+ Reply to Thread
Page 1 of 2 12 LastLast
Results 1 to 10 of 12

Thread: Hack โดยการประยุกต์ Javascript [ Injection ]

      
  1. #1
    Junior Member
    Join Date
    Nov 2010
    Posts
    18
    Say 'Thank You!' for this post. :
    5 For This Post
    21 Total


    4 out of 4 members found this post helpful.

    Hack โดยการประยุกต์ Javascript [ Injection ]

    technic ่javascript injection' อันนี้เจอมาใน net น่าจะแปลมาจากภาษา Eng. ผมเคยอ่านต้นฉบับแล้ว แต่พอมาเจอมีแปลเป็นไทยก็เข้าใจมากขึ้นนะ เอาเป็นว่าใครเป็นผู้แปลก็ของยก cadit ให้นะครับผมว่าเขาก็น่าจะ อยู่แถวๆนี้นะ สัญชาติญาณมันฟ้อง

    เริ่มเลยหละกัน

    ก่อนที่ทุกคนจะเข้าอ่านบทความนี้ ต้องขออกตัวก่อนว่าที่เขียนบทความนี้ขึ้นไม่ได้มีจุดประสงค์ที่จะสอนทุกคนให้เป็น Hacker นะครับ เนื่องจากมันทั้งเป็นการผิดศีลธรรม และยังผิดกฏหมายอีกด้วย แต่อยากให้เพื่อนๆ ที่เข้ามายังเวบ dev-square นั้น ระมัดระวังในการเขียน code ของท่านด้วย

    เชื่อว่าบรรดาเซียน hacker ทั้งหลายหากจะเริ่ม hack เวบไซต์ไดเว็บหนึ่งแล้วอันดับแรกที่จะทำคือ เปิดเวบนั้นและทำการ View source ดูเพื่อหาจุดอ่อนของเวบไซต์นั้นๆ โดยจุดแรกที่จะเป็นจุดอ่อนของ hacker นั้นคือการตรวจสอบข้อมูลหรือ input field ต่างๆ โดยใช้ java script

    โดยวิธีหลบ java validation(การตรวจสอบข้อมูลโดยใช้ java script) นั้นก็ง่ายนิดเดียวคือการสั่งให้ Browser ปิดการทำงานของ java นั้นซะ Java นั้นก็จะทำงานหยุดทำงานแล้วครับ แต่แค่นั้นคงไม่ยากไปสำหรับสมาชิก dev-square หรอกครับ เราลองมาดูวิธีการเจาะระบบที่ แยบยลกว่านี้กันเถอะครับ

    Imageบางคนที่ต้องการส่งพารามิเตอร์กันระหว่าง page ก็มักจะใช้ hidden field ในการเก็บค่าแล้วส่ง ดังนี้
    < input type="hidden" value="xxxx" name="aa" >
    แ ล้วพารามิเตอร์ก็จะถูกส่งไปกับการ submit form ด้วย แต่วิธีนี้ก็ยังมีจุดอ่อนอีกนั่นแหละครับ คือทาง hacker สามารถที่จะ save html ของเพจนั้นแล้วเอา source ไปแก้และทำการ post form นั้นกลับมายังเว็บไซต์เดิม เพื่อให้ค่า
    ใน hidden เปลี่ยนแปลงไป แต่ programmerบางคนก็ได้ทำการป้องกันโดยมีการ check referer ของเพจที่ทำการ submit form มาว่ามาจากเวบไซต์เขาหรือไม่ หากไม่ใช่ก็ให้ทำการแสดง error message ออกมา นี่
    แหละครับคือที่มาของการโจมตีแบบ Javascript Injection

    *Referer คือค่าที่ใช้ตรวจสอบว่าเพจที่เราเข้าก่อนหน้าเพจปัจจุบนคือเพจใด มีประโยชน์สำหรับเว็บขายของ ในการตรวจสอบเว็บไซต์ที่แนะนำให้ลูกค้ามาซื้อสินค้าภายเว็บเรา*

    Javascript Injection

    J
    avascript injection เป็นเทคนิคการแก้ไขค่าต่าง ๆ ในเพจนั้นโดยไม่ต้องเซฟ htmlนั้นออกมาซึ่งส่งผลให้ค่า referer ไม่มีการเปลี่ยนแปลง เพื่อใช้ในการหลบการตรวจสอบ referer จากทาง server

    มีวิธีการขั้นต้น 3 วิธีดังนี้:
    I. Injection Basics
    II. Cookie Editing
    III. Form Editing

    I. Injection Basics

    Javascript injections จะถูกสั่งให้จาก URL bar ที่เราใช้ใส่ address เพื่อที่จะเข้าเวบนั่นแหละครับ โดยปกติเราจะเข้าเว็บไซต์โดยใส่ address ดังนี้ใช่ไหมครับ Google
    เมื่อเราเรียก
    url นี้ browser จะเข้าใจว่าเราจะเรียกการทำงานผ่าน http protocal แต่รู้ไหมว่า javascript ก็สามารถรันอย่างนี้ได้เช่นกัน โดยการใส่ java script:xx; ลงในช่อง url นำหน้า address ดังนี้

    java script:alert('Hello, World'); Google


    จ ะเห็นว่าเราสามารถส่ง javascript เพื่อไปรันใน google.co.th ได้ โดยคำสั่ง javascript ที่เราจะใช้ในการโจมตีมี 2 คำสั่งคือ alert(); and void(); โดยเราไม่จำเป็น ที่จะต้องใส่คำสั่งทีละๆ คำสั่ง เราสามารถใส่ หลายๆ คำสั่งได้ดังนี้ java script:alert('Hello'); alert('World');

    II. Cookie Editing

    อันดับแรกในการแก้ค่า cookie เราต้องทำการดู cookie ทั้งหมดในเว็บนั้นก่อนว่ามีอะไรบ้าง โดยการส่ง injection ไปในไซต์ดังนี้

    java script:alert(document.cookie);

    และในการ แก้ไข variable ใดๆ ในเว็บเราจะใช้คำสั่ง void();ในการโจมตี ดังนี้

    java script:void(document.cookie="Field = myValue");

    ค ำสั่งด้านบนจะทำให้ค่า cookie ที่ชื่อว่า Field มีค่าเป็น myValue การ injection cookie นี้ใช้สำหรับเวบไซต์บางเว็บไซต์ ที่มีการใช้ cookie ในการ login หรือ การเก็บข้อมูลที่สำคัญๆ เช่นยอดซื้อสินค้า หรือ บัตรเครดิตเป็นต้น เช่นหากการเข้าระบบถูกตรวจสอบด้วย cookie เราก็สามารถที่เข้าระบบโดยไม่ต้อง login ดังนี้

    java script:void(document.cookie="Authorized=yes");

    คือให้มีการแก้ค่า cookie ที่ใช้ในการตรวจสอบให้เป็นจริง เราก็เข้าระบบได้แล้วครับ

    III. Form Editing

    ส ่วนวิธีการสุดท้ายก็เพื่อใช้ในการหลบการตรวจสอบการแก้ค่าโดยการ check referer ที่ได้กล่าวไปในข้างต้น ทำให้เราไม่สามารถที่จะ save html ของเพจนั้นมาแก้ค่า แต่เราสามารถที่จะส่ง injection สั้นๆ เพื่อทำการแก้ค่าใน form นั้นได้ แต่ก่อนที่เราจะมาบอกวิธีในการ hack เราจะต้องเข้าใน variable form ใน javascript ซะก่อนว่า form ทั้งหมดของ javascript นั้นจะเก็บเป็น array ในตัวแปร form ทั้งหมดดังนี้ forms[x] โดย X จะเป็นเลขใดๆ ที่เอาไว้แทนลำดับของ form ในเพจนั้นๆ โดย form แรกจะเริ่มต้นที่ 0 form แรก ก็จะถูกเรียกผ่านตัวแปร forms[0]

    โดย การเรียก form แรกของเพจเราก็จะเรียกผ่านตัวแปรดังนี้ document.forms[0].to.value โดย to นั้นคือชื่อของ hidden ที่ซ่อนอยู่ โดยเราสามารถใช้ alert ในการตรวจสอบการมีอยู่ของตัวแปรนั้นได้ ดังนี้

    java script:alert(document.forms[0].to.value)

    เมื่อเราพบว่าตัวแปรที่เราต้องการจะแก้ค่านั้นมีอยู่จริงแล้วเราจะใช้คำสั้ง void ในการแก้ค่า hidden ดังนี้

    java script:void(document.forms[0].to.value=email nhacks.com)

    โดยคำสั่งด้านบนจะเปลี่ยนค่าตัวแปร hidden ที่ชื่อ email ที่อยู่ใน form เป็น "email nhacks.com" โดยเราสามารถใช้คำสั่ง alert(); ตามเพื่อตรวจสอบการเปลี่ยนแปลงค่า hidden

    เ ห็นแล้วใช่ไหมครับว่าการตรวจสอบค่าฝั่ง client โดยใช้ javascript ไม่มีความปลอดภัยดังนั้นการตรวจสอบค่าใดๆ ในเว็บ ควรทำที่ฝั่ง server ด้วยนะครับ แต่ปัญหานี้ไม่พบใน firefox นะครับ
    แฮะๆๆลองดู

    credit [ VIRUS THAILAB ] - Thai Computer Virus Community & Reverse Engineering
    Reply With Quote Reply With Quote
    Thanks

  2. Who Said Thanks:

    Phenixsun (10-26-2012) , puwadonnue (10-06-2012) , Type-0 (01-08-2012) , Backbite (12-31-2010) , Cyanide (12-18-2010)

  3. #2
    Junior Member
    Join Date
    Nov 2011
    Posts
    7
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

  4. #3
    Member
    Join Date
    Feb 2012
    Posts
    81
    Say 'Thank You!' for this post. :
    0 For This Post
    14 Total


    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับผมเคยอ่านมาบ้างแล้วแต่เป็นอังกิดมันอ่านยากพอดีมีภาษาไทยแล้วเอานี้แหละ
    ....................................................................................................................
    Reply With Quote Reply With Quote
    Thanks

  5. #4
    Junior Member
    Join Date
    Apr 2012
    Posts
    12
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    สุดยอดเลยครับบเพราะผมกำลังต้องการความรู้ทางด้านนี้อยู่พอดีเลยถึงจะยังพึ่งเริ่มศึกษาแต่จะพยายามครับ
    ..........................................
    Reply With Quote Reply With Quote
    Thanks

  6. #5
    Junior Member
    Join Date
    Sep 2012
    Posts
    15
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    สุดยอดเลยครับ... ชอบมากๆพวก hack javascript เป็นประโยชน์มากกับคนที่สนใจด้านนี้แบบผม.....
    ไว้มีปัญหา หรือติดขัดตรงไหน จะมาสอบถามในภายหลังนะครับ
    Reply With Quote Reply With Quote
    Thanks

  7. #6
    Junior Member
    Join Date
    Sep 2012
    Posts
    18
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    ขอบคุณสำหรับ ข้อมูลที่มีประโยชน์ แล้วผมจะนำไปศึกษาคับขอบคุณมากๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆ

    .............................................................................................................................................
    Reply With Quote Reply With Quote
    Thanks

  8. #7
    Junior Member
    Join Date
    May 2012
    Location
    Amphoe Muang Nonthaburi, Nonthaburi, Thailand, Thailand
    Posts
    19
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    มีประโยชน์มากเลยครับ สำหรับการหาทางป้องกันตนเองจากภัยที่จะคุกคาม(คนที่ไม่ชอบเรา) แต่ไม่อยากให้เราไปภัยคุกคามต่อคนอื่นๆนะครับ ขอบคุณที่มาแบ่งปันครับ
    Reply With Quote Reply With Quote
    Thanks

  9. #8
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    มีประโยชน์มากเลยครับ สำหรับการหาทางป้องกันตนเองจากภัยที่จะคุกคาม(คนที่ไม่ชอบเรา) แต่ไม่อยากให้เราไปภัยคุกคามต่อคนอื่นๆนะครับ ขอบคุณที่มาแบ่งปันครับ
    Reply With Quote Reply With Quote
    Thanks

  10. #9
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    Did you find this post helpful? |
    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

  11. #10
    Member
    Join Date
    Apr 2011
    Posts
    43
    Say 'Thank You!' for this post. :
    0 For This Post
    0 Total


    Did you find this post
    กำลังศึกษาเรื่องนี้อยู่พอดีเลยครับ

    บางตอนก็ไม่เข้าใจเท่าไหร่เพราะยังไม่เก่งแต่ก็จะพยายามศึกษานะ

    มีข้อผิดพลาดอะไรก็ช่วยแนะนำด้วยนะ
    Reply With Quote Reply With Quote
    Thanks

+ Reply to Thread
Page 1 of 2 12 LastLast

Similar Threads

  1. javascript injection
    By MunkeyDluffe in forum Hacking/Security News (ภาษาไทย)
    Replies: 5
    Last Post: 09-04-2013, 02:28 PM
  2. Javascript Injection
    By jaques333 in forum Newbie / Starter Hacker
    Replies: 4
    Last Post: 08-20-2007, 07:20 PM
  3. Javascript injection
    By wirat in forum Hacking, Exploit Articles/Tutorial/Techniques
    Replies: 1
    Last Post: 08-06-2007, 07:51 PM
  4. Hack โดย Javascript Injection
    By lnwkill in forum Hacking, Exploit Articles/Tutorial/Techniques
    Replies: 2
    Last Post: 07-15-2007, 03:37 PM

Visitors found this page by searching for:

javascript injection

javascript hack

java injection

hack javascript

javascript protector

java injection คือ

javascript protector version 2.0

java script protectorjavascript injection คือjava script protector version 2.0javascript protector hackjavascript hack website javascript protector คือแฮกด้วย javajavascript protector คืออะไรส่ง javascript ไป wed Hackการตั้งรหัส java security protectorhow to hack javascripthack by javascriptการแฮก Javascript Protectorhow to hack website with javascript่javascript ่javascript คือweb injection คืออะไรภาษาjavascript hackการ injectionjavascript thaihow to hack javaวิธี hack javascriptjavascript web hackเขียนโค้ด ป้องกัน hackJava Script Protector v2.0javascript protector version 2.0 คือhack ด้วย javascriptJAVA Script 2.0 คือhack form loginวิธีการใช้javascript hackใส่ code hack facebookแฮกรหัสเฟส จาก cookiewaiting for injection แปลว่าhack รหัส ผ่าน บน เว็บ และ ป้องกัน ด้วย javascriptjava injection คืออะไรการดูpassword ด้วย javascriptปัญหา void ในการ injectionJavaScript แฮกjavascrip hackวิธีดู เปลี่ยนข้อมูล ซอสโค้ดjavascriptjavascript check injectionhack ปิดการใช้งาน javascripthack javascript protectorjavascript ดู passwordการ Inject code ใน firefoxวิธีดูโค้ดต้นฉบับรหัสผ่านcookie injection คือวิธีใช้ Facebook Hacker V2.0web field injection คือhackรหัสโดยผ่านcookiehack javascript websitehack ผ่านการ submitส่งค่า parameter สามารถ hack ได้ไหมinjector:AlertHome.htmlempty หมายถึงอะไรวิธีhack java script codeการเขียน code hackโค้ด javascript hackjavascript injection cookiejavascript แก้hackjavascriptกับการแฮกhack facebook จาก cookiejavascrpit hackวิธีทำ java injectionjava script protector คืออะไรhttp:citecclub.orgforumethical-hacking-padawan-121hack-โดยการประยุกต์-javascript-[-injection-]-58068วิธี hack password จาก code ต้นฉบับ Java Injection Java Script Protector v2.0 hackhack javascript codeป้องกันการแฮก การใช้ javascripthack cookie javascriptjava hackโค้ด ป้องกัน hack

Members who have read this thread : 4

You do not have permission to view the list of names.

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts