Hieu dinh- Information Assurance Portfolio.
Loading...
{"desktop":{"unique_in":[],"is_horizontal_lv1":1,"is_horizontal_lv2":0,"is_horizontal_lv3":0,"is_horizontal_lv4":0,"column_lv1":1,"column_lv2":1,"column_lv3":1,"column_lv4":1,"position_lv2":"bottom","position_lv3":"","position_lv4":"","turn_on_arrow_1":0,"open_hover":0,"icon_open_horizontal":"","icon_close_horizontal":"","icon_open":"","icon_close":"","device_off_open_hover":"1024px","device_allow_event_toggle":0,"open_to_level":0,"style_lv2_box":{"width":""},"style_lv3_box":{"width":""},"style_lv4_box":{"width":""},"style_custom":[]},"1024px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]}}
CV của tôi
Loading...
{"desktop":{"unique_in":[],"is_horizontal_lv1":1,"is_horizontal_lv2":0,"is_horizontal_lv3":0,"is_horizontal_lv4":0,"column_lv1":1,"column_lv2":1,"column_lv3":1,"column_lv4":1,"position_lv2":"bottom","position_lv3":"","position_lv4":"","turn_on_arrow_1":0,"open_hover":0,"icon_open_horizontal":"","icon_close_horizontal":"","icon_open":"","icon_close":"","device_off_open_hover":"1024px","device_allow_event_toggle":0,"open_to_level":0,"style_lv2_box":{"width":""},"style_lv3_box":{"width":""},"style_lv4_box":{"width":""},"style_custom":[]},"640px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]},"375px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]}}
John Thompson
Loading...
{"desktop":{"unique_in":[],"is_horizontal_lv1":1,"is_horizontal_lv2":0,"is_horizontal_lv3":0,"is_horizontal_lv4":0,"column_lv1":1,"column_lv2":1,"column_lv3":1,"column_lv4":1,"position_lv2":"bottom","position_lv3":"","position_lv4":"","turn_on_arrow_1":0,"open_hover":0,"icon_open_horizontal":"","icon_close_horizontal":"","icon_open":"","icon_close":"","device_off_open_hover":"1024px","device_allow_event_toggle":0,"open_to_level":0,"style_lv2_box":{"width":""},"style_lv3_box":{"width":""},"style_lv4_box":{"width":""},"style_custom":[]},"1024px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]}}
Liên hệ ngay
Loading...
{"desktop":{"unique_in":[],"is_horizontal_lv1":1,"is_horizontal_lv2":0,"is_horizontal_lv3":0,"is_horizontal_lv4":0,"column_lv1":1,"column_lv2":1,"column_lv3":1,"column_lv4":1,"position_lv2":"bottom","position_lv3":"","position_lv4":"","turn_on_arrow_1":0,"open_hover":0,"icon_open_horizontal":"","icon_close_horizontal":"","icon_open":"","icon_close":"","device_off_open_hover":"1024px","device_allow_event_toggle":0,"open_to_level":0,"style_lv2_box":{"width":""},"style_lv3_box":{"width":""},"style_lv4_box":{"width":""},"style_custom":[]},"640px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]},"375px":{"style_lv2_box":[],"style_lv3_box":[],"style_lv4_box":[],"style_custom":[]}}
HiếuIA
Thông tin
Đinh Trung Hiếu
15 Hoàng Thúc Trâm
hieudzbodoi04@gmail.com
0787652705
Sản phẩm của
Cung cấp bởi P.A Việt Nam
[]
{"id":727460,"name":"[Pentest Report] DVWA: Phân Tích & Khai Thác Lỗ Hổng Reflected XSS","desc":"<p style=\"margin-left:18.0pt; margin:0cm 0cm 8pt; margin-right:0cm\">Báo cáo kiểm thử xâm nhập module Reflected XSS trên DVWA. Phân tích nguyên nhân từ mã nguồn PHP và thực hiện tấn công chiếm quyền điều khiển phiên (Session Hijacking).<\/p>\n","content":"<p data-path-to-node=\"10\"><b>1. Tóm tắt quản trị (Executive Summary)<\/b><\/p>\n\n<ul data-path-to-node=\"11\">\n\t<li>\n\t<p data-path-to-node=\"11,0,0\"><b>Mục tiêu:<\/b> Hệ thống DVWA (Damn Vulnerable Web App).<\/p>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"11,1,0\"><b>Lỗ hổng:<\/b> Reflected Cross-Site Scripting (XSS).<\/p>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"11,2,0\"><b>Mức độ nghiêm trọng:<\/b> ???? <b>HIGH (Cao)<\/b>.<\/p>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"11,3,0\"><b>Mô tả:<\/b> Ứng dụng tiếp nhận dữ liệu đầu vào từ người dùng và phản hồi lại ngay lập tức mà không qua các bước mã hóa (encoding) hoặc lọc bỏ (sanitizing). Kẻ tấn công có thể chèn mã JavaScript độc hại để đánh cắp phiên đăng nhập (Session Cookie) của người dùng khác.<\/p>\n\t<\/li>\n<\/ul>\n\n<p data-path-to-node=\"12\"><b>2. Chi tiết kỹ thuật (Technical Analysis)<\/b><\/p>\n\n<ul data-path-to-node=\"13\">\n\t<li>\n\t<p data-path-to-node=\"13,0,0\"><b>Điểm yếu (Vulnerable Endpoint):<\/b> <span style=\"font-family:Courier New,Courier,monospace;\"><code>http:\/\/[Target-IP]\/dvwa\/vulnerabilities\/xss_r\/<\/code><\/span><\/p>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"13,1,0\"><b>Tham số bị ảnh hưởng:<\/b> <code>name<\/code> (GET method).<\/p>\n\t<\/li>\n<\/ul>\n\n<p data-path-to-node=\"14\"><b>Nguyên nhân gốc rễ (Root Cause):<\/b> Phân tích mã nguồn PHP cho thấy ứng dụng in trực tiếp đầu vào ra màn hình mà không kiểm soát:<br \/>\n<button _ngcontent-ng-c360058385=\"\" aria-label=\"Sao chép mã\" jslog=\"179062;track:generic_click,impression;BardVeMetadataKey:[["r_55d31a1bf3ec5160","c_53462c02b9332549",null,"rc_b40526733d20a15b",null,null,"vi",null,1,null,null,1,0]];mutable:true\" mat-icon-button=\"\" mat-ripple-loader-centered=\"\" mat-ripple-loader-class-name=\"mat-mdc-button-ripple\" mat-ripple-loader-uninitialized=\"\" mattooltip=\"Sao chép mã\"><\/button><\/p>\n\n<pre _ngcontent-ng-c360058385=\"\">\n<span style=\"font-family:Courier New,Courier,monospace;\"><code _ngcontent-ng-c360058385=\"\" data-test-id=\"code-content\" role=\"text\"><?php\n\/\/ Lấy input từ URL\n$name = $_GET['name'];\n\n\/\/ In trực tiếp ra màn hình -> LỖ HỔNG XSS\necho "Hello " . $name;\n?>\n<\/code><\/span><\/pre>\n\n<p data-path-to-node=\"16\"><b>3. Bằng chứng khai thác (Proof of Concept)<\/b><\/p>\n\n<ul data-path-to-node=\"17\">\n\t<li>\n\t<p data-path-to-node=\"17,0,0\"><b>Bước 1: Kiểm tra điểm chèn (Injection Point)<\/b> Nhập thử thẻ HTML cơ bản để xem phản hồi của server.<\/p>\n\n\t<ul data-path-to-node=\"17,0,1\">\n\t\t<li>\n\t\t<p data-path-to-node=\"17,0,1,0,0\"><i>Payload:<\/i> <span style=\"font-family:Courier New,Courier,monospace;\"><code><b>Hacker<\/b><\/code><\/span><\/p>\n\t\t<\/li>\n\t\t<li>\n\t\t<p data-path-to-node=\"17,0,1,1,0\"><i>Kết quả:<\/i> Chữ "Hacker" được in đậm -> Trình duyệt đã thực thi mã HTML.<\/p>\n\t\t<\/li>\n\t<\/ul>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"17,1,0\"><b>Bước 2: Xây dựng Payload tấn công<\/b> Tạo đường dẫn chứa mã độc JavaScript để hiển thị Cookie phiên làm việc.<\/p>\n\tJavaScript\n\n\t<p><button _ngcontent-ng-c360058385=\"\" aria-label=\"Sao chép mã\" jslog=\"179062;track:generic_click,impression;BardVeMetadataKey:[["r_55d31a1bf3ec5160","c_53462c02b9332549",null,"rc_b40526733d20a15b",null,null,"vi",null,1,null,null,1,0]];mutable:true\" mat-icon-button=\"\" mat-ripple-loader-centered=\"\" mat-ripple-loader-class-name=\"mat-mdc-button-ripple\" mat-ripple-loader-uninitialized=\"\" mattooltip=\"Sao chép mã\"><\/button><\/p>\n\n\t<pre _ngcontent-ng-c360058385=\"\">\n<span style=\"font-family:Courier New,Courier,monospace;\"><code _ngcontent-ng-c360058385=\"\" data-test-id=\"code-content\" role=\"text\"><script>alert(document.cookie)<\/script>\n<\/code><\/span><\/pre>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"17,2,0\"><b>Bước 3: URL Khai thác hoàn chỉnh<\/b> Gửi đường dẫn sau cho nạn nhân:<\/p>\n\tPlaintext\n\n\t<p><button _ngcontent-ng-c360058385=\"\" aria-label=\"Sao chép mã\" jslog=\"179062;track:generic_click,impression;BardVeMetadataKey:[["r_55d31a1bf3ec5160","c_53462c02b9332549",null,"rc_b40526733d20a15b",null,null,"vi",null,1,null,null,1,0]];mutable:true\" mat-icon-button=\"\" mat-ripple-loader-centered=\"\" mat-ripple-loader-class-name=\"mat-mdc-button-ripple\" mat-ripple-loader-uninitialized=\"\" mattooltip=\"Sao chép mã\"><\/button><\/p>\n\n\t<pre _ngcontent-ng-c360058385=\"\">\n<span style=\"font-family:Courier New,Courier,monospace;\"><code _ngcontent-ng-c360058385=\"\" data-test-id=\"code-content\" role=\"text\">http:\/\/192.168.1.10\/dvwa\/vulnerabilities\/xss_r\/?name=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E\n<\/code><\/span><\/pre>\n\t<\/li>\n\t<li>\n\t<p data-path-to-node=\"17,3,0\"><b>Kết quả:<\/b> Khi nạn nhân nhấp vào link, một hộp thoại (Pop-up) hiện lên chứa Session ID của họ. Kẻ tấn công có thể dùng ID này để đăng nhập mà không cần mật khẩu.<\/p>\n\t<\/li>\n<\/ul>\n\n<p data-path-to-node=\"18\"><b>4. Đề xuất khắc phục (Remediation)<\/b> Để vá lỗ hổng này, lập trình viên cần áp dụng kỹ thuật <b>Output Encoding<\/b>. Trong PHP, sử dụng hàm <code>htmlspecialchars()<\/code> để chuyển đổi các ký tự đặc biệt thành thực thể HTML an toàn.<\/p>\n\n<p data-path-to-node=\"19\"><b>Mã nguồn sau khi vá (Secure Code):<\/b><\/p>\n\n<p><button _ngcontent-ng-c360058385=\"\" aria-label=\"Sao chép mã\" jslog=\"179062;track:generic_click,impression;BardVeMetadataKey:[["r_55d31a1bf3ec5160","c_53462c02b9332549",null,"rc_b40526733d20a15b",null,null,"vi",null,1,null,null,1,0]];mutable:true\" mat-icon-button=\"\" mat-ripple-loader-centered=\"\" mat-ripple-loader-class-name=\"mat-mdc-button-ripple\" mat-ripple-loader-uninitialized=\"\" mattooltip=\"Sao chép mã\"><\/button><\/p>\n\n<pre _ngcontent-ng-c360058385=\"\">\n<span style=\"font-family:Courier New,Courier,monospace;\"><code _ngcontent-ng-c360058385=\"\" data-test-id=\"code-content\" role=\"text\"><?php\n$name = $_GET['name'];\n\/\/ Sử dụng htmlspecialchars để mã hóa đầu ra\necho "Hello " . htmlspecialchars($name, ENT_QUOTES, 'UTF-8');\n?><\/code><\/span><\/pre>\n","image_url":"https:\/\/hieudt.id.vn\/datafiles\/78362\/upload\/files\/asian-hacker-in-black-hood-with-matrix-background-2048x1367%281%29.jpg","image_thumb_url":"https:\/\/hieudt.id.vn\/datafiles\/78362\/upload\/thumb_files\/asian-hacker-in-black-hood-with-matrix-background-2048x1367%281%29.jpg","tags":[],"count_view":4,"seo_name":"xss-reflected","date_update":1764916675,"date_created_format":1764917317,"meta_title":"","meta_desc":"","meta_keyword":"","qr_code":"https:\/\/hieudt.id.vn\/xss-reflected","title_page":"Tin tức","relate_object_id":727460,"company_logo":"https:\/\/hieudt.id.vn\/datafiles\/78362\/upload\/files\/ta%CC%89i%20xu%C3%B4%CC%81ng.png","company_name":"HiếuIA","company_email":"hieudzbodoi04@gmail.com","company_phone":"0787652705","company_address":"15 Hoàng Thúc Trâm","company_fax":"","date_now":1776942796,"company_tags":["IA","Security","Cyber security"],"search_keyword":null,"facebook_comment":"https:\/\/hieudt.id.vn\/xss-reflected","breadscrumb":[{"url":"https:\/\/hieudt.id.vn","name":"About me","icon":"","active":false},{"url":"https:\/\/hieudt.id.vn\/tin-tuc","name":"Tin tức","icon":"","active":false},{"url":"https:\/\/hieudt.id.vn\/hoat-dong-tieu-bieu","name":"Hoạt động tiêu biểu","icon":"","active":true}],"list_products_tmp":[],"list_section":[{"id":661873,"name":"Header","seo_name":"#w30s-section-661873","url":"#w30s-section-661873"},{"id":661874,"name":"Header","seo_name":"#w30s-section-661874","url":"#w30s-section-661874"},{"id":661875,"name":"Footer","seo_name":"#w30s-section-661875","url":"#w30s-section-661875"}],"type_page":7,"id_page":460940,"widget_15341321":{"content_data":{"content":"Hieu dinh- Information Assurance Portfolio."}},"widget_15341323":{"content_data":{"content":"CV của tôi"}},"widget_15341327":{"content_data":{"content":"John Thompson\n"}},"widget_15341329":{"content_data":{"content":"Liên hệ ngay"}},"widget_15341335":{"content_data":{"content":"Thông tin"}},"widget_15341336":{"content_data":{"content":"Đinh Trung Hiếu"}},"widget_15341317":{"content_data":{"content":"Sản phẩm của"}},"widget_15341319":{"content_data":{"content":"Cung cấp bởi P.A Việt Nam"}}}
