2.3.5.1 Kỹ thuật tấn công
Thông tin có thể được chuyển đổi thông qua một biến ẩn của form, gọi là Hidden Form Field. Biến ẩn form không hiển thị trên màn hình trình duyệt nhưng người dùng có thể tìm thấy nội dung của nó trong “ view source ” vì thế đây là một điểm yếu để Hacker lợi dụng bằng cách lưu nội dung trang web xuống trình duyệt, thay đổi nội dung trang và gửi đến trình chủ.
Ngoài việc thay đổi nội dung biến ẩn của form, Hacker còn biến đổi nội dung các thành phần trong form như chiều dài của một ô nhập dữ liệu để thực hiện việc tấn công “buffer overflow”, …
Ví dụ: Các trang web bán hàng trực tuyến, Hacker có thể lợi dụng lỗ hổng này thay đổi giá các sản phẩm mà trang bán hàng trực tuyến quy định. Giá chính của sản phầm là 200$ nhưng Hacker đã sửa lại thành 2$ và sau đó truy vấn lên máy chủ WEB.
2.3.5.2 Một số biện pháp bảo mật khắc phục
Chỉ nên sử dụng biến ẩn của form để hiển thị dữ liệu trên trình duyệt, không được sử dụng giá trị của biến để thao tác trong xử lí ứng dụng. Ví dụ: như khi ta up ảnh lên một trang web và thiết kế khi người dùng chọn ảnh nhỏ thì bức ảnh sẽ nhỏ lại còn khi người dùng chọn kích cỡ to thì bức ảnh sẽ to lên đây chính là mục đích của các biến ẩn trong form.
Ghép tên và giá trị của biến ẩn thành một chuỗi đơn. Sử dụng thuật toán mã hoá MD5 hoặc một hàm băm để tổng hợp chuỗi đó và lưu nó vào một trường ẩn gọi là “Chuỗi mẫu”. Khi giá trị trong form được gửi đi, các thao tác như trên được thực hiện lại với cùng một khoá mà ta định trước. Sau đó đem so sánh với “Chuỗi mẫu”, nếu chúng không khớp nhau thì chứng tỏ giá trị trong biểu mẫu đã bị thay đổi.
Dùng một Session ID để tham chiếu đến thông tin được lưu trữ trên cơ sở dữ liệu.