Bấy gi , khi lốỗ h ng SQL injection tốền t i, m t tác nhấn đe d a trái phép bằềng cách nào đó có th ờ ổ ạ ộ ọ ể
b qua quá trình xác th c và đ a các cấu l nh SQL theo cách th cống đ g i các truy vấốn gian l n ỏ ự ư ệ ủ ể ử ậ
đêốn c s d li u. Điêều này seỗ cho phép k tấốn cống xem, s a đ i và xóa d li u kh i c s d ơ ở ữ ệ ẻ ử ổ ữ ệ ỏ ơ ở ữ
li u.ệ
SQL injection khống ch rấốt ph biêốn mà cịn rấốt nguy hi m vì nó có th dấỗn đêốn vi c truy c p trái ỉ ổ ể ể ệ ậ
phép vào d li u cá nhấn, thống tin tài chính, s h u trí tu và bí m t thữ ệ ở ữ ệ ậ ương m i. Nó đã đạ ược li tệ
kê là r i ro sốố m t trong danh sách 10 mốối đe d a b o m t ng d ng web hàng đấều c a OWASP. ủ ộ ọ ả ậ ứ ụ ủ
M t sốố lộ ượng l n các vi ph m d li u là kêốt qu c a các cu c tấốn cống SQL injection.ớ ạ ữ ệ ả ủ ộ
SQL Injection ho t đ ng nh thêố nàoạ ộ ư
M t cu c tấốn cống SQL Injection nhằốm vào lốỗ h ng trong các cấu l nh SQL đ ng. Hãy nghĩ vêề m t ộ ộ ổ ệ ộ ộ
cấu l nh SQL đ ng giốống nh m t hàm đa biêốn trong toán h c, trong đó các tham sốố đệ ộ ư ộ ọ ược cốố đ nh, trong khi các giá tr đị ị ược thay thêố trong các biêốn đ c l p xác đ nh kêốt qu .ộ ậ ị ả
T ương t , m t cấu l nh SQL đ ng cũng bao gốềm m t t p h p các tham sốố đự ộ ệ ộ ộ ậ ợ ược xác đ nh trị ước (ch ng h n nh bi u mấỗu web), trong đó cấu l nh hồn ch nh ch đẳ ạ ư ể ệ ỉ ỉ ượ ạc t o ra khi người dùng điêền vào các đấều vào c a h .ủ ọ
Sau khi ng i dùng nh p tên ngườ ậ i dùng và m t kh u c a h , cấu l nh seỗ đườ ậ ẩ ủ ọ ệ ược hồn tấốt, sau đó m t truy vấốn seỗ độ ược g i đêốn máy ch đ truy xuấốt thống tin c a ngử ủ ể ủ ười dùng t c s d li u.ừ ơ ở ữ ệ
Khi m t lốỗ h ng tốền t i trong m t cấu l nh SQL đ ng, k tấốn cống seỗ có th nh p các t p l nh ộ ổ ạ ộ ệ ộ ẻ ể ậ ậ ệ
ph c t p vào các bi u mấỗu đ can thi p vào các tham sốố đã có t trứ ạ ể ể ệ ừ ước đ thay đ i ý nghĩa c a ể ổ ủ
cấu l nh hồn ch nh.ệ ỉ
1.3. Tấn cơng bằng XSS
Tấốn cống bằềng XSS là gì?
Cross Site Scripting (XSS) là m t trong nh ng tấốn cống ph biêốn và dêỗ b tấốn cống nhấốt mà tấốt c ộ ữ ổ ị ả
các Tester có kinh nghi m đêều biêốt đêốn. Nó đệ ược coi là m t trong nh ng tấốn cống nguy hi m nhấốt ộ ữ ể
đốối v i các ng d ng web và có th mang l i nh ng h u qu nghiêm tr ng. Gi i thi u vêề tấốn cống ớ ứ ụ ể ạ ữ ậ ả ọ ớ ệ
XSS Tấốn cống XSS là m t đo n mã đ c, đ khái thác m t lốỗ h ng XSS, hacker seỗ chèn mã đ c thốngộ ạ ộ ể ộ ổ ộ
qua các đo n script đ th c thi chúng phía Client. Thống thạ ể ự ở ường, các cu c tấốn cống XSS độ ượ ửc s d ng đ vụ ể ượt qua truy c p và m o danh ngậ ạ ười dùng.