Đang tải... (xem toàn văn)
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN AN TOÀN ỨNG DỤNG WEB BÀI TẬP KHAI THÁC LỖ HỔNG CSRF (Phiên bản 1 1) Hà Nội, 2018 MỤC LỤC 1 Điều kiện tiên quyết 1 2 Giới thiệu 1[.]
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN AN TOÀN ỨNG DỤNG WEB BÀI TẬP KHAI THÁC LỖ HỔNG CSRF (Phiên bản: 1.1) Hà Nội, 2018 MỤC LỤC Điều kiện tiên Giới thiệu 2.1 Xác định lỗi CSRF 2.2 Các bước thực khai thác lỗi CSRF Kịch thực hành Mục tiêu thực hành Tổ chức thực hành Môi trường thực hành Sơ đồ thực hành Các nhiệm vụ cần thực Nhiệm vụ Thực hành khai thác (Change Password) mức độ dễ Nhiệm vụ Thực hành khai thác CSRF (Change Secret) mức độ dễ Nhiệm vụ Thực hành khai thác CSRF (Transfer Amount) mức độ dễ 9 Đánh giá tập Thông tin phiên tập Phiên Ngày tháng Nhiệm vụ thực Người thực 1.0 25/01/2018 Xây dựng Vũ Thị Vân 1.1 25/02/2018 Chỉnh sửa lỗi Vũ Thị Vân 1.2 01/03/2018 Hoàn thiện Vũ Thị Vân ii Điều kiện tiên Không Giới thiệu CSRF (Cross-site request forgery) phương pháp mượn quyền người dùng khác để thực hành động khơng cho phép Kẻ cơng giả mạo yêu cầu lừa nạn nhân gửi chúng qua thẻ hình ảnh, XSS, nhiều kỹ thuật khác Nếu người dùng xác thực, việc công thành công Kẻ công khiến nạn nhân thay đổi liệu mà nạn nhân phép thay đổi thực thi chức mà nạn nhân phép thực thi 2.1 Xác định lỗi CSRF Tiến hành kiểm tra chức quan trọng, điểm vào dự đốn có khả mắc lỗi CSRF Nếu ứng dụng dựa vào HTTP cookies ứng có nguy mắc lỗi CSRF Xem xét đường liên kết hay form có sử dụng token hay khơng Nếu khơng sử dụng, kẻ cơng giả mạo u cầu Quan sát chức cốt lõi ứng dụng xác định yêu cầu thực liệu nhạy cảm, mà kẻ công xác định tồn tham số yêu cầu (cho dù xác định HTTP cookies) ứng dụng mắc lỗi CSRF Tạo trang HTML mà thực yêu cầu mong muốn mà khơng có tương tác người dùng Đối với u cầu sử dụng GET sử dụng thẻ với tham số src=”chứa liên kết” Nếu yêu cầu POST tạo trường ẩn để chứa tham số sử dụng Javascript để thực tự động gửi form sau trang nạp Ví dụ tình Ứng dụng cho phép người dùng gửi yêu cầu chuyển tiền mà không sử dụng token như: http://example.com/app/transferFunds?amount=1500&destinationAccount=46732432 43 Từ đó, kẻ cơng tạo yêu cầu chuyển từ tài khoản nạn nhân đến tài khoản đính kèm u cầu thẻ hình ảnh iframe đưa chúng lên website mà kẻ công điều khiển: