Những tác động tấn công XSS là gì?

Persistent XSS, hay còn gọi là Stored XSS, là một loại tấn công XSS mà mã độc được lưu trữ trên máy chủ mục tiêu (ví dụ: trong cơ sở dữ liệu, trên hệ thống tập tin). Khi người dùng khác truy cập vào trang web, mã độc này sẽ được thực thi. Do đó, Persistent XSS tấn công cả website (nơi mã độc được hiển thị) và cơ sở dữ liệu (nơi mã độc được lưu trữ).

Hình thức tấn công Non-Persistent XSS (Reflected XSS) hoạt động bằng cách kẻ tấn công chèn mã độc vào một đường link. Khi người dùng truy cập vào đường link này, mã độc sẽ được thực thi trên trình duyệt của người dùng, từ đó kẻ tấn công có thể đánh cắp thông tin hoặc thực hiện các hành động trái phép khác. Do đó, đáp án đúng là B.

Kỹ thuật tấn công DOM-based XSS (Cross-Site Scripting) là một loại tấn công XSS, trong đó mã độc được thực thi do việc sửa đổi Document Object Model (DOM) trong trình duyệt của người dùng. Mã độc không được gửi đến máy chủ web để xử lý (như trong Stored XSS hoặc Reflected XSS), mà nó thực thi trực tiếp trong trình duyệt thông qua việc khai thác các lỗ hổng trong cách JavaScript tương tác với DOM. Do đó, đáp án A là chính xác nhất.

CSRF (Cross-Site Request Forgery) là một loại tấn công mà kẻ tấn công lợi dụng việc người dùng đã đăng nhập vào một trang web đáng tin cậy để thực hiện các hành động không mong muốn trên trang web đó mà người dùng không hề hay biết hoặc cho phép. Ví dụ, kẻ tấn công có thể khiến người dùng thay đổi mật khẩu, thực hiện giao dịch ngân hàng, hoặc đăng bài viết trên mạng xã hội của họ mà không có sự đồng ý của người dùng.

Phương án A mô tả chính xác bản chất của tấn công CSRF. Các phương án khác không liên quan trực tiếp đến định nghĩa và cơ chế hoạt động của CSRF.

Câu hỏi này kiểm tra kiến thức về các loại ứng dụng di động và khả năng tồn tại các lỗ hổng bảo mật trên chúng.

* A. Native apps: Ứng dụng native được phát triển dành riêng cho một hệ điều hành di động cụ thể (ví dụ: iOS hoặc Android). Chúng có thể có các lỗ hổng bảo mật nếu mã nguồn không an toàn, sử dụng các thư viện cũ hoặc bị tấn công thông qua các lỗ hổng hệ điều hành.
* B. Web apps: Ứng dụng web chạy trong trình duyệt web trên thiết bị di động. Chúng có thể dễ bị tấn công XSS, CSRF, SQL injection (nếu có tương tác với cơ sở dữ liệu) và các lỗ hổng bảo mật web thông thường khác.
* C. Hybrid apps: Ứng dụng hybrid là sự kết hợp giữa ứng dụng native và ứng dụng web. Chúng thường được xây dựng bằng các công nghệ web (HTML, CSS, JavaScript) và được đóng gói trong một container native. Do đó, chúng có thể kế thừa các lỗ hổng bảo mật từ cả hai loại ứng dụng.

Vì cả ba loại ứng dụng đều có thể chứa lỗ hổng bảo mật, đáp án chính xác nhất là D.