Đang tải... (xem toàn văn)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA ĐÀO TẠO SAU ĐẠI HỌC BÁO CÁO MÔN AN TOÀN THÔNG TIN NÂNG CAO Đề tài Kỹ thuật tấn công CSRF và cách phòng chống GVHD PGS TSKH Hoàng Đăng Hải Học Viên.
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA ĐÀO TẠO SAU ĐẠI HỌC BÁO CÁO MƠN AN TỒN THƠNG TIN NÂNG CAO Đề tài: Kỹ thuật cơng CSRF cách phịng chống GVHD: PGS.TSKH Hồng Đăng Hải Học Viên: Nguyễn Văn Công Lớp: Hà Nội, 07/2021 M20CQTE02-B An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải MỤC LỤC I TỔNG QUAN VẤN ĐỀ CSRF Đặc điểm CSRF II TẤN CÔNG CSRF Lịch sử công CSRF Kịch công CSRF III CÁCH PHỊNG CHỐNG TẤN CƠNG CSRF Phía user Phía server 2.1 Lựa chọn việc sử dụng GET VÀ POST 2.2 Sử dụng captcha, thông báo xác nhận 2.3 Sử dụng token 2.4 Sử dụng cookie riêng biệt cho trang quản trị 10 2.5 Kiểm tra REFERRER 10 2.6 Kiểm tra IP 10 IV TÀI LIỆU THAM KHẢO 10 Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hoàng Đăng Hải I TỔNG QUAN VẤN ĐỀ CSRF CSRF (Cross Site Request Forgery) kỹ thuật công cách sử dụng quyền chứng thực người dùng website CSRF kỹ thuật cơng vào người dùng, dựa vào hacker thực thi thao tác phải yêu cầu chứng thực Hiểu cách nôm na, kỹ thuật cơng dựa vào mượn quyền trái phép CSRF cịn gọi "session riding", "XSRF" Trong công CSRF, người dùng cuối bị kẻ công lừa để gửi yêu cầu web mà họ ý định Điều khiến hành động thực trang web bao gồm đánh cắp liệu máy khách máy chủ vơ tình thay đổi trạng thái phiên thao tác tài khoản người dùng cuối Hình 1: Khi user ghé thăm website Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải Hình 2: Một công CSRF Đặc điểm CSRF Trong công CSRF, mục tiêu kẻ công khiến nạn nhân vơ tình gửi u cầu web tạo độc hại đến trang web mà nạn nhân có quyền truy cập Yêu cầu web tạo bao gồm tham số URL, cookie liệu khác xuất bình thường giống máy chủ web xử lý yêu cầu Nó giả danh ứng dụng web thực hành động dựa đầu vào từ người dùng đáng tin cậy xác thực mà không yêu cầu người dùng ủy quyền cho hành động cụ thể Người dùng xác thực cookie lưu trình duyệt web người dùng vơ tình gửi yêu cầu HTTP đến trang web tin tưởng người dùng gây hành động khơng mong muốn Một đặc tính chung trình duyệt web chúng tự động vơ hình bao gồm cookie sử dụng tên miền định yêu cầu Kỹ thuật cơng CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hoàng Đăng Hải web gửi đến miền Thuộc tính khai thác cơng CSRF u cầu web thực trình duyệt tự động bao gồm cookie (bao gồm cookie phiên phiên khác) tạo nạn nhân đăng nhập vào trang web Trong trường hợp người dùng bị lừa vơ tình gửi u cầu qua trình duyệt họ, cookie bao gồm tự động khiến yêu cầu giả mạo xuất thực với máy chủ web thực hành động yêu cầu thích hợp bao gồm trả lại liệu, thao tác trạng thái phiên thực thay đổi tài khoản nạn nhân Để công CSRF hoạt động, kẻ công phải xác định yêu cầu web chép để thực hành động cụ thể thay đổi mật tài khoản trang đích Khi yêu cầu xác định, liên kết tạo để tạo yêu cầu độc hại liên kết nhúng trang phạm vi kiểm sốt kẻ cơng Liên kết đặt theo cách mà nạn nhân chí khơng cần thiết phải nhấp vào liên kết Ví dụ, nhúng thẻ hình ảnh html email gửi cho nạn nhân, tự động tải nạn nhân mở email họ Khi nạn nhân nhấp vào liên kết, trình duyệt họ tự động bao gồm cookie sử dụng trang web gửi yêu cầu đến máy chủ web Máy chủ web khơng thể xác định giả mạo u cầu đưa người dùng đăng nhập gửi tất cookie cần thiết Giả mạo yêu cầu nhiều trang web ví dụ cơng phó nhầm lẫn trình duyệt web trình duyệt web bị lừa gửi yêu cầu giả mạo kẻ cơng đặc quyền CSRF thường có đặc điểm sau: - Liên quan đến trang web dựa danh tính người dùng - Khai thác uy tín trang web vào danh tính - Đánh lừa trình duyệt người dùng gửi yêu cầu HTTP đến trang đích - Liên quan đến u cầu HTTP có tác dụng phụ II TẤN CÔNG CSRF Lịch sử công CSRF Các kiểu công CSRF xuất từ năm 1990, nhiên cơng xuất phát từ IP người sử dụng nên log file website không cho thấy dấu hiệu CSRF Các công theo kĩ thuật CSRF Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải khơng báo cáo đầy đủ, đến năm 2007 có vài tài liệu miêu tả chi tiết trường hợp công CSRF Năm 2008 người ta phát có khoảng 18 triệu người sử dụng eBay Hàn Quốc thông tin cá nhân Cũng năm 2008, số khách hàng ngân hàng Mexico bị tài khoản cá nhân Trong trường hợp kể hacker sử dụng kĩ thuật công CSRF Các trang web Netflix vào năm 2006 có nhiều lỗ hổng để CSRF, mà cho phép kẻ công để thực hành động chẳng hạn thêm đĩa DVD vào hàng đợi cho thuê nạn nhân, thay đổi địa vận chuyển tài khoản, thay đổi thông tin đăng nhập nạn nhân để thỏa hiệp hoàn toàn tài khoản Ứng dụng web ngân hàng trực tuyến ING Direct dễ bị công CSRF, cho phép chuyểntiền bất hợp pháp Trang web video tiếng YouTube dễ bị CSRF công năm 2008 điều cho phép kẻ công thực gần tất hành động người dùng McAfee Secure dễ bị CSRF cho phép kẻ công thay đổi hệ thống công ty họ Điều cố định phiên Các công chống lại thiết bị hỗ trợ web thực vào năm 2018, bao gồm nỗ lực thay đổi cài đặt DNS định tuyến Một số nhà sản xuất định tuyến nhanh chóng phát hành cập nhật firmware để cải thiện khả bảo vệ khuyên người dùng thay đổi cài đặt định tuyến để giảm rủi ro Thông tin chi tiết khơng cơng bố, trích dẫn "lý bảo mật rõ ràng" Kịch công CSRF Các ứng dụng web hoạt động theo chế nhận câu lệnh HTTP từ người sử dụng, sau thực thi câu lệnh Hacker sử dụng phương pháp CSRF để lừa trình duyệt người dùng gửi câu lệnh http đến ứng dụng web Điều thực cách chèn mã độc hay link đến trang web mà người dùng chứng thực Trong trường hợp phiên làm việc người dùng chưa hết hiệu lực câu lệnh thực với quyền chứng thực người sử dụng Ta xét ví dụ sau: - Người dùng Alie truy cập diễn đàn yêu thích thường lệ Một người dùng khác, Bob đăng tải thông điệp lên diễn đàn Giả sử Kỹ thuật cơng CSRF cách phịng chống PGS.TSKH Hồng Đăng Hải An tồn thơng tin nâng cao Bob có ý đồ khơng tốt muốn xóa dự án quan trọng mà Alice làm - Bob tạo viết, có chèn thêm đoạn code sau: Để tăng hiệu che dấu, đoạn mã thêm thơng điệp bình thường để người dùng khơng ý Thêm vào thẻ img sử dụng trường hợp có kích thước 0x0 pixel người dùng khơng thể thấy - Giả sử Alie truy cập vào tài khoản www.webapp.com chưa thực logout để kết thúc Bằng việc xem post, trình duyệt Alice đọc thẻ img cố gắng load ảnh từ www.webapp.com, gửi câu lệnh xóa đến địa - Ứng dụng web www.webapp.com chứng thực Alice xóa project với ID Nó trả trang kết mà khơng phải ảnh, trình duyệt khơng hiển thị ảnh Ngồi thẻ img, thẻ html sử dụng kĩ thuật là: href="http://www.webapp.com/project/1/destroy" Các kĩ thuật CSRF đa dạng, lừa người dùng click vào link, gửi email chứa đoạn mã độc đến người dùng… Hacker cịn che giấu link khéo léo Ví dụ trường hợp thẻ img, người dùng nhận vào đường link chứa Kỹ thuật cơng CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải Tuy nhiên, người dùng có phát hacker dùng đường link sau: cấu hình lại máy chủ: Redirect 302/abc.jpg http://www.webapp.com/project/1/destroy"/> Như người dùng khó để phát hiện, vấn đề trách nhiệm phần lớn thuộc website nhà cung cấp III CÁCH PHỊNG CHỐNG TẤN CƠNG CSRF Dựa ngun tắc CSRF "lừa trình duyệt người dùng (hoặc người dùng) gửi câu lệnh HTTP", kĩ thuật phòng tránh tập trung vào việc tìm cách phân biệt hạn chế câu lệnh giả mạo Phía user Để phòng tránh trở thành nạn nhân công CSRF, người dùng internet nên thực số lưu ý sau: ➢ Nên thoát khỏi website quan trọng: Tài khoản ngân hàng, toán trực tuyến, mạng xã hội, gmail, yahoo… thực xong giao dịch hay công việc cần làm (Check - email, checkin…) ➢ Không nên click vào đường dẫn mà bạn nhận qua email, qua facebook … Khi bạn đưa chuột qua đường dẫn, phía bên trái trình duyệt thường có địa website đích, bạn nên lưu ý để đến trang muốn ➢ Khơng lưu thơng tin mật trình duyệt (khơng nên chọn phương thức "đăng nhập lần sau", "lưu mật khẩu" … ➢ Trong trình thực giao dịch hay vào website quan trọng không nên vào website khác, chứa mã khai thác kẻ cơng Kỹ thuật cơng CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải Phía server Có nhiều lời khuyến cáo đưa ra, nhiên chưa có biện pháp phịng chống triệt để CSRF Sau vài kĩ thuật sử dụng 2.1 Lựa chọn việc sử dụng GET VÀ POST Sử dụng GET POST cách Dùng GET thao tác truy vấn liệu Dùng POST thao tác tạo thay đổi hệ thống (theo khuyến cáo W3C tổ chức tạo chuẩn http) Nếu ứng dụng bạn theo chuẩn RESTful, bạn dùng thêm HTTP verbs, PATCH, PUThay DELETE 2.2 Sử dụng captcha, thông báo xác nhận Captcha sử dụng để nhận biết đối tượng thao tác với hệ thống người hay không? Các thao tác quan trọng "đăng nhập" "chuyển khoản","thanh toán" thường hay sử dụng captcha Tuy nhiên, việc sử dụng captcha gây khó khăn cho vài đối tượng người dùng làm họ khó chịu Các thông báo xác nhận thường sử dụng, ví dụ việc hiển thị thơng báo xác nhận "bạn có muốn xóa hay k" làm hạn chế kĩ thuật Cả hai cách bị vượt qua kẻ cơng có kịch hoàn hảo kết hợp với lỗi XSS 2.3 Sử dụng token Tạo token tương ứng với form, token form thường hàm tạo token nhận đối số là"SESSION" lưu thông tin SESSION Khi nhận lệnh HTTP POST về, hệ thống thực hiên so khớp giá trị token để định có thực hay khơng Mặc định Rails, tạo ứng dụng mới: class ApplicationController < ActionController::Base protect_from_forgery with: :exception end Khi tất form Ajax request tự động thêm sercurity token generate Rails Nếu security token không khớp, exception ném Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hoàng Đăng Hải 2.4 Sử dụng cookie riêng biệt cho trang quản trị Một cookie dùng chung cho domain khác nhau,chính việc sử dụng "admin.site.com" thay sử dụng "site.com/admin" an tồn 2.5 Kiểm tra REFERRER Kiểm tra xem câu lệnh http gửi đến hệ thống xuất phát từ đâu Một ứng dụng web hạn chế thực lệnh http gửi đến từ trang chứng thực Tuy nhiên cách làm có nhiều hạn chế không thật hiệu 2.6 Kiểm tra IP Một số hệ thống quan trọng cho truy cập từ IP thiết lập sẵn IV TÀI LIỆU THAM KHẢO [1] Jeremiah Blatz, “CSRF: Attack and Defense”, White Paper, 2007 Kỹ thuật cơng CSRF cách phịng chống 10 ... VẤN ĐỀ CSRF Đặc điểm CSRF II TẤN CÔNG CSRF Lịch sử công CSRF Kịch công CSRF III CÁCH PHỊNG CHỐNG TẤN CƠNG CSRF Phía user... KHẢO 10 Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hoàng Đăng Hải I TỔNG QUAN VẤN ĐỀ CSRF CSRF (Cross Site Request Forgery) kỹ thuật công cách sử dụng quyền... user ghé thăm website Kỹ thuật công CSRF cách phịng chống An tồn thơng tin nâng cao PGS.TSKH Hồng Đăng Hải Hình 2: Một công CSRF Đặc điểm CSRF Trong công CSRF, mục tiêu kẻ công khiến nạn nhân vơ