CTF – Nhat Truong Blog

XSS – Cross Site Scripting – [part 3 – XSS Auditor]

Đăng vào 31 Th7 20191 Th8 2019 bởi Dr.X

What is XSS Auditor?

XSS ngày càng trở nên phổ biến, hậu quả mà nó mang lại cũng khôn lường. XSS xuất hiện khắp nơi trên các ứng dụng web. Việc xây dựng một trang web không có lỗi XSS không hề dễ dàng. Đội ngũ bảo mật của các trình duyệt web biết điều đó, nên họ đã giúp cho cuộc sống của dev dễ thể hơn bằng cách phát triển các bộ lọc giúp tự động phát hiện và ngăn chặn XSS.

Internet Explore giới thiệu tính năng XSS Filter, Google Chrome không kém cạnh khi phát triển XSS Auditor, cả 2 đều được bật mặc định trên browser. Ông lớn Firefox với lợi thế mã nguồn mở thì có addon NoScript với chức năng tương tự.

XSS Filter và XSS Auditor có cơ chế hoạt động khá tương đồng, và đều có thể được bật qua HTTP Header X-XSS-Protection. Trong bài này tôi sẽ nói về XSS Auditor, bộ lọc do Google phát triển.

Đọc tiếp “XSS – Cross Site Scripting – [part 3 – XSS Auditor]” →

CTF, Hacking

XSS – Cross Site Scripting – [part 2 – Bypass Filters]

Đăng vào 29 Th7 201931 Th7 2019 bởi Dr.X

Ở phần 1, tôi đã giới thiệu một số kiến thức cơ bản về XSS. Trên thực tế, các dev thường sẽ áp dụng các bộ lọc (filter) hoặc chuẩn hóa input (sanitize) để ngăn chặn XSS attack. Tôi sẽ giới thiệu các filter hay gặp và cách bypass.

Đọc tiếp “XSS – Cross Site Scripting – [part 2 – Bypass Filters]” →

CTF, Hacking

XSS – Cross Site Scripting – [part 1 – Basic]

Đăng vào 29 Th7 201929 Th7 2019 bởi Dr.X

Tổng quan

Các kĩ thuật Web Application Attack được chia thành 2 nhóm chính:

Attack phía server như SQL Injection, LFI (Local File Inclusion), SSRF (Server-site Request Forgery) …
Attack phía user như XSS (Cross-site Scripting), CSRF (Cross-site Request Forgery), …

Tấn công phía server dường như mang lại hậu quả nặng nề hơn, vì nó giúp hacker control được các thành phần của server. Tuy nhiên tỷ lệ ứng dụng web chứa các lỗ hổng loại này lại ngày càng ít đi khi mà nhận thức về bảo mật của developper ngày nay đã được nâng cao hơn trước. Trong khi đó, các kĩ thuật tấn công phía user mà điển hình và nổi tiếng nhất là XSS lại trở nên phổ biến hơn do user thường là những người ít am hiểu và quan tâm về security. Và tác động mà nó mang lại cũng không nhỏ như người ta thường nghĩ.

Trong series này, tôi sẽ giới thiệu về các loại XSS, một số payload để bypass XSS filter, và các vấn đề liên quan xoay quanh chủ đề XSS Exploit như XSS Auditor, CSP (Content Security Policy). Tôi sẽ cố gắng đưa vào minh họa cụ thể lấy từ các bài CTF để bạn đọc dễ hình dung.

Hope you enjoy it, hacker!

Đọc tiếp “XSS – Cross Site Scripting – [part 1 – Basic]” →

CTF

{CTF_Write-up} Securinets Prequals 2K19 – 23/3/2019

Đăng vào 26 Th3 201930 Th3 2019 bởi Dr.X

Server: https://www.ctfsecurinets.com/

Scoreboard:

Rank: rank

Đọc tiếp “{CTF_Write-up} Securinets Prequals 2K19 – 23/3/2019” →

Crypto, CTF

[Crypto] – Breaking RSA in CTF Challenges – (Part 1)

Đăng vào 1 Th3 201910 Th3 2019 bởi Dr.X

Hệ mã RSA được giới thiệu vào năm 1977 bởi 3 nhà khoa học Ron Rivest, Adi Shamir, Len Adlerman. Đây là một trong những hệ mã được sử dụng phổ biến nhất hiện nay, ứng dụng cho truyền dữ liệu an toàn qua internet, email. RSA còn là nền tảng mật mã cho các giao thức SSL/TLS, SET, SSH, PGP, … RSA cũng được ứng dụng trong chữ ký số Digial Signature.

Breaking RSA là dạng bài thường xuyên gặp phải trong các cuộc thi CTF dưới nhiều hình thức. Bài viết này tôi sẽ mô tả ngắn gọn về hệ mã này, liệt kê các điểm yếu có thể khai thác của nó, cũng như các công cụ toán học, các tool cần thiết giúp giải quyết các bài RSA hay gặp khi chơi CTF.

Đọc tiếp “[Crypto] – Breaking RSA in CTF Challenges – (Part 1)” →

CTF

{CTF_Write-up} Efiens Round 2 – 19/01/2019

Đăng vào 20 Th1 201922 Th2 2019 bởi Dr.X

Đầu tiên show cái scoreboard khoe top 3 trước lấy tinh thần viết bài 🙂

Đọc tiếp “{CTF_Write-up} Efiens Round 2 – 19/01/2019” →