Design Liability

Một phần của tài liệu Nghiên cứu một số phương pháp tấn công web (Trang 47 - 53)

CHƯƠNG V: HACKING CLIENT

5.2Design Liability

Web client design liabilities là kết quả của việc những tính năng được thiết kế để đưa vào sản phẩm nhưng lại bị hacker lợi dụng để tấn công.

5.2.1 Cross-domain Access

Đây là môt trong những ví dụ rõ ràng nhất về tấn công dạng này.Hầu hết các trình duyệt hiện nay đều sử dụng mô hình an toàn dựa trên “domain”-qua đó ngăn chặn windows/frames/documents/scripts từ một nguồn có thể tương tác với tài nguyên của một nguồn khác. Ví dụ,nếu evilsite.com có thể thực thi JavaScript trên Citibank.com, khi đó những khách hàng của Citi có thể trở thành nạn nhân của những email dơn giản chứa scrip độc hại,có thể ăn cắp cookie của họ,qua đó kẻ tấn công có thể đăng nhập vào trang online banking của Citi,rồi chuyển tiền qua một nơi khác

Tấn công cross-domain có cả một lịch sử dài và phong phú. Năm 2006, Matan Gillon đã minh họa cách thức tiêm Cascading Style Sheets (CSS) vào một trang web từ xa có chứa dấu ngoặc nhọn ({ })-dùng để dịnh nghĩa style selectors, properties, và values. Bằng cách khai thác lỗ hổng phân tích CSS của IE,giảm sát hoạt động của Google, Gillon có thể ngấm ngầm lấy dữ liệu của người dùng khi họ sử dụng tiện ích Google's Desktop Search.

5.2.2 JavaScript and Active Scripting

Tên khai sinh là "LiveScript," mọi người vấn nghĩ là có sự liên quan đến Java của Sun, tuy nhiên JavaScript thực ra là một ngôn ngữ kịch bản hoàn toàn riêng biệt được tạo ra bởi Netscape Communications trong giữa những năm 1990. JavaScript là một trong những ngôn ngữ được sử dụng rỗng rãi trên nền web hiện nay

JavaScript là sự pha trộn giữa tính đơn giản khi sử dụng của Perl và sức mạnh của C/C++.Tuy nhiên,chính điều này khiến cho JavaScript trờ thành môi trường lý tưởng cho hacker lợi dụng.Chỉ cần một phương thức đơn giản có thể tạo ta một cửa sổ pop up đánh lừa người dùng nhập những thông tin quan trọng vào

Các platforms của Microsoft thực thi và những ngôn ngữ kịch bản khác (ví dụ VBScript) bằng Component Object Model (COM)–dựa trên nền tảng công nghệ mang tên Active Scripting.

Một trong những vấn đề rõ thấy nhất chính là AJAX(Asynchronous JavaScript and XML)-công nghệ web thế hợ mới.Ví dụ điển hình nhất về những hiểm nguy trên AJAX là MySpace, hay còn gọi là "Samy,"-một worm lây lan trên mạng xã hội rất nổi tiếng MySpace.com vào tháng 10 năm 2005. Người dùng sử dụng loại worm này- người dùng MySpace.com gọi đó là những ”Samy," có thể gia tăng mức độ “nổi tiếng ”-dựa trên số lượng friend trong list của anh ta-của mình rất nhanh bằng cách tự động add chính bản thân mình vào profile của bất kỳ ai view profile của anh ta.Tiếp nữa,những người bị “lây” lại lây cho những người khác.Chi trong vòng 20 giờ,một

sami có thể có hơn cả triệu friend requests. MySpace.com khi đó đã phải tạm dừng hoạt dộng trong một thời gian để giải quyết sự việc.

Mốt số điều nổi bật khiên sami có thể phán tán mạnh như vậy

Nhúng JavaScript vào thẻ CSS (MySpace chặn tất cả những thẻ HTML khác).

Sử dụng "java\nscript" (tức là, java [NEWLINE]script) để tránh MySpace loại bỏ từ khóa "javascript."

Sử dụng String.fromCharCode để convert dấu nháy kép (") từ mã ASCII để tránh việc loại bỏ dấu nháy.

Sử dụng đối tượng XML-HTTP để thực thi các giao thức HTTP GETs và POSTs từ/tới profile của nạn nhân

Và cuối cùng là những lời đường mật để lôi kéo nạn nhân view profile của mình 5.2.3 Lợi dụng ActiveX ActiveX

Là trung tâm của các cuộc tranh luận về bảo mật kể từ khi ra đời vào giữa thập niên 90, khi Fred McLain công bố một ActiveX control có thể tắt hệ thống của người dùng từ xa. ActiveX có thể dễ dàng nhúng vào trong HTML bằng cách sử dụng thẻ <object>, và ActiveX control có thể được nạp từ các trang web từ xa. Các ActiveX control cơ bản có thể thực hiện bất kỳ tác vụ với các đặc quyền của người gọi khiến cho nó luôn là một mục tiêu yêu thích của những kẻ tấn công. hệ thống Authenticode của Microsoft, dựa trên chữ ký số của những ActiveX control tin cậy, là phương pháp an ninh chính chống lại các ActiveX control độc hại

5.2.4 Firefox Extensions

Firefox Extensions có chức năng tương tự với IE ActiveX controls.Nếu người dùng install Extension độc hại ,nó có thể làm mọi việc với quyền của người dùng

Nếu kẻ tấn công không thể tìm ra lỗ hổng để khai thác, chúng có thể sử dụng các thủ đoạn gian trá. Thuật ngữ social engineering được sử dụng trong giới bảo mật từ nhiều năm qua để mô tả kỹ thuật thuyết phục hoặc lừa dối để được truy cập vào thông tin kỹ thuật số.

Tấn công dạng này đang ngày càng gia tăng trong những năm gần đây,dạng thông dụng nhất là phishing, một dạng social engineering cơ bản trên nền internet nhưng vẫn còn hiệu quả cho đến ngày nay.Theo ước tính,người dùng thiệt hại hơn 1 tỷ đô la mỗi năm, và con số này vẫn tăng đều đặn.

Bên cạnh Phishing còn là nỗi lo lắng thường trực về spyware hay adware,những phần mềm được cài một cách vô tình của người dùng.Chúng đôi khi chỉ để quảng cáo nhưng khả năng nhiều hơn là thực hiện những tác vụ ngầm,thâm độc khác

5.3.1 Phishing

Theo một số tài liệu,phising chủ yếu có những dạng sau - Nhắm tới mục tiêu tài chính

- Từ địa chỉ giả

- Giả mạo thương hiệu uy tín để lừa đảo - Đưa ra những tình huống khẩn cấp . Chi tiết hơn những điều đó như sau.

Đối với phishing nhắm tới mục tiêu tài chính.,theo báo cáo của tổ chức Anti-Phishing Group(APWG) công bố tháng 12 năm 2005 thì:

- 89.3 % các cuộc phising nhắm tới các dịch vụ tài chính,hầu hết nạn nhân là khách hàng ngân hàng trực tuyến,của ebay và paypal

- 5% là các nhà cung cấp dịch vụ ISP như AOL hay Earthlink,các dịch vụ mà người dùng phải trả phí thông qua thẻ tín dụng

- 2.5% là khu vục công nghiệp bán lẻ

Theo lẽ dĩ nhiên,những nghệ nhân phishing không hề muốn bị “tóm gáy”,nên những email thường xuất phát từ địa chỉ giả hoặc không hợp lệ.những email phishing thông

thường được gửi từ nhừng công cụ phát tán email giả mạo trên những máy tính bị xâm nhập trước đó,vì vậy rất khó để truy ra nguồn gốc thư thông qua tiêu đề thư.Tương tự như vậy,những trang web mà chúng dựng lên nhằm lừa người dùng đăng nhập cũng dựa trên một một hệ thống đã bị hack lan tràn trên internet. APWG chỉ ta rằng tuổi thọ trung bình của những trang web dạng này là rất ngằn,chỉ khoảng 1 ngày.Vì vậy nếu chúng ta nghi ngờ một trang là phishing,chúng ta có thể kiểm chứng trong sự tồn tại của nó trong vài ngày sau đó

Sự thành công của hầu hết các cuộc tấn công lừa đảo cũng dựa trên giả mạo xác thực bằng cách sử dụng hình ảnh thương hiệu quen thuộc..

Hình 5.1: Một email phishing gửi tới người dùng paypal

Xem xét hình ảnh ví dụ trên,ta có thể thấy hình ảnh,logo,đường link rất giống với email được gửi từ paypal “xịn”.Dĩ nhiên,đường link sau dòng chữ "To update your records…" sẽ không dẫn người dùng đến paypal (cho dù nó hiển thị là http://www.paypal.com...)mà sang một trang giả mạo khác,nơi đó sẽ yêu cầu người

dùng khai báo tài khoản và mật khẩu.Thậm chí,với những kẻ tấn công tinh vi,chúng có thể lợi dụng lỗ hổng của trình duyệt để làm giả địa chỉ trên thanh address nhằm che dấu địa chỉ thực sự

Cuối cùng,chúng ta xét tới phishing đưa ra những tình huống khẩn cấp .Cũng với ví dụ trên ,chúng ta có thể hình dung về cách thức loại này :dòng chữ "…failure to update your records will result in account suspension.",có nghĩa là nếu không update thì tài khoản có thể bị khóa,người dùng PayPal khi đọc thấy dòng chữ này thường nghĩ rằng tình hình khá khẩn cấp,và theo bản năng sẽ click trước khi kịp suy nghĩ.Hầu hết phishing đều có dạng thông điệp “nếu không nhanh/kịp thì…” nhằm lừa đảo số lượng người dùng nhiều nhất trong khoảng thời gian ngằn nhất,vì trên thực tế,những trang lừa đảo giả mạo xác thực thường tồn tại rất ngắn,khoảng vài ngày

5.3.2 Adware và Spyware

Adware được định nghĩa là phần mềm chèn quảng cảo không mong muốn khi chúng ta đang sử dụng máy tính.Ví dụ rõ nét nhất về adware là những popup nhảy múa khi chúng ta lướt net

Spyware được thiết kế để theo dõi lén lút hành vi người dùng, thường là cho mục đích ghi log và báo cáo hành vi này cho các công ty theo dõi trực tuyến,sau đó thông tin này sẽ được bán cho các nhà quảng cáo hoặc nhà cung cấp dịch vụ trực tuyến. Tổng công ty, các nhà điều tra tư nhân, thực thi pháp luật, cơ quan tình báo.. cũng sử dụng phần mềm gián điệp cho mục đích riêng của họ, cho dù là hợp pháp hay không

Kỹ thuật lây nhiễm thông dụng

Có 2 cách để adware và spyware có thể tồn tại trong máy tính của mỗi cá nhân - Khai thác các lỗ hổng bảo mật: một cách làm kinh điển

- ”Khuyên” người dùng tự cài đặt chúng

Khu vực hay bị nhiễm Spyware và adware thông thường sử dụng những phương cách sau để lây nhiễm:

Bằng cách cài dặt file thực thi vào ổ đĩa,sau đó để chúng được nạp tự động khi bật máy

Bằng cách cài đặt các add-ons vào các chương trình web browser

Một phần của tài liệu Nghiên cứu một số phương pháp tấn công web (Trang 47 - 53)

(68 trang)