Lỗi Cross –side scripting (thường được gọi tắt là XSS) xảy ra khi một ứng dụng web bị lợi dụng để gửi dữ liệu xấu (thường là đoạn mã script) đến trình duyệt của người sử dụng. Những lỗ hổng này rất phổ biến và xảy ra trong bất cứ phần nào của ứng dụng web có sử dụng dữ liệu từ người dùng trong các giá trị phản hồi mà không kiểm tra tính hợp lệ [4].
Một hacker có thể sử dụng lỗ hổng này để gửi các đoạn mã đến người dùng. Trình duyệt trong máy người dùng không thể biết được nên tin hay không tin đoạn mã nào, và sẽ thi hành đoạn script này. Bởi vì trình duyệt tin rằng đoạn mã đến từ một nguồn tin tưởng, đoạn mã script có thể truy cập đến cookies, session tokens, hoặc bất kỳ thông tin nhạy cảm nào được lưu lại trong trình duyệt có liên quan đến trang web đang truy cập. Những đoạn mã này còn có thể sửa đổi nội dung trang web. Hậu quả của tấn công dạng XSScos thể rất nguy hiểm, bao gồm lộ session cookie, cho phép hacker chiếm quyền sở hữu tài khoản. Những hậu quả khác bao gồm: lộ các tập tin của người dùng, cài đặt các chương trình trojan, di chuyển người sử dụng đến trang web khác, sửa đổi nội dung trang web nhằm đánh lừa người dùng. Hình dưới đây mô tả một ví dụ tấn công dạng cross site scripting với hậu quả là khách hàng bị lừa truy cập vào trang web giả mạo nhằm ăn cắp tài khoản khách hàng:
Hình 1.21. Tấn công XSS
1. Hacker phát hiện lỗ hổng cross – site – scripting trên trang web của một ngân hàng thật http://www.bank-that.com
2. Hacker tạo một trang web trông giống ngân hàng thật tại địa chỉ http://www.bank-gia.com
3. Hacker soạn một email giả từ nhân viên của ngân hàng gửi đến cho một khách hàng. Trong email, hacker soạn một nội dung yêu cầu khách hàng bấm vào link trông giống như link truy cập vào ngân hàng thật
4. Khách hàng nhận được email, tưởng là email từ phía ngân hàng thật, nên bấm vào link.
5. Khi bấm vào link, thay vì truy cập vào ngân hàng thật, trình duyệt của khách hàng được chuyển tự động đến trang web ngân hàng giả do hacker tạo sẵn trông giống như ngân hàng thật: http://www.bang-gia.com
Khách hàng nhập thông tin đăng ký vào trang ngân hàng giả và thông tin này được chuyển đến hacker.