Nhiều Cross Site Scripting ( #XSS ) Lỗ hổng trong Forbes
Ucha Gobejishvili (súng trường dài0x) , Một nhà nghiên cứu bảo mật người Gruzia Khám phá hai Tập lệnh chéo trang ( XSS ) Lỗ hổng trên trang web chính thức của Forbes, một công ty xuất bản và truyền thông của Mỹ. Cross-Site Scripting xảy ra khi kẻ tấn công có thể gửi một tập lệnh độc hại đến một người dùng khác bằng cách chuyển tiếp tập lệnh từ một máy chủ đáng tin cậy hoặc vô hại. Những lỗ hổng này rất phổ biến trên Web và cho phép kẻ tấn công đặt mã độc hại có thể thực hiện các cuộc tấn công chống lại người dùng khác trong bối cảnh bảo mật của máy chủ web của máy chủ đáng tin cậy.
Cross-Site Scripting thường liên quan đến việc thực thi các lệnh trong trình duyệt của người dùng để hiển thị nội dung không mong muốn hoặc với mục đích đánh cắp thông tin đăng nhập của người dùng hoặc thông tin cá nhân khác. Sau đó, thông tin này có thể được kẻ tấn công sử dụng để truy cập các trang web và dịch vụ mà thông tin đăng nhập bị xâm phạm là hợp lệ (ví dụ: hành vi trộm cắp danh tính). Trong một số trường hợp, kẻ tấn công có thể sử dụng thông tin này để chiếm quyền điều khiển hoặc xâm phạm thêm các phiên HTTP của người dùng.
Khuyến nghị cho Forbes, Hãy đảm bảo rằng ứng dụng web của bạn xác thực tất cả các biểu mẫu, tiêu đề, trường cookie, trường ẩn và tham số, đồng thời chuyển đổi tập lệnh và thẻ tập lệnh thành dạng không thể thực thi được. Luôn lọc dữ liệu có nguồn gốc từ bên ngoài ứng dụng của bạn bằng cách không cho phép sử dụng các ký tự đặc biệt. Chỉ hiển thị đầu ra cho trình duyệt đã được mã hóa đủ. Khi có thể, hãy tránh các bộ lọc ký tự đơn giản và viết các quy trình xác thực đầu vào của người dùng dựa trên một tập hợp các ký tự an toàn, được phép. Sử dụng biểu thức chính quy để xác nhận rằng dữ liệu tuân theo bộ ký tự được phép. Điều này giúp tăng cường bảo mật ứng dụng và khiến việc vượt qua các quy trình xác thực đầu vào trở nên khó khăn hơn.
