%20(1)%20(1).png.png)
BÁO CÁO - Kỹ Thuật Tấn Công XSS
Website ngày nay rất phức tạp và thƣờng là các web động, nội dung của web đƣợc cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Và hầu hết các website này dùng Cookie để xác thực ngƣời dùng.
Điều này đồng nghĩa với việc Cookie của ai thì ngƣời đó dùng, Nếu lấy đƣợc Cookie ngƣời dùng nào Hacker sẽ giả mạo đƣợc chính ngƣời dùng đó(điều này là hết sức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiều cách để các hacker làm việc đó, ở đây tôi xin trình bày một trong những cách mà hacker thƣờng dùng, đó chính là họ nhờ vào lỗi Cross Site Scripting(XSS).
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những ngƣời sử dụng web. Bất kì một website nào cho phép ngƣời sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.
NỘI DUNG:
I. GIỚI THIỆU CHUNG ................................................................................................. 4
II. GIỚI THIỆU VỀ XSS ................................................................................................. 5
1. Tìm hiểu XSS ........................................................................................................... 5
2. Hai hình thức tồn tại của XSS .................................................................................. 5
2.1. Stored XSS ......................................................................................................... 5
2.2. Reflected XSS .................................................................................................... 6
3. Mức độ nguy hiểm của XSS ..................................................................................... 7
4. Mục tiêu mà XSS hƣớng tới. .................................................................................... 8
III.HOẠT ĐỘNG CỦA XSS ........................................................................................... 9
IV.CẢNH GIÁC VỚI XSS ............................................................................................ 12
V. KIỂM TRA LỖI XSS ............................................................................................... 14
1. Sử dụng Tool .......................................................................................................... 14
2. Thử bằng Code ....................................................................................................... 14
VI. KHAI THÁC LỖI XSS ........................................................................................... 16
1.Tóm tắt các bƣớc thực hiện ..................................................................................... 17
2. Các cách thực hiện .................................................................................................. 18
2.1. Nghiên cứu cách lấy cookies: .......................................................................... 18
2.2.Nghiên cứu cách lấy account. ........................................................................... 18
2.3. Tấn Công XSS Bằng Flash .............................................................................. 19
3. Attacker dùng XSS để lừa đảo ............................................................................... 22
4. Cách vƣợt qua cơ chế lọc ký tự .............................................................................. 22
3 AN NINH MẠNG
VII. PHÒNG CHỐNG XSS ........................................................................................... 23
1. Với những dữ liệu ngƣời thiết kế và phát triển ứng dụng Web ........................... 23
2. Đối với ngƣời dùng. ............................................................................................. 26
VIII. PHẠM VI VÀ TÍNH KHẢ THI CỦA PHƢƠNG PHÁP TẤN CÔNG BẰNG XSS
........................................................................................................................................ 27
IX. ĐÁNH GIÁ .............................................................................................................. 27
TÀI LIỆU THAM KHẢO: ............................................................................................ 28
Website ngày nay rất phức tạp và thƣờng là các web động, nội dung của web đƣợc cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Và hầu hết các website này dùng Cookie để xác thực ngƣời dùng.
Điều này đồng nghĩa với việc Cookie của ai thì ngƣời đó dùng, Nếu lấy đƣợc Cookie ngƣời dùng nào Hacker sẽ giả mạo đƣợc chính ngƣời dùng đó(điều này là hết sức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiều cách để các hacker làm việc đó, ở đây tôi xin trình bày một trong những cách mà hacker thƣờng dùng, đó chính là họ nhờ vào lỗi Cross Site Scripting(XSS).
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những ngƣời sử dụng web. Bất kì một website nào cho phép ngƣời sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.
NỘI DUNG:
I. GIỚI THIỆU CHUNG ................................................................................................. 4
II. GIỚI THIỆU VỀ XSS ................................................................................................. 5
1. Tìm hiểu XSS ........................................................................................................... 5
2. Hai hình thức tồn tại của XSS .................................................................................. 5
2.1. Stored XSS ......................................................................................................... 5
2.2. Reflected XSS .................................................................................................... 6
3. Mức độ nguy hiểm của XSS ..................................................................................... 7
4. Mục tiêu mà XSS hƣớng tới. .................................................................................... 8
III.HOẠT ĐỘNG CỦA XSS ........................................................................................... 9
IV.CẢNH GIÁC VỚI XSS ............................................................................................ 12
V. KIỂM TRA LỖI XSS ............................................................................................... 14
1. Sử dụng Tool .......................................................................................................... 14
2. Thử bằng Code ....................................................................................................... 14
VI. KHAI THÁC LỖI XSS ........................................................................................... 16
1.Tóm tắt các bƣớc thực hiện ..................................................................................... 17
2. Các cách thực hiện .................................................................................................. 18
2.1. Nghiên cứu cách lấy cookies: .......................................................................... 18
2.2.Nghiên cứu cách lấy account. ........................................................................... 18
2.3. Tấn Công XSS Bằng Flash .............................................................................. 19
3. Attacker dùng XSS để lừa đảo ............................................................................... 22
4. Cách vƣợt qua cơ chế lọc ký tự .............................................................................. 22
3 AN NINH MẠNG
VII. PHÒNG CHỐNG XSS ........................................................................................... 23
1. Với những dữ liệu ngƣời thiết kế và phát triển ứng dụng Web ........................... 23
2. Đối với ngƣời dùng. ............................................................................................. 26
VIII. PHẠM VI VÀ TÍNH KHẢ THI CỦA PHƢƠNG PHÁP TẤN CÔNG BẰNG XSS
........................................................................................................................................ 27
IX. ĐÁNH GIÁ .............................................................................................................. 27
TÀI LIỆU THAM KHẢO: ............................................................................................ 28
%20(1).png "Hướng dẫn download ti liệu")
.png "Hướng dẫn download ti liệu")
%20(1).png "Gói VIP Member EBOOKBKMT - Hỗ trợ tài liệu nhanh nhất, không giới hạn (Update 2024)")
Không có nhận xét nào: