Sunday, May 2, 2010

XSS သို႕မဟုတ္ Cross-Site Scripting - ကာကြယ္နည္းမ်ား

XSS သို႕မဟုတ္ Cross-Site Scripting ရန္မွ ကာကြယ္မႈကို ေဆာင္ရြက္သည့္အခါ Web Developer မ်ားဘက္မွ ၄င္းတို႕၏ Web Site ကို XSS ေပ်ာ့ကြက္မ်ား ျဖစ္ေပၚမလာေအာင္ လိုအပ္ေသာ အကာအကြယ္မ်ားဖန္တီးျခင္း၊ User မ်ားမွ ထည့္သြင္းလိုက္ေသာ အခ်က္အလက္မ်ားကို စိစစ္ လက္ခံျခင္း အစရွိသည့္ ေဆာင္ရြက္မႈမ်ားကို ျပဳလုပ္ရသည္။ ထိုအပိုင္းကို ခ်န္ထားခဲ့ျပီး အင္တာနက္ သံုးသူတစ္ဦး အေနျဖင့္ XSS အႏၱရာယ္မွ မည္သို႕ အကာအကြယ္ျပဳရမည္၊ ေရွာင္တိမ္းရမည္ကို အဓိက ေဖာ္ျပသြားမည္ ျဖစ္သည္ -

၁. အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ေရြးခ်ယ္ျခင္း
အင္တာနက္ထဲတြင္ေလွ်ာက္သြားစဥ္ မိမိအတြက္ လံုျခံဳမႈရွိေစရန္ အကာအကြယ္ဖန္တီးသည့္အခါ တစ္ခုတည္းေသာ အေရးအၾကီးဆံုး အရာမွာ မိမိအသံုးျပဳမည့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲကို ေရြးခ်ယ္ျခင္း ျဖစ္သည္။ အင္တာနက္ သံုးသူ အမ်ားစုသည္ အမ်ားအားျဖင့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ တစ္ခုထက္ ပို၍ အသံုးျပဳေလ့ရွိၾကျပီး Website တစ္ခုကို ၾကည့္သည့္အခါ ေဆာ့ဖ္၀ဲ တစ္ခုျဖင့္ အဆင္မေျပလွ်င္ ေနာက္တစ္ခုျဖင့္ ေျပာင္းသံုးေလ့ ရွိၾကသည္။ ေဆာ့ဖ္၀ဲ ေရြးခ်ယ္သည့္အခါ သတိထားရမည့္ အခ်က္တစ္ခုမွာ - တိုက္ခိုက္မႈမ်ားသည္ အင္တာနက္သံုးေနသူ အမ်ားစုကို ပစ္မွတ္ထားသည္ - ဟူေသာ အခ်က္ ျဖစ္သည္။ လတ္တေလာ အေျခအေနတြင္ Firefox ေဆာ့ဖ္၀ဲမွာ လူသံုးမ်ားသည့္ ေဆာ့ဖ္၀ဲမ်ားထဲတြင္ “ ပိုမို လံုျခံဳေသာ ” အေနအထား တြင္ရွိျပီး၊ တိုက္ခိုက္သူမ်ား၏ အဓိက ပစ္မွတ္မွာ မိုကၠရိုေဆာ့ဖ္၏ Internet Explorer ျဖစ္ေနသည္။ ထို႕ျပင္ Mozilla, Netscape, Opera, ႏွင့္ Safari တို႕ကိုလည္း ေရြးခ်ယ္ အသံုးျပဳႏိုင္ေသးသည္။

-စိတ္ခ်စြာ အသံုးျပဳႏိုင္မည့္ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲ တစ္ခု (သို႕) ႏွစ္ခုကို ေရြးပါ။


၂. အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ကို ပိုမိုလံုျခံဳေအာင္ ဖန္တီးျခင္း
မည္သည့္ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ ကိုေရြးခ်ယ္ အသံုးျပဳသည္ျဖစ္ေစ ၄င္းတို႕ အတြက္ အကာအကြယ္ေပးမည့္ ပရိုဂရမ္မ်ား ႏွင့္ ကိရိယာ (Tools) မ်ားကို ထပ္မံေပါင္းစပ္ေပးျခင္းျဖင့္ အင္တာနက္ၾကည့္ ေဆာ့ဖ္၀ဲကို ပိုမို လံုျခံဳလာေအာင္ ဖန္တီးႏိုင္သည္။
  • Firefox အတြက္ - NoScript , SafeHistory, SafeCache,
  • Internet Explorer အတြက္ - eBay Toolbar
  • Firefox/Internet Explorer ႏွစ္မ်ဳိးလံုးအတြက္ Netcraft Anti-Phishing Toolbar, Google Toolbar စသည္တို႕မွာ -


လံုျခံဳမႈကိုမ်ားစြာ အေထာက္အပံ့ေပးႏိုင္သည့္ ကိရိယာမ်ား ျဖစ္ၾကသည္။

၄င္းတို႕သည္ သီးျခား ထည့္သြင္းေပးရသည့္ ပရိုဂရမ္မ်ား (Add-ons) မ်ားျဖစ္ျပီး -
  • Phishing web site မ်ားကို ေဖာ္ထုတ္ေပးျခင္း၊


  • web site မ်ား၏ အခ်ဳိ႕ေသာ အဂၤါရပ္မ်ား (Features)ကို ရပ္တန္႕ေပးထားျခင္း၊


  • အင္တာနက္သံုးသူမ်ား၏ စကား၀ွက္ စသည္မ်ားကို မသက္ဆိုင္သူမ်ား လက္ထဲသို႕ မေရာက္ေအာင္ ထိန္းသိမ္းကာကြယ္ေပးျခင္းႏွင့္


  • အျခားေသာ အသံုး၀င္သည့္ အကာအကြယ္ အမ်ဳိးမ်ဳိးကို ရရွိေစသည္။


Phishing - အီးေမးလ္ ကိုအသံုးျပဳျပီး အင္တာနက္သံုးသူတစ္ဦးကို အင္တာနက္ေနရာ( Web site) အတု တစ္ခုသို႕ ေရာက္လာေအာင္ဖန္တီးကာ credit card, social security, bank စာရင္းအမွတ္ စသည့္ အေရးၾကီးေသာ အခ်က္အလက္မ်ားကို လွည့္ဖ်ားရယူသည့္ အင္တာနက္ ရာဇ၀တ္မႈ တစ္မ်ဳိး။

      1. NoScript - https://addons.mozilla.org/firefox/722/
      2. SafeHistory - www.safehistory.com/
      3. SafeCache - www.safecache.com/
      4. Netcraft Anti-Phishing Toolbar -http://toolbar.netcraft.com/
      5. eBay Toolbar -http://pages.ebay.com/ebay_toolbar/
      6. Google Toolbar - www.google.com/tools/firefox/toolbar/index.html



-လိုအပ္ေသာ ပရိုဂရမ္မ်ား ႏွင့္ ကိရိယာမ်ား ထပ္မံေပါင္းထည့္ေပးပါ။


၃. အခ်ဳိ႕ေသာ အဂၤါရပ္မ်ားကို ရပ္တန္႕ထားျခင္း
အရိုးစင္းဆံုးေျပာရလွ်င္ အဂၤါရပ္ (Features) အခ်ဳိ႕ကိုသာ အလုပ္လုပ္ေစျခင္းသည္ အင္တာနက္ထဲတြင္ သြားလာရသည့္အခါ ပိုမို စိတ္ခ် လံုျခံဳသည့္ အေနအထားကို ျဖစ္ေပၚေစသည္။ ေျပာရလွ်င္ JavaScript, Java, Active X, JScript, VBScript,Flash, ႏွင့္ QuickTime တို႕အားလံုးမွာ အႏၱရာယ္ေပးႏိုင္သည့္ အရာမ်ား ျဖစ္သည္။ ၄င္းနည္းပညာမ်ားသည္ အင္တာနက္လူဆိုးမ်ားအတြက္ လက္နက္ပံုစံသစ္မ်ား ျဖစ္လာ ၾကသည္။ မေကာင္းေသာ အခ်က္တစ္ခုမွာ အဆိုပါ အဂၤါရပ္မ်ားကို အလုပ္မလုပ္ႏိုင္ေအာင္ ရပ္တန္႔ထား ျခင္းသည္ အခ်ဳိ႕ေသာ Web site မ်ား၏ အလုပ္လုပ္မႈ အေနအထားကို ရပ္တန္႕ေစျခင္း၊ တ၀က္တပ်က္သာ အလုပ္လုပ္ေစျခင္း စသည္တို႕ ျဖစ္ေပၚလာေစႏိုင္သည္။
မည္သို႕ပင္ ျဖစ္ေစ ၄င္းတို႕ကိုရပ္တန္႕ထားျခင္းက ပို၍ အက်ဳိးမ်ားေစသည္။ ထို႕ေၾကာင့္ အခ်ဳိ႕ေသာ အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲမ်ား ႏွင့္ ၄င္းတို႕၏ ေနာက္ဆက္တြဲမ်ား (Extensions) သည္ အထက္တြင္ေဖာ္ျပခဲ့သည့္ အဂၤါရပ္မ်ားကို လိုအပ္သလို ဖြင့္/ပိတ္ျခင္းမ်ားကို အလ်င္ အျမန္ ေဆာင္ရြက္ေပးႏိုင္ ေအာင္ဖန္တီးထားျခင္းျဖစ္သည္။

-အႏၱရာယ္ေပးႏိုင္ေသာ အခ်ဳိ႕အရာမ်ား (JavaScript, Java, Active X, JScript, VBScript, Flash, ႏွင့္ QuickTime) ကို မျဖစ္မေန လိုအပ္မွသာ အလုပ္လုပ္ပါေစ။ မလိုအပ္က ရပ္ထားပါ။


၄. ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) တစ္ခုကို သံုးျခင္း
ယခုအခါ ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) ကဲ့သို႕ေသာ အတုဖန္တီးထားသည့္ ေနရာမ်ားမွတဆင့္ အင္တာနက္ကို အသံုးျပဳေနသူမ်ား တေန႕ထက္တေန႕ တိုးတက္ မ်ားျပားလာေနျပီ ျဖစ္သည္။ အကယ္၍ အေျခအေန တစ္ခုခု ထူးျခားမႈျဖစ္ေပၚလာပါက စက္အတုထဲတြင္သာ ျပႆနာ တက္မည္ျဖစ္ျပီး ပင္မ ကြန္ပ်ဳတာကို ထိခိုက္မႈ မရွိႏိုင္ေပ။
ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) - တကယ့္ ကြန္ပ်ဳတာတစ္လံုးကဲ့သို႕ အလုပ္လုပ္ေပးႏိုင္ေသာ ကြန္ပ်ုဳတာ ေဆာ့ဖ္၀ဲတစ္မ်ဳိး၊ Operating System တစ္ခု ထည့္သြင္းတပ္ဆင္ေပးရသည္။ အျခားေသာ ေဆာ့ဖ္၀ဲမ်ားလည္း ထည့္သြင္းႏိုင္သည္။

-မိမိအကၽြမ္းတ၀င္မရွိေသာ Web site မ်ား၊ ေဆာ့ဖ္၀ဲမ်ားကို စမ္းသပ္ အသံုးျပဳရသည့္အခါ ေဘးကင္းေစရန္ အတြက္ ကြန္ပ်ဳတာ စက္အတု (Virtual Machine) ကို အသံုးျပဳပါ။


၅. အီးေမးလ္ အတြင္းရွိ အင္တာနက္ လိပ္စာမ်ားကို ဘယ္ေတာ့မွ ကလစ္မလုပ္ပါႏွင့္
အီးေမးလ္အတြင္းပါ၀င္လာသည့္ -
  • လိပ္စာႏွင့္ အင္တာနက္ေနရာမ်ား၊
  • ရုပ္ပံုမ်ား ကို တတ္ႏိုင္သမွ် မည္သည့္ အခ်ိန္တြင္မွ ကလစ္မလုပ္ပါႏွင့္။
  • ၄င္းလိပ္စာမ်ားသည္ပင္ အႏၱရာယ္ျဖစ္ေနျပီး၊


  • Phishing အီးေမလ္မ်ားကို ရွာေဖြ ေဖာ္ထုတ္ႏိုင္ရန္မွာလည္းခက္ခဲသည္။


အကယ္၍ အီးေမးလ္တစ္ေစာင္သည္ အစစ္အမွန္ျဖစ္ေၾကာင္း မေသခ်ာပါက၊ ေဆာင္ရြက္ႏိုင္သည့္ အေကာင္းဆံုးနည္းမွာ ေပးထားေသာ လိပ္စာကို အင္တာနက္ၾကည့္ေဆာ့ဖ္၀ဲ၏ လိပ္စာေဖၚျပသည့္ေနရာတြင္ ကိုယ္တိုင္ရုိက္ျပီး ထည့္သြင္းျခင္းျဖစ္သည္။ ဤနည္းအားျဖင့္ မိမိေရာက္သြားမည့္ေနရာသည္ အစစ္အမွန္ေနရာတစ္ခု ျဖစ္ေၾကာင္း အေတာ္အတန္ အာမခံခ်က္ ရရွိႏိုင္ေပသည္။


ခြ်င္းခ်က္ တစ္ခုေတာ့ ထားရွိရမည္ ျဖစ္သည္။

ဥပမာအားျဖင့္ မိမိ၏လုပ္ေဆာင္မႈ တစ္ခုကို တုုန္႕ျပန္ေပးရန္ ခ်က္ခ်င္း ေပးပို႕လာေသာ အီးေမးလ္မ်ား

(Web site တစ္ခုတြင္ မွတ္ပံုတင္ျခင္း၊ စကား၀ွက္ ေမ့သြားျခင္း ေၾကာင့္ ျပန္ေတာင္းျခင္း/ျပန္ျပင္ျခင္း၊ ကုန္၀ယ္အမွာစာ အတည္ျပဳျခင္း .. စသည္) ကို မိနစ္ပိုင္းအတြင္း ျပန္လည္ တုန္႕ျပန္ ေဆာင္ရြက္ေပးရသည့္ အခါမ်ဳိး အတြက္ ျဖစ္သည္။

-မိမိ၏ လိုအပ္ခ်က္ေၾကာင့္ ခ်က္ခ်င္းေရာက္လာျပီး ခ်က္ခ်င္းတုန္႕ျပန္ေပးရမည့္ အီးေမးလ္မ်ားအတြင္းရွိ လိပ္စာမ်ားမွ အပ၊ အျခားမည္သည့္ အီးေမးလ္မ်ားအတြင္းရွိ လိပ္စာမ်ား၊ ပံုမ်ား ကိုမဆို ကလစ္ မလုပ္ပါႏွင့္။


၆. မိမိ၏ Web mail ကို ကာကြယ္ထားပါ
လူသန္းေပါင္းမ်ားစြာတို႕သည္ နည္းအမ်ဳိးမ်ဳိးျဖင့္ Web mail မ်ားကို အသံုးျပဳလ်က္ ရွိေနၾကသည္။ ၄င္းကို မိမိ၏ ဘဏ္စာရင္း နံပါတ္ ထက္ပင္ လွ်ဳိ၀ွက္ သိမ္းဆည္းထားသင့္ေပသည္။ လူေပါင္းမ်ားစြာတို႕သည္ အေရးၾကီးေသာ အင္တာနက္ ေပၚမွ Account မ်ားကို Web mail လိပ္စာ တစ္ခုတည္းျဖင့္ ရယူ သိမ္းဆည္း ထားတတ္ေလ့ရွိၾကသည္။ အကယ္၍ တစ္စံုတစ္ေယာက္က မိမိ၏ အီးေမးလ္လိပ္စာကို နည္းလမ္းတစ္ခုခုျဖင့္ အသံုးျပဳႏိုင္သြားမည္ဆိုပါက ထိုသူသည္ ၄င္းအီးေမးလ္တြင္ ခ်ိတ္ဆက္ထားေသာ အျခားေသာ Account မ်ားကိုပါ သံုးခြင့္ရသြားမည္ ျဖစ္သည္။

သင့္အေနျဖင့္ ေဆာင္ရြက္ႏိုင္သည့္ အေကာင္းဆံုးအရာတစ္ခုမွာ -
  • အလြယ္တကူ မခန္႕မွန္းႏိုင္ေသာ စကား၀ွက္မ်ဳိးကို အသံုးျပဳျခင္း၊


  • စကား၀ွက္မ်ားကို အနည္းဆံုး ၃ လတစ္ၾကိမ္ ေျပာင္းလဲျခင္း၊


  • ၄င္းစကား၀ွက္ကို အျခားမည္သည့္ေနရာတြင္မွ မသံုးျခင္း၊


  • အလုပ္အမ်ဳိးမ်ဳိးအတြက္ အီးေမးလ္ လိပ္စာ အဆင့္အတန္းအမ်ဳိးမ်ဳိးထားရွိ အသံုးျပဳျခင္း တို႕ ျဖစ္သည္။


အေရးၾကီးေသာ အခ်က္အလက္မ်ားပါ၀င္ေနသည့္ မည္သည့္ အီးေမးလ္ကိုမဆို ဖတ္ရႈျပီးသည့္အခါ ဖ်က္ဆီးပစ္လိုက္ျခင္း သည္လည္း ေကာင္းမြန္ေသာ လုပ္ေဆာင္ခ်က္ တစ္ခု ျဖစ္သည္။

-မိမိ၏ အီးေမးလ္ စကား၀ွက္ ကို ေကာင္းစြာ ကာကြယ္ထားပါ။ အေရးၾကီးေသာ အေၾကာင္းအရာမ်ားကို အီးေမးလ္ Inbox ထဲတြင္ သိမ္းမထားပါႏွင့္။ အမ်ားႏွင့္ သက္ဆိုင္ေသာ၊ လူမ်ားစုအတြက္ ခ်ေပးရမည့္ အီးေမးလ္လိပ္စာကို အျခား အေရးၾကီးေသာ ေနရာမ်ားတြင္ မသံုးပါႏွင့္။


၇. ရွည္လ်ားေသာ အင္တာနက္လိပ္စာမ်ားကို သတိထားပါ
အကယ္၍ အင္တာနက္လိပ္စာ တစ္ခုသည္ စာေၾကာင္း တစ္ေၾကာင္းထက္ပိုမိုိုရွည္လ်ားျပီး၊ ရာခိုင္ႏႈန္း သေကၤတမ်ား % ျဖင့္ ေျပာင္းလဲ ေဖာ္ျပထားပါက အထူးသတိျပဳသင့္သည္။ အကယ္၍ အင္တာနက္လိပ္စာ တစ္ခု၏ သဘာ၀ အမွန္ကို မသိပါက ၄င္းတို႕ကို မူရင္း သေကၤတ အျဖစ္ ျပန္ေျပာင္းျပီး အတြင္းတြင္ HTML သေကၤတမ်ား ပါ၀င္ေနျခင္း ရွိမရွိ စစ္ေဆးပါ။

-HTML သေကၤတမ်ား ပါ၀င္ေနပါက ၄င္းလိပ္စာကို ကလစ္မလုပ္ပါႏွင့္။


၈. URL အတိုခ်ဳံးေပးေသာ ၀န္ေဆာင္မႈမ်ား
URL အတိုခ်ဳံးေပးေသာ ၀န္ေဆာင္မႈမ်ားကို သတိထားပါ။ အခ်ဳိ႕ေသာ အင္တာနက္လူဆိုးမ်ားသည္ မိမိတို႕၏ ေကာက္က်စ္ေသာ အင္တာနက္လိပ္စာမ်ားကို ကြယ္၀ွက္ႏိုင္ရန္အတြက္ TinyURL, snipURL, notlong, shorl, ႏွင့္ doiop တို႕ကဲ့သို႕ေသာ အင္တာနက္လိပ္စာ ေျပာင္းေပးသည့္ ၀န္ေဆာင္မႈမ်ားကို သံုးေလ့ရွိၾကသည္။ ထိုကဲ့သို႕ေသာ လိပ္စာမ်ားကို စစ္ေဆးႏိုင္ရန္အတြက္ လိုအပ္ပါက Command Line ထဲတြင္ ရိုက္ထည့္ျပီး တိုက္ရိုက္ စစ္ေဆး ၾကည့္ႏိုင္သည္။ အကယ္၍ လိပ္စာ အစစ္အမွန္ျဖစ္ပါက အမွန္အတိုင္းလမ္းညႊန္မည္ ျဖစ္သည္။ ယခုကဲ့သို႕ လိပ္စာေျပာင္းေပးေသာ ၀န္ေဆာင္မႈမ်ားသည္လည္း ၄င္းတို႕ထံေရာက္လာေသာ လိပ္စာ မွန္မမွန္ကို အာမခံႏိုင္မည္ မဟုတ္ေပ။
-ထို႕ေၾကာင့္ မည္သည့္ ေနရာကိုမဆို ကလစ္ လုပ္ေတာ့မည္ဆိုပါက အထူးသတိထားရန္လိုမည္ ျဖစ္ေပသည္။ မသိေသာ၊ သံသယရွိေနေသာ လိပ္စာမ်ားကို ကလစ္မလုပ္ပါႏွင့္။


သတိျပဳေစလိုသည္မွာ - ယခုေဖာ္ျပထားေသာ အခ်က္မ်ား သည္လည္း မိမိတို႕ကို အေတာ္အသင့္ မွ်သာ အကာအကြယ္ေပးႏိုင္မည္ျဖစ္ျပီး ရာႏႈန္းျပည့္ အကာအကြယ္ ေပးႏိုင္မႈအတြက္ သက္ဆိုင္သူ တစ္ဦးခ်င္းစီ အေနျဖင့္ အျမဲမျပတ္ ဆက္လက္ ေလ့လာသြားရန္ အထူးပင္ အေရးၾကီးလွပါေၾကာင္း -


REF -
- http://en.wikipedia.org/wiki/Xss
- http://www.cgisecurity.com/articles/xss-faq.shtml
- XSS Attacks - CROSS SITE SCRIPTING EXPLOITS AND DEFENSE by Syngress

No comments:

Post a Comment