Đang tải... (xem toàn văn)
Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon Bao mat nhap mon
Bản quyền toidicodedao.com Bản mật nhập môn – Phạm Huy Hoàng Lời tựa Bảo mật vấn đề tốn phức tạp Gần hệ thống có lỗ hổng (cả phần mềm lẫn phần cứng), hacker thông qua lỗ hổng để công hệ thống Việc đảm bảo hệ thống bảo mật trách nhiệm nhiều bên: Sysadmin, network, manager developer Trong phạm vi sách, bạn tiếp cận khía cạnh bảo mật góc nhìn developer Những kiến thức ebook cô bản, dễ học, chúng vô hữu ích, giúp bạn tránh phải sai lầm bảo mật “ngớ ngẩn, bản” code Dù cho bạn code C hay C++, Java C# hay PHP, bạn học vài điều bổ ích qua series Trách nhiệm developer phải đảm bảo code viết lỗi bảo mật Trong ebook này, đóng vai hacker để công hệ thống viết Thông qua đó, tìm hiểu lỗ hổng bảo mật thường thấy code tìm cách vá lỗi Đa phần lỗi bảo mật ngăn chặn framework Tuy vậy, nhiều trang web bị dinh số lỗi … ngớ ngẩn sơ suất developer Do đó, đọc kĩ ebook cố gắng áp dụng kiến thức vào code để tránh dính lỗi Đây series hướng dẫn bảo mật cho developer, hướng dẫn làm hacker Kiến thức ebook giúp bạn code, giúp bạn vá lỗi không giúp bạn công hệ thống khác hay lừa đảo người dùng Bạn nghiêm túc muốn tầm sư học đạo bảo mật tìm thánh bảo mật Juno_okyo Cảnh báo Trước dạy võ, sư phụ dặn đồ đệ rằng: Học võ để cường thân kiện thể, hành hiệp giúp đời, để bắt nạt kẻ yếu Trước bắt đầu sách, muốn khuyên bạn điều tương tự: Học security để xây dựng hệ thống bảo mật tốt hơn, để giúp đỡ hệ thống khác, để hack hay phá hoại Vì lý đạo đức, phát lỗi hệ thống khác, bạn nên thông báo cho quản trị đừng nên phá hoại Ranh giới “tìm hiểu lỗ hổng” “phá hoại hệ thống” mong manh Với hệ thống quan trọng bạn bị truy tố để vào tù bóc lịch cho lỗ ass nở hoa chẳng chơi Bản quyền toidicodedao.com Bảo mật nhập môn – Phạm Huy Hoàng Mục lục PHẦN – BẢO MẬT NHẬP MÔN GIAO THỨC HTTP “BẢO MẬT” ĐẾN MỨC NÀO? Ôn lại HTTP Sơ lược Man-in-the-middle attack Cách phòng chống Lưu ý Tổng kết 10 LỖ HỔNG BẢO MẬT XSS NGUY HIỂM ĐẾN MỨC NÀO? 11 Giới thiệu XSS 11 Những dạng XSS .11 Cách phòng tránh .13 Lời kết .14 LƯU TRỮ COOKIE – TƯỞNG KHÔNG HẠI AI NGỜ HẠI KHÔNG TƯỞNG 15 Cookie – Chiếc “bánh qui” vô hại? 15 Bánh qui nho nhỏ, đầy lỗ to to .15 Cách phòng chống 16 SQL INJECTION – LỖ HỔNG BẢO MẬT THẦN THÁNH 17 Tại SQL Injection lại “thần thánh”? 17 Hậu SQL Injection .17 Tấn công SQL Injection nào? 18 Cách phòng chống 18 Kết luận 19 INSECURE DIRECT OBJECT REFERENCES – GIẤU ĐẦU LÒI ĐUÔI 20 Lỗi mà tên dài rứa?? 20 Cách lợi dụng lỗ hổng 20 Cách phòng chống 22 CSRF – NHỮNG CÚ LỪA NGOẠN MỤC 23 Cơ CSRF 23 Các kiểu công thường gặp 23 Lưu ý .25 Phòng chống cho website 26 Tổng kết 26 ẨN GIẤU THÔNG TIN HỆ THỐNG – TRÁNH CON MẮT NGƯỜI ĐỜI VÀ KẺ XẤU 27 Thông tin hệ thống gì? 27 Chúng ta để thông tin hệ thống “hớ hênh” nào? 27 Những hậu việc “lộ hàng” 29 Giấu cho đúng? 29 QUẢN LÝ NGƯỜI DÙNG – TƯỞNG DỄ ĂN MÀ KHÔNG ĐƠN GIẢN 30 Úi giời! Đăng kí đăng nhập có khó? .30 Quan trọng – Không lưu mật khẩu! 30 Làm người dùng quên mật khẩu? 31 Chống việc đoán mò mật 31 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Những biện pháp nho nhỏ tăng cường bảo mật .32 PHẦN – CASE STUDY 33 LỖ HỔNG BẢO MẬT KHỦNG KHIẾP CỦA LOTTE CINEMA 34 Đăng nhập hả? Chỉ cần bảng User, hai cột Username Password xong 34 Vậy mã hóa gì, trò!! 34 Ối giời phức tạp thế, lộ password trang mà 35 Lỗ hổng bảo mật khủng khiếp Lotte Cinema 36 TÔI ĐÃ HACK “TƠI TẢ ” WEB SITE CỦ A LOTTE CINEMA NHƯ THẾ NÀ O? 37 Giớ i thiệu 37 Bắt đầu “câu cá” 37 Câu nhầm … “cá mập” 39 Bonus thêm “cá voi” 39 Kết luận 41 Update (30/08/2016) .42 LOZI.VN ĐÃ “VÔ Ý” ĐỂ LỘ DỮ LIỆU TRIỆU NGƯỜI DÙNG NHƯ THẾ NÀO? 44 Dò tìm từ web 44 Đến app mobile 45 Quá trình xử lý lỗi 47 Nhận xét 47 Thay lời kết 49 Về tác giả 50 Thông tin liên lạc: 50 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng PHẦN – BẢO MẬT NHẬP MÔN Kiến thức bảo mật số lỗ hổng bảo mật thường gặp Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng GIAO THỨC HTTP “BẢO MẬT” ĐẾN MỨC NÀO? Ôn lại HTTP HTTP giao thức dùng để truyền nhận liệu (Xem thêm đây) Hiện tại, phần lớn liệu Internet truyền thông qua giao thức HTTP Các ứng dụng Web Mobile gọi Restful API thông qua giao thức HTTP Tuy nhiên, nhược điểm HTTP liệu truyền dạng plain text, không mã hoá hay bảo mật Điều dẫn đến việc hacker dễ dàng nghe lén, chôm chỉa chỉnh sửa liệu Người ta gọi kiểu công Man-in-the-middle attack, viết tắt MITM Sơ lược Man-in-the-middle attack Hãy tưởng tượng bạn tán tỉnh em gái dễ thương mặt cute ngực to dánh khủng tên Linh Để tăng tính lãng mạn, bạn không nhắn tin mà trực tiếp viết thư gửi cho nàng Lúc này, bạn client, bé Linh server, việc gửi thư giao thức HTTP Đương nhiên, hoa đẹp ruồi bu Có thằng hacker xấu xa bỉ ổi tìm cách phá rối bạn, ta tạm gọi thằng Hoàng cờ hó Search Linh phát bé Linh l ộ clip 18+ luôn… Thằng Hoàng cờ hó phá rối bạn cách sau: Sniff packet để đọc liệu Bạn hí hửng bỏ thư vào hòm thư, chờ thư bay đến chỗ Linh Thư đường tới, thằng Hoàng bắt được, mở thư xem, biết hết lời tâm tình ủ ê mà bạn dốc cạn lòng viết Trong thực tế, bạn gửi username, password qua HTTP, hacker dễ dàng chôm username, password cách đọc packet mạng (Bạn gửi clip 18+ chôm nốt) Sửa đổi packet Không đọc trộm, thằng Hoàng cờ hó sửa thư bạn Bạn khen Linh đẹp Maria Ozawa sửa thành Happy Polla Linh reply lại, hẹn bạn nhà nghỉ lúc 5h sửa thành 5h15 Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Bạn không hay biết thư bị tráo Đến lúc đọc xong, 5h15 nhà nghỉ thấy thằng cờ hó Linh tay tay dắt (Thằng H yếu sinh lý nên 15p xong, bạn nên thông cảm cho nó) Trong thực tế, hacker thay đổi nội dung bạn nhận từ server, làm thay đổi thông tin hiển thị máy bạn Cả trường hợp nguy hiểm bạn bị công Kiến thức thuộc dạng vô bản, nhiều người nói nên không giải thích kĩ khía cạnh kĩ thuật Các bạn tự tìm Google tìm hiểu them Cách phòng chống Các giải pháp chống MITM mạng LAN thường SysAdmin bạn chuyên bảo mật lo, thông qua việc cài đặt thiết lập hệ thống Là developer, cách phòng chống làm sử dụng giao thức HTTPS cho ứng dụng, cách thêm SSL Certificate Dữ liệu giao tiếp qua HTTPS mã hoá nên người đọc trộm hay chỉnh sửa Cách tương tự việc bạn Linh viết mail cho teencode, thằng Hoàng cờ hó có đọc trộm mail không hiểu hay sửa thư Tuy độ bảo mật HTTPS chưa phải tuyệt đối, cao nhiều so với dùng HTTP Ngoài ra, trang web bạn chưa thể tích hợp https, bạn tích hợp chức đăng nhập thông qua Facebook, Google Tuy hacker chôm cookie người dùng, họ không bị lộ username password Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Lưu ý Hiện nhiều trang web sử dụng “https giả cầy” – sử dụng https trang login trang có liệu nhạy cảm Cách làm tồn nhiều nguy hiểm Hiện tại, sử dụng Fiddler để demo local Tuy nhiên, hacker làm trò dùng chung LAN/WLAN với bạn Do đó, cần cẩn thận dùng wifi chùa/wifi công cộng Ví dụ – Lazada Phần đăng nhập trang dùng https, sniff username, password Dữ liệu truyền qua SSL bị mã hoá nên “đọc lén” Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Tuy nhiên, trang khác lazada dùng http Khi người dùng vào trang chôm cookie, sử dụng cookie để đăng nhập thường Dùng Fiddler đọc cookie Dùng EditThisCookie để dump cookie đăng nhập thường Ngày xưa, Facebook chưa dùng https, tụi dùng cách để sniff đăng nhập account facebook người khác Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Ví dụ – Ngân hàng ACB Lần lấy trang web Ngân hàng ACB làm ví dụ Trang có sử dụng HTTPS cho trang giao dịch, trang chủ HTTP Link ngân hàng trực tuyến dẫn đến online.acb.com.vn Mình sửa packet để dẫn người dùng tới trang lừa đảo Đoạn code đổi nội dung HTML mà client nhận Bản quyền thuộc http://toidicodedao.com/ Bảo mật nhập môn – Phạm Huy Hoàng Mất account xem sành sanh Kinh khủng chưa! Không tin à, bạn thử ngẩm lại xem, bạn có dùng chung email/mật cho Gmail, Facebook, Evernote, … nhiều trang khác không? Lỗ hổng bảo mật khủng khiếp Lotte Cinema Một ngày đẹp trời nọ, định dẫn gấu xem phim, ăn uống *beep* Định đặt vé online mà quên mật lottecinema.com, mò mẫm phần đăng nhập, tìm hoài thấy mục “Quên mật khẩu” Nhập địa mail chứng minh nhân dân, mau chóng nhận email gửi từ lottecinema, có username mật Thật tiện mất, khỏi phải reset mật Khoan, có sai sai đây!! Vậy bọn lotte lưu thẳng mật thẳng database Lỡ database bị thất thoát liệu toàn tài khoản khác (Và thành viên lotte cinema khác) tong theo Thật đáng sợ!! Lỗi phát năm ngoái, đến cách ngày y nguyên Thế biết phận IT lottecinema giỏi giang Các bạn có tài khoản lotte cinema nhớ cẩn thận nghe Bản quyền thuộc http://toidicodedao.com/ 36 Bảo mật nhập môn – Phạm Huy Hoàng TÔI ĐÃ HACK “TƠI TẢ” WEB SITE CỦA LOTTE CINEMA NHƯ THẾ NÀO? Làm mộ t developer “có tâm”, chú ng ta không chi ̉ phải đảm bảo code chạy đượ c, mà cò n phải bảo đảm về bảo mật (vớ i các hệ thống quan trọ ng) Có nhiều lú c, lỗi bảo mật đến từ chi ́nh ̃ ẩu tả của developer Trong chương mình sẽ lôi trang web Lotte Cinema là m mâu ̉ đê giải thi ́ch cho các bạn Lưu ý: Bài viết mang ti ́nh chât́ họ c thuật, bình luận về ki ̃ thuật Mình không ủng hộ , cũ ng không chi ̣u trách nhiệm nếu bạn mang kiến thứ c đề cập bà i là m chuyện trái pháp luật! Thân Giớ i thiệ u ̉ , Tại mình lại chọ n Lotte Cinema? Đơn giản là cách mấy tháng, nhắc đến mật khâu mình đã nêu mộ t lỗ hổng bảo mật khủ ng khiếp của Lotte Cinema: Lưu mật khẩu dướ i dạng text Đến nay, lỗ hổng nà y vẫn chưa đượ c sử a, điều nà y chứ ng tỏ hai chuyện: Độ i ngũ lập trình ́ web lotte cinema thiếu kiến thứ c bản về lập trình và cũ ng không thè m quan tâm gì đên ̃ việc bảo trì sử a lôi Điều đồng nghĩa với việc website có nhiều lỗ hổng để khai thác Với logic đó, mình bắt đầu tìm lỗ hỗng củ a lotte vớ i tâm thế họ c hỏi Thật không ngờ , mình tìm đượ c không chi ̉ một, mà đến tận và i lỗ hổng… cự c kì chết ngườ i, có thể là m toà n bộ hệ thống ngừ ng hoạt độ ng Bắt đầu “câu cá” Đầu tiên, hãy nhìn gó c bên trái trình duyệt Mộ t website không có https, đồng nghi ̃a vớ i việc toàn bộ thông tin bạn điền vào (username, password) hoà n toà n có thể bi ̣ hacker trộ m nếu bạn dù ng chung đườ ng dây mạng/chung wifi vớ i hacker đó (Xem thêm về sniffing) Đó là lý các trang ngân hàng, facebook, gmail, toán điện từ đều đò i hỏ i phải dù ng https Tiếp theo, ta bắt đầu vớ i việc kiểm tra cookie Các bạn tải addon EditThisCookie về để là m việc nhé Thử đăng nhập và xem lotte cinema lưu gì cookie nà o Bản quyền thuộc http://toidicodedao.com/ 37 Bảo mật nhập môn – Phạm Huy Hoàng Các bạn không nhìn lầm đâu, chi ́nh là username củ a các bạn đấy? Thôi, chú ng ta cứ cầu trờ i là họ lưu username để nhắc bạn bạn cần đăng nhập lại thui hạ Thử đổi sang giá tri ̣ khác refresh trang xem CÁ I LỀ GÌ THỐN!!! Mình bi ̣ chuyển sang nick khác mât́ rồi Thật không thể tin nổi Một lỗi bảo mật to bánh xe bò đã bi ̣ lộ chi ̉ sau 5p nghiên cứ u 1-0 cho Lotte Cinema (Lỗi có tên gọi impersonation) Bản quyền thuộc http://toidicodedao.com/ 38 Bảo mật nhập môn – Phạm Huy Hoàng Câu nhầm … “cá mập” Nhờ đổi cookie, mình đã hack đượ c vào tà i khoản ngườ i khác Ok ngon, có thông tin ngườ i dù ng luôn! Giờ mình thử đổi thông tin xem nào, đượ c Thử đặt vé xem nà o, cũ ng đượ c nốt! ̉ cho mình không nhỉ? Thử xem nà o, đổi email Có thể dụ dỗ Lotte Cinema gử i mật khâu ̉ Và o email xem sao? user sang sang email mình, sau đó báo mất mật khâu Ồ, nhận mật luôn, mail Lotte nhanh thật! Vì mộ t user thườ ng tái sử ̉ ở nhiều trang, mình có thể thử dùng username và mật khẩu nà y ở mộ t số dụ ng mật khâu trang khác để mò account Thấy chết ngườ i chưa?? Thử đổi mật khẩu xem, đượ c Giờ mình đã có thể đăng nhập vớ i mật khẩu mớ i đổi Đây là lỗi thứ 2: Khi thay đổi mật khẩu, bắt buộ c ngườ i dù ng phải đổi mật khẩu cũ Ti ̉ số giờ đã là 2-0 cho Lotte Cinema Bonus thêm “cá voi” Hai lỗi đủ làm tơi tả toàn bộ hệ thống Chi ̉ cần viêt́ bot nho nhỏ , lần lượ t thay giá tri ̣ membername cookie (từ a tớ i zzzzzzz) là có thể lấy gần toàn bộ thông tin khách hàng, hoặc đổi toàn password làm người dùng không đăng nhập (Các bạn khác dùng username dài chịu) Thế mọ i chuyện chưa dừ ng ở Mình tiếp tụ c thử nghiệm điền tiên và o khung “Họ tên” Lotte tiếp tục lò i lỗi XSS (Tấn công cách chèn script vào trang chính) Bản quyền thuộc http://toidicodedao.com/ 39 Bảo mật nhập môn – Phạm Huy Hoàng Khá may mắn Lotte là đã cắt chuỗi thành 30 ki ́ tự nên không thể điền JavaScript dà i Tuy nhiên, điều vẫn không thể làm khó đượ c mình viết file javascript ở nơi khác, sau đó embed script vào (Up file js lên dropbox rồi lâý shortlink là xong) Bản quyền thuộc http://toidicodedao.com/ 40 Bảo mật nhập môn – Phạm Huy Hoàng Lỗi XSS này chi ̉ hiện ở mỗi trang củ a user nên không thể dù ng để deface website Tuy nhiên, mình vẫn có thể hiện pop-up giả mạo ngườ i dù ng tải virus hình dướ i Dùng JS, lấy số thẻ, số CMND để người dùng tin tưởng message lotte Kết hợ p với bot đã nó i phi ́a trên, mình hoàn toàn có thể dụ dỗ nhiều ngườ i dù ng Lotte tải virus họ đăng nhập vào hệ thống Không cò n lờ i nà o để nói, 3-0 cho Lotte Cinema! Kết luận Nhữ ng lỗi bảo mật mình chi ̉ không có gì cao siêu! Do mình không phải dân chuyên về bảo ́ đề củ a mật nên nhữ ng ki ̃ thuật tấn công củ a mình cũ ng chi ̉ dừng ở mứ c vô cù ng bản Vân Lotte Cinema là ở chỗ họ “không biết ti ́ gì về bảo mật”, dẫn đến chuyện hệ thống bảo mật quá kém Như các bạn đã thấy, hành vi này là sự thiếu tôn trọ ng khách hà ng cò n có thể gây nguy hại cho ngườ i dù ng Tuy nhiên, có vẻ Lotte Cinema đã rất khôn ngoan khâu pháp lý rũ bỏ mọ i trách nhiệm phần “Thỏ a Thuận” Tuy thua 3-0 vẫn không phải chi ̣u trách nhiệm gì, hoan hô Lotte Cinema Vì lý đạo đứ c, mình đã gử i nộ i dung bà i viêt́ cho nhữ ng ngườ i có trách nhiệm Lotte Cinema mộ t khoảng thờ i gian khá lâu trướ c công bố Tuy vậy, họ vẫn là m ngơ và không thè m quan tâm RIP các bạn và các khách hà ng của Lotte Cinema Dù vậy, mình vẫn khuyên các bạn không nên thử phá hoại hệ thống Mình không muốn ngà y mai lên Mương 14 lại thâý tin: [Hacker trẻ tuổi bi ̣ Lotte Cinema băt́ “Tât́ cả là em lỡ xem Tôi code dạo”] đâu Bản quyền thuộc http://toidicodedao.com/ 41 Bảo mật nhập môn – Phạm Huy Hoàng Lờ i khuyên cuối cù ng: các bạn vẫn có thể xem phim ở Lotte, đừ ng điền bất kì thông tin cá nhân gì vào cái hệ thống trờ i đánh của nó nhé! Thân chào Các bạn xem video tóm tắt viết đây: https://www.youtube.com/watch?v=CtnfOZmKR3A Nhớ like subscribe link nhé: https://www.youtube.com/c/toidicodedaoblog?sub_confirmation=1 Mình cần 100 sub để xin Custom URL cho Channel Tôi Đi Code dạo Update (30/08/2016) Sau bài viết đượ c công bố rộ ng rãi MXH thì bên chi ̣u trách nhiệm xây dự ng website cho Lotte Cinema đã liên hệ trự c tiếp vớ i mình mình Đến ngà y 1/9/2016 thì các lỗi bảo mật bài đã tạm đượ c fix rồi nhé Bản quyền thuộc http://toidicodedao.com/ 42 Bảo mật nhập môn – Phạm Huy Hoàng Bản quyền thuộc http://toidicodedao.com/ 43 Bảo mật nhập môn – Phạm Huy Hoàng LOZI.VN ĐÃ “VÔ Ý” ĐỂ LỘ DỮ LIỆU TRIỆU NGƯỜI DÙNG NHƯ THẾ NÀO? Trong trình viết series Bảo mật nhập môn, hay nghịch dạo, tìm lỗi bảo mật dạo theo tinh thần “code dạo” blog Lẽ tất nhiên, tìm lỗi phải tìm trang to to, nhiều người dùng tí, trang nho nhỏ quan tâm Là developer, không đủ giỏi mạng hay hạ tầng để công server hay DDOS gì Vì vậy, định kiểm tra web app, hai thứ rành Việt Nam nói làm, bắt đầu truy cập website app số ông lớn tiki, lazada, foody… Việc dò lỗi giống câu cá vậy, câu cá bự, câu buổi không Kì này, câu cá nho nhỏ mà… nguy hiểm lozi.vn Dò tìm từ web Khi vào giao diện lozi.vn, đập vào mắt lỗi bự nhất: HTTPS! Nói đơn giản, lướt web có thông tin quan trọng mà HTTP giống bạn mát xa, nhầm, chịch mà không dùng BCS Hacker chôm liệu bạn nháy mắt bạn không hay biết (Xem thêm độ bảo mật giao thức HTTP) Tiếp theo, bắt đầu nghịch ngợm cách … mở Chrome Developer Tool Đừng coi thường nhé, công cụ “bá đạo” Chà, thử xem ta có nào? Mình biết đẹp trai, bạn đừng nhìn mà nhìn vùng khoanh đ ỏ Bản quyền thuộc http://toidicodedao.com/ 44 Bảo mật nhập môn – Phạm Huy Hoàng Một loạt hàm AJAX dạng get, truyền vào username lấy thông tin user Đặc biệt hơn, JSON hàm trả bao gồm thông tin nhạy cảm địa cá nhân, ngày tháng năm sinh, e-mail Hàm GET authentication, nên hoàn toàn thay username vào lấy thông tin toàn user Tuy nhiên, việc test username lâu, nên cách không khả thi Làm tiếp tục? Mình bắt đầu chuyển qua nghịch… ứng dụng mobile lozi Đến app mobile Có thật “nho nhỏ” mà bạn biết là: Mặc dù hay viết C# JavaScript thật rành Java Android Thôi không khoe nữa, quay lại chủ đề Việc nghịch ứng dụng không phức tạp Mình cần lên apkpure.com tải file apk, sau dùng tool decompile có source code ứng dụng android lozi Có vẻ lúc publish, team lozi chưa obfuscate code nên code y nguyên Do team code chuẩn OOP SOLID nên không khó khăn để lục tìm đoạn code gọi API lozi Đoạn code khiến ý đoạn gọi API SearchUser Bản quyền thuộc http://toidicodedao.com/ 45 Bảo mật nhập môn – Phạm Huy Hoàng API có dạng GET nên không cần thêm thông tin Bật Postman lên, nhập url API vào … bingo Thông tin triệu người dùng Có link để paging Bao gồm thông tin nhạy cảm email, số điện thoại, ngày sinh… Bản quyền thuộc http://toidicodedao.com/ 46 Bảo mật nhập môn – Phạm Huy Hoàng Quá trình xử lý lỗi Tối thứ ngày 16/11, tìm lỗi này, bắt đầu liên hệ với lozi.vn Chiều thứ ngày 18/11, nhận reply từ fanpage lozi Khoảng phút sau gửi mail cho team lozi lỗi fix Ngay sáng thứ ngày 19/11, nhận mail reply tận tình người chịu trách nhiệm dù thứ Hoan hô lozi Thái độ làm việc khác hẳn với bên lotte cinema, bơ nửa tháng trời Khoảng 4,5 ngày sau báo cáo lỗi lozi cập nhật https thêm token cho API Nhận xét Trong suy nghĩ chung developer, RestAPI thường bị ẩn đi, người dùng không thấy nên không nghịch Tiếc thay, developer hacker dễ dàng decompiler app “nghịch ngợm” API Thật ra, team lozi mà đa phần team khác thiếu cảnh giác việc bảo mật API Điển hình vụ CGV lộ triệu người dùng API mobile Tuy nhiên, team Foody Lozi bảo mật API tốt, nghịch thử mà không thu kết Bản quyền thuộc http://toidicodedao.com/ 47 Bảo mật nhập môn – Phạm Huy Hoàng Điều đáng nói qua việc là: lỗ hổng bảo mật thuộc loại vô bản, dân “tay ngang” khai thác mà không cần tool chuyên dụng (Kali Linux, Tool Penetration Test), cần Chrome SublimeText Các hệ thống lớn mà lỏng lẻo kiểu này, liệu liệu có an toàn hacker “chuyên nghiệp” tay?? Với “tâm” người developer, liên lạc với bên lozi để xử lý Điều xảy người tìm lỗi mà hacker “có tâm”, sẵn sàng cào hết liệu chia bán cho công ty khác, công ty đối thủ cạnh tranh với lozi? Bản quyền thuộc http://toidicodedao.com/ 48 Bảo mật nhập môn – Phạm Huy Hoàng Thay lời kết Đây phần cuối sách Chân thành cảm ơn bạn bỏ thời gian đọc ủng hộ! Một điều nhắc nhắc lại suốt series là: Đừng tin tưởng người dùng!! Đừng tin tưởng thứ người dùng nhập vào, đừng nghĩ đằng người dùng sửa javascript, nghịch lung tung Dưới danh nghĩa người dùng, hacker có để phương cách để công hệ thống Nhớ nhé! Việc post mang tính chất cảnh tỉnh ý khoe khoang khác Với hacker "có tâm", họ phải lên kế hoạch công, phải tốn công sức nghiên cứu để tìm lỗ hổng chưa tìm Hành động mày mò, nghịch ngợm lỗi sơ đẳng developer, tính chẳng có tự hào để phải khoe ;)) Bất kì hành động công, phá hoại hệ thống nhằm "thể hiện" hành động trẻ trâu, thiếu suy nghĩ, dẫn đến "tình tiền tù tội" Các bạn nhớ suy nghĩ cẩn thận trước hành động Mình có hi vọng “nhỏ nhoi” ebook nhiều người biết tới Nếu lập trình viên biết lỗi bảo mật này, ta gặp lỗ hổng “ngớ ngẩn” kiểu lottecinema hay vietnamwork Cùng giúp chia sẻ tới nhiều bạn đọc nhé! Hãy nhớ rằng, bảo mật chuyên ngành lớn, giới bảo mật bao la Những lỗi bảo mật xuất ngày, không thua công nghệ lập trình Quyển ebook nhập môn cover phần nhỏ (Còn vô số điều hay ho như: social engineering, row hammering … không nhắc tới sách) Do vậy, đừng nghĩ đọc xong series biết “tuốt tuồn tuột” điều cần biết bảo mật Hãy tự trau dồi thêm kiến thức bảo mật, áp dụng vào code thiết kế Nội dung sách tham khảo theo course Hack Yourself First, Web Security OWASP Top 10 pluralsight số nguồn khác Series có phụ đề nên dễ học, bạn tiếng Anh học thử Bản quyền thuộc http://toidicodedao.com/ 49 Bảo mật nhập môn – Phạm Huy Hoàng Về tác giả Anh Phạm Huy Hoàng theo học Thạc sĩ Khoa Học Máy Tính (Computer Science) Đại học Lancaster, Anh Tại Anh, Hoàng làm Full-stack Developer cho trường Anh phát công bố lỗ hổng bảo mật Lotte Cinema Lozi.vn Hoàng chủ blog Tôi Đi Code Dạo tiếng Việt Nam Anh có năm kinh nghiệm lĩnh vực phần mềm đam mê nghiên cứu bảo mật, công nghệ web, công nghệ Machine Learning, Cognitive Thông tin liên lạc: Email: huyhoang8a5@gmail.com Blog: https://toidicodedao.com Linkedin: https://www.linkedin.com/in/huyhoangpham92 CV: http://cv.toidicodedao.com Bản quyền thuộc http://toidicodedao.com/ 50 ... bạn nên thông báo cho quản trị đừng nên phá hoại Ranh giới “tìm hiểu lỗ hổng” “phá hoại hệ thống” mong manh Với hệ thống quan trọng bạn bị truy tố để vào tù bóc lịch cho lỗ ass nở hoa chẳng chơi