Xin chào, mình là Juno_okyo.
Như các bạn đã biết thì Cross Site Scripting (hay còn gọi là XSS) là một lỗi bảo mật cho phép người tấn công (Attacker, Hacker, Pen-tester,…) chèn và thực thi những đoạn mã nguy hiểm vào trong trang web bị dính lỗi. Những đoạn mã được chèn vào có thể là HTML, JavaScript hay thậm chí là những đoạn Text – văn bản thuần, nhưng đa phần sẽ là JavaScript.
Nhưng có một sự thật là nhiều người thường nghĩ XSSkhông hề nguy hiểm (so với các lỗi bảo mật khác như SQL Injection, CSRF,…), có lẽ vì họ nghĩ XSS đơn giản chỉ là tạo ra một hộp thoại thông báo hay chỉ là ghi vài dòng chữ vào trong trang web. Cũng vì lý do đó mà nhiều Web-masterthường chủ quan khi không lọc dữ liệu vào – ra (input – output). Hãy nhớ rằng, XSS luôn là một trong những lỗi bảo mật phổ biến thường gặp nhất và luôn nằm trong Top những lỗi bảo mật nguy hiểm xếp ngang hàng với SQL Injection và XSS còn có thể là một trong những tiền đề dẫn tới một cuộc tấn công CSRF. Nếu bạn nghĩ XSS không hề nguy hiểm thì chứng tỏ bạn chưa biết về DOM (Document Object Model), XSS sẽ thực sự nguy hiểm khi nó trở thành DOM-Base XSS.
Không có nhận xét nào:
Đăng nhận xét