วิธีการสร้าง Form ป้องกันการโจมตีแบบ CSRF ใน Joomla

 

การสร้างฟอร์มป้องกันการโจมตีแบบ CSRF เป็นการโจมตีแบบการดึงข้อมูลที่ส่มมาจากฟอร์ม
การสร้างฟอร์มป้องกันแบบ CSRF (ซีเอสอาเอฟ)

 

         ในการสร้างฟอร์มเราก็จะต้องมีการส่งค่าที่ผู้ใช้งานกรอกเข้าไปเพื่อเอาไปทำการต่างๆไม่ว่าจะเอาไปเก็บไว้ลงฐานข้อมูลและเอาไปเพื่อกระทำการต่างๆที่เป็นเกี่ยวกับธุรกรรมทางการเงินหรือเป็นการ Login หรือ การเอาไปคำนวณต่างๆเราก็จะต้องป้องกันการโดนโจรกรรมข้อมูลจากผู้ที่ไม่หวังดีหรือพวกแฮกเกอร์ต่างโดยในการโจมตีของแฮกเกอร์ที่นิยมมาโจมดีเว็บไซต์จะโจมตีกันแบบ CSRF หรือ Cross-site Request Forgery (ครอส ไซต์ ริคเวซท์ ฟอร์เจอะรี) โดยตัว CSRF เป็นการโจมตีโดยการใช้ตัวตนและสิทธิ์ของเหยื่อที่มีบนเว็บไซต์โดยจะทำการปลอมตัวเป็นเหยื่อและกระทำการหรือธุรกรรมไม่พึงประโยชน์จากเหยื่อที่มีการ Login Cookies เก็บไว้ในเบราเซอร์ จึงทำให้เว็บไซต์ที่เป็นพวก E-Commerce หรือเว็บธนาคารต่างที่มีการส่ง Cookie ไปเก็บข้อมูลการพิสูจน์ตัวตนของผู้ใช้งานจึงทำให้ผู้ใช้งานตกเป็นเหยื่อของการโจมตีแบบ CSRF ไปได้จึงทำให้ผู้พัฒนาระบบเขียนโค้ดเพื่อป้องกันโดยการใช้ token เพื่อใช้ในการเช็คอีกทีนึง โดยสามารถเขียนโค้ดได้ดังนี้

 

วิธีการสร้าง Form ป้องกันการโจมตีแบบ CSRF ได้ดังนี้

  1. สร้างหน้าฟอร์มมาในไฟล์ default.php ที่อยู่ในโฟลเดอร์ tmpl ที่อยู่ในโฟลเดอร์ view อีกทีนึง
  2. จากนั้นเพิ่มโค้ด token ไปก่อนที่จะปิด <from> ดังโค้ดตัวอย่าง
    <form action="<?php echo JRoute::_('index.php?option=com_test&view=testmindphp') ?>" method="post" name="adminForm" id="adminForm">
    <input type="text" name="username">
    <input type="password" name="password">
    <input type="submit" name="submit">
    
    <?php echo JHtml::_('form.token'); ?>
    </form>​
  3. จากนั้นในไฟล์ .php ที่อยู่ในโฟลเดอร์ controllers จะต้องเพิ่มฟังก์ชันใน class ที่อยู่ในไฟล์นั้นและจากนั้นก็เพิ่มโค้ดเช็ค token อีกครั้งนึกว่าฟอร์มที่ทำการ Submit มามีการส่งค่า token มาด้วยไหมถ้าไม่มีการส่งค่า token มาตัว controllers ก็จะไม่ทำงานโดยเพิ่มดังโค้ด
    Joomla\CMS\Factory::getSession()->checkToken() or die('Invalid Token');​

           เมื่อเรามีการสร้างฟอร์มเพื่อป้องกันการโจมตีแบบ CSRF แล้วก็สามารถป้องกันพวกแฮ็กเกอร์ได้แล้วเพราะถ้าหากฟอร์มนั้นไม่ส่งตัว token มาตัว controllers ก็จะไม่ทำงานและจะไม่อนุญาติให้ใช้งานได้

 

ช่องทางการศึกษาเพิ่มเติมข่าวที่น่าสนใจเกี่ยวกับ : Joomla

 

กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
หลอด T8 LED วิวัฒนาการของวงการหลอดไฟ
โดย admeadme พฤ 25 ม.ค. 2024 9:23 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
623
พฤ 25 ม.ค. 2024 9:23 am โดย admeadme View Topic หลอด T8 LED วิวัฒนาการของวงการหลอดไฟ
ปัญหา เร้าเตอร์เน็ต ขึ้น los สีแดง
โดย Thanavat_n พ 24 ม.ค. 2024 4:28 pm บอร์ด ถาม - ตอบ คอมพิวเตอร์
1
374
พ 24 ม.ค. 2024 4:29 pm โดย Thanavat_n View Topic ปัญหา เร้าเตอร์เน็ต ขึ้น los สีแดง
ใช้โปรแกรมอะไรดีสุดครับ จะอัพโค้ด PHP ขึ้นโฮส ทำการเช่าโฮสไว้แล้ว
โดย Anonymous อ 23 ม.ค. 2024 10:46 am บอร์ด Programming - PHP
1
1369
พ 24 ม.ค. 2024 7:47 am โดย mindphp View Topic ใช้โปรแกรมอะไรดีสุดครับ จะอัพโค้ด PHP ขึ้นโฮส ทำการเช่าโฮสไว้แล้ว
ภาษา Lua ตอนที่ 9 : ตัวดำเนินการตรรกะ
โดย worramaitk พฤ 18 ม.ค. 2024 5:17 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
632
พฤ 18 ม.ค. 2024 5:17 pm โดย worramaitk View Topic ภาษา Lua ตอนที่ 9 : ตัวดำเนินการตรรกะ
ภาษา Lua ตอนที่ 8 : ตัวดำเนินการ
โดย worramaitk พฤ 18 ม.ค. 2024 4:55 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
483
พฤ 18 ม.ค. 2024 4:55 pm โดย worramaitk View Topic ภาษา Lua ตอนที่ 8 : ตัวดำเนินการ
ภาษา Lua ตอนที่ 7 : ชนิดข้อมูล Table (2)
โดย worramaitk พฤ 18 ม.ค. 2024 4:02 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
708
พฤ 18 ม.ค. 2024 4:02 pm โดย worramaitk View Topic ภาษา Lua ตอนที่ 7 : ชนิดข้อมูล Table (2)
ภาษา Lua ตอนที่ 6 : ชนิดข้อมูล Table (1)
โดย worramaitk พฤ 18 ม.ค. 2024 3:34 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
296
พฤ 18 ม.ค. 2024 3:34 pm โดย worramaitk View Topic ภาษา Lua ตอนที่ 6 : ชนิดข้อมูล Table (1)
การใช้งานโปรแกรมเครื่องคิดเลขโอเพนซอร์ส Qalculate! สำหรับคำนวณสิ่งต่างๆ ในชีวิตประจำวัน
โดย worramaitk พฤ 18 ม.ค. 2024 3:10 pm บอร์ด Microsoft Office Knowledge & line & Etc
0
197
พฤ 18 ม.ค. 2024 3:10 pm โดย worramaitk View Topic การใช้งานโปรแกรมเครื่องคิดเลขโอเพนซอร์ส Qalculate! สำหรับคำนวณสิ่งต่างๆ ในชีวิตประจำวัน