Professional Documents
Culture Documents
Ubuntu
Mô hình WAF Lab:
-Như ta thấy Hacker đã thành công khi chèn được 1 đoạn mã JavaScript vào
Website và trả về kết quả alert “Hello”
-Tùy vào mức độ hiểu biết JavaScript mà Hacker có thể khai thác nhiều hay ít
Website.
Nếu có ModSecurity:
-Ta thấy ModSecurity đã phát hiện và chặn được thành công 1 cuộc tấn công XSS.
-Kiểm tra log #cat /var/log/modsec_audit.log trong máy WAF
Demo 2: Stored XSS
Đây là loại XSS mà kẻ tấn công chèn mã độc vào một trang web và lưu trữ
nó trên máy chủ web. Khi người dùng truy cập vào trang đó, mã độc XSS
sẽ được thực thi và có thể gây ra những hậu quả đáng ngại.
Chọn XSS stored để kiểm thử lỗ hổng XSS
Nhập Name: test và các thông tin khác như sau:
Message: <script>alert("Hello")</script>
→ Nhấn nút Sign Guestbook
-Ta thấy ModSecurity đã phát hiện và chặn được thành công 1 cuộc tấn công XSS.
Kiểm tra log #cat /var/log/modsec_audit.log trên máy WAF