Bước tới nội dung

Sâu XSS

Bách khoa toàn thư mở Wikipedia


Sâu XSS, đôi khi được gọi là vi rút tạo tập lệnh chéo trang,[1] là một payload độc hại (hoặc đôi khi không độc hại), thường được viết bằng JavaScript, vi phạm bảo mật trình duyệt để lan truyền giữa những khách truy cập trang web nhằm cố gắng dần dần lây nhiễm cho những du khách khác.[2] Chúng được đề cập lần đầu tiên vào năm 2002 liên quan đến lỗ hổng tập lệnh chéo trang trong Hotmail.[3]

Ý tưởng

[sửa | sửa mã nguồn]

Sâu XSS khai thác lỗ hổng bảo mật được gọi là tập lệnh chéo trang (hay gọi tắt là XSS) trong một trang web, lây nhiễm cho người dùng theo nhiều cách khác nhau tùy thuộc vào lỗ hổng. Các tính năng của trang web như hồ sơhệ thống trò chuyện có thể bị ảnh hưởng bởi sâu XSS khi triển khai không đúng cách hoặc không quan tâm đến bảo mật. Thông thường, những sâu này chỉ dành riêng cho một trang web, lây lan nhanh chóng bằng cách khai thác các lỗ hổng cụ thể.

Các lỗ hổng kịch bản chéo trang thường được khai thác dưới dạng sâu trên các trang web xã hội hoặc thương mại phổ biến, chẳng hạn như MySpace, Yahoo!, Orkut, Justin.tv, FacebookTwitter. Những sâu này có thể được sử dụng cho mục đích xấu, tạo cơ sở cho kẻ tấn công đánh cắp thông tin cá nhân được cung cấp cho trang web, chẳng hạn như mật khẩu hoặc số thẻ tín dụng.

Một số ví dụ

[sửa | sửa mã nguồn]

Một vài sâu XSS đã ảnh hưởng đến các trang web phổ biến.

Sâu Samy, sâu XSS lớn nhất được biết đến, đã lây nhiễm hơn 1 triệu hồ sơ MySpace trong vòng chưa đầy 20 giờ. Tác giả của virus đã bị kiện và đưa ra thỏa thuận nhận tội về một trọng tội.[4]

Sâu Justin.tv

[sửa | sửa mã nguồn]
Biểu đồ cho thấy tiến trình của sâu XSS đã ảnh hưởng đến 2525 người dùng trên Justin.tv

Justin.tv là một trang web truyền video với số lượng người dùng hoạt động khoảng 20 nghìn người. Lỗ hổng tập lệnh chéo trang đã bị khai thác là trường hồ sơ "Vị trí" không được "vệ sinh" đúng cách trước khi đưa nó vào trang hồ sơ.

Trường hồ sơ "Vị trí" đã được làm sạch khi được đưa vào tiêu đề của trang hồ sơ nhưng không nằm trong trường thực tế trong nội dung trang. Điều này có nghĩa là các tác giả của sâu, để đạt được khả năng tàng hình nhằm tăng thời gian tồn tại và lây lan của sâu, phải tự động xóa tải trọng XSS khỏi tiêu đề của trang từ bên trong mã của sâu, vốn đã bị ẩn bởi các bình luận. Sau khi phát triển sâu, nó được thực thi vào khoảng Thứ Bảy, ngày 28 tháng 6 năm 2008 21:52:33 UTC và kết thúc vào Chủ Nhật, ngày 29 tháng 6 năm 2008 21:12:21 UTC. Vì trang web xã hội được nhắm mục tiêu không hoạt động đặc biệt (so với các mục tiêu sâu XSS phổ biến khác), sâu này đã lây nhiễm tổng cộng 2525 hồ sơ trong vòng khoảng 24 giờ.

Sâu đã được tìm thấy vài giờ trước khi bị loại bỏ thành công và dựa trên dữ liệu được ghi lại (do mục đích ban đầu của sâu là nhằm mục đích nghiên cứu), sâu có thể lây nhiễm các hồ sơ không bị nhiễm sau khi chúng được các nhà phát triển Justin.tv khử trùng một cách mạnh mẽ. . Con sâu này đã được "khử trùng" một lần nữa sau khi lỗ hổng được vá và nó có thể bị loại bỏ một cách dễ dàng. Tuy nhiên, điều này cho thấy khả năng thích ứng và lây lan của sâu ngay cả sau khi phản công.

Các yếu tố cụ thể khác được biểu thị bằng biểu đồ và dữ liệu do kẻ tấn công công bố bao gồm hoạt động xã hội và thiếu người dùng mới, không bị lây nhiễm trong một khoảng thời gian.

Sâu Orkut "Bom Sabado"

[sửa | sửa mã nguồn]

Orkut, một trang mạng xã hội, cũng bị tấn công bởi sâu XSS. Người dùng bị nhiễm sẽ nhận được một mẩu tin lưu niệm có chứa dòng chữ "Bom Sabado" (tiếng Bồ Đào Nha, "Thứ Bảy vui vẻ"). Google vẫn chưa bình luận về tình hình.

Nguồn tham khảo

[sửa | sửa mã nguồn]
  1. ^ Alcorn, Wade (25 tháng 9 năm 2005). “The Cross-site Scripting Virus”. BindShell.net. Lưu trữ bản gốc ngày 23 tháng 8 năm 2014.
  2. ^ Faghani, Mohammad Reza; Saidi, Hossein (2009). “Social Networks' XSS Worms”. 2009 International Conference on Computational Science and Engineering. IEEE. doi:10.1109/cse.2009.424.
  3. ^ “Bugtraq: Re: XSS bug in hotmail login page”. seclists.org (bằng tiếng Anh). Truy cập ngày 13 tháng 2 năm 2024.
  4. ^ “MySpace speaks about Samy Kamkar's sentencing”. TechSpot (bằng tiếng Anh). 31 tháng 1 năm 2007. Truy cập ngày 13 tháng 2 năm 2024.