1.Cross-site Script là gì?
Cross-site Script được hiểu là "kịch bản liên trang", viết tắt là XSS. Nó là một trong những kỹ thuật phổ biến nhất hiện nay, vì nó đơn giản, và tồn tại ở nhiều nơi nếu quản trị viên không kiểm soát và solve được hết. Vì sao nói nó tồn tại ở nhiều nơi? Bởi vì XSS dựa vào ngôn ngữ javascript, nên bất cứ đâu trên webpage or website có thể chèn được code html, javascript,.. thì attacker đều có thể tận dụng để tấn công. Chính vì lẽ đó, "kịch bản liên trang" cũng là 1 trong những vấn đề bảo mật nghiêm trọng đối với các nhà phát triển web và cả những người dùng web.
2. Ví dụ về XSS
3. Tận dụng lỗi XSS
Vì mình chưa từng đi phá hoại, nên tư duy tận dụng lỗi của mình cũng không được cao. Tuy nhiên, về mặt lý thuyết tấn công kịch bản liên trang có thể được dùng:
+ Đánh cắp phiên làm việc (session) của bạn, từ đó có thể lấy thông tin tài khoản của bạn từ session đó, hay phá hoại, tiếp cận trực tiếp với server đó bằng tất cả quyền mà bạn được server cấp dưới danh nghĩa của bạn.
Ví dụ, tại server của ngân hàng ABC, bạn có tài khoản là xyz, và bạn đang trong quá trình thao tác, kết nối giữa bạn và server đang được thiết lập, lúc này giữa webbrower của bạn sẽ lưu thông tin kết nối của bạn với server lại (session) goi là phiên làm việc.
08:46:00
