Hacking Security Sites part 27

Đôi khi đang đọc thư bạn bị chuyển sang một website khác, bạn có nghĩ rằng bạn có thể mất mật khẩu. Trước đây, hàng loạt các hộp thư của Yahoo bị mất mật khẩu hay bị đọc trộm thư mà không rõ nguyên nhân. Có lẽ khi đó các bạn mở các bức thư mà không hề cảnh giác với XSS Hacking Security Sites part 27 | Đôi khi đang đọc thư bạn bị chuyển sang một website khác bạn có nghĩ rằng bạn có thể mất mật khẩu. Trước đây hàng loạt các hộp thư của Yahoo bị mất mật khẩu hay bị đọc trộm thư mà không rõ nguyên nhân. Có lẽ khi đó các bạn mở các bức thư mà không hề cảnh giác với XSS đâu phải chỉ các file đính kèm mới có thể gây nguy hiểm cho bạn. Chỉ cần với một đoạn mã HTML gửi trong thư bạn đã hoàn toàn bị mất cookie của mình CODE form action http method post name XSS input type hidden name cookie form img border 0 onmouseover src nonejpg Vậy là khi bạn nhận thư và nếu bạn vô tình đưa con chuột qua bức ảnh gửi kèm thì cũng có nghĩa là bạn đã bị lấy mất cookie. Và với cookie lấy được các hacker có thể dễ dàng login hòm thư của bạn mà không cần biết mật khẩu của bạn. Thực sự tôi cũng rất bất ngờ khi tìm thấy rằng Yahoo khi đó đã ngăn được hầu hết các mối đe doạ từ các thẻ HTML lại bỏ qua thẻ IMG. Tuy nhiên cho tới ngày 12 7 2003 Yahoo đã kịp thời vá lỗ hồng nghiêm trọng này nhưng không phải vì vậy mà bạn mất cảnh giác với những lỗi của website. Nếu như bạn gặp một liên kết có dạng http query script alert script chắc chắn bạn sẽ phải xem xét kĩ trước khi click vào. Có thể là sẽ tắt JavaScript cho trình duyệt của bạn trước khi click vào hay ít nhất cũng có một chút cảnh giác. Nhưng nếu bạn gặp một liên kết như thế này thì sao Code http 71 75 65 61 72 79 3D 3C 73 63 72 69 70 74 3E 61 6C 65 61 72 74 28 64 63 75 6D 65 6E 6C 74 2E 63 6F 6F 6B 69 65 29 3C 2F 73 63 72 69 70 74 3E http om 71 75 65 61. 72 69 70 74 3E Đó thực chất chính là liên kết ban đầu nhưng chỉ khác nó đã được mã hoá. Một phần kí tự của liên kết đã được thay thế bởi mã HEX của nó tất nhiên trình duyệt của bạn vẫn hiểu địa chỉ đó thực sự là gì. Bởi vậy bạn có thể sẽ gặp phải các đoạn mã nguy hiểm nếu như bạn mất cảnh giác với XSS. Tât nhiên .