Trainning
  • WEEK 2
    • Tìm hiểu các thành phần hệ điều hành
    • TryHackMe| Abusing Windows Internals
  • WEEK 3
    • Một số phương thức Persistence
    • Các Phương thức tấn công Process nâng cao
    • Implement tấn công
  • week 4
    • Linux
      • Basic Concept Linux
      • Symlink
      • Linux Persistence
      • Notes
    • PROCESS LIST
    • Network
      • OSI MODEL(OPEN SYSTEMS INTERCONNECTION MODEL)
      • Các giao thức phổ biến trong môi trường enterprise
        • SMB - Server Message Block
        • LDAP - Lightweight Directory Access Protocol
          • LDAP Injection
        • SSH - Secure Shell
        • RDP - Remote Desktop Protocol
        • ICMP - Internet Control Message Protocol
        • DNS - Domain Name System
        • DHCP - Dynamic Host Configuration Protocol
        • HTTP/HTTPS
  • WEEK 5
    • Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
    • Reconnaissance
    • Active Directory
      • Group Policy
    • NTLM vs Kerberos
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Path The Hash
      • ASREPRoast
        • Demo
      • Kerberoasting
        • Demo
      • Silver Ticket
        • Demo
      • Golden Ticket
        • Demo
      • Tóm tắt
    • Stealing Windows Credentials
      • Mimikatz
      • Custom SSP
    • LLMNR Poisoning, NTLM Replay
  • WEEK 6 + 7
    • DOM-based vulnerabilities
      • DOM-based open redirection
    • SQL Injection
      • Lab: Retrieving hidden data
      • Lab: Subvering application logic
      • SQL injection UNION attacks
        • Lab: SQL injection UNION attack, determining the number of columns returned by the query
        • Lab: SQL injection UNION attack, finding a column containing text
        • Lab: SQL injection UNION attack, retrieving data from other tables
        • Lab: SQL injection UNION attack, retrieving multiple values in a single column
      • Blind SQL Injection
        • Lab: Blind SQL injection with conditional responses
        • Lab: Blind SQL injection with conditional errors
        • Lab: Visible error-based SQL injection
        • Lab: Blind SQL injection with time delays
        • Lab: Blind SQL injection with time delays and information retrieval
        • Lab: Blind SQL injection with out-of-band interaction
        • Lab: Blind SQL injection with out-of-band data exfiltration
      • Examining the database
        • Lab: SQL injection attack, querying the database type and version on Oracle
        • Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
        • Lab: SQL injection attack, listing the database contents on non-Oracle databases
        • Lab: SQL injection attack, listing the database contents on Oracle
      • Che dấu cuộc tấn công bằng Encode
        • Lab: SQL injection with filter bypass via XML encoding
    • Authentication
      • Lỗ hổng trong đăng nhập bằng mật khẩu
        • Lab: Username enumeration via different responses
        • Lab: Username enumeration via subtly different responses
        • Lab: Username enumeration via response timing
        • Lab: Broken brute-force protection, IP block
        • Lab: Username enumeration via account lock
        • Lab: Broken brute-force protection, multiple credentials per request
      • Lỗ hổng trong xác thực đa nhân tố
        • Lab: 2FA simple bypass
        • Lab: 2FA broken logic
        • Lab: 2FA bypass using a brute-force attack
      • Các lỗ hổng trong cơ chế xác thực khác
        • Lab: Brute-forcing a stay-logged-in cookie
        • Lab: Offline password cracking
        • Lab: Password reset broken logic
        • Lab: Password brute-force via password change
        • Lab: Password brute-force via password change
      • Lỗ hổng xác thực OAuth 2.0
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Forced OAuth profile linking
        • Lab: OAuth account hijacking via redirect_uri
        • Lab: Stealing OAuth access tokens via an open redirect
        • Lab: Stealing OAuth access tokens via a proxy page
        • Lab: SSRF via OpenID dynamic client registration
    • Access Control
      • Lab: Unprotected admin functionality
      • Lab: Unprotected admin functionality with unpredictable URL
      • Lab: User role controlled by request parameter
      • Lab: User role can be modified in user profile
      • Lab: URL-based access control can be circumvented
      • Lab: Method-based access control can be circumvented
      • Lab: User ID controlled by request parameter
      • Lab: User ID controlled by request parameter, with unpredictable user IDs
      • Lab: User ID controlled by request parameter with data leakage in redirect
      • Lab: Insecure direct object references
      • Lab: Multi-step process with no access control on one step
      • Lab: Referer-based access control
    • Path Traversal
      • Lab: File path traversal, simple case
      • Lab: File path traversal, traversal sequences blocked with absolute path bypass
      • Lab: File path traversal, traversal sequences stripped non-recursively
      • Lab: File path traversal, traversal sequences stripped with superfluous URL-decode
      • Lab: File path traversal, validation of start of path
      • Lab: File path traversal, validation of file extension with null byte bypass
    • Command Injection
      • Lab: OS command injection, simple case
      • Lab: Blind OS command injection with time delays
      • Lab: Blind OS command injection with output redirection
      • Lab: Blind OS command injection with out-of-band interaction
      • Lab: Blind OS command injection with out-of-band data exfiltration
    • File uploads
    • Server-side request forgery (SSRF)
    • Cross-site scripting
      • Reflected XSS
      • Stored XSS
      • DOM-based XSS
      • Cross-site scripting contexts
    • Cross-site request forgery (CSRF)
      • Bypassing CSRF token validation
      • Bypass SameSite cookie restrictions
      • Page 2
    • Insecure deserializaton
    • Burp Suite
    • Tóm tắt
  • Week 8
    • Rà soát mã độc
Powered by GitBook
On this page
  • Khái niệm
  • Tác động
  • Cách tìm và kiểm tra
  1. WEEK 6 + 7
  2. Cross-site scripting

Stored XSS

PreviousReflected XSSNextDOM-based XSS

Last updated 7 months ago

Khái niệm

Stored cross-site cripting (secend-order/persisten XSS) xảy ra khi ứng dụng nhận dữ liệu từ nguồn không đáng tin cậy và đưa dữ liệu đó vào phản hồi HTTP ngay sau đó theo cách không an toàn

Giải pháp:

Vào bài post bất kỳ và post comment với tập lệnh như sau

Bất kỳ khi nào và người dùng nào truy vấn vào bài post này, tập lệnh sẽ được thực thi và hiển thị thông báo

Tác động

Tấn công Stored XSS cho phép kẻ tấn công kiểm soát và thực thi mã script trong trình duyệt của nạn nhân, dẫn đến việc chiếm quyền hoàn toàn tài khoản của người dùng bị ảnh hưởng. Kẻ tấn công có thể thực hiện mọi hành động mà nạn nhân có thể làm.

Sự khác biệt quan trọng giữa Reflected XSS và Stored XSS là khả năng khai thác: với Stored XSS, tấn công được tự chứa trong ứng dụng. Kẻ tấn công không cần tìm cách bên ngoài để dụ người dùng thực hiện yêu cầu chứa mã độc. Thay vào đó, họ chỉ cần chèn mã độc vào ứng dụng và đợi người dùng truy cập vào đó.

Tính chất tự chứa của Stored XSS đặc biệt quan trọng trong trường hợp lỗ hổng XSS chỉ ảnh hưởng đến người dùng đang đăng nhập vào ứng dụng. Với Reflected XSS, cuộc tấn công cần phải xảy ra đúng thời điểm khi người dùng đăng nhập. Ngược lại, với Stored XSS, người dùng chắc chắn sẽ đăng nhập vào lúc họ gặp mã độc.

Cách tìm và kiểm tra

Tự động: ...

Thủ công:

Việc kiểm thử thủ công rất khó khăn vì cần kiểm tra tất cả các "entry points" (điểm vào) mà dữ liệu do kẻ tấn công kiểm soát có thể đi vào xử lý của ứng dụng, và tất cả các "exit points" (điểm thoát) nơi dữ liệu đó có thể xuất hiện trong response (phản hồi) của ứng dụng.

Các entry points có thể bao gồm:

  • Parameters (tham số) trong chuỗi truy vấn URL hoặc message body (thân thông điệp).

  • URL file path (đường dẫn file URL).

  • HTTP request headers (tiêu đề yêu cầu HTTP) hoặc bất kỳ phương thức nào mà dữ liệu có thể đi vào ứng dụng, tùy thuộc vào chức năng ứng dụng.

Các exit points là tất cả các HTTP responses (phản hồi HTTP) trả về cho người dùng ứng dụng trong bất kỳ tình huống nào.

Bước đầu tiên để kiểm thử Stored XSS là xác định liên kết giữa các entry points và exit points, nơi dữ liệu được gửi vào một entry point và xuất ra từ một exit point. Điều này khó khăn vì:

  • Dữ liệu từ bất kỳ entry point nào có thể xuất hiện tại bất kỳ exit point nào.

  • Dữ liệu được lưu trữ có thể bị ghi đè do các hành động khác trong ứng dụng.

Một cách tiếp cận hợp lý hơn là làm việc có hệ thống qua các điểm nhập dữ liệu, gửi giá trị cụ thể vào mỗi entry point và giám sát response để xem liệu giá trị có xuất hiện hay không. Nếu có, cần xác định liệu dữ liệu có được lưu trữ qua các request khác nhau hay chỉ được phản chiếu lại ngay lập tức.

Khi xác định được liên kết giữa entry points và exit points, cần thử nghiệm cụ thể để phát hiện lỗ hổng Stored XSS. Điều này bao gồm xác định context (ngữ cảnh) của dữ liệu được lưu trữ trong response và thử nghiệm các payload XSS phù hợp. Phương pháp này tương tự như tìm kiếm lỗ hổng Reflected XSS.

LogoLab: Stored XSS into HTML context with nothing encoded | Web Security AcademyWebSecAcademy