Saturday, September 27, 2014

Basic XSS

Posted by X Research on 6:19 AM with No comments

Cross Site Scripting ဆိုတာ XSS လို ့လဲလူသိမ်ားပါတယ္ ။ input form ေတြရဲ ့အားနည္းခ်က္ကိုအသံုးျပုျပီးေတာ့
Malicious Code ေတြကို Website အတြင္းသို ့ ထည့္သြင္းျခင္း inject လုပ္ျခင္းလို ့မွတ္ယူနိုင္ပါတယ္ ။

XSS ဘယ္နမ်ိုးရွိလဲ ဆိုရင္ ပထမေတာ့  ၂ မ်ိုးဘဲရွိပါတယ္ ။ Persistance XSS နဲ ့ Non-persistance XSS ဆိုျပီးေတာ့ေပါ့ ။
ေနာက္ပိုင္းမွာေတာ့ DOM Based XSS ဆိုတာတစ္ခုထပ္မံထြက္လာခဲ့ပါတယ္ ။

Persistance XSS

Persistance XSS ဆိုတာကေတာ့ database ထဲကိုထည့္သြင္းတဲ့ေနရာေတြမွာအမ်ားဆံုးေတြ ့ရတတ္ပါတယ္ ။
ဥပမာအားျဖင့္ Comment ေပးတဲ့ေနရာမ်ိုးေတြမွာ အမ်ားဆံုးေတြ ့ရတတ္ပါတယ္ ။ Post တစ္ခုေရးတင္တဲ့ေနရာမ်ိုးေတြမွာ
Website ဟာ database ထဲမွာ user ရဲ ့ input ကိုထည့္သိမ္းဖို ့လိုအပ္တာေျကာင့္ ဒီေနရာေတြမွာ Persistance XSS ကို
အမ်ားဆံုးေတြ ့ရျခင္းဘဲျဖစ္ပါတယ္ ။

Diagram of a persistent XSS attack

Non Persistance XSS

Non Persistance XSS ကေတာ့ Persistance XSS နဲ ့ ေျပာင္းျပန္ပါဘဲ ။ database ထဲမွာ သြားျပီးထည့္မသိမ္းတဲ့
search form လို user search တဲ့ေနရာမ်ိုးေတြမွာသာေတြ ့ရတတ္ပါတယ္ ။ URL ကို ေပးပို ့ျခင္းျဖင့္ malicious code ကိုအလုပ္လုပ္
ေစနိုင္ပါတယ္ ။


Diagram of a persistent XSS attack


DOM Based XSS

DOM ဆိုတာက Document Object Model ရဲ ့အတိုေကာက္ပါ ။ သူကေတာ့ Source Code ထဲမွာ Source နဲ ့ Slinks ဆိုျပီး ၂ မ်ိုးရွိပါတယ္ ။
ဒီ attribute ေတြကေနဘဲ DOM Based XSS ေပါက္တာပါ ။ name လို ့ သတ္မွတ္ခဲ့တယ္ဆိုရင္ အဲဒီေနရာကေနဘဲ malicious code ကို
ထည့္သြင္းလိုက္ျခင္းမ်ိုးကိုဆိုလိုပါတယ္ ။


Diagram of a DOM-based XSS attack

ေနာက္အပိုင္းေတြက်မွ အေသးစိတ္ကို ထပ္မံရွင္းျပေပးပါမယ္ ။


Refrence : http://excess-xss.com/
Categories:

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)