Chia sẻ về XSS Attacking Injection

Chia sẻ về XSS Attacking Injection
Chia sẻ về XSS Attacking Injection

Khoảng trưa hôm qua em có post 1 bài viết về project mới deploy, ngay sau đó không lâu, web của em lập tức bị redirect sang trang khác. Vậy thì nguyên nhân do đâu? Website bị hack chăng?

Chia sẻ về XSS Attacking Injection
Chia sẻ về XSS Attacking Injection

Ngay khi có thể dùng máy tính (vì lúc bug em đang đi học) thì ngay lập tức thấy trong db là các thẻ script redirect user sang các trang không lành mạnh, không chỉ 1 mà rất nhiều row bị spam như vậy.

Vậy thì tại sao thẻ script lại lợi hại ngay cả khi nó đang là data. Vấn đề nằm ở chỗ web em đang dùng client side rendering (server side rendering vẫn bị), nghĩa là khi lấy data về, trình duyệt sẽ render data đó, dĩ nhiên lúc này nó hiểu script là 1 html tag chứ không phải là string bình thường, do đó, thẻ script redirect trang. Đây được gọi Cross site scripting hay XSS Attacking.

Lỗi này newbie như em thường xuyên bỏ qua nó. Lỗi này khá nghiêm trọng nếu hacker biết cách khai thác, họ hoàn toàn có thể đánh cắp thông tin người dùng bằng việc chèn script ăn cắp cookie, storage và gừi về máy chủ của họ. Khắc phục lỗi này vô cùng đơn giản, chỉ cần escape html data trước khi store vào db là được.

Sẵn đây thì Sql Injection cũng là 1 injection nhưng nguy hiểm hơn. Vi dụ viết sql truy vấn đăng nhập:

"Select * from users where username = '$username' and password = '$password' 

“Nếu $password = ” ‘ or 1 = 1″ thì lúc này, đoạn password trở thành password = ” and 1 tức là always true, vậy thì có thể dễ dàng vượt qua bước login mà không cần password.

Có thể nhiều người thấy vấn đề trên đơn giản, tuy nhiên lại khá nhiều người vấp phải như em chẳng hạn , hi vọng sau bài viết này mọi người sẽ cẩn thận hơn với data mà người dùng post lên.

Mà bác nào phá em thì nghỉ đi nha, em update security rồi

guest
0 Comments
Inline Feedbacks
View all comments