5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn Khi tạo ra một dự án như một trang web hay một ứng dụng web bạn phải tuân thủ một số quy tắc cơ bản để đảm bảo người dùng đ
Trang 15 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự
án của bạn
Khi tạo ra một dự án như một trang web hay một ứng dụng web bạn phải tuân thủ
một số quy tắc cơ bản để đảm bảo người dùng được bảo vệ Để ngăn chặn một cuộc
tấn công, bạn cần tập trung vào chất lượng code tạo ra trong giai đoạn lập trình, việc
cấu hình hệ thống trong giai đoạn triển khai Dưới đây chỉ là 5 trong hàng hàng ngàn
kịch bản tấn công có thể xảy ra do lỗi của người lập trình
1 SQL Injection
SQL Injection là loại tấn công nổi tiếng nhất Nó thường được sử dụng để khai thác
lỗ hổng của trang web trên nền tảng PHP hoặc ASP Các cuộc tấn công bao gồm
việc tiêm mã độc vào những truy vấn SQL trong ứng dụng của bạn thông qua các
giá trị đầu vào của ứng dụng Nếu thành công sẽ cho phép kẻ tấn công thêm hoặc
xóa nội dung cơ sở dữ liệu, lấy các giá trị trong CSDL như email, mật khẩu hoặc
thông tin cá nhân người dùng trang web SQL Injection có thể xảy ra nếu một trang
web chấp nhận những truy vấn không đáng tin cậy vào cơ sở dữ liệu hoặc tạo ra
chúng một cách tự động
Giả sử rằng các biến đăng nhập (bao gồm tên và mật khẩu) được đưa trực tiếp đến
các câu truy vấn SQL thông qua phương thức POST Một đoạn code sẽ chịu trách
nhiệm xử lý việc đăng nhập của người dùng có thể dễ dàng bị tổn thương:
Nếu một người dùng trang web gửi tới máy chủ giá trị admin– trong mục tên người
dùng, truy vấn SQL sẽ thực hiện như sau
Điều gì đã xảy ra? Kí tự — sẽ được hiểu bởi DBMS như một comment, kết quả dẫn
đến việc hoàn thành thực thi thất bại một phần của truy vấn SQL, phần này vốn dùng
để kiểm soát mật khẩu Tin tặc sẽ khai thác nó để chiếm quyền quản trị dịch vụ
Cách ngăn chặn kiểu tấn công SQL Injection: Cách bảo vệ hiểu quả nhất đối với
kiểu tấn công này là lọc dữ liệu mà người dùng cung cấp bằng các
hàm: mysql_real_escape_string(), pg_escape_string()… Dữ liệu số phải được
Trang 2chuyển đổi bởi settype() or sprintf(), sau đó kiểm tra với s_numeric(), ctype_digit()
nhằm định dạng dữ liệu chính xác
2 Stored XSS
Trong kiểu tấn công này, một script được viết bởi tin tặc sẽ được đưa vào cơ sở dữ
liệu của hệ thống bị ảnh hưởng Đối lập với kiểu tấn công SQL Injection, các mã độc
không ảnh hưởng đến cơ sở dữ liệu mà chỉ ảnh hưởng tới người dùng của hệ thống
Ví dụ như phần bình luận của trang web Tin tặc có thể khai thác tất cả người dùng
mà người dùng không hề nghi ngờ trang web đã bị lây nhiễm các mã độc javscript
có thể đánh cắp phiên đăng nhập của người dùng
Ví dụ:
Cách ngăn chặn Stored XSS
Để ngăn chặn Stored XSS cần một bộ lọc thích hợp cho các dữ liệu đầu vào Phương
pháp tốt nhất là tạo ra một whitelist các kí tự được phép sử dụng trong các mục Nếu
trang web dễ bị tổn thương trước Stored XSS thì tùy chọn httpOnly cho cookie gửi
đi có thể giúp bảo vệ tốt hơn người dùng khỏi việc mất phiên người dùng Trong đa
số trình duyệt hiện nay đã có thể ngăn chặn hành vi ăn cắp cookie bằng JavaScript
từ người dùng
3 Bảng mã Unicode
Sự phát triển của hệ thống kí tự ASCII mã hóa dựa trên các chữ cái tiếng Anh phổ
biến toàn cầu Theo thời gian, thế giới bắt đầu sử dụng các ngôn ngữ và hệ thống
bảng chữ cái khác Do 1 byte không thể dùng để lưu trữ kí tự trong tất cả các ngôn
ngữ, một hệ thống mã hóa mới dành cho các ngôn ngữ đa dạng đã được ra mắt Đó
chính là chuẩn Unicode Trong hệ thống Unicode, mỗi kí tự được lưu trữ lớn hơn 1
byte Bảng mã UTF-8 là bảng mã nền tảng Unicode được sử dụng rộng rãi nhất, cho
phép tin tặc có thể chèm một vài kí tự ví dụ “ /” theo các cách khác nhau Bộ giải
mã UTF-8 không kiểm tra tính hợp lệ của kí tự đặc biệt như “/”
Ví dụ, để nói về các bảng mã, hãy cùng xem những đường link giống nhau được viết
trong hệ thống bảng mã khác nhau:
Trang 3Trong các hệ thống mã hóa khác nhau, kí tự sẽ được lưu trữ trong các vị trí khác
nhau Do đó, bộ lọc danh sách đen các kí tự đầu vào sẽ yêu cầu sử dụng tất cả các
bộ kí tự Cách phòng chống kiểu tấn công này là chuyển đổi tất cả dữ liệu thành một
định dạng thống nhất Sau đó chúng ta mới có thể kiểm thử chúng hợp lệ hay không
và loại bỏ kí tự không mong muốn
5 PHP Injection
Ngôn ngữ lập trình có các hàm cho phép thực thi mã bên ngoài Trong PHP đó
là require(), include(), eval(), and preg_replace cùng với modifier /e sẽ xem nơi lưu
trữ chuỗi kí tự như một PHP code
Ví dụ, giả sử trang web có một bộ điều khiển đơn giản dựa trên các tập tin là
các biến gửi qua phương thức GET để đưa vào nội dung của một file có trước
Như chúng ta thấy tập tin được gọi thông qua bởi phương thức GET và được sử dụng
thông qua hàm include() Đó là một lỗi nguy hiểm có thể bị khai thác bởi tin tặc bằng
nhiều cách khác nhau Bất kì mã nào cũng có thể được thực thi Ví dụ:
Đường dẫn đến mã độc được thông qua như một tham số của hàm Kịch bản này sẽ
được thực thi bởi các máy chủ của tin tặc
Các ngăn chặn PHP Injection
Trang 4Cấu hình máy chủ sẽ giúp ích bạn phòng tránh kiểu tấn công này Các tùy chọn allow_url_fopen có thể chặn file truy cập từ bên ngoài máy chủ dành cho các hàm file_get_contents, fopen, include, và require Các bảo vệ tốt nhất là không cho phép dữ liệu đầu vào từ người dùng vào các hàm thực thi script Bộ lọc chuỗi kí tự đầu vào và tạo ra whitelist các file được phép là điều cần thiết Ngoài ra còn nhiều kiểu tấn công tương tự cũng được các tin tặc khai thác như: Local File Include, Php Object Injection…
5 Account Lockout
Minh họa tốt nhất cho các cuộc tấn công này là câu chuyện về một người dùng trong một trang web đấu giá lớn nhất thế giới Người này đưa ra giá rất cao cho một sản phẩm 15 phút trước khi phiên đấu giá đóng cửa, một người dùng khác bước vào đấu giá Trước khi đấu giá kết thúc, người dùng đầu tiên cố gắng chốt lại quyết định cuối cùng của mình, ông đã bị đăng xuất khỏi dịch vụ và nhận được thông báo tài khoản của ông bị khóa trong vòng 30 phút và không được đấu giá thêm
Tại sao hệ thống lại xử lí như vậy?
Người dùng thứ hai đã có thể thấy được người dùng đầu tiên đăng nhập Hắn thực hiện nhiều lần đăng nhập vào tài khoản người dùng thứ nhất với mật khẩu sai Với mục đích ngăn chặn các cuộc tấn công brute-force , hệ thống sẽ khóa tài khoản người dùng sau khi vượt quá lần đăng nhập thất bại Tin tặc sử dụng Account Lockout có thể khiến tài khoản người dùng không thể truy cập được nữa
Cách ngăn chặn Account Lockout: Thay vì khóa tài khoản người dùng sau khi vượt quá số lần đăng nhập thất bại, bạn nên xem xét việc yêu cầu người dùng gõ mã Captcha sau mỗi lần đăng nhập tiếp theo Điều này sẽ bảo vệ các trang web khỏi kiểu tấn công brute-force mà không từ chối truy cập người dùng Một giải pháp khác
là chặn địa chỉ IP trong một khoản thời gian nhất định Nhưng vẫn có thể tin tặc và người dùng bị tấn công có chung địa chỉ IP Nó vẫn sẽ khiến người dùng không thể truy cập vào tài khoản
Kiểm tra bảo mật
Kiểm tra thủ công trang web của bạn với những lỗ hổng bảo mật là điều cần thiết
Để tiết kiệm thời gian bạn có thể sử dụng một số công cụ tìm kiếm lỗ hổng tự động Chúng ra hãy cùng nói về 3 phương pháp kiểm tra bảo mật:
Black Box Testing
Kiểm thử viên Black box chỉ thực hiện thông tin về các hàm trong một trang web và không cần biết cấu trung bên trong ứng dụng Họ sẽ kiểm tra những dữ liệu đầu vào nào hợp lệ và kết quả đầu ra có chính xác hay không Acunetix là một ví dụ về phầm mềm Black Box Testing
Trang 5White Box Testing
White Box Testing lại dựa theo quy tắc ngược lại Kiểm thử viên sẽ toàn quyền truy cập vào mã nguồn, các lỗ hổng bảo mật sẽ được phát hiện thông qua việc kiểm tra code RATS là một ví dụ phần mềm White Box Testing tự động
Grey Box Testing
Đó là sự kết hợp cả 2 phương pháp nêu trên Kĩ thuật này đòi hỏi chúng ta tiếp cận toàn bộ tài liệu tạo ra trong suốt quá trình phát triển ứng dụng nhưng không tiếp cận vào mã nguồn Theo phương pháp này, chúng ta có thể điều chỉnh mức độ kiểm tra biến cụ thể trong Black Box Testing
Tổng kết
Năm kiểu tấn công được lựa chọn không được đề cập đến chuyên sâu, chỉ là một vài kịch bản cơ bản được nêu ra Chắc chắn còn có rất nhiều các cuộc tấn công đe dọa doanh nghiệp của bạn Bất kể lập trình viên, quản lí dự án hay các công ty khởi nghiệp cần nhận thức được tầm quan trọng trong việc bảo vệ ứng dụng của mình Không thực hiện các biện pháp bảo mật đầy đủ có thể khiến bạn bị mất uy tín với khách hàng ngay cả khi đó là dịch vụ tốt nhất