Scripting)
2.3.11.1 Kỹ thuật tấn công
Kỹ thuật tấn công Cross Site Scripting (được viết tắt là XSS) là phương pháp tấn công bằng cách chèn thêm những đoạn mã lệnh có khả năng đánh cắp hay thiết lập được những thông tin quan trọng như Cookie, mật khẩu,... vào nguồn ứng dụng web để từ đó chúng được chạy như là một phần của ứng dụng WEB và có chức năng cung cấp hoặc thực hiện những điều Hacker muốn.
Phương pháp này không nhằm vào máy chủ của hệ thống mà chủ yếu tấn công trên chính máy người sử dụng. Hacker sẽ lợi dụng sự kiểm tra không chặt chẽ từ ứng dụng và hiểu biết hạn chế của người dùng cũng như biết đánh vào sự tò mò của họ dẫn dến người dùng bị mất thông tin một cách dễ dàng.
Kỹ thuật tấn công này là một trong những kỹ thuật tấn công phổ biến nhất của các ứng dụng WEB và mối de dọa của chúng đối với người sử dụng ngày càng lớn.
Hacker tấn công thông máy chủ ứng dụng WEB
Hacker dùng các công cụ quét lỗ hổng XSS cho các máy chủ ứng dụng WEB. Vào một ngày đẹp trời, Hacker cũng đã tìm thấy một máy chủ ứng dụng WEB bị lỗi XSS và thế là Hacker tải các Scrip (kịch bản) lên máy chủ WEB và thông qua máy chủ WEB các máy khách lên trang web của ứng dụng WEB ấy có thể sẽ bị mất thông tin cá nhân do Hacker đã lấy, hình sau sẽ mô tả quá trình thực hiện.
Ví dụ này sử dụng trang web có lỗ hổng XSS
Hình 2.17 Nguyên lý hoạt động của XSS.
Hình 3.11 có thể hiểu các bước như sau: người dùng truy vấn một ứng dụng WEB đến máy chủ thì máy chủ liền phản hồi các thông tin cần thiết từ máy khách yêu cầu. Nhưng ứng dụng WEB đấy lại bị lỗi XSS vậy là Hacker thông qua lỗ hỗng đấy có thể đánh cắp thông tin người dùng trong hình trên thì Hacker chỉ chèn một thông điệp đưa ra cảnh báo lỗi. Với hình thức tấn công như trên Hacker hoàn toàn có thể tấn công các ứng dụng WEB như viết blog, bình luận bài trong forum hay các scrip độc hại trên mạng xã hội,...
Vào Web TechPost
Mã độchại
Attacker thêm vào kịch bản độc hại trong phần bình
luận của bài viết blog
Thêm vào các bài đăng trong blog Ngườidùngchuyển hướngđếnmột web site độchại
Hình 2.18 Tấn công XSS đối với ứng dụng WEB blog.
Hacker tấn công thông qua máy khách
Có thể nói Hacker rất là khôn khéo khi tấn công XSS đối với người dùng, chỉ cần gởi một thông điệp cho người dùng và dụ người sử dụng click vào thì Hacker có thể lấy các thông tin cần thiết của người dùng. Vì người dùng đâu phải ai cũng biết rõ về các vấn đề bảo mật giống như một quản trị viên được. Theo thống kê của thế giới thì hơn 90% các cuộc tấn công của Hacker là xuất phát từ sự thiếu hiểu biết của người dùng và hiện nay thế giới đang kêu gọi người dùng hãy bảo vệ chính mình trước Internet.
Hình 2.19 Tấn công XSS thông qua email.
(1) Hacker biết rõ ứng dụng web của người dùng hay sử dụng và cũng soạn sẵn một email có chứa link mã độc gởi cho người sử dụng.
(2) Khi người dùng nhận được mở ra với nội dung của Hacker nói trong email đầy hu thút người sử dụng ví dụ: như bạn đã trúng thưởng 1000$ hãy click vào đây để nhập thông tin tài khoản ngân hàng và tiền sẽ được chuyển đến tài khoản của bạn. Khi người dùng click vào link có chứa mã độc thì lập tức sẽ chuyển đến máy chủ ứng dụng WEB giả sử ở đây là trang web ngân hàng.
(3) Ngân hàng yêu cầu người dùng đăng nhập và người sử dụng đăng nhập thì lập tức thông tin của người dùng sẽ được tải xuống máy khách.
(4) Vì ở bước (2) người dùng có click vào link bị nhiễm độc nên sau khi lấy đủ thông tin cần thiết thì nó sẽ chuyền về máy chủ của Hacker cũng có thể là email và việc còn lại của Hacker thì rất đơn giản.
Qua ví dụ trên ta thấy được sự nguy hiểm của kỹ thuật này, nó nhắm vào những người không hiểu biết là chính. Ở bước (2) giả sử link chứa mã độc đấy cũng có thể là một trang web giả mạo của Hacker lập ra giống y trang web của ngân hàng để lừa người dùng được minh họa Hình 3.13. Thì lúc này người dùng đang giao tiếp chính với máy chủ Hacker. Phần demo mình sẽ trình bày rõ gởi spam mail hay giả mạo email của bất kì người nào.
Ngoài ví dụ trên Hacker còn có thể đánh cắp tập tin chưa thông tin người dùng như Cookie, Session ID,..
Trình duyệt của Kịch bản chứa Máy chủ của Máy chủ tin
người dùng mã độc Attacker cậy
Máy chủ chứa trang web với kịch bản độc hại Xem trang web của Attacker HTML có chứa kịch bản độc hại
Thực thi
Chuyển hướng đến Thu thập Cookies của người dùng máy chủ của Attacker
Gởi yêu cầu Cookies của thành viên này
Cho dù các cách thức tấn công XSS có khác một chút nhưng mục đích của Hacker cuối cùng chính là tìm cách lấy những thông tin cần thiết của người dùng và sử dụng chúng vào mục đích nhất định.
2.3.11.2 Một số biện pháp bảo mật khắc phục
Đối với người thiết kế WEB hay lập trình cần chú ý các điểm này:
Xóa bỏ thẻ <script> hay tắt thẻ chứng năng script. Tạo danh sách thẻ HTML được phép sử dụng.
Cho phép nhập những kí tự đặc biệt nhưng sẽ mã hóa theo chuẩn riêng. Đối với người dùng:
Cần ý thức được sự nguy hiểm từ những đường link không rõ nguồn gốc cũng như từ người lạ gởi đến.
Việc giả mạo một email của ai đó đối với Hacker rất là dễ dàng, đối với những email đã được chuyển vào hòm thư spam thì không nên mở lên xem. Cần cài đặt chương trình diệt virus và cập nhập phiên bản thường xuyên để
có thể tốt hơn. Một số phần mềm như kapersky, avg, avast, bitdefender,…
CHƯƠNG 3: ĐÁNH GIÁ WEBSITE TRƯỜNG CĐ CNTT HỮU NGHỊ VIỆT HÀN
Từ những kiến thức tìm hiểu về các phương pháp đánh giá độ bảo mật Website và kiến thức tìm hiểu qua khảo sát thực tiễn về các thức tấn công một trang web của Hacker. Sau khi hiểu rõ được những kiến thức đó em sẽ tiến hành các kỹ thuật nhằm tìm kiếm những lỗ hổng và tiến hành tấn công vào các lỗ hổng đó. Sau đó đưa ra kết luận về những gì đạt được và chưa đạt được, rút ra đánh giá về độ bảo mật của Website trường CĐ CNTT hữu nghị Việt Hàn.