Forum

1
Hình đại diện
admin

Cross-site scripting (XSS) là một loại lỗ hổng bảo mật máy tính

Đăng lúc: 10:02:18 20/02/2017
XSS là một loại lỗ hổng bảo mật thường thấy trong các ứng dụng web. XSS cho phép kẻ tấn công có thể đẩy client-side script vào các trang web từ bất kỳ từ những người dùng khác nhau. Một lõ hổng cross-site scripting có thể được sử dụng bởi những kẻ tấn công để vượt qua hệ thống kiểm soát truy cập như same-origin policy.
Hình đại diện
admin
Đăng lúc: 10:25:05 20/02/2017
same-origin là một khái niệm quan trọng trong mô hình bảo mật ứng dụng web. Theo chính sách này, một trình duyệt web cho phép chứa scripts trong một trang web A để truy cập dữ liệu trong một trang web B, điều này chỉ cho phép nếu cả hai trang web có cùng một nguồn gốc. Một nguồn gốc được định nghĩa như là một sự kết hợp của URI scheme, tên máy, và số cổng. Chính sách này chặn scripts độc hại trên một trang web có được quyền truy cập vào dữ liệu nhạy cảm trên một trang web khác thông qua Document Object Model của trang đó.
Hình đại diện
admin
Đăng lúc: 10:38:31 20/02/2017
Same-Origin Policy sop

Chúng ta thường thấy lỗi như trên lý do là vì chúng ta vi phạm cái được gọi là Same-Origin Policy (SOP). Đây là một tiêu chuẩn về bảo vệ được tích hợp trong các browsers nhầm ngăn chặn việc tương tác giữa các Documents hoặc Script nằm ở các Origin (hoặc địa chỉ) khác nhau.

Origin của một trang web được xác định bởi Protocol, Host và Port.

Ví dụ như Origin của Tôi Thắc Mắc là ‘http’ => Protocol, ‘toithacmac’ => host / domain, 80 => port.

Với các tài nguyên mà có chung Origin thì giữa các tài nguyên được truy cập hoàn toàn lẫn nhau. Nếu trang A và B có chung Origin, thì đoạn mã javascript ở A có thể thực hiện một http request đến server B và tương tác với DOM của B hoặc thậm chí là đọc cookies ở B.

Cross-domain request / Cross-Origin HTTP request là gì ?

Nói một cách nôm na đó là các thuật ngữ dùng để chỉ việc tương tác giữa các website khác Origin với nhau. Như đã nói ở trên, gần gũi nhất là những thao tác mà lập trình viên hay tương tác với các service bên ngoài thông qua các interface API.

Vậy Cross-domain request và Same-origin Policy có liên quan gì đến nhau không ?

Câu trả lời là có. Như đã nói SOP là một tiêu chuẩn bảo vệ nên nó đưa ra các quy tắc chung liên quan đến hoạt động của Cross-domain request. Cụ thể:

Cross-domain “Writes” thì cho phép còn Cross-domain “Reads” thì không

Điều trên có nghĩa là nếu A và C ở hai Origin khác nhau thì HTTP request được tạo ra ở A sẽ nhận được chính xác ở C => Đây gọi là “Writes”, nhưng những script đang chứa ở A thì không thể đọc được bất kỳ Data hoặc thậm chí là đoạn code nào trả về từ phía C => Đây gọi là “Read”, cũng từ đây là nguyên nhận dẫn đến lỗi như đã nói ở trên. Tóm lại, SOP sẽ không ngăn chặn việc “Writes” Data đến các Origin mà chỉ ngăn chặn việc “Reads” Data từ các Origin đó.

=> SOP rất tuyệt vời. Nó ngăn chặn các đoạn mã độc từ việc đọc data được gửi về từ các Origin khác.
(Sưu tầm)
Hình đại diện
sony
Đăng lúc: 10:51:16 20/02/2017

Helo cả nhà nhen, cho em xin ý kiến nhỏ nhé
- Khi nào ta gặp trường hợp này XSS nhé.....???
Trả lời:
+ Khi lập trình viên quá làm biếng toàn ăn sung của người khác mọt cách quá độ
+ Khi ăn thì không tiết chế đưuọc độ ăn tạp của mình nên thường ăn nguyên con vd. như dùng thẻ ifram...hay móc hàng từ các thư viện google....
... em xin hết.. nếu đụng chạm ai đó thì đừng ném đá, quăn lựu đạn em nhé
Hình đại diện
tranhahuynh
Đăng lúc: 16:33:29 21/02/2017

e còn yếu lém. en sung còn không biết en.
Nhờ chỉ giáo thêm
511: truy cập - Anynomus: online trang này.
1






VTNSolution ™ là một hệ thống mở, thành viên tự chịu trách nhiệm về nội dung đăng tải do mình đưa lên. Các phần mềm, logo, hình ảnh, thương hiệu... có bản quyền thuộc về chủ nhân sở hữu. Truy cập, sử dụng website này bạn phải chấp nhận Quy định của Diễn đàn
Powered by: VTNSOLUTION Copyright © 2007 - 2020
Thiết kế bởi Cty Giải pháp công nghệ VTN.
Website đang hoạt động thử nghiệm. Chờ giấy phép MXH/TTDT của Bộ TT&TT.
Lên đầu trang
Xuống cuối trang