HTML Injection – The Cross-Site Scripting (XSS)

HTML Injection – The Cross-Site Scripting (XSS)

XSS – Có lẽ mọi người đã biết.Tôi xin tổng hợp lại một số kiến thức cơ bản dưới đây

HTML Injection – The Cross-Site Scripting (XSS)

1. XSS là gì ?

- Là từ gọi tắt của Cross-Site Scripting – gọi XSS để phân biệt với CSS - là cách chèn mã script vào website qua các form nhập liệu trên website đó.

- Đoạn script sử dụng có thể là javascript, jscript, vbscript… với chức năng của chúng là truy tìm mật khẩu, username.. của người dùng. Đôi khi là những thẻ HTML (html tag) để phá hủy giao diện, đưa người đến trang web độc hại..

- Nhận diện cơ bản và thông thường nhất mà các website hay gặp là link website có dạng:

http://www.domainname.vn//index.php?pg=news&cat=.

2. Cách phát hiện Website bị lỗi này:

- Sử dụng nhiều chương trình dò quét lỗi của ứng dụng web.

Web  ulnerability Scanner

- Thủ công:

  1. Mở website cần kiểm tra
  2. Xác định các nơi cần kiểm tra XSS (thông thường là những form trong website như: search, error message, web form)
  3. Xác minh khả năng site có bị lỗi XSS hay không bằng cách xem các thông tin trả về sau khi nhập.
  4. Khi đã xác định chỗ có khả năng bị dính lỗi XSS thì chúng ta sẽ chèn những đoạn code của chúng ta vào để thử tiếp,chẳng hạn: “< script>alert(‘XSS’)< /script>” nếu ta nhận được một popup có chữ “XSS” website này đã bị lỗi XSS. Đôi khi website không xuất hiện popup nhưng khi VIEW SOURCES ta lại phát hiện đoạn script ta đã nhập thì website đó vẫn là website bị lỗi XSS.

3. Cách lợi dụng lỗ hổng:

- Tùy theo mục tiêu mà có những cách tấn công website khác nhau.

- Tiêu biểu là trường hợp chèn mã để đánh lửa người dùng như sau:

  1. Tạo một mail giả dạng đưa thông tin hấp dẫn để lừa người dùng. Rồi tạo ra đường link giả. (nên chọn tên miền gần giống với site bị lỗi – dành cho trường hợp site không thể lấy data trực tiếp)
  2. Chèn mã để reference đến trang của chúng ta sau khi người dùng nhập username, password – nếu không thề lấy data trực tiếp. Hoặc chèn mã tự nhận data và truyền về site của chúng ta.
  3. Xử lý dữ liệu trả về và nếu là từ website bị lỗi reference qua thì phải redirect trở lại ngay khi xử lý xong.
  4. Ung dung ngồi chờ kết quả.

4. Phòng chống:

- Vì tính chất của XSS là dùng client-script nên ta có thể phòng chống được bằng nhiều cách. Trong đó, thường sử dụng nhất là mã hóa tất cả thông tin người dùng nhập vào (encode) và khi xuất ra chỉ việc hiển thị đúng những thông tin đó.

- Chúng ta cũng có thể khóa những tag, ký tự ngy hiểm. Tuy nhiên, việc này không hiệu quả lắm vì đôi khi ta sẽ quên một số ký tự đặc biệt.

5. Phạm vi XSS:

Cookies
RAM Cookies
Name of window
HTML - DOM

Tham khảo:  http://www.cgisecurity.com/xss-faq.html

Bạn thấy bài viết này như thế nào?: 
No votes yet
Ảnh của Tommy Tran

Tommy Tran owner Express Magazine

Drupal Developer having 9+ year experience, implementation and having strong knowledge of technical specifications, workflow development. Ability to perform effectively and efficiently in team and individually. Always enthusiastic and interseted to study new technologies

  • Skype ID: tthanhthuy
  • Phone/Zalo: (+84) 944 225 212
  • WhatsApp: (+84) 944 225 212
  • Line Messenger: (+84) 944 225 212
  • Email: asaleotestf@gmail.com
  • Telegram Messenger: https:/t.me/tommytran0401

Quảng cáo việc làm

 

Thích hợp các bạn nữ mảng thợ may làm việc tại nước NGA

Đơn hàng Tuyển dụng 100 Thợ may đi Nga(đợt 1 tháng 3.2021, đợt 2 tháng 5.2021). Lương thực lãnh 800 USD, bao ăn ở, vé máy bay và visa, phí xuất cảnh(1800 USD)trả khi đi làm có lương. Bạn có thể liên hệ CÔNG TY qua Phone/Zalo: (+84) 944 225 212. Công ty sẽ tư vấn cho bạn.

Xem chi tiết: >>> https://bit.ly/3o9NOfR

Tìm kiếm bất động sản

 

Advertisement

 

jobsora

Dich vu khu trung tphcm

Dich vu diet chuot tphcm

Dich vu diet con trung

Quảng Cáo Bài Viết

 
Free Download file PSD mừng xuân năm mới Canh Tý thiệp tết 2020

Free Download file PSD mừng xuân năm mới Canh Tý thiệp tết 2020

Chào đón xuân năm mới Canh Tý 2020 bằng bộ PSD thiệp tết 2020 đẹp ấn tượng, file PSD thiệp chúc tết mừng xuân 2020, psd tết 2020 free download, link tải nhanh.

Hướng dẫn sử dụng Email theo tên miền với Windows Live Admin Center

Hướng dẫn sử dụng Email theo tên miền với Windows Live Admin Center

Sử dụng Email theo tên miền là một trong những tiêu chí tạo dựng thương hiệu của bạn, góp phần nâng cao sự chuyên nghiệp trong giao dịch kinh doanh và quản lý hệ thống nhân viên trong công ty.

Samsung cạnh tranh mạnh mẽ với Nokia về di động

Samsung cạnh tranh mạnh mẽ với Nokia về di động

Cơ quan nghiên cứu thị trường Strategy Analytics ngày 9/11 cho biết Samsung Electronics, nhà sản xuất điện thoại di động lớn thứ hai thế giới, đã trở thành hãng