VietNetwork.Vn

Tin tặc đang liên tục thử nghiệm với một tiết mục rộng các kỹ thuật hacking thỏa hiệp các trang web và các ứng dụng web và làm cho off với một kho tàng dữ liệu nhạy cảm bao gồm cả số thẻ tín dụng, số an sinh xã hội và ngay cả hồ sơ y tế.

Cross Site Scripting (còn gọi là XSS hoặc CSS) thường được cho là một trong những lớp ứng dụng phổ biến nhất các kỹ thuật hacking.

Nói chung, cross-site scripting dùng để chỉ rằng kỹ thuật hacking đó thúc đẩy các lỗ hổng trong mã của một ứng dụng web để cho phép một kẻ tấn công để gửi nội dung độc hại từ một người dùng cuối và thu thập một số loại dữ liệu từ các nạn nhân.

Hôm nay, các trang web dựa nhiều vào các ứng dụng web phức tạp để cung cấp sản lượng khác nhau hoặc nội dung cho nhiều người dùng theo sở thích và nhu cầu thiết lập cụ thể. Huy tổ chức này với khả năng cung cấp giá trị tốt hơn cho khách hàng và triển vọng của họ. Tuy nhiên, các trang web động bị lỗ hổng nghiêm trọng vẽ tổ chức không nơi nương tựa và dễ bị tấn công cross site scripting trên dữ liệu của họ.

"Một trang web có chứa cả hai văn bản và đánh dấu HTML được tạo ra bởi máy chủ và giải thích trong trình duyệt các trang web khách hàng. Mà chỉ tạo ra các trang tĩnh có thể có quyền kiểm soát hoàn toàn cách thức trình duyệt diễn dịch các trang này trang web. Rằng tạo ra các trang động không có hoàn toàn kiểm soát đầu ra của họ như thế nào được hiểu bởi máy khách. Trung tâm của vấn đề là nếu nội dung mistrusted có thể được đưa vào một trang năng động, không trang web khách hàng cũng không có đủ thông tin để nhận ra rằng việc này đã xảy ra và có những hành động bảo vệ. " (Trung tâm Điều phối CERT).

Cross Site Scripting cho phép một kẻ tấn công nhúng mã độc JavaScript, VBScript, ActiveX, HTML, hoặc Flash vào một trang năng động, dễ bị đánh lừa người sử dụng, thực hiện kịch bản trên máy tính của mình để thu thập dữ liệu. Việc sử dụng có thể thỏa hiệp XSS thông tin cá nhân, thao tác hoặc ăn cắp cookies, tạo ra các yêu cầu mà có thể bị nhầm lẫn với những người của một người dùng hợp lệ, hoặc thực thi mã độc trên hệ thống của người dùng cuối. dữ liệu thường được định dạng như một siêu liên kết có chứa nội dung độc hại và đó được phân phối trên bất kỳ phương tiện có thể có trên internet.

Như một công cụ hacking, các kẻ tấn công có thể xây dựng và phân phối một tuỳ chỉnh-crafted CSS chỉ URL bằng cách sử dụng một trình duyệt để kiểm tra phản ứng trang web động. kẻ tấn công cũng cần biết một số HTML, JavaScript và ngôn ngữ năng động, để sản xuất một URL mà không phải là quá đáng ngờ, tìm kiếm, để tấn công XSS một trang web dễ bị tổn thương.

Bất kỳ trang web mà qua tham số cho cơ sở dữ liệu có thể được kỹ thuật này dễ bị hack. Thông thường đây là những hiện diện trong các hình thức đăng nhập, Quên mật khẩu hình thức, vv ...

N.B. Thông thường mọi người tham khảo Cross Site Scripting như CSS hay XSS, là có thể bị nhầm lẫn với Cascading Style Sheets (CSS).

Là trang web của bạn dễ bị tổn thương Cross Site Scripting
kinh nghiệm của chúng tôi dẫn chúng ta đến kết luận rằng các lỗ hổng cross-site scripting là một trong những lỗ hổng cao nhất phổ biến rộng rãi trên Internet và sẽ xảy ra bất cứ nơi nào một ứng dụng web sử dụng đầu vào từ một người sử dụng trong sản lượng nó tạo ra mà không có xác nhận nó. nghiên cứu riêng của chúng tôi cho thấy rằng hơn một phần ba của các tổ chức áp dụng cho dịch vụ kiểm toán miễn phí của chúng tôi là dễ bị tổn thương Cross Site Scripting. Và xu hướng là lên trên.

Ví dụ về một cuộc tấn công Cross Site Scripting
Như là một ví dụ đơn giản, hãy tưởng tượng một trang web công cụ tìm kiếm mà là mở cửa cho một cuộc tấn công XSS. Các màn hình truy vấn của các công cụ tìm kiếm là một lĩnh vực duy nhất hình thức đơn giản với một nút gửi. Trong khi các trang kết quả, hiển thị cả các lần xuất hiện kết quả và các văn bản mà bạn đang tìm kiếm.

Ví dụ:
Kết quả tìm kiếm cho dễ bị tổn thương XSS ""

Để có thể đánh dấu các trang web, công cụ tìm kiếm thường để lại các biến được nhập vào địa chỉ URL. Trong trường hợp này, URL sẽ như:

  Đăng nhập để xem liên kết 20%

Dễ bị tổn thương

Sau chúng tôi sẽ gửi các truy vấn sau đây để các công cụ tìm kiếm:

<script type="text/javascript"> alert ('Đây là một <) XSS Vulnerability' / script>

Bằng việc gửi các truy vấn để search.php, nó được mã hoá và các dẫn URL sẽ là một cái gì đó như:

  Đăng nhập để xem liên kết =% 3Cscript% 3

Ealert% 28% 91This% 20is% 20an% 20XSS% 20Vulnerability% 92% 2

9% 3C% 2Fscript% 3E

Sau khi tải các trang kết quả, các công cụ tìm kiếm thử nghiệm có lẽ sẽ hiển thị không có kết quả cho tìm kiếm, nhưng nó sẽ hiển thị một cảnh báo JavaScript được tiêm vào các trang web bằng cách sử dụng các lỗ hổng XSS.

Làm thế nào để kiểm tra lỗ hổng kịch bản chéo trang web
Để kiểm tra các lỗ hổng kịch bản chéo trang web, sử dụng một Web Vulnerability Scanner. A Web Vulnerability Scanner thu thập toàn bộ trang web của bạn và tự động kiểm tra lỗ hổng Cross Site Scripting. Nó sẽ chỉ ra các URL / script là dễ bị tổn thương đến các cuộc tấn công để bạn có thể sửa chữa lỗ hổng dễ dàng. Ngoài ra các lỗ hổng kịch bản chéo trang web của một máy quét ứng dụng web cũng sẽ kiểm tra lỗ hổng SQL injection & web khác.

Acunetix Web Vulnerability Scanner quét cho SQL injection, Cross site scripting, hacking các lỗ hổng của Google và nhiều hơn nữa.

Ngăn chặn các cuộc tấn công Cross Site Scripting
Để ngăn chặn các cuộc tấn công, nhân vật nguy hiểm phải được lọc ra từ các đầu vào ứng dụng web. Những nên được lọc ra cả trong ASCII của họ và các giá trị hex.