การปลอมแปลงเนื้อหาเป็นคำที่ใช้กำหนดประเภทของการโจมตีโดยโปรแกรมเมอร์ที่ประสงค์ร้ายซึ่งนำเสนอเว็บไซต์ปลอมว่าเป็นเว็บไซต์ที่ถูกต้องแก่ผู้ใช้โดยการฉีดข้อความหรือการฉีด html เมื่อเว็บแอปพลิเคชันไม่จัดการข้อมูลที่ผู้ใช้ให้มาอย่างเหมาะสมโดยใช้การค้นหา ฯลฯ ผู้โจมตีสามารถใช้ประโยชน์จากสถานการณ์ดังกล่าวและใส่พารามิเตอร์เพิ่มเติมที่ผู้ใช้มองข้ามไป ซึ่งนำไปสู่การเชื่อมโยงไปถึงหน้าเว็บอื่นที่มีลักษณะเหมือนกับหน้าเว็บเดิม หน้านั้นสามารถขอให้ผู้ใช้ป้อนข้อมูลที่เป็นความลับและนำไปสู่อันตรายร้ายแรงหากปล่อยออก
การฉีดพื้นฐานสองประเภทคือ
- ฉีด HTML
- การแทรกข้อความ
ฉีด HTML
- ผู้โจมตีพบเว็บแอปพลิเคชันที่มีช่องโหว่
- ผู้โจมตีส่ง URL ที่แก้ไขไปยังผู้ใช้ไม่ว่าด้วยวิธีใดก็ตาม โดยปกติแล้วจะผ่านทางอีเมล URL นี้มีข้อความแทรก
- เมื่อคลิกที่ URL ผู้ใช้จะไปยังหน้าเว็บของผู้โจมตี ดูเหมือนว่าถูกต้อง
- ผู้ใช้ถามข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน หมุดการ์ด ฯลฯ
- ข้อมูลนี้จะถูกโอนไปยังเซิร์ฟเวอร์ของผู้โจมตี
ตัวอย่าง
บางไซต์ส่งเนื้อหา html ใน url เป็นพารามิเตอร์ด้วย โดยปกติแล้วจะอยู่ภายในแท็ก div ซึ่งทำให้เกิดช่องโหว่อย่างมาก
www.testing.com/siteAdcontent?divMessage=
คลิกที่นี่!!
สามารถปรับเปลี่ยนเป็น −
www.testing.com/siteAdcontent?divMessage= ห้ามคลิก!!
การใส่ข้อความ
- ผู้โจมตีพบเว็บแอปพลิเคชันที่มีช่องโหว่
- ผู้โจมตีแก้ไขค่าของพารามิเตอร์ที่ส่งผ่านใน URL
- ลิงก์คำขอหน้าที่มีรูปแบบไม่ถูกต้องจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
- ขณะนี้หน้าเว็บที่ถูกต้องจะแสดงข้อมูลเท็จตามพารามิเตอร์
- เกิดขึ้นเมื่อข้อความถูกส่งผ่านพารามิเตอร์คำขอ
ตัวอย่าง
www.testing.com/loginAction?userName=abc&password=123 สามารถต่อท้ายเป็น
www.testing.com/loginAction?errorMessage=PasswordEmpty URL ใหม่นี้สามารถนำผู้ใช้ไปยังหน้าเว็บที่แสดงเนื้อหาที่เป็นเท็จและอาจทำให้ผู้ใช้ขุ่นเคืองได้
