|
|
|
สอบถามเรื่องเว็บโดนโจมตีโดยการฝัง script โดยที่เรามองไม่เห็น เราต้องแก้ไขยังไงครับ |
|
|
|
|
|
|
|
ถ้ามั่นใจว่าโดนจริง(ไม่ใช่เพราะตัวเองไปอนุญาตเอง)
เบื้องต้นให้ implement CSP(Content Security Policy)
เพื่อป้องกันการโจมตีแบบ XSS (cross-site scripting)
ตัวอย่างการทำ CSP
protected void Application_BeginRequest(object sender, EventArgs e)
{
string cspHeader = "default-src 'self'; script-src 'self'; style-src 'self';";
Response.Headers.Add("Content-Security-Policy", cspHeader);
}
นี่เป็นแค่การเกริ่นนำ รายละเอียดมีเยอะมาก ลองนำคีย์เวิร์ดไปค้นดู
ถ้าไม่อยู่หน้างาน คนอื่นไม่มีทางรู้ ไม่ใช่เรื่องง่ายที่จะเดาๆ ไป
เพราะมีปัจจัยหลายๆ อย่างที่ต้องดูประกอบ เช่น
เวอร์ชันของ library, server logs, check DB, ตรวจสอบ traffic, ...ฯลฯ
ส่งเหล่านี้ต้องให้คนทำเป็นคนตรวจสอบเท่านั้น (ไม่งั้นจ้างโปรมาช่วย...แต่แพงโคตรถึงหลักแสน)
แต่มีเคล็ดไม่ลับ ง่ายๆ ดับ server เป็น offline แล้วเริ่มใหม่ โดยเขียนแบบมี security ด้วย (ส่วนวิธีค้นในเน็ตมีเยอะ)
การทำงานทุกครั้งอย่าลืม back up ข้อมูลไว้เรื่อย เมื่อโดนก็นำตัวสำรองมาใช้ได้เลยน ไม่ต้องนับ 0 ใหม่
หวังว่าจะพอไขข้อสงสัยได้บ้าง
|
|
|
|
|
Date :
2023-08-12 10:14:57 |
By :
009 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Load balance : Server 04
|