Client Hacking by heha

XSS (Cross site script) คือมีผู้ฝัง script ไว้ที่ server แล้วมีผู้ใช้มาร้องขอข้อมูลจาก server จากนั้น script ใน server จะถือโอกาสขโมยข้อมูลของเครื่องผู้ใช้ไปเช่น cookie

Impact

• Cookie Stealing
• Phishing
• Port Scanning – ไว้แอบสแกนพวก Private Network ที่อยู่หลัง NAT ได้
• XSS Shell – hack shell

XSRF (Cross site Request Forgery) คือมีผู้ฝัง script ไว้ที่ server แล้วมีผู้ใช้มาร้องขอข้อมูลจาก server script นั้นจะแอบ request ข้อมูลไปยังอีกเว็บไซต์หนึ่ง โดยที่ผู้ใช้ไม่รู้ตัว (เช่นแอบฝัง iframe ไว้)

HttpOnly คือการกำหนดห้ามไม่ให้ server side script เรียก cookie มาใช้งานได้ สามารถเรียกมาใช้งานได้เฉพาะ static html ธรรมดาเท่านั้น