Báo Cáo Kỹ thuật tấn công XSS

Thảo luận trong 'Công Nghệ Thông Tin' bắt đầu bởi Thúy Viết Bài, 5/12/13.

  1. Thúy Viết Bài

    Thúy Viết Bài New Member
    Thành viên vàng

    Bài viết:
    198,891
    Được thích:
    170
    Điểm thành tích:
    0
    Xu:
    0Xu
    #1 Thúy Viết Bài, 5/12/13
    Mục lục



    I. GIỚI THIỆU CHUNG . 4

    II. GIỚI THIỆU VỀ XSS . 5

    1. Tìm hiểu XSS . 5

    2. Hai hình thức tồn tại của XSS 5

    2.1. Stored XSS . 5

    2.2. Reflected XSS 6

    3. Mức độ nguy hiểm của XSS . 7

    4. Mục tiêu mà XSS hướng tới. 8

    III.HOẠT ĐỘNG CỦA XSS . 9

    IV.CẢNH GIÁC VỚI XSS 12

    V. KIỂM TRA LỖI XSS . 14

    1. Sử dụng Tool 14

    2. Thử bằng Code . 14

    VI. KHAI THÁC LỖI XSS . 16

    1.Tóm tắt các bước thực hiện . 17

    2. Các cách thực hiện 18

    2.1. Nghiên cứu cách lấy cookies: 18

    2.2.Nghiên cứu cách lấy account. . 18

    2.3. Tấn Công XSS Bằng Flash 19

    3. Attacker dùng XSS để lừa đảo . 22

    4. Cách vượt qua cơ chế lọc ký tự 22

    VII. PHÒNG CHỐNG XSS . 23

    1. Với những dữ liệu người thiết kế và phát triển ứng dụng Web . 23

    2. Đối với người dùng. . 26

    VIII. PHẠM VI VÀ TÍNH KHẢ THI CỦA PHƯƠNG PHÁP TẤN CÔNG BẰNG XSS

    27

    IX. ĐÁNH GIÁ 27

    TÀI LIỆU THAM KHẢO: 28

    I. GIỚI THIỆU CHUNG



    Website ngày nay rất phức tạp và thường là các web động, nội dung của web

    được cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Và

    hầu hết các website này dùng Cookie để xác thực người dùng.

    Điều này đồng nghĩa với việc Cookie của ai thì người đó dùng, Nếu lấy được

    Cookie người dùng nào Hacker sẽ giả mạo được chính người dùng đó(điều này là hết

    sức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiều

    cách để các hacker làm việc đó, ở đây tôi xin trình bày một trong những cách mà

    hacker thường dùng, đó chính là họ nhờ vào lỗi Cross Site Scripting(XSS).

    Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất

    hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với

    các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào cho

    phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã

    nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.

    XSS được thực hiện trên các thẻ JavaScript, và các thẻ JavaScript chúng có thể làm

    được những công việc sau:



    1. Thay đổi cấu trúc của toàn bộ trang web.

    2. Tạo tùy ý các phần tử HTML.

    3. Định tuyến lại các hình thức liên kết

    4. Phục hồi dữ liệu, xác thực

    5. Gửi và nhận dữ liệu

    6. Đọc các tổ hợp phím.
     

    Các file đính kèm:

Đang tải...
Chủ đề tương tự
  1. Củ Đậu Đậu

    Đồ Án Tìm hiểu kỹ thuật tấn công bằng sniffer

    Củ Đậu Đậu, 29/3/14, trong diễn đàn: Công Nghệ Thông Tin
    Trả lời:
    0
    Xem:
    793
    Củ Đậu Đậu
    29/3/14
  2. Bích Tuyền Dương

    Luận Văn Ứng Dụng Kỹ Thuật Phân tán EJB, JAX-WS Vào Hệ thống Website Bán Băng Đĩa

    Bích Tuyền Dương, 19/12/13, trong diễn đàn: Công Nghệ Thông Tin
    Trả lời:
    0
    Xem:
    469
    Bích Tuyền Dương
    19/12/13
  3. Thúy Viết Bài

    Đồ Án Quy hoạch hệ thống hạ tầng kỹ thuật đô thị sinh thái Vàm Cỏ Đông huyện Bến Lức, tỉnh Long An

    Thúy Viết Bài, 5/12/13, trong diễn đàn: Công Nghệ Thông Tin
    Trả lời:
    0
    Xem:
    338
    Thúy Viết Bài
    5/12/13
  4. Thúy Viết Bài

    Đồ Án đồ án tốt nghiệp - tìm hiểu về tấn công trên mạng dùng kỹ thuật dos

    Thúy Viết Bài, 5/12/13, trong diễn đàn: Công Nghệ Thông Tin
    Trả lời:
    0
    Xem:
    308
    Thúy Viết Bài
    5/12/13
  5. Thúy Viết Bài

    Luận Văn Kỹ thuật RFID và ứng dụng trong dải tần HF và LF

    Thúy Viết Bài, 5/12/13, trong diễn đàn: Công Nghệ Thông Tin
    Trả lời:
    0
    Xem:
    362
    Thúy Viết Bài
    5/12/13