Logo CyberJutsu
Về chúng tôi
Học thử

Kỹ Thuật Bypass XSS Nâng Cao: Từ Phát Hiện Đến Phòng Chống Toàn Diện

Technical Writer
Cross-Site Scripting (XSS)
Kỹ Thuật Bypass XSS Nâng Cao: Từ Phát Hiện Đến Phòng Chống Toàn Diện
Cross-Site Scripting (XSS) vẫn luôn là một vector tấn công phổ biến và nguy hiểm. Nhiều kỹ sư bảo mật và hacker mũ trắng đều biết rõ về XSS cơ bản, nhưng khi đối mặt với các bộ lọc và biện pháp phòng vệ hiện đại, làm thế nào để phát hiện, khai thác, và quan trọng hơn - làm thế nào để phòng chống XSS một cách toàn diện?

Bài viết này sẽ đưa bạn đi sâu vào thế giới của kỹ thuật bypass XSS nâng cao - nơi các payload truyền thống không còn hiệu quả, nơi WAF và CSP đứng chặn, và nơi mà việc hiểu rõ các ngữ cảnh HTML/JS/CSS phức tạp trở thành chìa khóa để cả tấn công lẫn phòng thủ.

Nội dung chính

  • Phân biệt các loại XSS và cách phát hiện chính xác
  • Kỹ thuật bypass XSS nâng cao qua các payload sáng tạo
  • Chiến thuật obfuscation (che giấu mã) để vượt qua bộ lọc
  • Khai thác ngữ cảnh đa tầng HTML/JS/CSS cho XSS phức tạp
  • Vượt qua WAF, DOMPurify và các bộ lọc phổ biến
  • Kỹ thuật bypass Content Security Policy (CSP) hiện đại
  • Phòng chống XSS toàn diện cho từng vai trò: Frontend, Backend, Security Engineer
  • Các công cụ và tài nguyên giúp phát hiện và ngăn chặn XSS

Phân biệt các loại XSS và tầm quan trọng

Trước khi đi sâu vào các kỹ thuật bypass nâng cao, việc hiểu rõ sự khác biệt giữa các loại XSS là nền tảng quan trọng. XSS không phải một thực thể đơn lẻ mà là một họ các lỗ hổng với đặc tính và vector tấn công khác nhau.

Reflected XSS: Tấn công phản chiếu

Reflected XSS xảy ra khi ứng dụng nhận input từ request và hiển thị lại ngay lập tức trong response mà không lọc đúng cách. Nó thường yêu cầu người dùng click vào một link độc hại hoặc submit form chứa payload.

Cách phát hiện: Kiểm tra các tham số trong URL, form data hoặc HTTP header được phản chiếu lại trong response. Thử chèn các marker đơn giản như '"> và quan sát xem chúng xuất hiện trong HTML trả về như thế nào.

Stored XSS: Mối nguy tiềm ẩn dai dẳng

Stored XSS (hay Persistent XSS) xảy ra khi payload được lưu trữ trên server (trong database, file logs, v.v) và sau đó được hiển thị cho người dùng khác. Kiểu XSS này nguy hiểm hơn vì nó không cần tương tác của nạn nhân với URL độc hại.

Cách phát hiện: Tìm các chức năng cho phép lưu dữ liệu người dùng (bình luận, hồ sơ, tin nhắn) rồi xem chúng được hiển thị lại ở đâu và như thế nào. Thử chèn các marker và kiểm tra xem chúng có xuất hiện trên các trang khác không.

DOM-based XSS: Kẻ tấn công vô hình

DOM-based XSS xảy ra khi JavaScript client-side sử dụng dữ liệu không tin cậy để cập nhật DOM một cách không an toàn. Loại này thường khó phát hiện hơn vì nó hoàn toàn diễn ra ở phía client.

Cách phát hiện: Tìm code JavaScript xử lý dữ liệu từ các nguồn không tin cậy (URL, localStorage, postMessage) và ghi vào DOM (thông qua innerHTML, eval, document.write, v.v). Sử dụng công cụ như DOM Invader trong Burp Suite để tự động hóa quá trình này.

Kỹ thuật Bypass XSS nâng cao qua payload sáng tạo

Khi các bộ lọc và WAF ngày càng tinh vi, payload XSS cũng phải tiến hóa để vượt qua các biện pháp phòng thủ. Dưới đây là những cách tiếp cận hiệu quả:

Payload hiếm và sáng tạo

Các payload XSS sáng tạo thường khai thác những ngóc ngách ít ai ngờ tới của trình duyệt và HTML. Thay vì sử dụng <script>alert(1)</script> đã bị các bộ lọc nhắm đến, hacker tìm cách thi triển mã JavaScript mà không cần thẻ <script> truyền thống.

Ví dụ, payload sau đã từng bypass được Cloudflare WAF:

<Img/Src/OnError=(alert)(1)>

Payload này có gì đặc biệt? Nó sử dụng chữ hoa/thường xen kẽ, dấu "/" không cần thiết, và cách viết hàm (alert)(1) thay vì alert(1) để qua mặt regex của WAF.

Các payload sáng tạo khác:

"><s"+cript>alert(document.cookie)</script> ¼script¾alert(¢XSS¢)¼/script¾ &#34;&#62;<svg><style>{-o-link-source:'<body/onload=confirm(1)>'

Những ví dụ này minh họa việc kẻ tấn công có thể chèn mã script mà không cần dùng trực tiếp thẻ <script>. Bằng cách tận dụng các thẻ HTML5 như <svg>, <math>, <iframe srcdoc> hoặc thuộc tính HTML ít người chú ý như oncut, onpointerenter, họ có thể thực thi JavaScript trong trình duyệt nạn nhân.

Kỹ thuật tạo payload theo ngữ cảnh

Một kỹ năng quan trọng của pentester là khả năng tạo payload theo đúng ngữ cảnh. Mỗi vị trí injection có thể yêu cầu một phương pháp XSS khác nhau:

  • Trong thuộc tính HTML: Nếu input được đặt vào thuộc tính, thử escape ra khỏi thuộc tính đó " onmouseover=alert(1) "
  • Trong thẻ script: Nếu input đặt trong thẻ script, đóng chuỗi hoặc comment hiện tại </script><img src=x onerror=alert(1)>
  • Trong CSS: CSS có thể được khai thác sáng tạo </style><script>alert(1)</script>
  • Trong URL: URL có thể chứa protocol handlers javascript:alert(1)

Nhận biết ngữ cảnh là bước đầu tiên để tạo payload phù hợp, một kỹ năng thiết yếu cho cả pentesters lẫn developers cần phòng thủ.

Chiến thuật Obfuscation để vượt qua bộ lọc

Obfuscation (làm rối mã) là một kỹ thuật quan trọng giúp payload XSS vượt qua bộ lọc. Mục tiêu là biến đổi chuỗi mã độc sao cho bộ lọc không nhận diện được mẫu nguy hiểm, nhưng trình duyệt vẫn hiểu và thực thi.

Mã hóa ký tự

Thay vì viết trực tiếp javascript:alert(1), kẻ tấn công có thể mã hóa từng ký tự ASCII dưới dạng thực thể HTML hoặc mã Unicode:

&#x6A;avascript:alert(1)

Trong ví dụ trên, &#x6A; là mã hex của ký tự "j". Trình duyệt sẽ tự động giải mã thành "j" và thực thi payload, trong khi bộ lọc chuỗi đơn giản có thể không nhận ra.

Xâu chuỗi đa tầng

Kẻ tấn công có thể áp dụng nhiều lớp mã hóa khác nhau, như URL-encode rồi HTML-encode một phần chuỗi. Mỗi lớp mã hóa gây khó khăn thêm cho bộ lọc, nhưng trình duyệt cuối cùng vẫn diễn giải tất cả về dạng gốc.

%26%23x3c%3B%26%23x73%3B%26%23x76%3B%26%23x67%3B%26%23x2f%3B%26%23x6f%3B%26%23x6e%3B%26%23x6c%3B%26%23x6f%3B%26%23x61%3B%26%23x64%3B%26%23x3d%3B%26%23x61%3B%26%23x6c%3B%26%23x65%3B%26%23x72%3B%26%23x74%3B%26%23x28%3B%26%23x31%3B%26%23x29%3B%26%23x3e%3B

Chuỗi trên là một lớp URL-encode đè lên HTML-encode của <svg/onload=alert(1)>. Sau khi trình duyệt giải mã hai lớp, payload sẽ kích hoạt.

Thêm ký tự vô hình

HTML cho phép nhiều mã thực thể tương đương cho một ký tự, kể cả chèn các mã 0x00 hoặc ký tự khoảng trắng đặc biệt. Kẻ tấn công có thể nhúng các ký tự trống giữa các chữ cái của chuỗi tấn công.

<a href=" &#x8;&#23; javascript:alert('XSS')">

Trong ví dụ này, trước javascript: có các byte 0x08, 0x17 không nhìn thấy, giúp qua mặt bộ lọc nhưng trình duyệt vẫn ghép thành URL hợp lệ.

Ẩn trong mã Base64

Một kỹ thuật giấu payload là mã hóa toàn bộ đoạn mã độc thành Base64, sau đó sử dụng hàm atob() để giải mã và eval để thực thi:

<body onload="eval(atob('YWxlcnQoJ1N1Y2Nlc3NmdWwgWFNTJyk='))">

Chuỗi Base64 trên giải mã thành alert('Successful XSS'). Phương pháp này giúp tránh lộ bất kỳ chuỗi độc hại rõ ràng nào trong HTML ban đầu.

Khai thác ngữ cảnh đa tầng HTML/JS/CSS

Một kỹ thuật tinh vi là khai thác sự phức tạp của mối tương tác giữa HTML, CSS và JavaScript. Kỹ thuật này thường được gọi là "context trickery", một input độc hại được nhúng vào trang ở vị trí khéo léo có thể chuyển đổi ngữ cảnh để cuối cùng kích hoạt mã.

Mutation XSS (mXSS)

Mutation XSS là kỹ thuật tấn công qua các thẻ HTML5 phức tạp như <math> (MathML) hoặc <svg>. Ví dụ, chuỗi sau đã từng được sử dụng để bypass DOMPurify:

<form><math><mtext></form><form><mglyph><style></math> <img src onerror=alert(1)>

Chuỗi này tận dụng việc xen kẽ thẻ MathML để làm trình duyệt lẫn lộn giữa các không gian tên HTML và MathML. Khi parser xử lý, nó tự động chèn đóng các thẻ còn thiếu và vô tình tạo thành một thẻ <img> hoàn chỉnh thực thi mã độc.

Kỹ thuật đan xen CSS/HTML

SVG kết hợp với CSS cũng là một vector nguy hiểm. Ví dụ, kẻ tấn công có thể chèn </style> vào chuỗi input để đóng sớm thẻ <style> hiện có trên trang, rồi tiếp nối bằng <script> hoặc thẻ có sự kiện.

Nếu ứng dụng chỉ cho phép một số thẻ nhất định (ví dụ chỉ cho <style> nhưng không cho <script>), kẻ tấn công có thể phá vỡ ngữ cảnh ban đầu rồi mở sang ngữ cảnh script.

</style><img src=x onerror=alert(1)>

Vượt qua WAF, DOMPurify và các bộ lọc phổ biến

Nhiều ứng dụng web áp dụng Web Application Firewall (WAF) hoặc thư viện sanitizer để ngăn chặn XSS. Tuy nhiên, các bộ lọc này không hoàn hảo.

Vượt WAF bằng chuỗi đặc biệt

WAF thường tìm các mẫu cố định như <script>, javascript: hoặc onerror=. Kẻ tấn công có thể biến tấu payload để không khớp mẫu:

<Img/Src/OnError=(alert)(1)> <img src=x onerror/=/alert(1)>

Thẻ HTML và thuộc tính thay thế

Nếu <script> bị chặn, kẻ tấn công sẽ thử thẻ khác có khả năng chạy script:

<svg><animate onbegin=alert(1) attributeName=x /> <svg><a xlink:href="javascript:alert(1)">click</a>

Sự đa dạng của các thẻ HTML5 cung cấp vô số con đường để chạy JavaScript mà không cần <script>.

Bypass DOMPurify và sanitizer

DOMPurify là thư viện sanitizer phổ biến nhưng cũng có lỗ hổng. Năm 2020, Michał Bentkowski và Gareth Heyes đã tìm ra cách chuỗi các thẻ MathML để bypass DOMPurify.

Lỗ hổng xuất phát từ việc DOMPurify không xử lý hết các trường hợp parser tự động bổ sung node. Đây là minh chứng rằng ngay cả thư viện lọc mạnh cũng có thể bị vượt qua bởi kỹ thuật mới.

Bypass AngularJS sanitizer

AngularJS (v1.x) có cơ chế sandbox biểu thức để ngăn không cho biểu thức trong {{...}} thực thi mã nguy hiểm. Tuy nhiên, sandbox này từng bị phá vỡ với payload:

{{constructor.constructor('alert(1)')()}}

Chuỗi này lợi dụng việc trong Angular biểu thức có thể truy cập thuộc tính constructor của chuỗi, từ đó lấy được hàm Function và gọi thực thi mã tùy ý.

Kỹ thuật bypass Content Security Policy (CSP)

Content Security Policy là lớp phòng thủ thứ hai giúp chặn XSS ngay cả khi ứng dụng có lỗ hổng. Tuy nhiên, CSP cũng có thể bị bypass.

Khai thác JSONP endpoint

Một kỹ thuật phổ biến là khai thác JSONP endpoint trên domain được CSP cho phép. Ví dụ, nếu CSP là script-src https://trusted.example.com, và tên miền này có endpoint JSONP, kẻ tấn công có thể lợi dụng:

<script src="https://trusted.example.com/data?callback=alert(document.domain)//"></script>

Misconfiguration CSP

Cấu hình CSP lỏng lẻo cũng gây lỗ hổng. Ví dụ, nếu CSP có script-src 'self' 'unsafe-inline' data:; thì kẻ tấn công có thể nhúng:

<script src="data:text/javascript,alert(1)"></script>

Tương tự, nếu bỏ quên blob: hay filesystem:, attacker có thể lợi dụng để nạp script độc thông qua các API File Blob.

Sự khác biệt CSP trên các trình duyệt

Mỗi trình duyệt hỗ trợ CSP ở mức độ khác nhau:

  • Chrome/Edge: Hỗ trợ đầy đủ CSP Level 3 (nonce, hash, strict-dynamic)
  • Firefox: Cũng hỗ trợ mức cao như Chrome
  • Safari: Từng tụt hậu, Safari 9 trở xuống không hỗ trợ nonce, Safari 14 còn có lỗi với <link rel="preload">

Để tối ưu, CSP nên dùng nonce hoặc hash kết hợp với strict-dynamic, hơn là chỉ dựa vào allowlist tên miền.

Phòng chống XSS toàn diện: Từng vai trò cần làm gì?

Phòng chống XSS hiệu quả đòi hỏi nỗ lực từ tất cả vai trò trong quy trình phát triển.

Dành cho lập trình viên Front-end

  • Hạn chế sử dụng trực tiếp HTML: Tránh dùng innerHTML khi không cần thiết, ưu tiên textContent hoặc phương thức escape an toàn.
  • Tận dụng framework an toàn: React, Angular, Vue mặc định escape nội dung động. Tránh tắt tính năng này.
  • Thận trọng với sự kiện và URL: Không gán trực tiếp dữ liệu người dùng vào thuộc tính sự kiện hoặc href với javascript:.
  • Áp dụng sanitizer client: Nếu cho phép HTML, dùng DOMPurify với cấu hình chặt chẽ.
  • Kiểm thử CSP: Đảm bảo tính năng không bị chặn bởi CSP vô tình.

Dành cho lập trình viên Back-end

  • Escape output theo ngữ cảnh:
    • HTML thường: escape < > & " '
    • Thuộc tính HTML: escape và đóng ngoặc kép đúng
    • Context JavaScript: escape hoặc tốt nhất - tránh nhúng dữ liệu user vào script
    • URL: dùng encodeURIComponent
  • Validate input: Loại bỏ ký tự không hợp lệ, dùng whitelist thay vì blacklist.
  • Dùng template an toàn: Chọn engine template có auto-escape (Thymeleaf, Jinja2, v.v.).
  • Áp dụng CSP: Gửi header CSP trong mọi phản hồi HTML.

Dành cho Security Engineer

  • Xây CSP chặt chẽ: Ưu tiên nonce/hash + strict-dynamic thay vì allowlist domain.
  • Cập nhật thư viện: Đảm bảo sanitizer và framework được cập nhật phiên bản mới.
  • Đào tạo developer: Tổ chức training nội bộ về secure coding, nhấn mạnh vào XSS.
  • Tích hợp kiểm thử: Dùng SAST/DAST để phát hiện nguy cơ XSS sớm.
  • Thuê pentester: Với ứng dụng quan trọng, thuê chuyên gia bên ngoài kiểm thử định kỳ.
  • Defense in Depth: Thiết kế nhiều lớp bảo vệ kết hợp, không chỉ dựa vào một giải pháp.

Công cụ và tài nguyên giúp phát hiện XSS

Để trang bị tốt hơn trong việc phát hiện và phòng chống XSS, dưới đây là một số công cụ và tài nguyên hữu ích:

Công cụ phát hiện XSS

  • Burp Suite: Công cụ pentesting web toàn diện với scanner XSS tích hợp
  • OWASP ZAP: Giải pháp mã nguồn mở tương tự Burp Suite
  • XSStrike: Framework chuyên dụng cho XSS testing
  • DOMPurify: Thư viện sanitizer HTML cho front-end
  • CSP Evaluator: Đánh giá hiệu quả chính sách CSP

Tài liệu tham khảo

  • OWASP XSS Prevention Cheat Sheet: Hướng dẫn toàn diện về phòng chống XSS
  • PortSwigger XSS Cheat Sheet: Danh sách payload và kỹ thuật bypass
  • XSS Payload List: Tổng hợp payload sáng tạo

Nâng cao kỹ năng XSS cùng chuyên gia

Hiểu biết về XSS không chỉ dừng lại ở lý thuyết. Vì XSS liên tục tiến hóa, việc thực hành và cập nhật kiến thức là điều bắt buộc cho bất kỳ ai muốn trở thành chuyên gia an ninh mạng.

Tại CyberJutsu, chúng tôi xây dựng khóa học Web Pentest 2025 với phần thực hành chuyên sâu về XSS và các lỗ hổng web khác. Với phương châm "Learning by Breaking – Phá vỡ để thấu hiểu", học viên được thực hành trên các lab mô phỏng sát thực tế, từ các kỹ thuật XSS cơ bản đến nâng cao như bypass CSP, khai thác DOM XSS và các kỹ thuật obfuscation.

Không chỉ biết cách tấn công, học viên còn được đào tạo về cách phòng thủ hiệu quả, với các best practice về xử lý input/output an toàn, thiết lập CSP tối ưu, và cách tích hợp kiểm thử bảo mật vào quy trình DevSecOps.

Kết luận

XSS vẫn là một trong những lỗ hổng phổ biến và nguy hiểm nhất trên web. Mặc dù các biện pháp phòng thủ ngày càng mạnh mẽ, kẻ tấn công vẫn liên tục phát triển kỹ thuật bypass mới để vượt qua chúng.

Chìa khóa để phòng chống XSS hiệu quả là hiểu rõ cả hai phía của cuộc chiến - cách kẻ tấn công nghĩ và cách trình duyệt hoạt động. Với hiểu biết này, bạn có thể xây dựng hàng rào phòng thủ vững chắc hơn.

Dù bạn là developer, tester hay security engineer, hãy áp dụng các best practice được đề cập trong bài viết này và liên tục cập nhật kiến thức. Hãy nhớ rằng bảo mật là một quá trình liên tục, không phải một sản phẩm hoàn thành.

Nếu bạn muốn nâng cao kỹ năng và sự hiểu biết về XSS cùng các lỗ hổng bảo mật web khác, khóa học Web Pentest 2025 của CyberJutsu là một lựa chọn tuyệt vời với nhiều lab thực hành, mentoring từ những chuyên gia đã có kinh nghiệm nghiên cứu và phát hiện lỗ hổng bảo mật trên các nền tảng lớn.

Tham khảo

Albert Einstein

"Education is not the learning of facts,
but the training of the mind to think"

CÔNG TY CỔ PHẦN CYBER JUTSU

Số 3 Nguyễn Xuân Ôn, Phường 2, Quận Bình Thạnh, TP Hồ Chí Minh

Mã số thuế: 0314377455

Hotline: 0906622416

Phản ánh chất lượng dịch vụ: 0906622416

Email liên hệ: contact@cyberjutsu.io

Chịu trách nhiệm nội dung: Nguyễn Mạnh Luật

Khóa học

Web Penetration Testing

Red Team - Exploit 101

1DAY ANALYSIS

Lộ trình học tập

Road Map

Tất cả khóa học

Cộng đồng

Blog

Videos

Cảm nhận học viên

Hall of Fame

Kiểm tra kiến thức

Liên hệ

Chính sách

Lớp học Live Online

Flipped Classroom

Chương trình giới thiệu

Xem tất cả chính sách

Copyright © 2025 CyberJutsu JSC. All Rights Reserved.