search

Reflected xss là gì

1 năms trước
Trả lời: 0
Lượt xem: 186

Trên không gian mạng Internet hiện này, tồn tại rất nhiều loại lỗ hổng bảo mật mà hacker có thể khai thác với nhiều phương pháp khác nhau. Một trong số đó là tấn công XSS. Vậy XSS là gì ? Chúng ta cùng tìm hiểu nhé

Show

Tấn công XSS là một trong những cuộc tấn công có mức độ nguy hiểm cao với những ứng dụng web và chúng có thể mang lại hậu quả vô cùng nghiêm trọng. 

II. Các loại XSS phổ biến

Có ba loại tấn công XSS phổ biến

  • Reflected XSS là loại cung cấp các tập lệnh độc hại từ yêu cầu HTTP hiện tại.
  • Stored XSS là nơi lưu trữ các tập lệnh độc hại từ cơ sở dữ liệu trang web.
  • DOM-based XSS là loại có các lỗ hổng bảo mật tồn tại trong mã máy khách.

1. Reflected XSS

Reflected XSS là một lỗ hổng bảo mật cơ bản bao gồm các tập lệnh đa trang web xảy ra khi ứng dụng nhận dữ liệu yêu cầu HTTP bất kỳ và phản hồi lại theo cách không an toàn.

2. Stored XSS

Stored XSS xảy ra khi ứng dụng nhận các nguồn dữ liệu đáng ngờ và được phản hồi HTTP theo cách không an toàn.

Một số dữ liệu gửi đến ứng dụng thông qua HTTP như chức năng như comment trong blog, nicknames trong messenger hay các thông tin liên hệ khác…Hoặc dữ liệu từ các nguồn đáng ngờ như tin nhắn email trực tuyến qua SMTP, link tiếp thị hoặc các ứng dụng giám sát mạng.

3. DOM-based XSS

Các lỗ hổng XSS dựa trên nền tảng DOM để xâm nhập vào ứng dụng thông qua các mã JavaScript độc hại từ máy khách.

III. Mục đích của XSS

Tấn công XSS là phương pháp tấn công được hacker sử dụng với mục đích:

  • Mạo danh người dùng để tấn công các quyền truy cập có thể sử dụng.
  • Đọc dữ liệu truy cập sẵn có.
  • Đánh cắp thông tin đăng nhập để thay đổi trang web nội dung.
  • Chèn shell/trojan vào trang web.

IV. Tác động của XSS

Mức độ tấn công XSS sẽ phụ thuộc vào các yếu tố của ứng dụng như chức năng, dữ liệu hoặc trạng thái như:

  • XSS trong Brochureware sẽ có mức độ tác động tối thiểu nhất bởi tính năng ẩn danh người dùng nhưng toàn bộ thông tin được hiển thị công khai.
  • XSS trong ứng dụng có dữ liệu quản trọng như giao dịch ngân hàng, email hoặc hồ sơ sẽ có mức độ tác động nghiêm trọng.
  • XSS trong ứng dụng có các đặc quyền nâng cao sẽ có mức độ tác động nghiêm trọng nhất bởi các thông tin và dữ liệu cá nhân sẽ dễ dàng bị đánh cắp.

V. Kiểm tra và ngăn chặn XSS

1. Các cách kiểm tra XSS

Kiểm tra bằng công cụ: Công cụ trình quét lỗ hổng web của BurpSuite kết hợp phương pháp phân tích tĩnh và động của JavaScript giúp tự động hoá khả năng tìm kiếm các lỗ hổng XSS nhanh chóng và chính xác.

Kiểm tra thủ công

  • Sử dụng phương pháp kiểm tra thủ công để tìm kiếm các lỗ hổng Reflected XSS và Stored XSS bằng cách gửi đầu vào một chuỗi gồm chữ và số vào các mục nhập trong ứng dụng. Sau đó kiểm tra từng vị trí được gửi lại trong phản hồi HTTP để xác định đầu vào đó có thể được sử dụng để thực thi JavaScript tùy ý hay không. Bằng cách này, bạn có thể xác định được quy trình XSS xảy ra và chọn một trọng tải phù hợp để khai thác nó.
  • Kiểm tra DOM-based XSS thông qua các tham số URL bằng cách đặt một đầu vào tương ứng với một tham số và sử dụng công cụ dành cho nhà phát triển để tìm kiếm DOM của chúng. Sau đó hãy kiểm tra từng vị trí để xác định các đầu vào có thể khai thác hay không. Tuy nhiên, phương pháp này không thực sự khả thi đối với các loại lỗ hổng DOM XSS nâng cao khác.

2. Ngăn chặn XSS

Việc ngăn chặn XSS phụ thuộc vào độ phức tạp và cách xử lý dữ liệu của ứng dụng, sau đây là một số phương pháp dành cho bạn:

  • Lọc đầu vào của các thông tin cá nhân đảm bảo mức độ an toàn cao nhất.
  • Mã hoá dữ liệu đầu ra cho các dữ liệu truy xuất bằng HTML, URL, JavaScript hoặc CSS nhằm ngăn chặn các vấn đề lỗi.
  • Thiết lập danh sách các thẻ HTML được phép sử dụng và xoá bỏ các thẻ lỗi.
  • Sử dụng CSP để giảm thiểu mức độ ảnh hưởng của các lỗ hổng XSS.

VI. Tổng kết

Bài viết này đã  giới thiệu sơ lược về XSS. Các lỗ hổng XSS là rất nguy hiểm đối với trang web và ứng dụng. Vì thế bạn cần cẩn trọng trong việc xử lý các dữ liệu quan trọng tại đầu vào và đầu ra trên trình duyệt của bạn. 

Xem thêm các bài viết khác tại đây

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàng
Hosting Phổ Thông
Hosting Chất Lượng Cao

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/

Hỏi Đáp Là gì Xss là gì XSS payload Test XSS Stored XSS

Bài Viết Liên Quan

Hỗn hợp là gì lớp 6
Hỗn hợp là gì lớp 6

Nằm nghiêng cho ráo nước là gì
Nằm nghiêng cho ráo nước là gì

From sklearn.model_selection import train_test_split là gì
From sklearn.model_selection import train_test_split là gì

So sánh nước tiểu đầu và nước tiểu chính thức thức chất quá trình tạo thành nước tiểu là gì
So sánh nước tiểu đầu và nước tiểu chính thức thức chất quá trình tạo thành nước tiểu là gì

Hoàn kỳ là gì
Hoàn kỳ là gì

Kỉ niệm tuổi thơ là gì
Kỉ niệm tuổi thơ là gì

Đặc điểm và tính chất của phân đạm là gì
Đặc điểm và tính chất của phân đạm là gì

Trả góp ppf là gì
Trả góp ppf là gì

Sinh viên năm cuối trong tiếng anh là gì
Sinh viên năm cuối trong tiếng anh là gì

Lâu lâu có nên cài lại mac không
Lâu lâu có nên cài lại mac không

MỚI CẬP NHẬP

Vô tình giết chim bay vào nhà là điềm gì năm 2024
8 phúts trước . bởi CompositeIntercession
Văn tả sách tiếng việt lớp 5 tập 2 năm 2024
8 phúts trước . bởi WrittenRelativism
Sơ đồ hạch toán theo thông tư 133 năm 2024
26 phúts trước . bởi OddTendon
Sách bài tập toán lớp 5 tập 2 trang 71 năm 2024
53 phúts trước . bởi IrritatingFollower
Bài giảng điện tử ngữ văn 9 bếp lửa năm 2024
1 giờs trước . bởi SmoothCountryman
Another girl that didnt care là gì năm 2024
1 giờs trước . bởi HealingHearts
Crystal bay tại việt nam có những dự án nào năm 2024
1 giờs trước . bởi AbashedSavior
Ion-pair reversed-phase rp liquid chromatography là gì năm 2024
1 giờs trước . bởi InterveningConcur
Bài tập chia hiện tại đơn lớp 3 năm 2024
2 giờs trước . bởi CausticFerocity
Chi phí hạng mục chung là gì năm 2024
2 giờs trước . bởi PuzzlingCaught

Xem Nhiều

Kỹ năng tin học văn phòng trong tiếng anh năm 2024
5 ngàys trước . bởi SecularInsanity
Top 20 view của bts twice và black pink youtube năm 2024
2 ngàys trước . bởi SolicitousArchitecture
Chúng ta cùng cảnh ngộ nghĩa tiếng anh là gì năm 2024
20 giờs trước . bởi CoronaryClerk
Chứng khoán có dấu sao nghĩa là gì năm 2024
1 ngàys trước . bởi GrainyDwelling
Top những cổ phiếu đầu tư dài hạn năm 2024
6 ngàys trước . bởi IndecisiveThicket
Lỗi font tiếng việt send sms from web to phone năm 2024
3 ngàys trước . bởi InauguralClutches
Các phương pháp dạy học tích cực môn hóa học năm 2024
20 giờs trước . bởi HastyClearing
Giấy cam kết tiếng anh là gì năm 2024
13 giờs trước . bởi CountlessAdjustment
Thẻ nội địa acb ecommerce là gì năm 2024
6 ngàys trước . bởi ScheduledMailing
Nội dung ghi trên hóa đơn tổ chức sự kiện năm 2024
1 tuầns trước . bởi ProfoundScrimmage

Chúng tôi

Điều khoản

Trợ giúp

Mạng xã hội

Bản quyền © 2024 Inc.