KUNGFU TECH

0
0
Lập trình
Hưng Nguyễn Xuân 1
Hưng Nguyễn Xuân 1xuanhungptithcm

Chuẩn bị phỏng vấn Full-Stack #2: Hiểu Rõ về XSS (Cross-Site Scripting)

Đăng vào 8 tháng trước

• 6 phút đọc

Chủ đề:

KungFuTech

Giới thiệu

Bạn đang tham gia một buổi phỏng vấn kỹ thuật. Người phỏng vấn tựa lưng lại và hỏi: "Bạn sẽ bảo vệ một ứng dụng web khỏi Cross-Site Scripting (XSS) như thế nào?"

Trong một khoảnh khắc, tâm trí bạn chạy đua. Bạn biết XSS là phổ biến, nhưng làm thế nào để giải thích một cách rõ ràng dưới áp lực?

Hãy cùng phân tích vấn đề này với một ví dụ đơn giản: hãy tưởng tượng một ô bình luận của người dùng trên một blog. Thay vì để lại phản hồi bình thường, một kẻ tấn công nhập:

Copy 
<script>alert('hacked')</script>

Nếu trang web hiển thị bình luận đó mà không lọc hoặc thoát nó, mã của kẻ tấn công sẽ chạy trên trình duyệt của bất kỳ ai truy cập trang. Phần bình luận đáng lẽ thân thiện giờ đã trở thành công cụ để đánh cắp phiên, chiếm đoạt tài khoản, hoặc lừa người dùng nhấp vào các liên kết độc hại.

Đó là Cross-Site Scripting tóm gọn: khi đầu vào không đáng tin cậy xuất hiện trên một trang web, và trình duyệt coi nó như mã thực thi thay vì văn bản vô hại.

Tại sao XSS lại quan trọng?

XSS vẫn nằm trong danh sách OWASP Top 10 — điều này có nghĩa là ngay cả sau hai thập kỷ, nó vẫn ảnh hưởng đến các ứng dụng thực tế. Từ các nền tảng mạng xã hội đến các trang thương mại điện tử, XSS đã gây ra rò rỉ dữ liệu, chiếm đoạt tài khoản và thiệt hại uy tín cho các công ty đã bỏ qua các thực hành lập trình an toàn.

XSS là gì? (Giải thích đơn giản)

Hãy nghĩ về XSS như thế này: tưởng tượng một hộp gợi ý tại một cửa hàng. Khách hàng bỏ vào những ghi chú với phản hồi. Hầu hết là bình thường, như “Dịch vụ tuyệt vời!”. Nhưng một kẻ phá hoại đã bỏ vào một ghi chú giả rằng “Hãy đọc to điều này và làm xấu hổ chính mình.”. Nhân viên đọc nó mà không nhận ra đó là một trò lừa.

Đó là những gì Cross-Site Scripting làm — chỉ khác là thay vì từ ngữ, “ghi chú giả” là mã độc hại, và nạn nhân là trình duyệt của mỗi người dùng.

Ví dụ dễ hiểu

Hãy tưởng tượng một blog có phần bình luận. Một người dùng bình thường viết:

Copy 
Bài viết tuyệt vời, cảm ơn bạn đã chia sẻ!

Nhưng một kẻ tấn công thì đăng: <script>alert('hacked')</script>.

Nếu trang web hiển thị đầu vào đó mà không có biện pháp bảo vệ, trình duyệt không xem đó là một bình luận. Nó xem đó là mã để thực thi. Kết quả? Mỗi khách truy cập tải trang đó sẽ nhận được một thông báo bất ngờ — hoặc tệ hơn, kẻ tấn công có thể đánh cắp cookie, chiếm đoạt tài khoản hoặc chèn biểu mẫu đăng nhập giả.

Quy trình tấn công XSS

Dưới đây là vòng đời cơ bản của cách mà XSS xâm nhập:

Copy 
Đầu vào của kẻ tấn công → Lưu trong cơ sở dữ liệu → Hiển thị trong HTML → Trình duyệt thực thi mã

Nhìn bề ngoài, nó giống như văn bản vô hại. Nhưng khi nó đến trình duyệt, ranh giới giữa “dữ liệu” và “mã” trở nên không thể phân biệt.

Các loại XSS (Tổng quan nhanh)

Có ba loại XSS phổ biến:

  1. Stored XSS → đầu vào độc hại được lưu trong cơ sở dữ liệu (ví dụ: bình luận hoặc trường hồ sơ).
  2. Reflected XSS → đầu vào độc hại đến từ URL hoặc biểu mẫu, và máy chủ phản hồi lại trong phản hồi.
  3. DOM-based XSS → cuộc tấn công xảy ra hoàn toàn trong trình duyệt khi JavaScript phía máy khách chèn đầu vào không đáng tin cậy vào trang.

Đừng lo nếu những thuật ngữ này cảm thấy mới — chúng ta sẽ sử dụng các ví dụ mã đơn giản trong phần tiếp theo để làm cho chúng trở nên cụ thể.

XSS trong thực tiễn (Ví dụ xấu)

Cho đến nay, chúng ta đã nói về XSS trong lý thuyết — bây giờ hãy xem nó trông như thế nào trong mã thực tế.

Hãy tưởng tượng rằng chúng ta đang xây dựng một tính năng bình luận đơn giản cho một trang web. Một người dùng nhập một cái gì đó, chúng ta lưu nó và sau đó hiển thị lại trên trang. Rất đơn giản, đúng không? Nhưng nếu chúng ta không cẩn thận, đây chính là nơi XSS xâm nhập.

❌ Ví dụ Go (Kết xuất mẫu dễ bị tấn công)

Trong Go, nếu chúng ta sử dụng gói text/template hoặc in đầu vào thô mà không thoát, chúng ta có nguy cơ đưa đầu vào của người dùng trực tiếp vào HTML:

Copy 
package main

import (
    "fmt"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    comment := r.URL.Query().Get("comment")
    // ❌ Dễ bị tấn công: trực tiếp ghi đầu vào không thoát vào phản hồi
    fmt.Fprintf(w, "<h1>Bình luận của người dùng:</h1> %s", comment)
}

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

Bây giờ nếu một kẻ tấn công truy cập:

Copy 
http://localhost:8080/?comment=<script>alert('XSS')</script>

Thay vì hiển thị văn bản vô hại, trình duyệt thực thi thẻ <script>, và mọi người sẽ thấy một hộp thông báo bật lên.

❌ Ví dụ Node.js (Ứng dụng Express kết xuất đầu vào trực tiếp)

Cùng một vấn đề xảy ra trong Node.js nếu chúng ta chèn đầu vào của người dùng trực tiếp vào HTML mà không thoát:

Copy 
const express = require('express');
const app = express();

app.get('/', (req, res) => {
  const comment = req.query.comment;
  // ❌ Dễ bị tấn công: trực tiếp nhúng đầu vào của người dùng vào HTML
  res.send(`<h1>Bình luận của người dùng:</h1> ${comment}`);
});

app.listen(3000, () => console.log('Máy chủ đang chạy trên http://localhost:3000'));

Nếu ai đó truy cập:

Copy 
http://localhost:3000/?comment=<script>alert('XSS')</script>

Boom — trình duyệt lại bật lên thông báo. Những gì lẽ ra chỉ là “văn bản” giờ đã được coi là mã.

Điểm mấu chốt: Đây là một ví dụ đơn giản về cách XSS hoạt động trong thực tế. Như chúng ta đã thấy trước đó, nó có thể xuất hiện dưới dạng các cuộc tấn công đã lưu, phản ánh hoặc dựa trên DOM — hình thức thay đổi, nhưng nguyên nhân gốc rễ luôn giống nhau: đầu vào không đáng tin cậy bị chèn vào một trang mà không được xử lý đúng cách.

Thực hành tốt nhất để bảo vệ khỏi XSS

  • Lọc và thoát đầu vào: Luôn luôn lọc và thoát tất cả đầu vào từ người dùng.
  • Sử dụng CSP: Content Security Policy (CSP) có thể giúp giảm thiểu nguy cơ XSS.
  • Giới hạn nội dung: Chỉ cho phép các loại nội dung nhất định được hiển thị.

Những cạm bẫy thường gặp

  • Thiếu biện pháp bảo vệ: Bỏ qua việc kiểm tra và thoát đầu vào có thể dẫn đến lỗ hổng XSS.
  • Sử dụng mã không an toàn: Sử dụng mã và thư viện không được kiểm tra có thể dễ dàng bị tấn công.

Mẹo hiệu suất

  • Sử dụng mã hóa: Mã hóa đầu vào trước khi lưu vào cơ sở dữ liệu.
  • Sử dụng các công cụ bảo mật: Các công cụ như OWASP ZAP có thể giúp phát hiện lỗ hổng XSS.

Kết luận

XSS là một lỗ hổng phổ biến nhưng hoàn toàn có thể ngăn chặn được nếu bạn thực hiện các phương pháp bảo mật đúng cách. Hãy luôn nhớ rằng, an toàn không chỉ là một lựa chọn mà là một phần không thể thiếu trong quá trình phát triển ứng dụng. Để bảo vệ ứng dụng của bạn khỏi các cuộc tấn công XSS, hãy áp dụng những thực hành tốt nhất và kiểm tra mã của bạn thường xuyên. Đừng để ứng dụng của bạn trở thành nạn nhân tiếp theo của XSS!

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào