Cần có cơ chế kiểm sốt chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông thường nên tránh dùng đến các quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt hại càng ít. Ngồi ra để tránh các nguy cơ từ SQL Injection attack, nên chú ý loại bỏ bất kì thơng tin kĩ thuật nào chứa trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi. Các thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn cơng biết được điểm yếu của hệ thống.
2.4. TẤN CÔNG DỰA VÀO “KIỂU QUẢN LÝ PHIÊN LÀM VIỆC”(SessionlD Management) (SessionlD Management)
HTTP là giao thức hướng đối tượng tong quát, phi trạng thái, nghĩa là HTTP khơng lưu trữ trạng thái làm việc giữa trình duyệt với trình chủ. Thiếu sót này gây khó khăn cho một số ứng dụng Web, bởi vì trình chủ khơng biết được trước đó trình duyệt đã có những trạng thái nào. Vì thế, để giải quyết vấn đề này, ứng dụng Web đưa ra một khái niệm phiên làm việc (Session). Còn SessionID là một chuỗi để chứng thực phiên làm việc. Một số trình chủ sẽ cung cấp một SessionID cho người dùng khi họ xem trang web trên trình chủ.
Để duy trì phiên làm việc thì sessionID thường được lưu vào :
■S Biến trên URL J Trường ẩn form J Cookie
Phiên làm việc chỉ tồn tại trong khoảng thời gian cho phép, thời gian này được cấu hình qui định tại trình chủ hoặc bởi ứng dụng thực thi. Trình chủ sẽ tự động giải phóng phiên làm việc để khơi phục lại tài nguyên của hệ thống.
Sau khi người dùng được xác thực dựa trên thông tin cá nhân như tên/mật khẩu, session ID được xem như mật khẩu tĩnh tạm thời cho những lần yêu cầu tiếp theo. Điều này đã khiến cho Session ID là mục tiêu lớn cho những hacker. Nhiều trường hợp, hacker giành được session ID hợp lệ của người dùng, để từ đó đột nhập vào phiên làm việc của họ.
Tấn công vào một phiên làm việc thường được thực hiện theo 2 kiểu chính sau:
+ Ản định phiên làm việc (Session Fixation). + Đánh cắp phiên làm việc (Session Hijacking).
2.4.1. Tấn công kiểu “Ấn định phiên làm việc”
Trong kiểu tấn công “ấn định phiên làm việc”, hacker ấn định sẵn session ID cho nạn nhân, trước khi họ đăng nhập vào hệ thống. Sau đó, hacker sử dụng session ID này để buớc vào phiên làm việc của nạn nhân đó.
Q trình tấn cơng như sau:
Bước 1: Thiết lập session ID.
Hệ thống quản lí session theo 2 hướng:
+ Hướng tự do: chấp nhận bất kì một session ID, nếu chưa tồn tại session thì tạo mới một session ID.
+ Hướng giới hạn: chỉ chấp nhận session ID nào đã đăng kí trước đó.
Với hệ thống hướng tự do, hacker chỉ cần thiết lập một session ID bất kì, nhớ và sau đó sử dụng lại session ID này. Ớ hướng giới hạn, hacker phải đăng kí một session ID với ứng dụng.
Phụ thuộc vào qui trình quản lí phiên làm việc, hacker lưu trữ “thời gian sống” (Time To Live) của phiên làm việc cho đến khi nạn nhân đăng nhập vào hệ thống. Thông thường một phiên làm việc không tồn tại vô hạn. Hệ thống sẽ tự động hủy bỏ phiên làm việc, nếu nó khơng thực hiện một thao tác nào (thời gian nhàn rỗi) hoặc hết hạn định.
Bước 2: Gửi ID này đến trình duyệt nạn nhân.
Hacker gửi session ID vừa tạo đến người dùng, việc trao đoi ID session cịn tùy vào ứng dụng, có thể qua parameter URL, trường an form hay cookie.
Các cách tấn cơng thơng dụng gồm có:
1 Tấn công sessionID trên tham số URL (SessionID parameter URL). 2 Tấn công sessionID trên trường an form (SessionID hidden Form Field). 3 Tấn công sessionID trong cookie.