Thread
Page 1 of 2 12 LastLast

Similar Threads

  1. javascript injection
    By MunkeyDluffe in forum Hacking/Security News (ภาษาไทย)
    Replies: 5
    Last Post: 09-04-2013, 02:28 PM
  2. Javascript Injection
    By jaques333 in forum Newbie / Starter Hacker
    Replies: 4
    Last Post: 08-20-2007, 07:20 PM
  3. Javascript injection
    By wirat in forum Hacking, Exploit Articles/Tutorial/Techniques
    Replies: 1
    Last Post: 08-06-2007, 07:51 PM
  4. Hack โดย Javascript Injection
    By lnwkill in forum Hacking, Exploit Articles/Tutorial/Techniques
    Replies: 2
    Last Post: 07-15-2007, 03:37 PM

Visitors found this page by searching for:

javascript injection

javascript hack

java injection

hack javascript

javascript protector

java injection คือ

javascript protector version 2.0

java script protectorjavascript injection คือjava script protector version 2.0javascript protector hackjavascript protector คือแฮกด้วย javajavascript hack website javascript protector คืออะไรการตั้งรหัส java security protectorส่ง javascript ไป wed Hack่javascript how to hack website with javascripthow to hack javascripthack by javascriptการแฮก Javascript Protectorภาษาjavascript hack่javascript คือวิธี hack javascriptการ injectionweb injection คืออะไรhack form loginjavascript web hackhow to hack javahack ด้วย javascriptjavascript protector version 2.0 คือjavascript thaiวิธีการใช้javascript hackแฮกรหัสเฟส จาก cookieJava Script Protector v2.0เขียนโค้ด ป้องกัน hackJAVA Script 2.0 คือjavascrip hackวิธีดู เปลี่ยนข้อมูล ซอสโค้ดjavascriptwaiting for injection แปลว่าhack ปิดการใช้งาน javascriptวิธีใช้ Facebook Hacker V2.0hackรหัสโดยผ่านcookiejava injection คืออะไรweb field injection คือการดูpassword ด้วย javascripthack ผ่านการ submitการ Inject code ใน firefoxjavascript check injectionhack รหัส ผ่าน บน เว็บ และ ป้องกัน ด้วย javascripthack javascript protectorjavascript ดู passwordhack javascript websiteวิธีดูโค้ดต้นฉบับรหัสผ่านcookie injection คือปัญหา void ในการ injectionJavaScript แฮก Java Injection hack javascript codejavascrpit hackjavascript แก้hackโค้ด javascript hackjavascript injection cookieการเขียน code hackjavascriptกับการแฮกวิธี hack password จาก code ต้นฉบับinjector:AlertHome.htmlempty หมายถึงอะไรhttp:citecclub.orgforumethical-hacking-padawan-121hack-โดยการประยุกต์-javascript-[-injection-]-58068วิธีทำ java injectionhack facebook จาก cookieJava Script Protector v2.0 hackส่งค่า parameter สามารถ hack ได้ไหมวิธีhack java script codejava script protector คืออะไรแฮกด้วย javascriptjavascript โคด hack Javascript [ Injection ]เขียนโค้ด java hack facebookสอนทำ injection

Members who have read this thread : 7

You do not have permission to view the list of names.

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts