Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.86 MB, 53 trang )
Tìm hiểu về XSS
Kiều Duy Khánh
Dương Viết Hưng
Lê Thị Hương
1. XSS là gì?
-
XSS (Cross-Site Scripting) là một lỗi bảo mật cho phép người tấn công (Attacker, Hacker,…) chèn các đoạn script nguy hiểm
nhằm thực thi ở máy người dùng (Client).
Mục đích của các cuộc tấn cơng XSS là nhằm ăn cắp các dữ liệu nhận dạng người dùng như: session tokens, cookies, … Thường
là nhằm vào cookies bởi cookies giúp kẻ tấn cơng có thể đăng nhập tự động với thơng tin nhận dạng của nạn nhân.
=> Đây chính là lý do tại sao XSS được coi là một trong những lỗ hổng nguy hiểm nhất hiện nay.
2. Các cuộc tấn công XSS gần đây
2.1 Lỗ hổng XSS của Microsoft Edge
-
Hai nhà nghiên cứu bảo mật, Vansh Devgan và Shivam Kumar Singh, đã phát hiện ra một lỗ hổng Universal XSS trong tính năng
dịch tự động của Microsoft Edge.
Cụ thể, trình dịch này đã xử lý khơng đúng cách với thẻ “>”. Bất cứ thẻ nào có “> img” thì khơng cần kiểm tra đầu vào mà được
tiến hành thực thi luôn dưới dạng javascript.
Ngày 3/6/2021, lỗ hổng đã được báo cáo lại với Microsoft. Ngày 24/6/2021, lỗ hổng đã được vá.
2. Các cuộc tấn công XSS gần đây