เว็บบอร์ดเเอปพลิเคชั่นที่เว็บโปรแกรมมิ่งสร้างขึ้นมาเพื่อใช้เป็นสิ่งโต้ตอบและรับข่าวสารจากผู้ใช้งานเว็บไซต์รวมไปถึงเป็นกระดานพูดคุยกันและอาจเป็นแหล่งโฆษณาของคนบางกลุม รวมทั้งเป็นแหล่งที่แฮกเอร์ใช้ในการฝั่ง scrib ต่าง เช่นโทรจัน หรือคียล๊อกเกอร์ได้อีกด้วย มาดูตัวอย่างและวิธีทำกันครับ
ในเว็บบอร์ดนั้นจะมี ช่องให้ใส่ข้อมูล ซึ่งอาจใช้โปรแกรมและรับค่าผ่านเวปแอปพลิเคชั่นบางตัว เช่นอาจถูกเขียนขึ้นมาโดยภาษา C++ c# หรือ PHP และอื่นๆอีกมากมาน ในส่้วนนี้เมื่อคุณกรอกข้อมมูลลงในช่อง text box ที่เราเรียกว่า input ซึ่งเป็นช่องสำหรับรับข้อความ โปรแกรมก็จะรับข้อมความเลห่านี้ไปเก็บไว้ในตัวแปรและประมวลผลออกมาผ่านหน้าเว็บตามหมวดหมู่กระทู้ต่างๆ ซึ่งหากโปรแกรมเมอร์ห่วยแตกไม่มีระบบป้องกันที่ดีแล้ว แฮกเกอร์จะใช้โค๊ดบางตัวในการเปลี่ยนค่าของระบบต่างๆที่รับของมูลจากช่อง input เพื่อฝั่งโค๊ดบางตัวไว้ในข้อความที่แฮกเกอร์โพสตามเว็บบอร์ด
$query = ”INSERT INTO Pose VALUES (‘$name’,'$message’);”; นี้เป็นตัวอย่างหนึ่งของการเขียนโค๊ดที่ชุ้ยมากของโปรแกรมเมอร์แห่งหนึ่งเพราะอะไรเหรอครับ โค๊ดดังกล่าวที่ผมยกตัวอย่างขึ้นมานั้นไม่มีตัวแปรสำหรับใช้กรองข้อความเลยทำให้ง่ายต่อการฝั่งสคริปมากๆ ซึ่งหมายความว่าสมมติ ผมต้องการฝั่งสคริบให้คนที่เข้่ามาในหน้าเว็บบอร์ดเจอกับข้อความ popup มีเนื้อหาว่า สวัสดีแฮกเกอร์ ผมก็จะเขียนโค๊ดลงไปดังนี้ในช่องกรอกข้อความ<script>alert("สวัสดีแฮกเกอร์") </script>ซึ่งเมื่อมีคนเข้ามาที่หน้าเว็บบอร์ดดังกล่าวก็จะพบ popup มีเนื้อหาว่า สวัสดีแฮกเกอร์ วิะีการป้องกันก็เพียงแค่สร้างตัวแปรบางอย่างเพื่อรับข้อความในช่อง input มาเปลี่ยนเป็นข้อความธรรมดาก่อนจะประมวลผลออกไป ซึี่งอาจใช้โค๊ดดังต่อไปนี้ $message = htmlspecialchars($message); จากโค๊กจะเห็นได้ว่าhtmlspecialchars() คือตัวแปรหรือฟังชั่นที่ใช้สำหรับแปลงข้อความ$massage เป็นข้อความธรรมดานั่นเอง ตัวอย่างบางตอนถูกตัดออกเนื่องจากว่าไม่ต้องการให้ใครทำตามและนำไปใช้ในทางที่ผิดครับ แค่เรียนรู้และหาวิธีป้องกันก็พอ
