A3-Lỗi thực thi mã Script xấu - Cross-Site Scripting (XSS)

  1. Giới thiệu về XSS

Cross Site Scripting (XSS) là gì ? Là một kiểu tấn công cho phép hacker chèn vào những đoạn script độc hại (thông thường là javascript hoặc HTML) vào website và sẽ được thực thi ở trình duyệt người dùng.

Các thông tin có thể bị đánh cắp qua XSS: Email, Mật khẩu, Cookie truy cập web nào đó của người dùng.

  1. Mục đích tấn công XSS

    Cookie : Hacker có thể lấy được cookie của người dùng và dùng thông tin trong cookie để giả mạo phiên truy cập.

    Keylogging : Hacker có thể ghi lại những thao tác gõ phím của người dùng bắng cách sử dụng sự kiện addEventListenner trong javascript sau đó sẽ phân tích dữ liệu đó và tìm ra các mật khẩu hay mã ngân hàng.

    Phishing: Hacker có thể thay đổi giao diện website bằng cách thay đổi cấu trúc HTMLtrong trang web để đánh lừa người dùng,khi đó chúng có thể tạo các forrm đăng nhập giả để lấy mật khẩu.

  2. Các dạng tấn công XSS

    XSS reflected: Nó gửi link trực tiếp tới người dùng nhằm lừa người dùng kích vào link sau đó sẽ ăn cắp cookie hay chiếm session.

    Stored XSS: Hacker sẽ chèn trực tiếp mã độc vào database của nạn nhân và các mã độc này sẽ được thực thi mỗi lần người dùng load trang web lên

    Dom based XSS : Nó sẽ làm thay đổi cấu trúc trang web (thường là giao diện web) lừa người dùng nhập mật khẩu hay pass,mã ngân hàng,từ đó ăn trộm nó