CSRF ( Cross Site Request Forgery )

CSRF ( Cross Site Request Forgery ) là kĩ thuật tấn công bằng cách sử dụngquyền chứng thực của người sử dụng đối với 1 website khác.Các ứng dụng webhoạt động theo cơ chế nhận các câu lệnh http từ người sử dụng,sau đó thực thi cáccâu lệnh này.
Nội dung trích xuất từ tài liệu:
CSRF ( Cross Site Request Forgery )CSRF(CrossSiteRequestForgery)làkĩthuậttấncôngbằngcáchsửdụngquyềnchứngthựccủangườisửdụngđốivới1websitekhác.Cácứngdụngwebhoạtđộngtheocơchếnhậncáccâulệnhhttptừngườisửdụng,sauđóthựcthicáccâulệnhnày.CSRFsẽlừatrìnhduyệtcủangườidùnggửiđicáccâulệnhhttpđếncácứngdụngweb.Trongtrườnghợpphiênlàmviệccủangườidùngchưahếthiệulựcthìcáccâulệnhtrênsẽdcthựchiệnvớiquyềnchứngthựccủangườisửdụng.CSRFcòndcgọilàsessionriding,XSRFCáckiểutấncôngCSRFxuấthiệntừnhữngnăm1990,tuynhiêncáccuộctấncôngnàyxuấtpháttừchínhIPcủangườisửdụngnênlogfilecủacácwebsitekchothấycácdấuhiệucủaCFRS.CáccuộctấncôngtheokĩthuậtCSRFkdcbáocáođầyđủ,đếnnăm2007mớicómộtvàitàiliệumiêutảchitiếtvềcáctrườnghợptấncôngCSRF.Năm2008ngườitapháthiệnracókhoảng18triệungườisửdụngeBayởHànQuốcmấtcácthôngtincánhâncủamình.Cũngtrongnăm2008,mộtsốkháchhàngtạingânhàngMexicobịmấttàikhoảncánhâncủamình.Trong2trườnghợpkểtrênhackerđềusửdụngkĩthuậttấncôngCSRFBobduyệtqua1diễnđànyêuthíchcủamìnhnhưthườnglệ.Mộtngườidùngkhác,Malory ,đăngtải1thôngđiệplêndiễnđàn.GiảsửrằngMalorycóýđồktốtvàanhtamuốnlấytiềntừnhữngngườicótàikhoảntạingânhàngnhưBob.Malorysẽtạo1thôngbáo,trongđócóchèn1đoạncodenhưsau:Mexico Bank has just announce a new interest rate....httpgetđếnđịachỉlưutrongthẻvàcấuhìnhlạimáychủRedirect302/abc.jpghttp://mexicobank.com/withdraw?account=bob_id&amount=1000000&for=Malory_id/>Kếtthúcvấnđềkĩthuậttạiđây.Bạncóthểxemthêmmộtsốchủđềcóliênquan:CEHv6Module12:PhishingCEH v6 Module 13 :Hacking Email AccountSocialEngineeringXSS CSRFSECUREDựatrênnguyêntắccủaCSRFlừatrìnhduyệtcủangườidùng(hoặcngườidùng)gửicáccâulệnhhttp,cáckĩthuậtphòngtránhsẽtậptrungvàoviêctìmcáchphânbiệthạnchếcáccâulệnhgiảmạo.Cónhiềulờikhuyếncáodcđưara,tuynhiênchođếnnayvẫnchưacóbiệnphápnàocóthểphòngchốngtriệtđểCSRF.Sauđâylàmộtvàikĩthuậtsửdụng. HẠNCHẾTHỜIGIANHIỆULỰCCỦASESSION(SESSIONTIMEOUT)Tùytheongônngữhoặcwebserverdcsửdụngmàcácthựchiệncóthểrấtkhácnhau.VớiPHP,thôngsốsession.gc_maxlifetimetrongfilephp.iniquiđịnhthờigianhiệulựccủasession.NếulậptrìnhviênsửdụngngônngữkhỗtrợchứcnăngnàyvàhọphảiquảnlýsessionbằngCSDL(vídụlưubảngsession...)haybằngcácfiletạm(vídụ/tmp/session/)thìhọsẽviếtcácchươngtrìnhhỗtrợviệcxóacácsessionnày(cronjob,scheduler...) SỬDỤNGGETVÀPOSTHỢPLÍPhươngthứcGETdcdùngđểtruyvấndữliệu,đốivớicácthaotáctạorasựthayđổihệthốngthìcácphươngthứckhácnhưPOSThayPUTsẽdcsửdụng(theokhuyếncáocủaW3Ctổchứctạorachuẩnhttp) SỬDỤNGCAPTCHA,SỬDỤNGCÁCTHÔNGBÁOXÁCNHẬN.Captchadcsửdụngđểnhậnbiếtđốitượngđangthaotácvớihệthốnglàconngườihayk?Cácthaotácquantrọngnhưđăngnhậphaylàchuyểnkhoản,thanhtoánthườnglàhaysửdụngcaptcha.Tuynhiên,việcsửdụngcaptchacóthểgâykhókhănchomộtvàiđốitượngngườidùngvàlàmhọkhóchịu.Cácthôngbáoxácnhậncũngthườngdcsửdụng,vídụnhưviệchiểnthịmộtthôngbáoxácnhậnbạncómuốnxóahaykcũnglàmhạnchếcáckĩthuật SỬDỤNGTOKENTạoramộttokentươngứngvớimỗiform,tokennàysẽlàduynhấtđốivớimoit64formvàthườngthìhàmtạoratokennàysẽnhậnđốisốlàsession.Khinhậnlệnhhttppostvề,hệthốngsẽthựchiênsokhớpgiátrịtokennàyđểquyếtđịnhcóthựchiệnhayk.Mộtsốframeworkhiệnnayđãhỗtrợtạotokennhưlà:aspnetwebform,rubyonrails,django.Mã: def authenticity_token_from_session_id key = if request_forgery_protection_options[:secret].respond_to? (:call)request_forgery_protection_options[:secret].call(@session) else request_forgery_protection_options[:secret] end digest = request_forgery_protection_options[:digest]||= SHA1 OpenSSL::HMAC.hexdigest(OpenSSL::Digest::Digest.new(digest),key.to_s, session.session_id.to_s) endĐâylàmộtđoạnmãRubytạotokensessioncủangườidùng.Tokennàydctạotừ1sesstionvà1secretekey(khóabímậtdongườixâyứngdụngtạora)Mã: Destroy ĐoạnmãtrênsửdụngphươngthứcPOSTđểthựchiệnthaotácxóa,đồngthờinócũnghiểnthịthôngbáo,đòihỏingườidùngphảixácnhận.Nócònsửdụngthêm1authenticity_token.Bênphíamáychủ,trướckhithựchiệnphươngthứcxóatheo1đoạnmãtrênthìchươngtrìnhsẽkiểmtraxemcâulệnhhttpgửiđếncóphảilàpostk SỬDỤNGCOOKIERIÊNGBIỆTCHOPHẦNQUANTRỊ.Mộtcookiekthểdùngchungchocácdomainkhácnhau,chínhvìvậyviệcsửdụngadmin.site.comthayvìsửdụngsite.com/adminlàantoànhơn THIẾTKẾHỆTHỐNGLOGMộtvàiframeworkghitấtcảthôngtin,dữliệuxửlývàocácfilelog.Điềunàyrấtnguyhiểmnếunhưđólàcácthôngtinnhạycảmnhưmậtkhẩu,sốtàikhoản. KIỂMTRAREFERRERKiểmtraxemcáccâulệnhhttpgửiđếnhệthốngxuấtpháttừđâu.Mộtứngdụngwebcóthểhạnchếchỉthựchiệncáclệnhhttpgửiđếntừcáctrangđãdcchứngthực.Tuynhiêncáchlàmnàycónhiềuhạnchếvàkthậtsựhiệuquả. KIỂMTRAIP.MộtsốhệthốngquantrọngchỉchotruycậptừnhữngIPdcthiếtlậpsẵnKĩthuậtCSRFcòncóthểdcsửdụngvớikĩthuậtXSS(CrossSiteScipting)đểtạoranhữngcáchtấncôngtinhvihơnCSRF by Example, How to do it, How to defend it July 6, 2009 07:45 byFor a little bit of background I would recommend that you read the article that I originallywrote titled XSS by Example. I was origin ...