XSS သို႕မဟုတ္ Cross-Site Scripting - ေနာက္ခံသမိုင္းေၾကာင္း

Cross site scripiting ကို အတိုေကာက္ CSS လို႕ပဲ ေခၚတာပါပဲ။
ဒါေပမယ့္ အခုေတာ႕ မသံုးေတာ႕ပါဘူး။

Netscape ေဆာ့ဖ္၀ဲ ကုမၼဏီဟာ Java Script ဘာသာစကားကို ပထမဆံုးမိတ္ဆက္လိုက္တဲ့ အခ်ိန္က web server တစ္ခုကေန အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲ ေတြဆီကို အလုပ္လုပ္ႏိုင္တဲ့ သေကၤတ (executable code) ေတြပို႕လႊတ္ႏိုင္တဲ့အတြက္ လံုျခံဳေရးဆိုင္ရာ စြန္႔စားမႈတစ္ရပ္ ဆိုတာကို သိခဲ့ၾက ပါတယ္။

ဒါနဲ႕ ပါတ္သက္တဲ့ အဓိက ေသာ႕ခ်က္ျပႆနာတစ္ရပ္ကေတာ႕ user ေတြက တျပိဳင္တည္းမွာ browser ၀င္းဒိုးေတြ အမ်ားၾကီးကို ဖြင့္တဲ့အခ်ိန္ပါဘဲ။ အခ်ိဳ႕ အေျခအေနေတြမွာ စာမ်က္ႏွာ တစ္ခုမွာပါေနတဲ့ Script ေတြကအျခားစာမ်က္ႏွာတစ္ခု သို႕မဟုတ္ အျခားစာမ်က္ႏွာထဲက အရာ၀တၳဳ တစ္ခုခုဆီကို လွမ္းျပီး ဆက္သြယ္တာကို အေျခအေနအရ ကိုယ္ကိုယ္တိုင္က ခြင့္ျပဳေပးရတာမ်ဳိး ရွိတတ္ပါတယ္။

အထူးသျဖင့္ မလႊဲမေရွာင္သာခြင့္ျပဳေနရတာေတြ ကေတာ႕ -

• email ေတြထဲမွာပါလာတဲ့ လိပ္စာေတြ
  
• တျခားျပင္ပ စာမ်က္ႏွာတစ္ခုကို လွမ္းဖြင့္ရမယ့္ link (external link) ေတြ
  
• ကလစ္လုပ္ျပီးၾကည့္မွ ျမင္ရမယ့္ ရုပ္ပံုေတြ
  
• ေဒါင္းလုဒ္ ခ်မွရမယ့္ ဖိုင္ေတြ - ျဖစ္ပါတယ္

ဒါေပမယ့္ ဒီလို လုပ္တဲ့အခါမ်ုိးမွာ အထူးသတိထားဖို႕ လိုအပ္ပါတယ္။
ေကာက္က်စ္စဥ္းလဲတဲ့ ၀က္ဘ္ဆိုက္ တစ္ခုခုက ကိုယ့္ဆီကေန သူတို႕လိုခ်င္တဲ့ အခ်က္အလက္ေတြကို ဒီနည္းနဲ႕ ဆြဲယူသြားႏိုင္လို႕ ပဲျဖစ္ပါတယ္။ ဘယ္လို လုပ္သြားတာလဲ နည္းနည္းေလ့လာ ၾကည့္ၾက ပါစို႕လား ။

ကၽြန္ေတာ္တို႔တေတြ လင့္ခ္တစ္ခုခုကို (ဥပမာ - www.examplewebsite.com) ကလစ္ လုပ္လိုက္ျပီဆိုတာနဲ႔ ကၽြန္ေတာ္တို႔ိရဲ႕ အင္တာနက္ၾကည့္တဲ့ ေဆာ့ဖ္၀ဲက အဲဒီလိပ္စာအတိုင္း လိုက္သြားျပီးေတာ႕ အဲဒီလင့္ခ္နဲ႕ဆိုင္တဲ့ စာမ်က္ႏွာ၊ ရုပ္ပံု အစရွိတဲ့ အရာတစ္ခုခု (သို႕မဟုတ္) အမ်ားကို ဖြင့္ခြင့္ေပးဖို႕ Servrer ကေနေတာင္းဆိုတဲ့အလုပ္ ကိုလုပ္ပါတယ္။

အဲဒီအခါမွာပဲ အဲဒီ Server နဲ႕ ကၽြန္ေတာ္တို႔ကြန္ပ်ဳတာ အဆက္အသြယ္ရေနျပီ ျဖစ္ပါတယ္။ ကိုယ္ကေတာ႕ လင့္ခ္ေလးတစ္ခုကို ကလစ္လုပ္လိုက္တာပါဘဲ .... ဒါေပမယ့္ ေနာက္ကြယ္က ကိုယ္မျမင္ရတဲ့ေနရာမွာ အေျပာင္းအလဲေတြ အမ်ားၾကီးျဖစ္သြားပါတယ္။ အရမ္းသတိထားရမယ့္ အလုပ္တစ္ခုပါ။
အဲဒီအခ်ိန္မွာပဲ Server ကေပးပို႕လိုက္တဲ့ အရာေတြက ကိုယ့္ရဲ႕ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲေပၚမွာ အလုပ္လုပ္ေနျပီျဖစ္ပါတယ္ ...
ပိုျပီးရွင္းရွင္းလင္းလင္း ျမင္ခ်င္တယ္ဆိုရင္ေတာ႕ အင္တာနက္လိပ္စာတစ္ခုကို ဖြင့္ေနတုန္းမွာ ကိုယ့္ရဲ႕ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲရဲ႕ Status bar ကို ေစာင့္ၾကည့္ေနလိုက္ပါ …

• connecting to www.servername.com ….
• waiting for www.servername.com ....
• transferring dada from www.servername.com ….
• opening page www.servername.com ….
• Sendig request to www.servername.com ……
• receiving items from www.servernames.com ….
  

အစရွိတဲ့ ေဖာ္ျပခ်က္မ်ိဳးေတြ တစ္ခုျပီးတစ္ခု ျမင္ရမွာျဖစ္ပါတယ္ ...

တကယ္လို႕ ဒုကၡေပးမယ့္ အရာေတြ ကိုယ့္ကြန္ပ်ဳတာထဲက အခ်က္အလက္ေတြ ႏိႈက္ထုတ္ ခိုးယူေတာ႕မယ့္ အရာေတြပါလာျပီဆိုရင္လည္း အလုပ္စေနျပီ ျဖစ္ပါတယ္ ….
ကိုယ့္ဘက္က ေတာင္းဆိုလိုက္ျပီဆိုကတဲက Server မွာ ဘယ္ေနရာကေတာင္းဆိုေနတာလဲ၊ ဘာေဆာ့ဖ္၀ဲ သံုးထားလဲ အစရွိတဲ့ ကၽြန္ေတာ္တို႕ရဲ႕ အခ်က္အလက္တစ္ခ်ဳိ႕ ပါသြားျပီျဖစ္ပါတယ္

ဒီအေၾကာင္းအရာေလးနဲ႕ ဆင္တူျဖစ္ရပ္ေလးကို Symantec ကေနအခုလို ဗီဒီယိုေလးနဲ႕ ရွင္းျပထားတာ ရွိပါတယ္။ ေလ့လာၾကည့္ၾကပါ ခင္ဗ်ာ ….



ဆက္လက္ေဖာ္ျပပါမည္ ....