Failure to Restrict URL Access GVHD: …. SVTH: Trần Anh Tiến Huỳnh Bá Thành Hiếu Nguyễn Vương Nghị Phạm Trương Vy Ta Nguyễn Thị Bích Diệp Hầu Thanh Đại BÁO CÁO MÔN TẤN CÔNG MẠNG 1 ĐH Duy Tân – Khoa Công Nghệ Thông Tin What's Failure to Restrict URL Access? Đây là một vấn đề thường gặp trong các ứng dụng web, không giới hạn truy cập URL thường xảy ra khi một trang không có các chính sách kiểm soát truy cập phù hợp. Trái phép người dùng có thể xem nội dung mà họ không nên có khả năng để xem. BÁO CÁO MÔN TẤN CÔNG MẠNG 2 Có những lỗ hổng trong ứng dụng của bạn cho thấy nhiều chức năng đặc quyền đặc lợi cho người sử dụng trái phép. Nó cũng có thể tạo ra một vấn đề với những bản ghi lưu trữ hồ sơ của bạn. Nếu người dùng có thể truy cập các bản ghi mà không được chứng thực các chuỗi lưu ký là hoàn toàn bị phá vỡ, ngăn ngừa kiểm toán tốt từ đang diễn ra. BÁO CÁO MÔN TẤN CÔNG MẠNG 3 Example  Các nhà phát triển cố gắng để ẩn chức năng từ người dùng bằng cách tạo ra "ẩn" các trang có thể tạo ra một sự lỗ hổng để hạn chế tình trạng truy cập URL.  Các trang ẩn được định nghĩa là trang không có một liên kết trỏ đến chúng, ngăn chặn trình thu thập thông web, chẳng hạn như Google, lập chỉ mục chúng. Một số nhà phát triển tin rằng các trang này sẽ không bao giờ được tìm thấy bởi bất cứ ai không biết chính xác URL. Tuy nhiên, kẻ tấn công thường tìm thấy các trang này thông qua trình duyệt mạnh mẽ và kiểm soát truy cập vào các trang này có xu hướng không được hạn chế. 4 Example  Một ví dụ khác của một trang mà có thể có loại dễ bị tấn công là một trong những nơi mà tất cả các quyền được kiểm tra phía máy khách nhưng không phía máy chủ. Những kẻ tấn công sử dụng proxy cá nhân có thể bỏ qua những quyền này phía máy khách và chức năng truy cập không dành cho họ để truy cập.  Ví dụ: http://example.com/app/getappInfo http://example.com/app/admin_getappInfo BÁO CÁO MÔN TẤN CÔNG MẠNG 5 [...]... kiểm soát truy cập, giúp họ để ngăn chặn người sử dụng trái phép truy cập vào nội dung ủy quyền Điều này nên được thực hiện cho mỗi chức năng URL và kinh doanh của các ứng dụng BÁO CÁO MÔN TẤN CÔNG MẠNG 11 How Do You Restrict URL Access Ngăn chặn truy cập trái phép URL yêu cầu lựa chọn một cách tiếp cận cho phù hợp yêu cầu xác thực và ủy quyền thích hợp cho mỗi trang Thông thường, sự bảo vệ đó được cung...How Do You Restrict URL Access     Hạn chế truy cập vào địa chỉ URL chính xác có kế hoạch cẩn thận của nhà phát triển và tổ chức hỗ trợ Tổ chức có thể làm theo một số quy tắc đơn giản mà sẽ giúp họ trong việc ngăn ngừa tấn công này Các nhà phát triển không bao giờ nên cho người dùng sẽ có không biết về chức năng ẩn... bằng cách mặc định, yêu cầu tài trợ rõ ràng cho người sử dụng cụ thể và vai trò của người truy cập mỗi trang 4 Nếu trang đó là tham gia vào một công việc, kiểm tra để đảm bảo các điều kiện đang ở trạng thái thích hợp để cho phép truy cập BÁO CÁO MÔN TẤN CÔNG MẠNG 12 . trang (URL) tồn tại để tấn công. BÁO CÁO MÔN TẤN CÔNG MẠNG 8  Sai sót như vậy cho phép kẻ tấn công để truy cập các chức năng trái phép. Chức năng Admin là mục tiêu chính cho kiểu tấn công này.  Hãy. Failure to Restrict URL Access GVHD: …. SVTH: Trần Anh Tiến Huỳnh Bá Thành Hiếu Nguyễn Vương Nghị Phạm Trương Vy Ta Nguyễn Thị Bích Diệp Hầu Thanh Đại BÁO CÁO MÔN TẤN CÔNG MẠNG 1 ĐH. được thực hiện cho mỗi chức năng URL và kinh doanh của các ứng dụng. BÁO CÁO MÔN TẤN CÔNG MẠNG 11 How Do You Restrict URL Access Ngăn chặn truy cập trái phép URL yêu cầu lựa chọn một cách tiếp