Đang tải... (xem toàn văn)
Bản mật nhập môn - Bảo mật cơ bản cho developer
Bản quyền toidicodedao.com Bản mật nhập môn – Phạm Huy Hoàng L i tựa Bảo mật vấ àđề tốn phức tạp Gầ hưàhệ thố gà oà ũ gà àlỗ hổng (cả phần mềm lẫn phần cứng), hacker thơng qua lỗ hổ gà àđể công hệ thống Việ đảm bảo hệ thống bảo mật trách nhiệm nhiều bên: Sysadmin, network, manager developer Trong phạm vi sách, bạn tiếp cận khía cạnh bảo mật góc nhìn developer Những kiến thức ebook cô ơà ản, dễ học, hư gà h g vô hữu ích, giúp bạn tránh phải sai lầm bảo mật gớ ngẩ ,à ơà ả àkhià ode.àD hoà ạn code C hay C++, Java C# hay PHP, bạ ũ gàsẽ họ àđượ iàđiều bổ ích qua series Trách nhiệm developer phảiàđảm bảo code viết khơng có lỗi bảo mật Trong ebook ,à h gàtầđ gà aiàha ke àđể cơng hệ thống viết.àTh gà uầđ ,à tìm hiểu lỗ hổng bảo mậtàthường thấy code tìm cách vá lỗi Đầphần lỗi bảo mật ơà ản đ àđượ gă hặn framework Tuy vậy, nhiều trang web bị dinh số lỗi …à gớ ngẩn hoặ àsơàsuất củầ h hàde elope àDồđ ,àh àđọc kĩàe ook cố gắng áp dụng kiến thứ à odềđể tránh dính lỗi Đ àl àse ies hướng dẫn bảo mật cho developer, hướng dẫn làm hacker Kiến thức ebook giúp bạn code, giúp bạn vá lỗi không giúp bạn cơng hệ thống khác hay lừầđảồ gười dùng Bạn nghiêm túc muốn tầ àsưàhọ àđạo bảo mật tìm thánh bảo mật Juno_okyo C nh báo T ước ,àsưàphụ dặ àđồ đệ rằng: Họ àl àđể ường thân kiện thể, hành hiệpà gi pà đời, không phảià để đià nạt kẻ yếu.à T ước bắtà đầu sách,à hà ũ gà uốn khuyên bạ àđiềuàtươ gàtự: Học se u it àđể xây dựng hệ thống bảo mật tốt hơ ,àđể gi pàđỡ hệ thống khác, khơng phảiàđể điàha kàha àph àhoại V àlýàdồđạồđức, phát lỗi hệ thống khác, bạn nên thông báo cho quản trị đừng nên phá hoại Ranh giới giữaà t àhiểu lỗ hổ g à ph àhoại hệ thố g à o gà manh Với hệ thống quan trọng bạn bị truy tố để vào tù bóc lịch cho lỗ ass nở hoa chẳ gà Bản quyền toidicodedao.com Bảo mật nhập mơn – Phạm Huy Hồng M cl c PHẦN – BẢO MẬT NHẬP MÔN GIAO THỨCàHTTPà BẢO MẬT àĐẾN MỨC NÀO? Ôn lại HTTP “ơàlược Man-in-the-middle attack Cách phòng chống Lưuàý Tổng kết 10 LỖ HỔNG BẢO MẬT XSS NGUY HIỂMàĐẾN MỨC NÀO? 11 Giới thiệu XSS 11 Những dạng XSS .11 Cách phòng tránh .13 Lời kết .14 LƯUàTRỮ COOKIE – TƯỞNG KHÔNG HẠI AI NGỜ HẠIàKHÔNGàTƯỞNG 15 Cookie – Chiế hà ui àhại? 15 Bánh qui nho nhỏ,àđầy lỗ to to .15 Cách phòng chống 16 SQL INJECTION – LỖ HỔNG BẢO MẬT THẦN THÁNH 17 Tại SQL Injection lạià thầ àth h ? 17 Hậu SQL Injection .17 Tấ gà“QLàI je tio hưàthế nào? 18 Cách phòng chống 18 Kết luận 19 INSECURE DIRECT OBJECT REFERENCES – GIẤĐẦLỊIàĐI 20 Lỗi mà tên dài rứa?? 20 Cách lợi dụng lỗ hổng 20 Cách phòng chống 22 CSRF – NHỮNG CÚ LỪA NGOẠN MỤC 23 Cơà ản CSRF 23 Các kiểu tấ gàthường gặp 23 Lưuàý .25 Phòng chống cho website 26 Tổng kết 26 ẨN GIẤU THÔNG TIN HỆ THỐNG – TRÁNH CON MẮTàNGƯỜIàĐỜI VÀ KẺ XẤU 27 Thông tin hệ thống gì? 27 Ch gàtaàđể thông tin hệ thố gà hớ h h hưàthế nào? 27 Những hậu việ lộ h g 29 Giấuà hưàthế oà hoàđ g? 29 QUẢNàLÝàNGƯỜI DÙNG – TƯỞNG DỄ ĂNàMâàKHÔNGàĐƠNàGIẢN 30 Úi giời!àĐă gàk àđă gà hập có khó? .30 Quan trọng – Kh gàlưuà ật khẩu! 30 Làm oàkhià gười dùng quên mật khẩu? 31 Chống việ àđo à ật 31 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Những biện pháp nho nhỏ tă gà ường bảo mật .32 PHẦN – CASE STUDY 33 LỖ HỔNG BẢO MẬT KHỦNG KHIẾP CỦA LOTTE CINEMA 34 Đă gà hập hả? Chỉ cần bảng User, hai cột Username Password xong 34 Vậ àh ầl àđược gì, trị!! 34 Ối giời phức tạp thế, lộ password trang thơi mà 35 Lỗ hổng bảo mật khủng khiếp Lotte Cinema 36 TÔI Đá̃ HACK TƠIàTá̉ àWEB SITE CỦ áàLOTTEàCINEMáàNHƯàTHẾ Ná̀ O? 37 Giớ i thi ̣u 37 Bắtàđ ̀ u câu cá 37 Câu nh ̀m …à cá m ̣p 39 Bonus thêm cá voi 39 K ́t lu ̣n 41 Update (30/08/2016) .42 LI.VNàĐÃà VƠàÝ àĐỂ LỘ DỮ LIỆU TRIỆNGƯỜIàDÙNGàNHƯàTHẾ NÀO? 44 Dị tìm từ web 44 Đến app mobile 45 Quá trình xử lý lỗi 47 Nhận xét 47 Thay lời kết 49 Về tác giả 50 Thông tin liên lạc: 50 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập mơn – Phạm Huy Hồng PHẦNà à–àBẢMẬTàNHẬPàMƠN Kiến thứ ơà ản bảo mật số lỗ hổng bảo mậtàthường gặp Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập mơn – Phạm Huy Hồng GIAO THỨC HTTP “B O MẬT” Đ N MỨC NÀO? Ôn lại HTTP HTTP giao thứ àd gàđể truyền nhận liệu (Xem thêm đ ) Hiện tại, phần lớn liệuàt àI te etàđềuàđược truyền thông qua giao thức HTTP Các ứng dụng Web Mobile ũ gàgọi Restful API thông qua giao thức HTTP Tu hi ,à hượ àđiểm HTTP liệuàđược truyề àdưới dạng plain text, khơng mã hố hay bảo mật.àĐiều dẫ àđến việc hacker dễ dàng nghe lén, chôm chỉa chỉnh sửa liệu.à Người ta gọi kiểu công Man-in-the-middle attack, viết tắt MITM “ơàlược Man-in-the-middle attack H àtưở gàtượng bạ àđa gàt àtỉnh em gái dễ thươ gà ặt cute ngực to dánh khủng tên Li h.àĐể tă gàt hàl gà ạn, bạn không nhắn tin mà trực tiếp viếtàthưàgửi cho nàng Lúc này, bạn client, bé Linh server, việc gửiàthưàl àgiaoàthức HTTP Đươ gà hi ,àhoầđẹp ruồi bu Có thằng hacker xấu xa bỉ ổi tìm cách phá rối bạn, ta tạm gọi thằng Hồng cờ hó Search Linh phát bé Linh l ộ lipà +àlu … Thằng Hồng cờ hó phá rối bạn cách sau: à“ iffàpa ketàđể đọc liệu Bạn hí hửng bỏ thưà ồh àthư,à hờ bứ àthưà a àđến chỗ Li h.àThưàđa gàt àđường tới, thằng Hoàng bắtàđược, mở bứ àthưà aà e ,à iếtàđược hết lời tâm tình ủ ê mà bạn dốc cạn lòng viết Trong thực tế, bạn gửi username, password qua HTTP, hacker dễ dàng chơm username, password bằ gà hàđọc packet mạng (Bạn gửi clip 18+ ũ gà h àđược nốt) Sửầđổi packet Khơng đọc trộm, thằng Hồng cờ hó cịn sửầthưà bạn Bạ àkhe àLi hàđẹp hưàMa iaàOza aàth àsửa thành Happy Polla Linh reply lại, hẹn bạ àđià h ghỉ lúc 5h sửa thành 5h15 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hồng Bạn khơng hay biếtàthưàđ ị tráo cả.àĐế àl àđọc xong, 5h15 nhà nghỉ th àđ àthấy thằng cờ hó Linh tay tay dắt (Thằng H yếu sinh lý nên 15p xong, bạn nên thơng cảm cho nó) Trong thực tế, hacker tha àđổi nội dung bạn nhậ àđược từ se e ,àl àtha àđổi thông tin hiển thị máy bạn Cả àt ường hợpà àđều nguy hiểm bạn khơng biết bị công Kiến thức thuộc gà gà ơà ản, nhiề gườiàđ ià ồi nên khơng giải thích kĩà ề khía cạ hàkĩàthuật Các bạn tự tìm Google tìm hiểu them Cách phịng chống Các giải pháp chống MITM mạ gàLáNàthường SysAdmin bạn chuyên bảo mật lo, thông qua việ iàđặt thiết lập hệ thống Là developer, cách phòng chố gà ơà ản làm sử dụng giao thức HTTPS cho ứng dụng, cách thêm SSL Certificate Dữ liệu giao tiếp qua HTTPS đ àđược mã hố gười ngồi khơng thể đọc trộm hay chỉnh sửaàđượ àC hà àtươ gàtự hưà iệc bạn Linh viết mail cho teencode, thằng Hồng cờ h àkiầ àđọc trộ ailà ũ gàkh gàhiểu hay sửa thưàđược Tu àđộ bảo mật HTTPS vẫ hưầphải tuyệtàđối, vẫ aồhơ hiều so với dùng HTTP Ngoài ra, trang web bạ hưầthể tích hợp https, bạn tích hợp ă gàđă gà hập thơng qua Facebook, Google Tuy hacker chơm cookie gườiàd g,à hư gà tà ầhọ khơng bị lộ username password Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập mơn – Phạm Huy Hồng Lưý Hiện nhiều trang web sử dụ gà httpsàgiả cầ à– sử dụng https trang login trang có liệu nhạy cảm Cách làm tồn nhiều nguy hiểm Hiện tại, sử dụ gàFiddle àđể demo local Tuy nhiên, hacker làm trị dùng chung LAN/WLAN với bạ àDoàđ ,à ần cẩn thận dùng wifi chùa/wifi cơng cộng Ví dụ – Lazada Phầ đă gà hập trang dùng https, khơng thể s iffà username, password Dữ liệu truyề uầ““Làđ ị mã hố nên đọ àl Bản quyền thuộc http://toidicodedao.com/ àđược Bảo mật nhập mơn – Phạm Huy Hồng Tuy nhiên, trang khác lazada vẫ àd gàhttp.àKhià gười dùng vào trang h àđược cookie, sử dụng cookie để đă gà hậpà hưàthường D D gàFiddle àđọc cookie gàEditThisCookieàđể du pà ookiề Ng ưa,àkhiàFa e ookà hưầd gàhttps,àtụià account facebook củaà gười khác Bản quyền thuộc http://toidicodedao.com/ àđă gà hậpà hưàthường hà ũ gàd gà hà àđể s iffà àđă gà hập Bảo mật nhập môn – Phạm Huy Hồng Ví dụ – Ngân hàng ACB Lần lấy trang web Ngân hàng ACB làm ví dụ Trang có sử dụng HTTPS cho trang giao dị h,à hư gàt a gà hủ HTTP Link ngân hàng trực tuyến dẫ àđến online.acb.com.vn Mình sửầpa ketàđể dẫ gười dùng tới trang lừầđảo Đoạ odề àđổi nội dung HTML mà client nhậ àđược Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập mơn – Phạm Huy Hồng Mấtà àa ou tàl e hưà ất sành sanh Kinh khủ gà hưa! Không tin à, bạn thử ngẩm lại xem, bạn có dùng chung email/mật khẩ hồ G ail,à Fa e ook,àE e ote,à …à hiều trang khác không? Lỗ hổng bảo mật khủng khiếp Lotte Cinema Mộtà g àđẹp trời nọ,à hàđịnh dẫn gấuàđià e àphi ,àă àuống rồià* eep*.àĐị hàđặt vé online mà qn mật lottecinema.com, mị mẫm phầ àđă gà hập, tìm hồi thấy mụ Qu ật àNhậpàđịa mail chứng minh nhân dân, mau chóng nhận email gửi từ lotte i e a,àt o gàđ à ả username mật Thật tiệ u àđià ất, khỏi phải reset mật Khoan, có sai sai đ !! Vậy bọn lotteàlưuàthẳng mật thẳ gàdưới database Lỡ database bị thất liệu tồn tài khoản khác củầ hà V àth hà i àlottề i e aàkh ũ gàđiàto gà theo Thậtàl àđ gàsợ!! Lỗi phát hiệ ă go i,àđế hàđ ngày y nguyên Thế biết phận IT lottecinema giỏi giang Các bạn có tài khoản lotte cinema nhớ cẩn thận nghe Bản quyền thuộc http://toidicodedao.com/ 36 Bảo mật nhập mơn – Phạm Huy Hồng TƠI Đà HACK “TƠI TẢ” WEB SITE CỦA LOTTE CINEMA NHƯ THÊ NAO? Làm m ̣ t developer có tâm ,àchúng ta không chi ̉ phảiàđảm bảo code chạ àđượ c, mà cò n phải bảoàđảm v ̀ bảo m ̣t (vớ i các h ̣ th ́ng quan trọng) Có nhi ̀ u lú c, l ̃ i bảo m ̣tàđ ́n từ chi ́nh ̉u tả của developer T o gà hươ gà àmình sẽ lôi trang web Lotte Cinema là m m ̃u đ ̉ giải thi ́ch cho các bạn Lưuà ý: Bà i vi ́t mang ti ́nh ch t́ họ c thu ̣t, bình lu ̣n v ̀ ki ̃ thu ̣t Mình không ủng h ̣ , cũ ng không chi ̣u trách nhi ̣m n ́u bạn mang ki ́n thứ àđ ̀ c ̣p bà i là m chuy ̣n trái pháp lu ̣t! Thân Giớ i thiệ u Tại mình lại chọ àLotteàCi e a?àĐơ àgiản là cá hàđ ́y tháng, nhắ àđ mì hàđã nêu m ̣t l ̃ h ̉ng bảo m ̣t khủng ́p củ ầLottềCi e a:àLư ̣t kh text ́n m ̣t kh ̉u, ̉uàdướ i dạng Đ ́n nay, l ̃ h ̉ ng này v ̃ hưaàđượ c sử a,àđi ̀ u này chứ ng tỏ hai chuy ̣n: Đ ̣ i ngũ l ̣p trình ́ web lotte cinema thi ́u ki ́n thứ ơà ản v ̀ l ̣p trình và cũ ng không thè m quan tâm gì đ n ̃ vi ̣c bảo trì sử a l i.àĐiều đồ gà ghĩầ ới việc website có nhiều lỗ hổ gàđể khai thác Vớiàlogi àđ ,à ình bắtàđầu tìm l ̃ h ̃ ng củ a lotte vớ i tâm th ́ họ c hỏ i Th ̣t không ngờ , mình tì àđượ c không chi ̉ m ̣ t, mà đ ́n t ̣n vài l ̃ hổng…àcự c kì ch ́tà gườ i, có th ̉ làm toàn b ̣ h ̣ th ́ng ngừ ng hoạtàđ ̣ ng Bắtàđ ̀ u câu cá Đ ̀u tiên, hãy nhìn gó c bên trái trình ̣t M ̣ t website không có https,àđ ̀ ng nghi ̃a vớ i vi ̣c toà n b ̣ thông tin bạ ̀ n vào (username, password) hoàn toà n có th ̉ bi ̣ hacker tr ̣ m n ́u bạn dù gà hu gàđườ ng dây mạng/chung wifi vớ iàha ke àđó (Xem thêm v ̀ sniffing) Đó là l ́ các trang ngân hàng, facebook, gmail, toá ̣n từ đ ̀ uà đò i hỏ i phải dù ng https Ti ́p theo, ta bắtàđ ̀u vớ i vi ̣c kiểm tra cookie Các bạn tải addon EditThisCookie v ̀ đ ̉ là m vi ̣c nhé Thử đă gà h p ̣ và e àlottề i e ầlưu gì cookie nà o Bản quyền thuộc http://toidicodedao.com/ 37 Bảo mật nhập mơn – Phạm Huy Hồng Các bạn khơng nhìn l ̀ àđ u,à hi ́nh là username củ a các bạ àđ ý ? Thôi, chúng ta cứ c ̀u trờ i là họ lưuàuse a eàđ ̉ nhắc bạn bạn c ̀ àđă gà h ̣p lại thui hạ Thử đ ̉ i sang giá tri ̣ khác refresh trang xem Cá́ I Lè̀ GÌ THỐN!!! Mình bi ̣ chuy ̉n sang nick khác m ́t r ̀ i Th ̣t không th ̉ tin n ̉i Một l ̃ i bảo m ̣tàtoà hưà ánh xe bò đã bi ̣ l ̣ chi ̉ sau 5p nghiên cứ u 1-0 cho Lotte Cinema (Lỗi có tên gọi impersonation) Bản quyền thuộc http://toidicodedao.com/ 38 Bảo mật nhập môn – Phạm Huy Hoàng Câu nh ̀ m …à cá m ̣p Nhờ đ ̉i cookie, mì hàđã kàđượ c và o tài khoản gườ i khác Ok ngon, có th gàti gườ i dù ng luôn! Giờ mình thử đ ̉i thông tin xem nào,àđượ c Thử đặt vé xem nà o, cũ gàđượ c n ́ t! ̉ cho mình không nhỉ? Thử xem nà o,àđ ̉ i email Có th ̉ dụ d ̃ Lotte Cinema gử i m ̣t kh u ̉ Vào email xem sao? user sang sang email mì h,àsauàđó báo m ́t m ̣t kh u Ồ, nhậ àđược mật luôn, mail Lotte nhanh thật! Vì m ̣ tàuse àthườ ng tái sử ̉ ở nhi ̀ u trang, mình có th ̉ thử dùng username và m ̣t kh ̉u này ở m ̣ t s ́ dụ ng m ̣t kh u trang khá àđể mò account Th ́y ch ́tà gườ ià hưa?? ̉ tạià e ,àđượ c Giờ mì hàđã có th ̉ đă gà h p Thử đ ̉i m ̣t kh u ̣ vớ i m ̣t kh ̉u mớ i đ ̉ i.àĐ àlà l ̃ i thứ :àKhiàtha àđ ̉i m ̣t kh ̉u, bắt bu ̣ gườ i dù ng phảiàđ ̉ i m ̣t kh ̉u cũ Ti ̉ số giờ đã là 2-0 cho Lotte Cinema Bonus thêm cá voi Hai lỗi đ àđủ là àtơiàtả toàn b ̣ h ̣ th ́ ng Chi ̉ c ̀ n vi ́t bot nho nhỏ, l ̀ àlượ t thay giá tri ̣ membername cookie (từ a tớ i zzzzzzz) là có th ̉ l ́y gầ hưàtoàn b ̣ thông tin khách hà ng, hoặ àđ ̉i toàn pass o dàl gườiàd gàkh gàđă gà hậpàđược (Các bạn khác dùng username dài chịu) Th ́ hư gà ọ i chuy ̣n hưaàdừ ng ở đ àMình ti ́p tụ c thử nghi ̣ àđi ̀ n tiên và o khung Họ t àLotteàtiếp tục lò i l ̃ i XSS (Tấn cơng cách chèn script vào trang chính) Bản quyền thuộc http://toidicodedao.com/ 39 Bảo mật nhập môn – Phạm Huy Hoàng Khá may mắn Lotte là đã cắt chu ̃ i thành 30 ki ́ tự nên không th ̉ ̀ n JavaScript dà i Tuy nhiên, điều v ̃n không th ̉ làm khó đượ c mình vi ́t file javascript ở ơiàkhá ,àsauàđó embed script và o (Up file js lên dropbox r ̀ i l ́y shortlink là xong) Bản quyền thuộc http://toidicodedao.com/ 40 Bảo mật nhập mơn – Phạm Huy Hồng L ̃ i XSS này chi ̉ hi ̣n ở m ̃ i trang củ a user nên không th ̉ dù gàđ ̉ deface website Tuy nhiên, mình v ̃n có th ̉ hi ̣n pop-up giả mạo gườ i dù ng tảià i usà hưàhì hàdướ i Dùng JS, lấy số thẻ, số CMNDàđể gườiàd gàti àtưởng message lotte K ́t hợ p vớià o otà đã nó i phi ́a trên, mình hoàn toà n có th ̉ dụ d ̃ nhiều gườ i dù ng Lotte tải virus họ đă gà h ̣p vào h ̣ th ́ng Khơng cò n lờ i nà ồđ ̉ nó i, 3-0 cho Lotte Cinema! Kết lu ̣n Nhữ ng l ̃ i bảo m ̣t mình chi ̉ không có gì cao siêu! Do mình không phải dân chuyên v ̀ bảo m ̣t nên nhữ ng ki ̃ thu ̣t t ́n công củ a mình cũ ng chi ̉ dừng ở mứ c vô cù gà ơà ản V ́ àđ ̀ của Lotte Cinema là ở ch ̃ họ không bi ́t ti ́ gì v ̀ bảo m ̣t , dẫ àđến chuyện h ̣ th ́ ng bảo m ̣t quá kém Nhưà ác bạ àđã th ́y, hành vi này là sự thi ́u tôn trọ ng khách hàng cò n có th ̉ gây nguy hại hoà gườ i dù ng Tuy nhiên, có vẻ LottềCi e ầđã r ́t khôn ngoan khâu pháp l ́ rũ bỏ mọ i trách nhi ̣m ph ̀ n Thỏa Thu ̣n àTuy thua 3-0 gà ̃n không phải chi ̣u trách nhi ̣m gì, hoan hô Lotte Cinema Vì l ́ doàđạoàđứ c, mì hàđã gử i n ̣ i dung bài vi t́ cho nhữ gà gườ i có trách nhi ̣m Lotte Cinema m ̣ t khoảng thờ i gian khá l uàt ướ c công b ́ Tuy v ̣y, họ v ̃n là gơà à không thè m quan tâm RIP các bạn và các khách hàng củ a Lotte Cinema Dù v ̣y, mình v ̃n khuyên các bạn không nên thử phá hoại h ̣ th ́ng Mình không mu ́ n ngà aiàl àMươ gà àlại th ý tin: [Hacker trẻ tu ̉i bi ̣ Lotte Cinema băt́ T t́ cả là em lỡ e àT iàđià odeàdạo ]àđ u Bản quyền thuộc http://toidicodedao.com/ 41 Bảo mật nhập môn – Phạm Huy Hoàng Lờ i khuyên cu ́i cù ng: các bạn v ̃n có th ̉ xem phim ở Lotte,à hư g đừ gàđi ̀ n b ́t kì thông tin cá nhân gì vào cái h ̣ th ́ng trờ iàđánh của nó nhé! Thân chào Các bạn xem video tóm tắt viết đ : https://www.youtube.com/watch?v=CtnfOZmKR3A Nhớ like subscribe link nhé: https://www.youtube.com/c/toidicodedaoblog?sub_confirmation=1.à M hà đa gà ần àsu àđể xin Custom U‘Là hoàCha elàT iàĐiàCodeàdạo Update (30/08/2016) Sau bài vi ́tàđượ c công b ́ r ̣ ng rãi MXH thì bên chi ̣u trách nhi ̣m xây dự ng website hồLottềCi e ầđã liên h ̣ trự c ti ́p vớ i mình mì h.àĐ ́n ngà y 1/9/2016 thì các l ̃ i bảo m ̣t bài đã tạ àđượ c fix r ̀ i nhé Bản quyền thuộc http://toidicodedao.com/ 42 Bảo mật nhập môn – Phạm Huy Hoàng Bản quyền thuộc http://toidicodedao.com/ 43 Bảo mật nhập mơn – Phạm Huy Hồng LOZI.VN Đà “VƠ Ý” Đ LỘ DỮ LI U TRI U NGƯ I DÙNG NHƯ TH NÀO? Trong trình viết series Bảo mật nhập mơn, vẫ àha àđià ghịch dạo, tìm lỗi bảo mật dạo theo tinh thầ odeàdạo blog Lẽ tấtà hi ,àđ àt àlỗi phải tìm trang to to, nhiề gười dùng tí, trang nho nhỏ quan tâm L àde elope ,à hàkh gàđủ giỏi mạng hay hạ tầ gàđể cơng server hay DDOS g àđ àV ậy, quyếtàđịnh kiểm tra web app, hai thứ rành Việt Nam nói làm, bắtàđầu truy cập website app số ơng lớ hưàtiki,àlazada,àfood … Việc dị lỗià ũ gàgiố gà hưà u cá vậ ,àđ iàkhià uàđược cá bự,àđ iàkhià uà ả buổiàkh o o.àK ,à hà uàđược cá nho nhỏ …à gu àhiểm lozi.vn gàđược Dị tìm từ web Khi vào giao diệ àlozi ,àđập vào mắt lỗi bự nhất: khơng có HTTPS! N iàđơ àgiả ,àlướt web có thông tin quan trọ gà àkh gà àHTTPà ũ gàgiố gà hưà àđià tà a,à hầ ,àđià chịch mà khơng dùng BCS Hacker chơm liệu bạn nháy mắt bạn không hay biết (Xem thêm độ bảo mật giao thức HTTP) Tiếp theo, bắtà đầu nghịch ngợm bằ gà hà …à Chrome Developer Tool.à Đừng coi thường nhé, cơng cụ àđạo àlắ àđấy Chà, thử xem ta có nào? Mình biếtà hàđẹpàt ai,à hư gà àđừ gà h Bản quyền thuộc http://toidicodedao.com/ hà àh h gàkhoa hàđ ỏ 44 Bảo mật nhập mơn – Phạm Huy Hồng Một loạt hàm AJAX dạng get, truyền vào username lấ àth gàti àuse àĐặc biệtàhơ ,àt o gà JSON hàm trả bao gồm thông tin nhạy cảm hưàđịa h ,à g àth gà ă sinh, e-mail Hàm GET khơng có authentication, nên hồn tồn lầ àlượt thay username vào lấy thơng tin tồn user Tuy nhiên, việc test lầ àlượt username lâu, nên cách khơng khả thi Làm tiếp tục? Mình bắtàđầu chuyển qua nghị h…àứng dụng mobile lozi Đến app mobile Có thậtà hồ hỏ à tà ạn biết là: Mặc dù hay viết C# JavaScript hư gàthậtà aà hà ũ g rành Java Android Thôi không khoe nữa, quay lại chủ đề Việc nghịch ứng dụ gà ũ gà kh gà u phức tạp Mình cần lên apkpure.com tảià fileà apk,à sauà đ d g tool decompile l đ có source code ứng dụng android lozi Có vẻ l àpu lish,àtea àlozià hưầo fus atề odề odề ẫn y nguyên Do team code đ gà huẩn OOP SOLID ũ gàkh gà u àkh àkhă àđể lụ àt àđoạn code gọi API củầlozi.àĐoạn code khiến h àýà h hàl àđoạn gọi API SearchUser Bản quyền thuộc http://toidicodedao.com/ 45 Bảo mật nhập môn – Phạm Huy Hồng API có dạng GET nên khơng cần thêm thơng tin Bật Postman lên, nhập url áPIà oà à…à i go.àTh gàti àt iệuà gườiàd gàđ ồi Có li kàđể paging Bao gồm thông tin nhạy hưàe ail, số điện thoại,à g Bản quyền thuộc http://toidicodedao.com/ àsi h… 46 Bảo mật nhập môn – Phạm Huy Hồng Q trình xử lý lỗi Tối thứ ngày 16/11, tìm lỗi này, bắtàđầu liên hệ với lozi.vn Chiều thứ ngày 18/11, nhậ àđược reply từ fanpage lozi Khoảng phút sau gửi mail cho team lozi lỗiàđ fix Ngay sáng thứ g / ,à hàđ hậ àđược mail reply tận tình củầ gười chịu trách nhiệ àd àđa gàl àthứ Hoa àh àlozi.àTh iàđộ làm việc khác hẳn với bên lotte cinema,à ơà hàhơ ửa tháng trời Khoảng 4,5 ngày sau báo cáo lỗiàth àlozià ũ gàđ ập nhật https thêm token cho API Nhận xét T o gà su ghĩà hu gà ủaà de elope ,à ‘estáPIà thường bị ẩ đi, gười dùng không thấy nên không nghị hàđược Tiếc thay, developer hacker dễ dàng decompiler app ghịch ngợ àáPIà Thật ra, khơng àtea àlozià àđầphầ àtea àkh ũ g thiếu cảnh giác việc bảo mậtàáPI.àĐiển hình vụ CGV lộ triệuà gười dùng ũ gàdoàáPIà o ile.àTu hi ,àtea Food àLoziàđ ảo mật API tốt, nghịch thử àkh gàthuàđược kết Bản quyền thuộc http://toidicodedao.com/ 47 Bảo mật nhập mơn – Phạm Huy Hồng Điềđ gà ià uaàsự việc là: lỗ hổng bảo mật thuộc loạià gà ơà ản, d ta ga g àthể khai thác mà không cần tool chuyên dụng (Kali Linux, Tool Penetration Test), cần Chrome SublimeText Các hệ thống lớ àđ iàkhià àlỏng lẻo kiểu này, liệu liệu có an tồn ke hu ghiệp aàta ?? Vớià ià t ủầ gười developer, liên lạc với bên lozi để xử lý.àĐiều xảy nếuà gười tìm lỗi khơng phải mà mộtàha ke àt ,àsẵn sàng cào hết liệu chia bán cho công ty khác, hoặ à gàt àđối thủ cạnh tranh với lozi? Bản quyền thuộc http://toidicodedao.com/ 48 Bảo mật nhập môn – Phạm Huy Hoàng Thay l i k t Đ ũ gàl àphần cuối sách Chân thành àơ ủng hộ! àđ àbỏ thờiàgia àđọc Mộtàđiều nhắ àđià hắc lại suốtàse iesàl :àĐừng ti àtưở gà gười dùng!! Đừng ti àtưởng thứ gười dùng nhậpà o,àđừ gà ghĩàđằ gà gười dùng sửa javascript, khơng biết nghịch lung tu g.àDướiàda hà ghĩầ gườiàd g,àha ke àđể mọiàphươ gà hàđể công hệ thống Nhớ nhé! Việc post củaà hà ũ gà hỉ mang tính chất cảnh tỉnh khơng có ý khoe khoang khác Với hacker "có tâm", họ phải lên kế hoạch cơng, phải tốn công sức nghiên cứuàđể t àđược lỗ hổ gà hưầaiàt a.àH hàđộng l àđià ,à ghịch ngợm lỗiàsơàđẳng củaàde elope ,àt hà ầ ũ gà hẳng có tự h ồđể phải khoe ;)) Bất kì h hàđộng cơng, phá hoại hệ thống nhằm "thể hiệ "àđều nhữ gàh hàđộng trẻ trâu, thiếuàsu ghĩ,à àthể dẫ àđến "tình tiền tù tội" Các bạn nhớ su ghĩà ẩn thậ àt ước h hàđộng Mình có hi vọ gà hỏ hoi àl àcuốn ebook yàđược nhiềuà gười biết tớiàhơ Nếu lập trình viên ũ gà iết lỗi bảo mậtà ơà ản này, ta gặp lỗ hổ gà gớ ngẩ àkiểu lottecinema hay vietnamwork Cùng giúp chia sẻ tới nhiều bạ àđọ àhơ h ! Hãy nhớ rằng, bảo mật chuyên ngành lớn, giới bảo mật bao la Những lỗi bảo mật xuất ngày, không thua cơng nghệ lập trình Quyển ebook nhập môn o e àđược phần nhỏ t o gàđấy (Cịn vơ số điềha àhồ hư:àso ialà e gi ee i g,à o àha e i gà…àkh gàđược nhắc tới sách) Do vậ ,àđừ gà ghĩà ằ gàđọc o gàse iesàl hàđ iếtà hữ gàđiều cần biết bảo mật Hãy tự trau dồi thêm kiến thức bảo mật, áp dụng vào code thiết kế Nội dung sách tham khảo theo course Hack Yourself First, Web Security OWASP Top 10 pluralsight số nguồn khác Series có phụ đề nên dễ học, bạn tiếng Anh học thử Bản quyền thuộc http://toidicodedao.com/ 49 Bảo mật nhập môn – Phạm Huy Hoàng V tác gi Anh Phạm Huy Hoàng hiệ àđa gàtheồhọc Thạ àsĩà ề Khoa Học Máy Tính (Computer Science) tạiàĐại học Lancaster, Anh Tại h,àHo gà ũ gàl àFull-sta kàDe elope hoàt ường Anh phát công bố lỗ hổng bảo mật Lotte Cinema Lozi.vn Hoàng ũ g chủ blog T iàĐiàCodeàDạo tiếng Việt Nam Anh àhơ à ă àki hà ghiệ àt o gàlĩ hà ực phần mềm rấtàđa à ghi ứu bảo mật, công nghệ web, công nghệ mớià hưàMa hi eàLea i g,àCog iti e Gi i thi u sách m i Trong thời gian tới, dự định xuất sách mang tên: Code dạo ký - Lập trình i àđ uàphải biết code Sách viết nhữ gàkĩà ă gà ềm cứng mà lập trình viên ũ gà ần biết,àđộ dài khoảng 200-250 trang Liệu bạn bỏ chút thời gian cho vào link cho chút nhận xét s hà khơng: https://goo.gl/forms/z56ptOE7RZXL6cFU2 Các bạn hưở gàđược số ưuàđ i nho nhỏ (giảm giá, kí tặng, v v) sách mắtàđấy Thông tin liên l c: Email: huyhoang8a5@gmail.com Blog: https://toidicodedao.com Linkedin: https://www.linkedin.com/in/huyhoangpham92 CV: http://cv.toidicodedao.com Bản quyền thuộc http://toidicodedao.com/ 50