Lỗ hổng bảo mật Cross-Site-Scripting (XSS) có gì nguy hiểm?

Mỗi khi đăng những bài writeup về một lỗ hổng XSS được phát hiện trên một trang web nào đó, tôi biết sẽ có những người nhếch mép cười khẩy vì lúc đó trong đầu họ sẽ nghĩ:

  • "Cái lỗi XSS này thì có cái quái gì nguy hiểm cơ chứ?"
  • "Ngoài việc hiện lên một hộp thoại thì XSS làm được cái đếch gì nữa không?"
  • "Một lỗ hổng vớ vẩn thôi mà. Ơ mà hiện hộp thoại cũng được gọi là lỗ hổng hả?"
  • ...

Vậy thì, XSS có gì nguy hiểm?



Thay vì viết ra đống lý thuyết nhàm chán, chúng ta sẽ cùng xem xét những hình thức tấn công khai thác XSS đã được áp dụng trong thực tiễn. Nói trước để những bạn nào còn chưa biết về XSS thì nên Google xem nó là gì trước khi đọc tiếp bài viết này nha.
Read More