Tài liệu: Kỹ thuật tấn công XSS

Website ngày nay rất phức tạp và thường là các web động, nội dung của web được cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Và hầu hết các website này dùng Cookie để xác thực người dùng.Điều này đồng nghĩa với việc Cookie của ai thì người đó dùng, Nếu lấy được Cookie người dùng nào Hacker sẽ giả mạo được chính người dùng đó(điều này là hết sức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiều cách để các hacker làm...
Nội dung trích xuất từ tài liệu:
Tài liệu: Kỹ thuật tấn công XSSHỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG AN NINH MẠNG 1 CƠ SỞ TP.HCM BÁO CÁO ĐỀ TÀI MÔN HỌC AN NINH MẠNG KỸ THUẬT TẤN CÔNG XSS Giảng viên hướng dẫn : ThS. LÊ PHÚC Sinh viên thực hiện : TRẦN ĐÌNH NGỌC MãSV: 407170045 Lớp : D07THM1 AN NINH MẠNG 2Mục lụcI. GIỚI THIỆU CHUNG ................................................................................................. 4II. GIỚI THIỆU VỀ XSS ................................................................................................. 5 1. Tìm hiểu XSS ........................................................................................................... 5 2. Hai hình thức tồn tại của XSS .................................................................................. 5 2.1. Stored XSS ......................................................................................................... 5 2.2. Reflected XSS .................................................................................................... 6 3. Mức độ nguy hiểm của XSS..................................................................................... 7 4. Mục tiêu mà XSS hướng tới. .................................................................................... 8III.HOẠT ĐỘNG CỦA XSS ........................................................................................... 9IV.CẢNH GIÁC VỚI XSS ............................................................................................ 12V. KIỂM TRA LỖI XSS ............................................................................................... 14 1. Sử dụng Tool .......................................................................................................... 14 2. Thử bằng Code ....................................................................................................... 14VI. KHAI THÁC LỖI XSS ........................................................................................... 16 1.Tóm tắt các bước thực hiện ..................................................................................... 17 2. Các cách thực hiện.................................................................................................. 18 2.1. Nghiên cứu cách lấy cookies: .......................................................................... 18 2.2.Nghiên cứu cách lấy account. ........................................................................... 18 2.3. Tấn Công XSS Bằng Flash .............................................................................. 19 3. Attacker dùng XSS để lừa đảo ............................................................................... 22 4. Cách vượt qua cơ chế lọc ký tự .............................................................................. 22 AN NINH MẠNG 3VII. PHÒNG CHỐNG XSS........................................................................................... 23 1. Với những dữ liệu người thiết kế và phát triển ứng dụng Web ........................... 23 2. Đối với người dùng. ............................................................................................. 26VIII. PHẠM VI VÀ TÍNH KHẢ THI CỦA PHƢƠNG PHÁP TẤN CÔNG BẰNG XSS........................................................................................................................................ 27IX. ĐÁNH GIÁ .............................................................................................................. 27TÀI LIỆU THAM KHẢO: ............................................................................................ 28 AN NINH MẠNG 4I. GIỚI THIỆU CHUNG Website ngày nay rất phức tạp và thường là các web động, nội dung của webđược cập nhật thông qua các thành viên tham gia ở khắp mọi nơi trên thế giới. Vàhầu hết các website này dùng Cookie để xác thực người dùng. Điều này đồng nghĩa với việc Cookie của ai thì người đó dùng, Nếu lấy đượcCookie người dùng nào Hacker sẽ giả mạo được chính người dùng đó(điều này là hếtsức nguy hiểm). Vậy làm sao để các hacker có thể lấy cookie của bạn? Có rất nhiềucách để các hacker làm việc đó, ở đây tôi xin trình bày một trong những cách màhacker thường dùng, đó chính là họ nhờ vào lỗi Cross Site Scripting(XSS). Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhấthiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối ...