Bài đăng

Đang hiển thị bài đăng từ Tháng 8, 2016

Lỗ hổng bảo mật Cross-Site-Scripting (XSS) có gì nguy hiểm?

Hình ảnh
Mỗi khi đăng những bài writeup về một lỗ hổng XSS được phát hiện trên một trang web nào đó, tôi biết sẽ có những người nhếch mép cười khẩy vì lúc đó trong đầu họ sẽ nghĩ: "Cái lỗi XSS này thì có cái quái gì nguy hiểm cơ chứ?" "Ngoài việc hiện lên một hộp thoại thì XSS làm được cái đếch gì nữa không?" "Một lỗ hổng vớ vẩn thôi mà. Ơ mà hiện hộp thoại cũng được gọi là lỗ hổng hả?" ... Vậy thì, XSS có gì nguy hiểm? Thay vì viết ra đống lý thuyết nhàm chán, chúng ta sẽ cùng xem xét  những hình thức tấn công khai thác XSS đã được áp dụng trong thực tiễn . Nói trước để những bạn nào còn chưa biết về XSS thì nên Google xem nó là gì trước khi đọc tiếp bài viết này nha. Read More
Đăng nhận xét
Đọc thêm

Tôi đã hack VietDesigner.net và Kenhsinhvien.vn như thế nào?

Hình ảnh
Hành trình truy tìm lỗ hổng bảo mật Trước hết, tớ xem xét đặc điểm chung của cả hai trang web này: Đây đều là 2 diễn đàn lớn (mục tiêu càng lớn, càng nhiều người dùng thì càng tỉ lệ thuận với sự nguy hiểm của một lỗi bảo mật được phát hiện). Cùng sử dụng nền tảng Xenforo. Cùng sử dụng một add-on giống nhau để tạo trình chuyển hướng liên kết. Trong 3 đặc điểm này thì điều thứ 3 chính là mấu chốt: http://kenhsinhvien.vn/redirect/?url= https://junookyo.blogspot.com/ http://forum.vietdesigner.net/redirect/?url= https://junookyo.blogspot.com/ Tại sao tớ biết rằng 2 trang cùng dùng một add-on? Ngoài việc dựa theo cấu trúc liên kết, thì tớ xem mã nguồn trang chuyển hướng của cả 2 và cùng một thấy từ khóa quan trọng sau: Tìm từ khóa đó trên Google: Như vậy có thể đoán được 2 diễn đàn kia đang sử dụng add-on tạo trình chuyển hướng tên là "GoodForNothing Url Anonymizer" (sau này đã đổi tên thành GoodForNothing Link Proxy ). Read More
Đăng nhận xét
Đọc thêm

Giải quyết vấn đề thực tế: Khôi phục logo clan CF

Hình ảnh
Tình huống thực tế Thử thách gặp phải ở đây là: Từ phiên bản 1151 (cập nhật từ năm 2014) thì CF đã chuyển hệ thống quản lý Clan vào trong game thay vì quản lý trực tiếp trên web như trước. Do đó, chúng ta không thể sử dụng chức năng tìm ảnh qua Google hay tìm trực tiếp từ trang quản lý Clan của VTC Game. Read More
Đăng nhận xét
Đọc thêm

Truyện ngành CNTT: Tâm sự của một người trái ngành

Hình ảnh
Chuyện thứ nhất: Chọn ngành Cách đây 2 năm, cuối năm 12, mình may mắn pass cả 3 vòng lấy học bổng FPT, mình bắt đầu đứng giữa 3 sự chọn lựa: hoặc chọn sư phạm, hoặc chọn nhạc viện, hoặc chọn ĐH FPT và cả 3 đều là đam mê, sở thích của mình. Read More
Đăng nhận xét
Đọc thêm

1937cn tấn công Vietnam Airlines - Nhận định từ các chuyên gia bảo mật

Hình ảnh
Bài viết này tổng hợp lại đánh giá từ các chuyên gia bảo mật có uy tín ở Việt Nam về vụ việc nhóm hacker 1937cn đến từ Trung Quốc tấn công vào hãng hàng không Vietnam Airlines . Read More
Đăng nhận xét
Đọc thêm