Cross Site Scripting - XSS là gì?

1.XSS là một kiểu tấn công cho phép hacker chèn những đoạn script độc hại vào website ,và chúng được thực thi ở người dùng(trên trình duyệt của người dùng).Khi trình duyệt của victims thực thi những đoạn script độc hại đó,chúng sẽ gửi cho hacker những thông tin của victims qua email hoặc server.

2.Mục tiêu của XSS: a) Cookie:hacker có thể lấy được cookie của người dùng,và dùng cookie để giả mạo phiên truy cập và lấy được rất nhiều thông tin nhạy cảm.

b) Keylogging:hacker ghi lại những thao tác bàn phím thông qua sự kiện addEventListener trong javascript .Chúng dễ dàng lấy được mật khẩu,tài khoản tín dụng,...

c)Phishing:hacker thay đổi giao diện của website bằng cách thay đổi HTML trong trang web để đánh lừa người dùng.Hacker có thể tạo ra những form đăng nhập giả mạo,và chúng dễ dàng cướp tài khoản,mật khẩu,...

3.Các dạng tấn công XSS:

a)Persistent XSS:hacker chèn trực tiếp mã độc vào cơ sở dữ liệu Website.Khi vicim load web thì những đoạn script cũng thực thi theo:

b)Non -Pesistent XSS:hacker gửi mã độc trực tiếp cho nạn nhân,khi victim load click vào đoạn mã độc này,nó sẽ load chung cùng trang web:

c)Dom-based XSS:nó thay đổi cấu trúc trang web bằng cách thay đổi cấu trúc HTML,thay đổi giao diện Web,như tạo form đăng nhập giả