NoRedirect คืออะไร

NoRedirect คือ Add-ons บน Firefox ที่เหล่า Hacker มักจะนำมาใช้ในทางที่ผิด โดยการทำงานของมันคือจะไม่รับการถูก Redirect จากเว็บไซต์ที่ผู้ใช้ได้กำหนดไว้

การป้องกัน

การใส่ die(); อาจจะเป็นวิธีที่ดีที่สุดของปัญหานี่ครับ เพราะว่า นักพัฒนา PHP มือใหม่ หลายๆคนอาจจะเขียนโค้ดประมาณนี้ (ยกตัวอย่างง่ายๆ ก็มันนึกตัวอย่างไม่ค่อยออกอะ 55)

ยกตัวอย่างไฟล์หน้าเว็บแอดมิน admin.php
if(!isset($_SESSION['alive'])) {
    header('Location: login.php');
}

จากโค้ดหมายความว่า หากถูกเข้าถึงหน้า admin.php โดยตรง โดยที่ไม่มีตัวแปร Session ที่ชื่อว่า alive มาด้วย (แสดงว่าผู้ใช้ยังไม่ได้ Login) ก็จะ Redirect ไปที่หน้า login.php ให้ ซึ่งถ้าผู้พัฒนาทำไปแบบส่งๆแบบนี้ก็สามารถถูก Hack ได้แน่นอนครับ เพราะว่า จากโค้ดถึงแม้จะ Redirect ไปที่หน้า Login ก็จริง แต่ถ้าลองคิดกลับกันดูว่า หากไม่ถูก Redirect ล่ะจะเป็นยังไง?

ผลคือ ผู้โจมตีก็สามารถบล็อกไม่ให้หน้าเว็บ Redirect กลับมาที่หน้า login.php ได้ ทำให้เมื่อผู้โจมตีเข้าสู่หน้า admin.php ก็จะไม่ถูก Redirect ไปที่ login.php ทำให้ยังอยู่ที่หน้าเว็บ admin.php ก็จะสามารถ Hack ได้อย่างง่ายดาย ถึงแม้จะไม่มีค่า Session alive มาด้วยก็ตาม

ยกตัวอย่างไฟล์หน้าเว็บแอดมิน admin.php ที่มี die();
if(!isset($_SESSION['alive'])) {
    header('Location: login.php');
    die();
}

ซึ่งการนำ die(); มาใส่แบบโค้ดข้างต้นก็จะเหมือนว่าจะหยุดการรันโค้ดหลังจากนี้ ทำให้ผู้โจมตีที่บล็อกการ Redirect และเข้ามาที่หน้า admin.php ได้ ก็จะเห็นแค่หน้าเว็บก็จะโล่งๆ เพราะโค้ดได้ทำการสั่งให้ die(); ไปเรียบร้อยแล้ว

สำหรับเพื่อนคนไหนที่อยากได้ NoRedirect ไปลองทดสอบระบบก็สามารถ Download ได้ตรงนี้เลย Download NoRedirect Add-ons


หากผมให้ข้อมูลตรงไหนผิดพลาดประการใด ก็สามารถคอมเม้นบอกได้เลยนะครับ จะรีบอัพเดทให้เร็วที่สุด

บทความที่ถูกอ่านล่าสุด

ป้องกันการถูก Bypass Login จาก Add-ons NoRedirect ของ Firefox

NoRedirect คืออะไร NoRedirect คือ Add-ons บน Firefox ที่เหล่า Hacker มักจะนำมาใช้ในทางที่ผิด โดยการทำงานของมันคือจะไม่รับการถูก Redirect จากเว็บไซต์ที่ผู้ใช้ได้กำหนดไว้ ...

ที่อยู่: 3.233.220.21

ทำความรู้จักกับ ไวรัส และ มัลแวร์

ไวรัส และ มัลแวร์ แตกต่างกันอย่างไร? ไวรัส (Virus) กับ มัลแวร์ (Malware) จริง ๆ แล้ว เราต้องเข้าใจก่อนว่า ไวรัส คือคำจำกัดความที่ใช้เรียกมัลแวร์...

ที่อยู่: 3.233.220.21

ทำความรู้จักกับ Algorithm

Algorithm (อัลกอริทึ่ม) คือ กระบวนการแก้ปัญหาหรือวิธีการคิดคำนวนที่สามารถอธิบายออกมาเป็นขั้นตอนที่ชัดเจนได้ โดยพูดให้เข้าใจง่ายๆคือ การอธิบา...

ที่อยู่: 3.233.220.21

แก้ปัญหา Disk และ CPU ขึ้น 100% ใน Task manager (Windows)

เพื่อนๆ หลายๆคนที่ใช้ Windows 8 หรือ Windows 10 บน Laptop อาจจะกำลังเจอกับปัญหา เครื่องหน่วง, เครื่องค้าง พอเปิด Task manager ดูจะพบว่า Disk และ CPU ขึ้นเต็ม 100% โดยจะแ...

ที่อยู่: 182.232.139.19

สาเหตุของการเกิดช่องโหว่ SQL Injection และวิธีป้องกัน

สาเหตุของการเกิดช่องโหว่ SQL Injection เกิดจากการที่เว็บนำข้อมูลที่ผู้ใช้ป้อน มาสั่ง Query โดยที่ไม่ได้ตรวจสอบว่าข้อมูลนั้นมีความถูกต้องเหมาะ...

ที่อยู่: 3.233.220.21


บทความแนะนำ

ทำให้เว็บไซต์เป็น HTTPS ง่ายๆ ด้วย Let's Encrypt บน Ubuntu 16

เริ่ม Host เว็บไซต์ของตัวเองที่บ้านง่ายๆ โดยใช้ Microsoft IIS

CName Record คืออะไร?

วิธีสมัครใช้งาน ฟรีแชร์โฮสของ Costerraid Studio

ยอดอ่านสูงสุด

แก้ปัญหา Disk และ CPU ขึ้น 100% ใน Task manager (Windows)

Hardware

Storage


พื้นที่ว่างคงเหลือ 841.23 GB

ติดตามเราบน Facebook