Đề tài Tìm hiểu về cách bảo mật một website

chữ đậm cho đến khi gặp thẻ "". Trong HTML, các thẻ có thể tồn tại đơn lẻ, hoặc tồntại dưới dạng một cặp thẻ. Nếu tồn tại dưới dạng 1 cặp thì thẻ bắt đầu gọi là thẻ mở và thẻ kết thúc gọi là thẻ đóng Để soạn thảo một file HTML, chúng ta có thể sử dụng bất kỳ trình soạn thảo nào, chẳng hạn như NotePad hay thậm chí Turbo Pascal cũng được. miễn là sau đó các bạn Save As dưới dạng đuôi *.htm Cấu trúc của 1 thẻ trong HTML bao gồm: - Dấu "<". Nếu là thẻ đóng thì sẽ bắt đầu bằng "</"  - Tên thẻ - Các tham số khác nếu có. Nếu là thẻ đóng thì không cần tham số Dấu ">". Cấu trúc của một file HTML có dạng:phần thân tài liệuToàn bộ nội dung chính của trang HTML được đặt trong cặp thẻ XML : Là ngôn ngử mở rộng được phát triển trên tính đơn giản, dể dùng của HTML và tính phức tạp và đa chức năng của SGML. XML được thiết kế để cho phép máy tính có thể trao đổi tài liệu với nhau thông qua Web mà không làm mất đi ý nghĩa của dữ liệu.Một tài liệu XML bao gồm một tập các cặp thẻ được lồng vào nhau. Mỗi thẻ có một cặp các thuộc tính và giá trị Ví dụ:      Lê Nguyên Sinh      Trung tâm CNTT, ĐHSP Hà Nội Cấu trúc của một tài liệu XML: Một tài liệu XML có thể được chia thành hai phần chính, mỗi phần có thể có các thành phần theo quy định khác nhau:  - Phần Prolog: Chứa các khai báo cho tài liệu XML. Phần này có thể chứa các định đạng như: Các chỉ thị xử lý, định nghĩa kiểu cho tài liệu, chú thích, phiên bản đang sử dụng, cách thức mã hóa dữ liệu, báo cáo các chỉ thị xử lý cho ứng dụng.  - Phần thân chứa nội dung dữ liệu, bao gồm một hay nhiều phần tử, mỗi phần tử được chứa trong một cặp thẻ. Phần tử đầu tiên của tài liệu được gọi là phần tử gốc (root element).  Một tài liệu XML được coi là hợp khuôn dạng (well-form) nếu nó tuân thủ các quy tắc sau:  • Các khai báo XML cần được đặt tại dòng đầu tiên của tài liệu, chẳng hạn như khai báo phiên bản hay các chỉ thị xử lý XML. • Mỗi tài liệu XML chỉ có một thành phần gốc (root) chứa mọi thành phần khác trong tài liệu. Các thành phần có thể đứng trước phần tử gốc là chú thích, chỉ thị xử lý và định nghĩa DTD (nếu khai báo ở phần khởi đầu của tài liệu). • Mỗi phần tử của tài liệu phải được nằm trong một cặp thẻ. Nếu là phần tử rỗng thì thẻ phải được kết thúc bằng "/>". Ví dụ: "" • Các thành phần trong tài liệu XML, khác thành phần gốc đều nằm giữa cặp thẻ gốc và phải lồng nhau một cách hợp lý, tức là không có thành phần phủ, tập hợp thẻ này không được phép chồng lên thẻ kia, mỗi tập trong phải nằm trong tập hợp lớn hơn kế tiếp. • Các cặp thẻ phải được viết chính xác như nhau kể cả chữ hoa hay chữ thường. • Các giá trị của các thuộc tính đều phải nằm giữa hai ngoặc kép. Ví dụ: hide=true là không hợp lệ, mà phải là hide="true". ASP (active server pages) Vào những thập niên 90 một Kì thuật mới của microsoft là kết hợp html với các đoạn script, các thanh phần sử lí server trên cùng 1 file được gọi là ASP Về bản chất, ta có thể coi ASP như là một ngôn ngữ thông dịch vậy. Một trang ASP có thể sử dụng HTML, JScript và VBScript. Qua các đoạn mã nhúng này, ASP có thể truy cập đến các thành phần phía server.  Các thành phần này có thể được viết trên bất kỳ ngôn ngữ nào hỗ trợ các thành phần COM của Microsoft Các thành phần này có thể được viết trên bất kỳ ngôn ngữ nào hỗ trợ các thành phần COM của Microsoft. Ưu điểm : - Nó có thể làm được bất kỳ cái gì mà máy chủ có thể làm được với các thành phần COM. Sau khi được thi hành, ASP sẽ sản sinh ra một trang Web có khuôn dạng HTML và trả nó về cho Web server. - Soạn thào thêm nội dung vào website rất linh động - Đáp ứng truy vấn người dùng hoặc dử liệu được gởi từ HTML - Giảm thiểu lưu thông mạng - Trả về trang HTML nên người dùng có thể xem ở bất kì trình duyệt web nào  Nhược điểm: Một bất lợi lớn đối với ASP là nó chỉ có thể hoạt động trên các họ Web server của Microsoft (bao gồm PWS trên Win9x hay IIS trên WinNT/2000/XP) 1.4.5 Javascript : Theo phiên bản hiện hành, là một ngôn ngữ lập trình kịch bản dựa trên đối tượng được phát triển từ các ý niệm nguyên mẫu. Ngôn ngữ này được dùng rộng rãi cho các trang web, nhưng cũng được dùng để tạo khả năng viết script sử dụng các đối tượng nằm sẵn trong các ứng dụng. Nó vốn được phát triển bởi Brendan Eich tại Hãng truyền thông Netscape với cái tên đầu tiên Mocha, rồi sau đó đổi tên thành LiveScript, và cuối cùng thành JavaScript JavaScript có cú pháp tương tự C, nhưng nó gần với Self hơn Java. .js là phần mở rộng thường được dùng cho tập tin mã nguồn JavaScript. Phiên bản mới nhất của JavaScript là phiên bản 1.5, tương ứng với ECMA-262 bản 3. ECMAScript là phiên bản chuẩn hóa của JavaScript. Trình duyệt Mozilla phiên bản 1.8 beta 1 có hỗ trợ không đầy đủ cho E4X - phần mở rộng cho JavaScript hỗ trợ làm việc với XML, được chuẩn hóa trong ECMA-357. JavaScript được dùng để thực hiện một số tác vụ không thể thực hiện được với chỉ HTML như kiểm tra thông tin nhập vào, tự động thay đổi hình ảnh,... Ở Việt Nam, JavaScript còn được ứng dụng để làm bộ gõ tiếng Việt JavaScript có thể được sử dụng trong tập tin PDF của Adobe Acrobat và Adobe Reader JavaScript là một ngôn ngữ lập trình dựa trên nguyên mẫu với cú pháp phát triển từ C 1.5 Các hệ cơ sở dử liệu: Cơ sở dử liệu là một hệ thống tập hợp của các tập tin dược thiết kế nhầm giảm thiểu việc lập lại dử liệu Các tập tin trong cơ sở dử liệu là một thành phần của một bộ chương trình nhằm tạo lập quản lí và truy xuất các tập tin cơ sở dử liệu Hệ quản trị cơ sở dử liệu (database managements system ) viết tắc là DBMS là bộ phần mềm của những công cụ có sẳn do một số nhà sản xuất phần mềm cung cấp 1.5.1 My SQL:  MySQL là một phần mềm quản trị CSDL mã nguồn mở, miễn phí nằm trong nhóm LAMP (Linux - Apache -MySQL - PHP) Một số đặc điểm của MySQL MySQL là một phần mềm quản trị CSDL dạng server-based (gần tương đương với SQL Server của Microsoft).MySQL quản lý dữ liệu thông qua các CSDL, mỗi CSDL có thể có nhiều bảng quan hệ chứa dữ liệu. MySQL có cơ chế phân quyền người sử dụng riêng, mỗi người dùng có thể được quản lý một hoặc nhiều CSDL khác nhau, mỗi người dùng có một tên truy cập (user name) và mật khẩu tương ứng để truy xuất đến CSDL. Khi ta truy vấn tới CSDL MySQL, ta phải cung cấp tên truy cập và mật khẩu của tài khỏan có quyền sử dụng CSDL đó. Nếu không, chúng ta sẽ không làm được gì cả. SQL : Mô hình cơ sở dữ liệu (CSDL) quan hệ - RDBMS, do E.F Codd đưa ra vào đầu thập kỷ 70. Từ đó đến nay, nó liên tục phát triển trở thành mô hình CSDL phổ biến bậc nhất. Mô hình quan hệ gồm các thành phần sau: ƒ Tập hợp các đối tượng và / hoặc các mối quan hệ ƒ Tập hợp các xử lý tác động tới các quan hệ  ƒ Ràng buộc dữ liệu đảm bảo tính chính xác và nhất quán. SQL (Structured Query Language, đọc là "sequel") là tập lệnh truy xuất CSDL quan hệ.  Ngôn ngữ SQL được IBM sử dụng đầu tiên trong hệ quản trị CSDL System R vào giữa những năm 70. Hệ ngôn ngữ SQL đầu tiên (SEQUEL2) được IBM công bố vào tháng 11 năm 1976. Năm 1979, tập đoàn Oracle giới thiệu thương phẩm đầu tiên của SQL. SQL cũng được cài đặt trong các hệ quản trị CSDL như DB2 của IBM và SQL/DS. Ngày nay, SQL được sử dụng rộng rãi và đuợc xem là ngôn ngữ chuẩn để truy cập CSDL quan hệ. Chuẩn SQL Năm 1989, viện tiêu chuẩn quốc gia Hoa Kỳ (ANSI) công nhận SQL là ngôn ngữ chuẩn để truy cập CSDL quan hệ trong văn bản ANSI SQL89. Năm 1989, tổ chức tiêu chuẩn quốc tế (ISO) công nhận SQL ngôn ngữ chuẩn để truy cập CSDL quan hệ trong văn bản ISO 9075-1989. Tất cả các hệ quản trị CSDL lớn trên thế giới cho phép truy cập bằng SQL và hầu hết theo chuẩn ANSI. Năm Tên Tên khác Chú giải 1986 SQL-86 SQL-87 Được công bố đầu tiên bởi ANSI. Được phê chuẩn bởi ISO năm 1987. 1989 SQL-89 Thay đổi nhỏ. 1992 SQL-92 SQL2 Thay đổi lớn. 1999 SQL:1999 SQL3 2003 SQL:2003 Access : Là công cụ hiệu quả cho các ứng dụng quản lí hồ sơ dử liệu quan hệ hệ với nhau .tập hợp các hồ sơ dử liệu này gọi là cơ sở dử liệu quan hệ Access rất tốt cho việc tổ chức và quản lí các cơ sở dử liệu lớn bạn có thể tạo một trang web với access thông qua công nghệ asp 2. BẢO MẬT ỨNG DỤNG WEB 2.1 Bảo mật là gì? Trong thế giới thay đổi từng ngày trong việc truyền thông dữ liệu toàn cầu, những kết nối Internet rẻ tiền và tốc độ ngày một nhanh hơn thì việc bảo mật hệ thống là một vấn đề hết sức hữu ích. Bảo mật là một đòi hỏi thiết yếu bởi vì những máy tính mang tính toàn cầu đang ngày càng trở nên kém an toàn. Thử tưởng tượng một gói dữ liệu khi di chuyển từ điểm A sang điểm B, gói dữ liệu này có thể đi qua nhiều điểm trên mạng và nếu như tại một máy nào đó người sử dụng có thể lấy thông tin trên gói dữ liệu này và biết các thông tin chi tiết của máy gửi, họ có thể sử dụng các kỹ thuật cao để truy nhập bất hợp pháp vào máy gửi và có thể phá hỏng máy này hoặc toàn bộ hệ thống tùy theo mức độ thao tác. Những thao tác mà các người sử dụng bất hợp pháp này có thể làm trên hệ thống là ăn cắp thông tin hệ thống, từ chối các dịch vụ sử dụng trên hệ thống. Mục đích của việc bảo mật là thông báo cho người sử dụng, phòng ban trong hệ thống biết các vấn đề về việc bảo vệ thông tin và kỹ thuật của họ. Các luật bảo mật cũng chỉ dẫn cho họ biết thông tin về các máy mà họ có thể gặp trong đường mạng. Trước hết phải nhận ra một điều là không có một hệ thống nào là hoàn toàn bảo mật tuyệt đối. Tất cả những gì mà nhà quản trị có thể làm là tăng thêm sự khó khăn cho người dùng khi họ có ý định thâm nhập hệ thống. Nhà quản trị hệ thống cần phải quyết định sự cân bằng giữa các mục đích, ý định sử dụng của hệ thống. Cần phải quyết định mức độ bảo mật cần thiết cho hệ thống của mình. Đối với các nhà cung cấp sản phẩm thì mục tiêu của họ là cung cấp càng nhiều các dịch vụ càng tốt, đơn giản hóa các việc sử dụng dịch vụ trong hệ thống, và nói chung là tất cả những gì mà họ có thể làm để cho sản phẩm có thể tiêu thụ nhiều. Việc này vô hình chung đã làm cho nhà quản trị hệ thống trở nên phức tạp hơn. Bởi vì các dịch vụ đa dạng má các nhà cung cấp phát triển có thể trở thành cổng sau cho các cracker có thể thâm nhập hệ thống. Như vậy, có thể mô tả sự tác động của việc này đối với các nhà quản trị như sau : + Các dịch vụ chống lại các vấn đề bảo mật : như đã nói ở trên thì các dịch vụ mà các nhà cung cấp sản phẩm phát triển có thể cho phép người dùng sở hữu các nguồn tài nguyên trên hệ thống và dĩ nhiên là điều này hoàn toàn không đòi hỏi một chứng thực nào cả. Đây là một việc hết sức nguy hiểm cho hệ thống và nhiệm vụ của nhà quản trị là cần phải quyết định hạn chế các dịch vụ cần thiết trong hệ thống hơn là bảo mật cho các dịch vụ này. + Dễ dàng trong sử dụng thì khó khăn trong bảo mật : một hệ thống mà dễ dàng cho phép sự thâm nhập của người dùng là một điều hết sức nguy hiểm cho việc bảo mật hệ thống. Nên có cơ chế chứng thực cho mỗi sử dụng, điều này có thể gây rắc rối trong việc sử dụng nhưng nó làm cho hệ thống trở nên an toàn hơn, đặc biệt nếu có thể thì nên áp dụng cơ chế chứng thực thường xuyên để tăng thêm phần bảo mật cho hệ thống. + Kết quả của sự bảo mật chính là giảm sự mất mát thông tin : việc thiết lập các cơ chế bảo mật như sử dụng firewall, cơ chế chứng thực, nghiêm ngặt trong vấn đề sử dụng tương ứng sẽ làm giảm bớt sự mất mát thông tin, mất mát dịch vụ, … Điều này tương ứng với cái giá phải trả cho các nhà quản trị. 3 yếu tố đảm bảo an ninh thông tin * Tính bảo mật: đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin * Tính toàn vẹn: đảm bảo tính chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin * Tính sẵn sàng: đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần 3 tính chất quan trọng này được viết tắt bằng nhóm từ tiếng Anh: C.I.A, trong đó C là Confidentiality (tính bảo mật); I là Integrity (tính toàn vẹn); và A là Availability (tính sẵn sàng). (Theo TCVN 7562:2005, tương đương với ISO/IEC 17799:2000) Thống kê các vụ tấn công Website 2.2 Từ phía người tấn công Phương thức tấn công *Thu thập thông tin chung: Đây là việc đầu tiên cần phải làm, ta tìm kiếm các thông tin xung quanh Website -Chủ sở hữu trang Web, đội ngũ quản trị, điều hành -Địa chỉ IP, máy chủ DNS của Server -Môi trường mạng, hệ điều hành, phần mềm máy chủ Web, ngôn ngữ lập trình, hệ CSDL -Các cổng và dịch vụ tương ứng đang mở trên Server - Số lượt truy cập, băng thông hàng tháng của Website *Khảo sát ứng dụng Web: bước tiếp theo là tập trung nghiên cứu Website -Website sử dụng ứng dụng Web nào? -Mã nguồn mở hay đóng? Phiên bản? -Nếu là mã nguồn mở thì download source code về để phân tích và kiểm tra, tìm đọc các thông tin về bug và exploit từ trang chủ của sản phẩm *Dò tìm lỗi: Dò tìm lỗi tự động: Dùng các công cụ quét và dò lỗi Website như Scrawlr, MaxQ, Selenium, Acunetix Web Vulnerability Scanner, … Giao diện của Acunetix Web Vulnerability Scanner Dò tìm lỗi bằng tay: Vận dụng các kiến thức lập trình, hệ điều hành, bảo mật và mạng máy tính, như một “người dùng tinh nghịch” hacker tiến hành các thao tác dò lỗi trực tiếp ngay trên website, nhất là ở phần nhập dữ liệu đầu vào. *Khai thác lỗi để tấn công: Đây là giai đoạn quan trọng nhất để có thể phá hoại hoặc chiếm quyền điều khiển được Website Một vài cách thức tấn công phổ biến -SQL Injections -Session Hijacking - Local Attack -Dùng các loại trojan, virus đánh cắp mật khẩu admin -DoS và DDoS +SQL Injections Khi triển khai các ứng dụng web trên Internet, nhiều người vẫn nghĩ rằng việc đảm bảo an toàn, bảo mật nhằm giảm thiểu tối đa khả năng bị tấn công từ các tin tặc chỉ đơn thuần tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẽ chạy ứng dụng, ... mà quên mất rằng ngay cả bản thân ứng dụng chạy trên đó cũng tiềm ẩn một lỗ hổng bảo mật rất lớn. Một trong số các lỗ hổng này đó là SQL injection. Tại Việt Nam, đã qua thời kì các quản trị website lơ là việc quét virus, cập nhật các bản vá lỗi từ các phần mềm hệ thống, nhưng việc chăm sóc các lỗi của các ứng dụng lại rất ít được quan tâm. Đó là lí do tại sao trong thời gian vừa qua, không ít website tại Việt Nam bị tấn công và đa số đều là lỗi SQL injection. Vậy SQL injection là gì ? SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase. +Session Hijacking Thế nào là Session Hijacking:Session Hijacking là sử dụng session của một người dùng nào đó, đã tạo được kết nối hợp lệ bằng một phương thức không hợp lệ. Phương thức này như thế nào thì mời bạn đọc tiếp ở phần dưới. Để dễ hiểu, ta đưa ra một ví dụ thế này: Pc A và Pc B kết nối thành công với nhau, kẻ tấn công chiếm lấy session ID của Pc A để kết nối với PC B, dĩ nhiên lúc này Pc B cho rằng kẻ tấn công là Pc A, và cho kẻ tấn công có tấn cả quyền thực hiện các hành động mà Pc A có thể thực hiện.Mở rộng:  .Một admin của một website đăng nhập vào hệ thống quản lí website.Một cookie được tạo ra kèm theo Session ID của user Admin ngay lúc đó..Vì một lí do nào đó, admin này không dùng computer nữa, nhưng không logout khỏi trình điều khiển, nghĩa là cookies và Session ID này vẫn còn hiệu lực . Bằng cách nào đó, bạn đoán được session ID này, nghiễm nhiên bạn có quyền truy cập vào hệ thống quản lí của website với quyền hạn của Admin đó.HTTP là một giao thức có tính stateless cho nên, thông tin giữa client (trình duyệt) và server (web server) thường được kết thúc càng nhanh càng tốt và connection này sẽ được tắt bỏ sau khi quy trình chuyển gởi thông tin hoàn tất. Vì vậy, Session đã được tạo không được kiểm tra còn tồn tại hay không, cho đến khi user bấm vào nút logout, xóa bỏ cookies. Trừ phi web server kiểm tra xem Session này còn sống hay không sau một khoảng thời gian định sẳn, pingsession của HVA là một ví dụ.Sự cần thiết của Session ID: Hãy tưởng tượng bạn vào một website nào đó, VNDEV chẳng hạn, bạn đăng nhập thành công. Nhưng mỗi lần muốn trả lời một bài nào đó, bạn phải đăng nhập lại, rất bất tiện. Session ID sinh ra để khắc phục sự bất tiện đó. Với một session ID tạo ra riêng cho một user khi kết nối tới một website nào đó, web server dựa vào session ID để nhận ra user, và chấp nhận cho user này thực hiện các hành động mà user được quyền mà không phải xác nhận lần này qua lần khác.Một ít về cookies: Có nhiều loại cookies, nhưng có 2 loại bạn cần tìm hiểu là persistent cookies và non-persistent cookies -Persistent cookies là loại cookies vẫn tồn tại khi bạn tắt trình duyệt. Khi bạn chọn remember me, thì non-persistent cookies trở thành Persistent cookies -Non-Persistent cookies thì ngược lại, trình duyệt tắt, cookies hết hiệu lực, và dĩ nhiên session ID cũng đi theo. Non-persistent cookies còn được gọi nôm na là session cookies (cookies theo phiên làm việc) + XSS (Cross-Site Scripting) 1. XSS là gì ?Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kỹ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML.Kỹ thuật tấn công XSS đã nhanh chóng trở thành một trong những lỗi phổ biến nhất của Web Applications và mối đe doạ của chúng đối với người sử dụng ngày càng lớn. Người chiến thắng trong cuộc thi eWeek OpenHack 2002 là người đã tìm ra 2 XSS mới. Phải chăng mối nguy hiểm từ XSS đã ngày càng được mọi người chú ý hơn.2. XSS hoạt động như thế nào ?Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu (request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá tầm kiểm soát của server. Nó có thể là một request được gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL như là was found !');Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS was found !".Các đoạn mã trong thẻ không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế bằng một file nguồn trên một server khác thông qua thuộc tính src của thẻ . Cũng chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS.Nhưng nếu như các kỹ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó. Tất nhiên đôi khi các hacker cũng sử dụng kỹ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website. Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ thống website nằm trên server.Mục tiêu tấn công của XSS không ai khác chính là những người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn có thể sẽ bị cài các loại virus, backdoor, worm ..3. Cảnh giác với XSSCó lẽ không cần liệt kê những nguy hiểm của XSS, nhưng trên thực tế nếu bạn có một chút hiểu biết về XSS bạn sẽ không còn phải sợ chúng nữa. Thật vậy bạn hoàn toàn có thể tránh khỏi việc bị tấn công bởi những lỗi XSS nếu hiểu kỹ về nó.Các thẻ HTML đều có thể là công cụ cho các cuộc tấn công bởi kỹ thuật XSS, trong đó 2 thẻ IMG và IFRAME có thể cho phép trình duyệt của bạn load thêm các website khác khi các lệnh HTML được hiển thị. Ví dụ như BadTrans Worm một loại worm sử dụng thẻ IFRAME để lây lan trong các hệ thống có sử dụng Outlook hay Outlook Express:--====_ABC1234567890DEF_====Content-Type: multipart/alternative;boundary="====_ABC0987654321DEF_===="--====_ABC0987654321DEF_====Content-Type: text/html;charset="iso-8859-1"Content-Transfer-Encoding: quoted-printable--====_ABC0987654321DEF_====----====_ABC1234567890DEF_====Content-Type: audio/x-wav;name="filename.ext.ext"Content-Transfer-Encoding: base64Content-ID: Đôi khi đang đọc thư bạn bị chuyển sang một website khác, bạn có nghĩ rằng bạn có thể mất mật khẩu. Trước đây, hàng loạt các hộp thư của Yahoo bị mất mật khẩu hay bị đọc trộm thư mà không rõ nguyên nhân. Có lẽ khi đó các bạn mở các bức thư mà không hề cảnh giác với XSS, đâu phải chỉ các file đính kèm mới có thể gây nguy hiểm cho bạn. Chỉ cần với một đoạn mã HTML gửi trong thư bạn đã hoàn toàn bị mất cookie của mình:Vậy là khi bạn nhận thư, và nếu bạn vô tình đưa con chuột qua bức ảnh gửi kèm thì cũng có nghĩa là bạn đã bị lấy mất cookie. Và với cookie lấy được, các hacker có thể dễ dàng login hòm thư của bạn mà không cần biết mật khẩu của bạn. Thực sự tôi cũng rất bất ngờ khi tìm thấy rằng Yahoo khi đó đã ngăn được hầu hết các mối đe doạ từ các thẻ HTML lại bỏ qua thẻ IMG. Tuy nhiên cho tới ngày 12/7/2003 Yahoo đã kịp thời vá lỗ hồng nghiêm trọng này, nhưng không phải vì vậy mà bạn mất cảnh giác với những "lỗi" của website.Nếu như bạn gặp một liên kết có dạng Chắc chắn bạn sẽ phải xem xét kỹ trước khi click vào. Có thể là sẽ tắt JavaScript cho trình duyệt của bạn trước khi click vào hay ít nhất cũng có một chút cảnh giác. Nhưng nếu bạn gặp một liên kết như thế này thì sao :61%72%79%3D%3C%73%63%72%69%70%74%3E%61%6C%65%61%72%74%28%64%63%75%6D%65%6E%6C%74%2E%63%6F%6F%6B%69%65%29%3C%2F%73%63%72%69%70%74%3E>71%75%65%61...%72%69%70%74%3EĐó thực chất chính là liên kết ban đầu nhưng chỉ khác nó đã được mã hoá. Một phần kí tự của liên kết đã được thay thế bởi mã HEX của nó, tất nhiên trình duyệt của bạn vẫn hiểu địa chỉ đó thực sự là gì. Bởi vậy bạn có thể sẽ gặp phải các đoạn mã nguy hiểm nếu như bạn mất cảnh giác với XSS.Tât nhiên còn rất nhiều những kiểu tấn công khác, trong đó có những kiểu đã được tìm ra có những kiều chưa lường hết được, những trong khuôn khổ bài viết này tôi hi vọng với một vài ví dụ vừa rồi, các bạn cũng đã hiểu phần nào về XSS.4. Phát hiện XSS bằng cách nào ?Nếu như các bạn sử dụng các mã nguồn của các chương trình có sẵn bạn có thể tham khảo danh sách các lỗ hổng của chương trình bạn trên các trang web chứa các thông tin về bảo mật như securityfocus.com, securiteam.com,... Tuy nhiên nếu các website được tự viết mã nguồn thì bạn không thể áp dụng phương pháp trên. Trong trường hợp này bạn cần đến các chương trình scanner tự động. Nếu như bạn sử dụng trong môi trường Windows bạn có thể dùng N-Stealth hay AppScan, đó là những chương trình scan khá tuyệt, bạn không chỉ kiểm tra được các lỗi XSS mà nó còn cho phép bạn kiểm tra các lỗi khác trong Website đó, Server đó.Tất nhiên đâu phải lúc nào bạn cũng cần kiểm tra tất cả, nếu như bạn chỉ muốn kiểm tra các lỗi XSS có trong website, bạn chỉ cần sử dụng screamingCSS. Đó là một Perl Script sẽ mở các kết nối tới website (sử dụng Perl's socket) để kiểm tra các lỗi XSS của bạn. Hơn nữa bạn có thể sử dụng nó trong cả môi trường Unix lẫn Windows.5. Ngăn ngừa XSS như thế nào ?Người ta không lường hết được mức độ nguy hiểm của XSS nhưng cũng không quá khó khăn để ngăn ngừa XSS. Có rất nhiều cách để có thể giải quyết vấn đề này.OWASP (The Open Web Application Standard Project) nói rằng để có thể xây dựng các website bảo mật cao, đối với các dữ liệu của người sử dụng bạn nên+ Chỉ chấp nhận những dữ liệu hợp lệ.+ Từ chối nhận các dữ liệu hỏng.+ Liên tục kiểm tra và thanh lọc sữ liệu.Tuy nhiên trên thực tế, một số trường hợp bạn phải chấp nhận mọi loại dữ liệu hay không có một bộ lọc phù hợp. Chính vì vậy bạn phải có những cách riêng để giải quyết.Một trong những cách hay sử dụng là bạn mã hoá các kí tự đặc biệt trước khi in ra website, nhất là những gì có thể gây nguy hiểm cho người sử dụng. Trong trường hợp này thẻ sẽ được đổi thành . Như vậy nó sẽ vẫn được in ra màn hình mà không hề gây nguy hiểm cho người sử dụng.Tôi lấy ví dụ với script search.cgi với mã nguồn là#!/usr/bin/perluse CGI;my $cgi = CGI->new();my $query = $cgi->param('query');print $cgi->header();print "You entered $query";Đây hoàn toàn là một script có lỗi bởi vì nó in ra trực tiếp dữ liệu được nhập vào. Dĩ nhiên là khi in ra, nó sẽ in ra dưới dạng đoạn mã HTML, như thế nó không chỉ không in ra chính xác những dữ liệu vào một cách trực quan mà còn có tiềm ẩn lỗi XSS.Như đã nói ở trên, để có thể giải quyết vấn đề này, chúng ta có thể mã hoá các kí tự đặc biệt của HTML với hàm HTML::Entities::encode(). Như vậy ta có thể có một mã nguồn hoàn hảo hơn như