In the previous section, it was pre

In the previous section, it was presented how to protect the cookie from an attacker eavesdropping on the communication channel between the browser and the server. However, eavesdropping is not the only attack vector to grab the cookie.

Let’s continue the story with the authentication cookie and assume that XSS (cross-site scripting) vulnerability is present in the application. Then the attacker can take advantage of the XSS vulnerability to steal the authentication cookie. Can we somehow prevent this from happening? It turns out that an HttpOnly flag can be used to solve this problem. When an HttpOnly flag is used, JavaScript will not be able to read this authentication cookie in case of XSS exploitation. It seems like we have achieved the goal, but the problem might still be present when cross-site tracing (XST) vulnerability exists (this vulnerability will be explained in the next section of the article) – the attacker might take advantage of XSS and enabled TRACE method to read the authentication cookie even if HttpOnly flag is used. Let’s see how XST works.

Let’s continue the story with the authentication cookie and assume that XSS (cross-site scripting) vulnerability is present in the application. Then the attacker can take advantage of the XSS vulnerability to steal the authentication cookie. Can we somehow prevent this from happening? It turns out that an HttpOnly flag can be used to solve this problem. When an HttpOnly flag is used, JavaScript will not be able to read this authentication cookie in case of XSS exploitation. It seems like we have achieved the goal, but the problem might still be present when cross-site tracing (XST) vulnerability exists (this vulnerability will be explained in the next section of the article) – the attacker might take advantage of XSS and enabled TRACE method to read the authentication cookie even if HttpOnly flag is used. Let’s see how XST works.

0/5000

จาก: -

เป็น: -

ผลลัพธ์ (ไทย) 1: [สำเนา]

คัดลอก!

ในส่วนก่อนหน้านี้ มันถูกนำเสนอวิธีการป้องกันคุกกี้การโจมตีแอบช่องสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ อย่างไรก็ตาม แอบได้เวกเตอร์โจมตีเฉพาะคว้าคุกกี้มาต่อเรื่องราวกับคุกกี้การรับรองความถูกต้อง และคิดว่าช่องโหว่ XSS (สคริปต์ข้ามไซต์) อยู่ในแอพลิเคชัน แล้ว ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ XSS จะขโมยคุกกี้การรับรองความถูกต้อง สามารถเราอย่างใดป้องกันได้อย่างไร มันเปลี่ยนจากว่า สามารถใช้ค่าสถานะการ HttpOnly เพื่อแก้ไขปัญหานี้ เมื่อมีใช้ค่าสถานะการ HttpOnly, JavaScript จะไม่สามารถอ่านคุกกี้นี้รับรองความถูกต้องในกรณีที่ใช้ประโยชน์จาก XSS มันเหมือนว่าเราได้บรรลุเป้าหมาย แต่ปัญหาก็มีปัจจุบันเมื่อติดตามข้ามไซต์ (XST) ช่องโหว่อยู่ (ช่องโหว่นี้จะได้อธิบายในส่วนถัดไปของบทความ) -ผู้โจมตีอาจใช้ประโยชน์จาก XSS และใช้วิธีการติดตามอ่านคุกกี้การรับรองความถูกต้องแม้ว่าธง HttpOnly ใช้ ลองดูวิธีการทำงานของ XST

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 2:[สำเนา]

คัดลอก!

ในส่วนก่อนหน้านี้ก็ถูกนำเสนอวิธีการป้องกันคุกกี้จากกำลังดักโจมตีในช่องทางการสื่อสารระหว่างเบราเซอร์และเซิร์ฟเวอร์ แต่แอบฟังไม่ได้เป็นเพียงการโจมตีที่จะคว้าคุกกี้. Let 's ยังคงเรื่องราวกับคุกกี้รับรองความถูกต้องและคิดว่า XSS (cross-site scripting) ช่องโหว่ที่มีอยู่ในใบสมัคร จากนั้นผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ XSS ที่จะขโมยคุกกี้รับรองความถูกต้อง เราสามารถอย่างใดป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้? แต่กลับกลายเป็นว่าธง HttpOnly สามารถใช้ในการแก้ปัญหานี้ เมื่อธง HttpOnly จะใช้งาน JavaScript จะไม่สามารถที่จะอ่านคุกกี้การตรวจสอบนี้ในกรณีของการแสวงหาผลประโยชน์ XSS ดูเหมือนว่าเราได้บรรลุเป้าหมาย แต่ปัญหายังคงอาจจะเป็นปัจจุบันเมื่อการติดตามข้ามไซต์ (XST) ช่องโหว่ที่มีอยู่ (ช่องโหว่นี้จะอธิบายในส่วนถัดไปของบทความ) - โจมตีอาจใช้ประโยชน์จาก XSS และเปิดใช้งาน วิธีการติดตามการอ่านคุกกี้รับรองความถูกต้องแม้ว่า HttpOnly ธงถูกนำมาใช้ ลองมาดูวิธี XST ทำงาน

การแปล กรุณารอสักครู่..

ผลลัพธ์ (ไทย) 3:[สำเนา]

คัดลอก!

ในส่วนก่อนหน้าก็เคยเสนอวิธีการป้องกันคุกกี้จากการโจมตีบนช่องทางการสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ อย่างไรก็ตาม การไม่โจมตีเวกเตอร์เท่านั้นที่จะคว้าคุกกี้

มาดูกันต่อเรื่องการตรวจสอบคุกกี้ และสันนิษฐานว่า xss ( ข้ามเว็บไซต์ สคริปต์ ) ช่องโหว่ที่เป็นปัจจุบันในโปรแกรมจากนั้นผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ xss ขโมยตรวจสอบคุกกี้ เราก็ป้องกันไม่ให้มันเกิดขึ้น ปรากฎว่ามีธง httponly สามารถใช้เพื่อแก้ปัญหานี้ เมื่อธง httponly ใช้ JavaScript จะไม่สามารถอ่านนี้การตรวจสอบคุกกี้ในกรณีของการแสวงประโยชน์ xss . ดูเหมือนว่าเราได้บรรลุเป้าหมายแต่ปัญหาก็ยังคงมีอยู่ เมื่อข้ามเว็บไซต์ติดตาม ( xst ) ช่องโหว่ที่มีอยู่ ( ช่องโหว่นี้จะอธิบายในส่วนถัดไปของบทความ ) –คนร้ายอาจใช้ประโยชน์จาก xss และเปิดใช้วิธีติดตามอ่านการตรวจสอบคุกกี้แม้ว่า httponly ธงที่ใช้ มาดูกันว่า xst ทํางาน

การแปล กรุณารอสักครู่..

ภาษาอื่น ๆ

การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.