Báo Cáo Kỹ thuật Tấn Công XSS

Mục lục

I. GIỚI THIỆU CHUNG . 4
II. GIỚI THIỆU VỀ XSS . 5
1. Tìm hiểu XSS . 5
2. Hai hình thức tồn tại của XSS 5
2.1. Stored XSS . 5
2.2. Reflected XSS 6
3. Mức độ nguy hiểm của XSS . 7
4. Mục tiêu mà XSS hướng tới. 8
III.HOẠT ĐỘNG CỦA XSS . 9
IV.CẢNH GIÁC VỚI XSS 12
V. KIỂM TRA LỖI XSS . 14
1. Sử dụng Tool 14
2. Thử bằng Code . 14
VI. KHAI THÁC LỖI XSS . 16
1.Tóm tắt các bước thực hiện . 17
2. Các cách thực hiện 18
2.1. Nghiên cứu cách lấy cookies: 18
2.2.Nghiên cứu cách lấy account 18
2.3. Tấn Công XSS Bằng Flash 19
3. Attacker dùng XSS để lừa đảo . 22
4. Cách vượt qua cơ chế lọc ký tự 22
VII. PHÒNG CHỐNG XSS . 23
1. Với những dữ liệu người thiết kế và phát triển ứng dụng Web . 23
2. Đối với người dùng 26
VIII. PHẠM VI VÀ TÍNH KHẢ THI CỦA PHƯƠNG PHÁP TẤN CÔNG BẰNG XSS
27
IX. ĐÁNH GIÁ 27
TÀI LIỆU THAM KHẢO: 28

I. GIỚI THIỆU CHUNG

Website ngày nay rất phức tạp và thường là các web động, nội dung của web
được cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Và
hầu hết các website này dùng Cookie để xác thực người dùng.
Điều này đồng nghĩa với việc Cookie của ai thì người đó dùng, Nếu lấy được
Cookie người dùng nào Hacker sẽ giả mạo được chính người dùng đó(điều này là hết
sức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiều
cách để các hacker làm việc đó, ở đây tôi xin trình bày một trong những cách mà
hacker thường dùng, đó chính là họ nhờ vào lỗi Cross Site Scripting(XSS).
Download