HTML Injection – The Cross-Site Scripting (XSS)

HTML Injection – The Cross-Site Scripting (XSS)

XSS – Có lẽ mọi người đã biết.Tôi xin tổng hợp lại một số kiến thức cơ bản dưới đây

HTML Injection – The Cross-Site Scripting (XSS)

1. XSS là gì ?

- Là từ gọi tắt của Cross-Site Scripting – gọi XSS để phân biệt với CSS - là cách chèn mã script vào website qua các form nhập liệu trên website đó.

- Đoạn script sử dụng có thể là javascript, jscript, vbscript… với chức năng của chúng là truy tìm mật khẩu, username.. của người dùng. Đôi khi là những thẻ HTML (html tag) để phá hủy giao diện, đưa người đến trang web độc hại..

- Nhận diện cơ bản và thông thường nhất mà các website hay gặp là link website có dạng:

http://www.domainname.vn//index.php?pg=news&cat=.

2. Cách phát hiện Website bị lỗi này:

- Sử dụng nhiều chương trình dò quét lỗi của ứng dụng web.

Web  ulnerability Scanner

- Thủ công:

  1. Mở website cần kiểm tra
  2. Xác định các nơi cần kiểm tra XSS (thông thường là những form trong website như: search, error message, web form)
  3. Xác minh khả năng site có bị lỗi XSS hay không bằng cách xem các thông tin trả về sau khi nhập.
  4. Khi đã xác định chỗ có khả năng bị dính lỗi XSS thì chúng ta sẽ chèn những đoạn code của chúng ta vào để thử tiếp,chẳng hạn: “< script>alert(‘XSS’)< /script>” nếu ta nhận được một popup có chữ “XSS” website này đã bị lỗi XSS. Đôi khi website không xuất hiện popup nhưng khi VIEW SOURCES ta lại phát hiện đoạn script ta đã nhập thì website đó vẫn là website bị lỗi XSS.

3. Cách lợi dụng lỗ hổng:

- Tùy theo mục tiêu mà có những cách tấn công website khác nhau.

- Tiêu biểu là trường hợp chèn mã để đánh lửa người dùng như sau:

  1. Tạo một mail giả dạng đưa thông tin hấp dẫn để lừa người dùng. Rồi tạo ra đường link giả. (nên chọn tên miền gần giống với site bị lỗi – dành cho trường hợp site không thể lấy data trực tiếp)
  2. Chèn mã để reference đến trang của chúng ta sau khi người dùng nhập username, password – nếu không thề lấy data trực tiếp. Hoặc chèn mã tự nhận data và truyền về site của chúng ta.
  3. Xử lý dữ liệu trả về và nếu là từ website bị lỗi reference qua thì phải redirect trở lại ngay khi xử lý xong.
  4. Ung dung ngồi chờ kết quả.

4. Phòng chống:

- Vì tính chất của XSS là dùng client-script nên ta có thể phòng chống được bằng nhiều cách. Trong đó, thường sử dụng nhất là mã hóa tất cả thông tin người dùng nhập vào (encode) và khi xuất ra chỉ việc hiển thị đúng những thông tin đó.

- Chúng ta cũng có thể khóa những tag, ký tự ngy hiểm. Tuy nhiên, việc này không hiệu quả lắm vì đôi khi ta sẽ quên một số ký tự đặc biệt.

5. Phạm vi XSS:

Cookies
RAM Cookies
Name of window
HTML - DOM

Tham khảo:  http://www.cgisecurity.com/xss-faq.html

Bạn thấy bài viết này như thế nào?: 
No votes yet
Ảnh của Tommy Tran

Tommy owner Express Magazine

Drupal Developer having 9+ year experience, implementation and having strong knowledge of technical specifications, workflow development. Ability to perform effectively and efficiently in team and individually. Always enthusiastic and interseted to study new technologies

  • Skype ID: tthanhthuy

Tìm kiếm bất động sản

 

Advertisement

 

jobsora

Dich vu khu trung tphcm

Dich vu diet chuot tphcm

Dich vu diet con trung

Quảng Cáo Bài Viết

 
Drupal world có cần Kalabox? và kalabox là gì

Drupal world có cần Kalabox? và kalabox là gì

Before Kalabox, developers lost time performing repeatable tasks like setting up local development servers, constructing vhosts and configuring advanced functionality. Kalabox brings advanced tools together and puts them in the hands of novices and pros via a one-click installer.

Hiển thị Bootstrap Components sử dụng Views Bootstrap

Hiển thị Bootstrap Components sử dụng Views Bootstrap

Bootstrap is a mobile first front-end framework that allows a developer to build websites quickly. The framework comes with a lot of reusable CSS styles, components and jQuery plugins.

30 ví dụ về quảng cáo in thông minh

Quảng cáo in phải thực sự bắt mắt và hấp dẫn thì mới thu hút được sự chú ý của người xem. Trong bài này bạn sẽ thấy một số ví dụ về quảng cáo thông minh và những thông điệp khéo léo mà các quảng cáo này thể hiện.

Công ty diệt chuột T&C

 

Diet con trung