Mẹo Windows

Kiến thức cơ bản về Cross-Site Scripting (XSS): lỗ hổng thú vị mới của hacker

28/10/2020 comments off
Kiến thức cơ bản về Cross-Site Scripting (XSS): lỗ hổng thú vị mới của hacker

1. Link tải xuống trực tiếp

LINK TẢI GG DRIVE: LINK TẢI 1

LINK TẢI GG DRIVE: LINK TẢI 2

LINK TẢI GG DRIVE: LINK DỰ PHÒNG

Tràn bộ đệm đã là một mục tiêu thú vị cho những kẻ tấn công trực tuyến trong nhiều năm. Tuy nhiên, cho đến nay, kịch bản chéo trang là thủ phạm lớn nhất trong việc giả mạo hệ thống.

Cross-Site Scripting (XSS) là một kiểu tấn công bảo mật trong đó kẻ tấn công chèn các đoạn mã độc hại vào nội dung của các trang web đáng tin cậy khác. Các cuộc tấn công tập lệnh xuyên trang xảy ra khi một nguồn không đáng tin cậy được phép chèn mã của chính nó vào một ứng dụng web và mã độc được chứa trong nội dung được gửi đến trình duyệt của nạn nhân.

XSS là một trong những lỗ hổng ứng dụng web phổ biến nhất và xảy ra khi ứng dụng web sử dụng đầu vào từ người dùng chưa được xác thực hoặc không được mã hóa trong đầu ra mà nó tạo ra.

Bằng cách sử dụng XSS, kẻ tấn công không nhắm trực tiếp vào nạn nhân. Thay vào đó, kẻ tấn công sẽ khai thác một lỗ hổng trong trang web hoặc ứng dụng web mà nạn nhân đang truy cập.

Mặc dù XSS có thể tận dụng lợi thế của VBScript, ActiveX và Flash (hiện được coi là cũ hoặc thậm chí là lỗi thời), JavaScript vẫn là phổ biến nhất – chủ yếu vì JavaScript là nền tảng của hầu hết các trải nghiệm duyệt web. Mạng lưới.

Tìm hiểu thêm về tập lệnh trên nhiều trang web

Đây là cách hoạt động của tập lệnh xuyên trang

Để thực thi mã JavaScript độc hại trong trình duyệt của nạn nhân, trước tiên kẻ tấn công phải tìm cách chuyển tiếp dữ liệu người dùng đến trang web mà nạn nhân đã truy cập. Tất nhiên, kẻ tấn công có thể sử dụng các kỹ thuật xã hội để thuyết phục người dùng truy cập trang web bị tấn công.

Để một cuộc tấn công XSS diễn ra, trang web bị tấn công phải bao gồm đầu vào của người dùng trực tiếp trên các trang của nó. Sau đó, kẻ tấn công có thể chèn một chuỗi sẽ được sử dụng trên trang web và được trình duyệt của nạn nhân xử lý dưới dạng mã.

Mã giả phía máy chủ này được sử dụng để hiển thị nhận xét mới nhất trên trang web:

print "<html>"
 print "<h1>Most recent comment</h1>"
 print database.latestComment
 print "</html>"

Tập lệnh in nhận xét mới nhất từ ​​cơ sở dữ liệu và in nội dung trên trang HTML, miễn là nhận xét được in chỉ chứa văn bản.

Trang trên dễ bị tấn công XSS vì kẻ tấn công có thể gửi nhận xét có chứa các tải trọng độc hại như: