4. THAO TÁC TRÊN THAM SỐ TRUYỀN
4.2.Thao tác trên biến ẩn form
4.2.1. Khái niệm
Thông tin có thể đƣợc chuyển đổi thông qua một biến ẩn của form, gọi là Hidden Form Field. Biến ẩn form không hiển thị trên màn hình trình duyệt nhƣng ngƣời dùng có thể tìm thấy nội dung của nó trong “ view source ”, vì thế đây là một điểm yếu để hacker lợi dụng bằng cách lƣu nội dung trang web xuống trình duyệt, thay đổi nội dung trang và gửi đến trình chủ.
Ví dụ: Form gốc có nội dung nhƣ sau:
Nếu không có sự thay đổi nào thì yêu cầu đến máy chủ có nội dung:
Nhƣng nếu hacker gán một giá trị khác cho trƣờng “giaca”:
<form action="http://www.tancong.com/cuahang.pl" method="POST"> ...
<input type="hidden" name="giaca" value="99.99"> ...
</form>
POST /cuahang.pl HTTP/1.0 ...
giaca=99.99
<form action="http://www.tancong.com/cuahang.pl" method="POST"> ...
<input type="hidden" name="giaca" value="0.99"> ...
Thì yêu cầu sẽ thay đổi:
Ngoài việc thay đổi nội dung biến ẩn của form, hacker còn biến đổi nội dung các thành phần trong form, nhƣ chiều dài của một ô nhập dữ liệu để thực hiện việc tấn công “BUFFER OVERFLOW”.
4.2.2. Một số biện pháp khắc phục
Chỉ nên sử dụng biến ẩn của form để hiển thị dữ liệu trên trình duyệt, không đƣợc sử dụng giá trị của biến để thao tác trong xử lí ứng dụng. Dùng biến HTTP_REFERER để kiểm tra nguồn gốc của yêu cầu gửi đến,
tuy nhiên hacker có thể sử dụng Proxy để che dấu nguồn gốc thực của nó, vì vậy cũng không nên quá tin tƣởng biến HTTP_REFERER để kiểm tra. Ghép tên và giá trị của biến ẩn thành một chuỗi đơn. Sử dụng thuật toán
mã hoá MD5 hoặc một kiểu hash một chiều khác để tổng hợp chuỗi đó và lƣu nó vào một hidden field gọi là “Chuỗi mẫu”.
Khi giá trị trong form đƣợc gửi đi, các thao tác nhƣ trên đƣợc thực hiện lại với cùng một khoá mà ta định trƣớc. Sau đó đem so sánh với “Chuỗi mẫu”, nếu chúng không khớp nhau thì chứng tỏ giá trị trong biểu mẫu đã bị thay đổi.
Dùng một sessionID để tham chiếu đến thông tin đƣợc lƣu trữ trên cơ sở dữ liệu.