Injection Javascript

5 views
Skip to first unread message

nguyen

unread,
Jan 3, 2010, 5:25:58 PM1/3/10
to PHPVietnam
Chào moi nguoi,

Minh co xay dung mot site. Hom qua khi minh truy cap vào site thi
chuong trinh Antivirus tren may tinh co bao là site chua trojan.

Qua tim hieu minh duoc biet co le day là mot kieu "injection
javascript".

Khong biet anh em co the giai thich cho minh co ché hoat dong, cac
phong tranh cung nhu cach khac phuc no duoc khong.

Xin cam on moi nguoi rat nhieu

Day là site cua minh : http://www.lesblogsimmobiliers.com/

Hưng Nguyễn

unread,
Jan 4, 2010, 2:56:41 AM1/4/10
to PHPVietnam
Về cơ chế tiến hành injecting là đơn giản, gõ javascript:void(alert
('hell');); vào address bar bạn sẽ thấy kết quả ngay. Nếu hacker tiến
hành injection thì đương nhiên là họ sẽ dùng web developer tool để
debug JS trên site của bạn và FireBug js console vì nó tiện lợi hơn gõ
lệnh vào address bar nhiều.

JS injection cũng làm được tương đối nhiều việc trong đó 2 việc nguy
hiểm là alter cookie value của bạn và unbind các hàm xử lý form input
validation của bạn khi submit form. Site của bạn có thể bị JS injected
hoặc XSS attack nếu homepage cho phép user input/submit data và cũng
đồng thời hiểu thị data của user luôn. User có thể input js code và
khi display ngược trên lên code này sẽ y/c browser download trojan.
Cách chống chung chung là bạn clean up DB đang có và review code để
validate user input trên server side.

incous

unread,
Jan 4, 2010, 3:19:54 AM1/4/10
to PHPVietnam
Nếu chỉ nói như vậy thì khó cho mọi người quá. Bạn có thể paste luôn
cái đoạn code mà bị báo là có lỗi đó để mọi người phân tích xem sao.
Reply all
Reply to author
Forward
0 new messages