Các cuộc tấn công Web XSS có thể tồn tại mãi mãi

Nếu trình duyệt không cung cấp một cơ chế cho các trang web để phục hồi một cách an toàn từ một số cuộc tấn công kịch bản chéo trang web thì các cuộc tấn công có thể trở thành bất khả chiến bại và các trang web bị tấn công vẫn sẽ bị tổn thương vô thời hạn. Đây là lời cảnh báo của nhà nghiên cứu kiêm kỹ sư bảo mật Michal Zalewski của Google viết trong một blog vào thứ Bảy.

Phạm vi của các ngôn ngữ lập trình máy khách như JavaScript trong trình duyệt bị giới hạn bởi một khái niệm bảo mật quan trọng được biết đến như là một chính sách có cùng nguồn gốc. Điều này ngăn ngừa các đoạn mã chạy trên các trang web nhất định không can thiệp vào các trang web được mở trong các tab riêng biệt hoặc cửa sổ riêng biệt.

Trong các cuộc tấn công XSS, những kẻ tấn công chèn mã JavaScript giả mạo vào trong các trang mục tiêu, sau đó thực hiện trong bối cảnh gốc của họ, được xác định bởi các miền, giao thức và số cổng.

JavaScript rất mạnh và được sử dụng trong hầu hết các cuộc tấn công dựa trên web. Mặc dù vậy, các trình duyệt hiện tại không cung cấp một cơ chế có thể được sử dụng để làm mất hiệu lực của mã.

Một phản ứng bình thường đối với các cuộc tấn công XSS là chắp vá các lỗ hổng, làm mất hiệu lực của cookies để mọi người buộc phải chứng thực lại, và tùy chọn thay đổi mật khẩu. Nhưng điều này là không đủ, bởi vì, theo Zalewski, trang Web có thể bị nhiễm độc vô thời hạn.

Về bản chất, không có cách nào để các trang web có thể đảm bảo rằng người dùng của họ không còn bị ảnh hưởng bởi một cuộc tấn công XSS. Tuy nhiên, người ta sẽ có khuynh hướng nghĩ rằng một cuộc tấn công như vậy sẽ dừng lại tại một số điểm mà không cần sự can thiệp của trang web, chẳng hạn như khi đóng tab hoặc trình duyệt.

Theo Zalewski, có một số phương pháp mà kẻ tấn công có thể sử dụng để mở rộng khả năng chiếm giữ của họ trên một trang web bị tổn hại khá nặng với thời gian vô thời hạn.

Một trong những kịch bản sẽ liên quan đến việc chèn mã JavaScript giả mạo vào một dịch vụ webmail phổ biến hoặc trang web mạng xã hội. Mã này có thể chạy ở chế độ nền với khả năng xử lý cửa sổ cho mỗi tab mới được mở do nhấp chuột vào một liên kết từ trang bị tổn hại. Nếu các trang mới được mở ra có nguồn gốc tương tự như các trang ban đầu, hoặc tải một đoạn mã từ cùng một tên miền, thì mã giả mạo có thể sao chép chính nó và quá trình có thể bắt đầu lại.

Trên lý thuyết, nếu tắt trình duyệt thì sẽ kết thúc được bất kỳ cuộc tấn công nào như vậy. Tuy nhiên, hiện nay có cách khắc phục, bằng cách sử dụng các công nghệ như lưu trữ HTML5 hoặc Web Workers, một API đặc biệt để chạy mã JavaScript trong chế độ nền.

Các cuộc tấn công như vậy cũng có thể dẫn đến nhiều thỏa hiệp tài khoản nếu các máy tính bị ảnh hưởng được sử dụng bởi nhiều cá nhân khác nhau. Chúng vẫn chưa phổ biến vì có các kỹ thuật đơn giản khác mà tin tặc sử dụng, bao gồm khai thác lỗ hổng thực thi mã từ xa.

"Ngày nay, tin tặc có thể dễ dàng lừa người sử dụng hoặc khai thác các lỗi RCE (thực hiện lệnh từ xa)”. Zalewski cảnh báo.

Thùy Linh