Hôm nay mình mời người mua đi tìm hiểu tìm hiểu CSRF (Cross-site Request Forgery) là gì, qua bí quyết phòng chống tấn công giả mạo qua bài viết dưới đây.
Vậy CSRF (Cross-site Request Forgery) là gì?
CSRF (Cross-site Request Forgery) nói tới việc tấn công vào chứng thực request trên internet thông qua việc dùng Cookies, nơi mà những hacker có khả năng dùng thủ thuật để tạo request mà bạn ko hề biết. Vì vậy, 1 CSRF là hacker lạm dụng sự tin tưởng của 1 ứng dụng internet trên trình thông qua của nạn nhân.
CSRF là 1 kiểu tấn công gây sự nhầm lẫn nâng cao tính xác thực và cấp quyền của nạn nhân lúc gửi 1 request giả mạo tới máy chủ. Vì thế 1 quạt hổng CSRF liên quan tới những quyền của khách hàng thí dụ như quản trị viên, kết quả là chúng truy cập được toàn bộ quyền.
Trong lúc 1 tấn công CSRF trình thông qua của nạn nhân bị lừa để gửi đi những request tới ứng dụng internet theo mong muốn của kẻ tấn công, thông thường, thí dụ 1 bắc buộc sẽ được gửi lên để thay thế đổi 1 vài dữ liệu phía server.
Lúc gửi 1 request HTTP (hợp pháp hoặc bí quyết khác), trình thông qua của nận nhân sẽ bao gồm những tiêu đề cookie. Những cookie thường được dùng để lưu trữ 1 session để định danh khách hàng ko cần xác thực lại cho từng bắc buộc gửi lên, điều này hiển nhiên là ko thực tế.
Trường hợp phiên khiến việc đã xác thực của nạn nhân được lưu trữ trong 1 Cookie vẫn còn hiệu lực (1 cửa sổ trình thông qua ko nhất thiết cần mở), và trường hợp ứng dụng dễ bị tấn công CSRF, kẻ tấn công có thể thử dụng CSRF để chay bất cứ bắc buộc nào có trang internet mà trang internet ko thể phân biệt được request nào là hợp pháp hay ko.
Lịch sử về tấn công CSRF
Những kiểu tấn công CSRF xuất hiện từ những 5 1990, tuy nhiên những cuộc tấn công này xuất phát từ chính IP của người dùng nên log file của những web site ok cho thấy những dấu hiệu của CSRF. Những cuộc tấn công theo kĩ thuật CSRF ok dc báo cáo toàn bộ, tới 5 2007 new có 1 vài tài liệu miêu tả chi tiết về những trường hợp tấn công CSRF.
5 2008 người ta tìm ra ra có khoảng 18 triệu người dùng eBay trên Hàn Quốc mất những thông tin cá nhân của mình. Cũng trong 5 2008, 1 số khách hàng tại nhà băng Mexico bị mất account cá nhân của mình.Trong 2 trường hợp nhắc trên hacker đều dùng kĩ thuật tấn công CSRF.
Kịch bản tấn công CSRF
Bạn có thể xem xét thí dụ sau để hiểu hơn về tấn công CSRF:
Kẻ tấn công là Alice chọn phần tiêu là cái ví của Todd bằng bí quyết chuyển 1 phần tiền của Todd cho cô ta. Nhà băng của Todd đã gặp cần quạt hổng CSRF. Để gửi tiền, Todd cần truy cập vào URL sau:
Sau thời điểm URL này được mở ra, 1 trang thành công được trình bày cho Todd và việc chuyển đổi đã hoàn thành. Alice cũng biết rằng Todd thường ghé thăm 1 trang internet dưới quyền kiểm soát của cô tại sentayho.com.vn, nơi cô đặt đoạn mã sau đây:
<img src = “http://instance.com/app/transferFunds?quantity=1500&destinationAccount=4673243243” width = “0” top = “0” />
Lúc truy cập trang internet của Alice, trình thông qua của Todd nghĩ rằng Alice hợp tác tới 1 hình ảnh và tự động động đưa ra bắc buộc HTTP GET để lấy “hình ảnh”, nhưng điều này thực sự chỉ dẫn nhà băng của Todd chuyển $1500 tới Alice.
Phương pháp phòng chống tấn công giả mạo
Dựa trên nguyên tắc của CSRF “lừa trình thông qua của khách hàng (hoặc khách hàng) gửi những câu lệnh HTTP”, những kĩ thuật phòng giảm thiểu sẽ tập trung vào việc tìm bí quyết phân biệt và hạn chế những câu lệnh giả mạo.
Phía Consumer
Để phòng giảm thiểu phát triển thành nạn nhân của những cuộc tấn công CSRF, khách hàng web nên thực hành 1 số lưu ý sau:
- Nên thoát khỏi những web site quan yếu: Account nhà băng, tính sổ trực tuyến, những mạng xã hội, gmail, yahoo… lúc đã thực hành xong thanh toán hay những công việc cần khiến. (Test – e-mail, checkin…)
- Ko nên click on vào những đường dẫn mà bạn nhận được qua e-mail, qua fb … Lúc bạn đưa chuột qua 1 đường dẫn, phía dưới bên trái của trình thông qua thường có liên hệ web site đích, bạn nên lưu ý để tới đúng trang mình muốn.
- Ko lưu những thông tin về mật khẩu tại trình thông qua của mình (ko nên chọn những phương thức “đăng nhập lần sau”, “lưu mật khẩu” …
- Trong quy trình thực hành thanh toán hay vào những web site quan yếu ko nên vào những web site khác, có thể chứa những mã khai thác của kẻ tấn công.
Phía Server
Có nhiều lời khuyến cáo được đưa ra, tuy nhiên cho tới nay vẫn chưa có biện pháp nào có thể phòng chống triệt để CSRF. Sau đây là 1 vài kĩ thuật dùng.
- Dùng GET và POST đúng bí quyết: Dùng GET trường hợp thực hiện là truy vấn dữ liệu. Dùng POST trường hợp những thực hiện tạo ra sự thay thế đổi hệ thống. Trường hợp ứng dụng của bạn theo chuẩn RESTful, bạn có thể dùng thêm những HTTP verbs, như PATCH, PUThay DELETE
- Dùng captcha, những thông tin xác nhận: Captcha được dùng để nhận biết đối tượng đang thực hiện có hệ thống là con người hay ko? Những thực hiện quan yếu như “đăng nhập” hay là “chuyển khoản” ,”tính sổ” thường là hay dùng captcha. Tuy nhiên, việc dùng captcha có thể gây khó khăn cho 1 vài đối tượng khách hàng và khiến họ khó chịu. Những thông tin xác nhận cũng thường được dùng, thí dụ như việc hiển thị 1 thông tin xác nhận “bạn có muốn xóa hay ko” cũng khiến hạn chế những kĩ thuật Cả 2 bí quyết trên vẫn có thể bị vượt qua trường hợp kẻ tấn công có 1 kịch bản hoàn hảo và hài hòa có lỗi XSS.
- Dùng token: Tạo ra 1 token tương ứng có từng type, token này sẽ là duy nhất đối có từng type và thường thì hàm tạo ra token này sẽ nhận đối số là “SESSION” hoặc được lưu thông tin trong SESSION. Lúc nhận lệnh HTTP POST về, hệ thống sẽ thực hiên so khớp giá trị token này để quyết định có thực hành hay ko.
- Dùng cookie biệt lập cho trang quản trị: 1 cookie ko thể dùng chung cho những area khác nhau,chính vì vậy việc dùng “admin.website.com” thay thế vì dùng “website.com/admin” là an toàn hơn.
- Đánh giá REFERRER: Đánh giá xem những câu lệnh http gửi tới hệ thống xuất phát từ đâu. 1 ứng dụng internet có thể hạn chế chỉ thực hành những lệnh http gửi tới từ những trang đã được chứng thực. Tuy nhiên bí quyết khiến này có nhiều hạn chế và ko thực sự hiệu quả.
- Đánh giá IP: 1 số hệ thống quan yếu chỉ cho truy cập từ những IP được thiết lập sẵn.
