Tìm việc làm nhanh & Tuyển dụng hiệu quả
0Chat
Quay lại

[CSRF là gì?] Tìm hiểu cách phòng chống tấn công giả mạo

Tác giả: Hạ Linh

Lần cập nhật gần nhất: ngày 08 tháng 07 năm 2024

Theo dõi timviec365 tại google new

Có thể khẳng định, an ninh bảo mật là một trong những vấn đề cần được quan tâm nhất khi vận hành các website. Nếu thường xuyên tìm hiểu ở lĩnh vực an ninh mạng, CSRF là một thuật ngữ bạn có thể đã nghe qua. Chúng là một hình thức tấn công website diễn ra thường xuyên và khá phổ biến. Bài viết dưới đây sẽ giúp bạn hình dung rõ hơn về CSRF là gì cũng như cách thức mà chúng hoạt động. Bên cạnh đó, nếu là dân  IT, bạn nên tìm hiểu những cách để phòng chống CSRF nhé!

Việc làm an ninh mạng

1. Khái niệm CSRF là gì?

Thuật ngữ CSRF, hay có tên gọi đầy đủ Cross Site Request Forgery, là một hình thức tấn công sử dụng kỹ thuật lạm dụng quyền chứng thực của cá nhân người sử dụng đối với một website nhất định. Cơ chế hoạt động của các ứng dụng website là nhận các câu lệnh HTTP từ cá nhân người sử dụng, sau đó tiếp tục thực thi những câu lệnh này.

CSRF là một kỹ thuật, một phương pháp được các Hacker sử dụng nhằm mục đích đánh lừa trình duyệt của người dùng, tiếp đến chúng gửi đi các câu lệnh HTTP để các ứng dụng website thực thi. Các câu lệnh HTTP sẽ được thực thi với quyền chứng thực của cá nhân sử dụng trong trường hợp chưa hết hiệu lực của phiên làm việc từ người dùng.

Nói một cách đơn giản, CSRF là một phương pháp tấn công giả mạo chính thể của chúng. Theo đó, thông qua việc sử dụng cookies, chúng tấn công vào chứng thực request trên các hệ thống website. Tất nhiên, đó là nơi mà bạn không hề hay biết các hacker có thể sử dụng những mẹo để tạo ra request. Chính vì vậy, CSRF là quá trình một hacker lạm dụng niềm tin của một ứng dụng website trên trình duyệt của người sử dụng.

Khái niệm CSRF
Khái niệm CSRF

Nói về lịch sử của CSRF, chúng đã xuất hiện từ khá sớm, vào khoảng những năm ở thập niên 90. Mặc dù vậy, các cuộc tấn công giả mạo thường bắt nguồn từ chính địa chỉ IP của nạn nhân, do đó bộ nhớ tạm của các website không nhận biết được những dấu hiệu tấn công của CSRF. CSRF cùng các cuộc tấn công giả mạo bởi nó không được báo cáo một cách đầy đủ và chính xác. Cho đến khoảng năm 2024, CSRF mới được một số tài liệu mô tả khá chi tiết và cụ thể.

Ở Hàn Quốc, người ta đã phát hiện ra có khoảng 18 triệu người dùng của eBay vào năm 2024 bỗng dưng bị các dữ liệu cá nhân của mình. Cũng tại thời điểm này, nhiều khách hàng của ngân hàng tại Mexico phát hiện tài khoản ngân hàng của mình đã bị đánh cắp. Tất nhiên, CSRF đã được các hacker sử dụng trong hai trường hợp điển hình này.

Bật mí: Chi tiết lương công nghệ thông tin tại đây!

2. CSRF hoạt động như thế nào

 CSRF hoạt động như thế nào
 CSRF hoạt động như thế nào

CSRF hoạt động theo kịch bản gì? CSRF là việc gửi một request giả mạo đến máy chủ, nhằm gây nên sự nhầm lẫn cấp quyền và tăng tính xác thực của người sử dụng website. Do đó, quyền của người sử dụng sẽ bị ảnh hướng chỉ thông qua một lỗ hổng CSRF. Chẳng hạn như người sử dụng ở đây là quản trị viên website, cuối cùng CSRF sẽ lấy được toàn bộ quyền của quản trị viên.

Xem thêm: Việc làm quản trị mạng

Khi gửi một câu lệnh HTTP, đồng thời trình duyệt website của người sử dụng sẽ nhận về các tập tin dữ liệu. Các tập tin thường được sử dụng để lưu trữ một phiên làm việc với mục đích xác nhận người sử dụng không cần xác thực lặp lại cho mỗi yêu cầu được gửi lên. Trong trường hợp tập tin lưu trữ phiên làm việc đã xác thực của người sử dụng vẫn còn hiệu lực, và chúng dễ bị tấn công bởi CSRF nếu như ứng dụng không được bảo mật. CSRF có thể được những kẻ tấn công sử dụng để chạy bất cứ câu lệnh nào với ứng dụng website cả khi website không thể phân biệt rõ đâu là câu lệnh giả mạo, đâu là câu lệnh thực.

Nguyên tắc hoạt động
Nguyên tắc hoạt động

Để hiểu rõ hơn về cơ chế hoạt động CSRF, có thể hiểu qua ví dụ như sau: Trong các ứng dụng website, thông thường có thiết kế một tính năng cơ bản, đó chính là điều chỉnh hoặc thay đổi password của người dùng. Bằng việc gửi lên hệ thống thông qua phương thức HTTP GET cơ bản. Nội dung gửi lên hệ thống cụ thể là mật khẩu mới và xác nhận lại mật khẩu vừa nhập:

- Một tập tin sẽ được tạo ra và được trình duyệt lưu trữ khi người dùng thành công đăng nhập vào website của bạn. Quá trình lưu trữ này giúp cho những lần sau, người dùng sẽ không cần thực hiện bước đăng nhập nữa. Tập tin được lưu trữ trước đó của bạn trong phiên làm việc vẫn còn hạn dùng, ngay cả khi bạn chưa thoát tài khoản đăng nhập.

- Tại đây, nếu website của bạn bị tấn công bởi CSRF, thì vô tình người dùng đã vào một hệ thống giả mạo của hacker và nhằm mục tiêu trộm tài khoản cá nhân từ ứng dụng website đó. Ngôn ngữ script sẽ được sử dụng trong hệ thống giả mạo bởi hacker để chạy một liên kết nhằm mục đích reset password người dùng trên website của bạn.

Cơ chế
Cơ chế

Nói chính xác, người dùng đã vô tình truy cập vào hệ thống giả mạo của hacker và cập nhật lại mật khẩu của chính mình trong hệ thống website đang sử dụng. Theo đó, kẻ tấn công nếu biết được thông tin tên người dùng, sẽ thử với mật khẩu đã được thiết lập, và thành công truy cập vào website cũng như tài khoản cá nhân của người dùng một cách bình thường. Đây chính là ví dụ dễ hiểu nhất về CSRF là gì?

Xem thêm: Việc làm kỹ sư an ninh mạng hấp dẫn

3. Hướng dẫn cách phòng chống tấn công CSRF

Các lập trình viên nên hiểu đúng và hiểu chính xác CSRF là gì? Vì trên thực tế, chỉ có hiểu cơ chế hoạt động và những tác động nguy hiểm bởi CSRF, bạn mới có thể tìm được cách phòng chống những cuộc tấn công được sử dụng bởi chúng. Trên cơ sở cơ chế hoạt động của CSRF là lạm dụng trình duyệt vời người dùng để gửi các request HTTP. Về cơ bản, chúng ta sẽ chia làm hai đối tượng để tránh các cuộc tấn công từ CSRF. Một bên là người dùng (user) và bên còn lại là hệ thống (server). Cụ thể sử dụng những phương pháp như sau:

Hướng dẫn cách phòng chống tấn công CSRF
Hướng dẫn cách phòng chống tấn công CSRF

3.1. Về phía người dùng

Trong các cuộc tấn công bởi CSRF, người dùng có lẽ là những đối tượng bị “oan” và thậm chí phải hứng chịu những hệ quả vô cùng nghiêm trọng, chẳng hạn như bị mất cắp tài khoản để sử dụng vào những mục đích xấu. Do đó, để hạn chế tối đa việc trở thành nạn nhân trong những cuộc tấn công giả mạo, tất cả người dùng nên lưu ý thực hiện nghiêm túc những điều sau:

- Thứ nhất, người dùng sau khi truy cập và đăng nhập tài khoản ở các ứng dụng website quan trọng, hãy tiến hành đăng xuất sau khi không sử dụng nữa. Đặc biệt ở những website về quản lý tài khoản ngân hàng, mạng xã hội, email, thanh toán online,.... đây đều là những ứng dụng website mà các kẻ tấn công thường hay nhắm đến.

- Thứ hai, người dùng nên đăng nhập vào một thiết bị riêng và thậm chí, không cho phép một cá nhân nào khác bản thân tiếp xúc với thiết bị đó.

Về phía người dùng
Về phía người dùng

- Thứ ba, với các link dẫn bạn nhận được ở tin nhắn, bình luận mạng xã hội, email,... người dùng không nên nhấp vào. Nếu nhấp vào, hãy lưu ý link dẫn đưa bạn đến đúng trang mà mình mong muốn, thông tin về trang đích nằm ở phía bên trái dưới cùng của trình duyệt.

- Thứ tư, người dùng không nên thực hiện việc lưu trữ password cho các ứng dụng website quan trọng tại trình duyệt của mình. Khi hệ thống hiển thị chức năng “lưu mật khẩu” hoặc “đăng nhập lần sau”, người dùng không cần lựa chọn các phương thức này, vì chúng rất dễ bị tấn công bởi CSRF.

- Thứ năm, người dùng không nên truy cập các website khác khi thực hiện giao dịch hay thực hiện truy cập vào các website quan trọng. Bởi chúng có thể chứa đựng các mã của kẻ tấn công dùng để khai thác các dữ liệu và thông tin từ người dùng.

Xem bài chi tiết: An ninh mạng là gì?

3.2. Về phía hệ thống

Về phía hệ thống
Về phía hệ thống

Mặc dù rất nhiều khuyến cáo hay lời khuyên đã được đưa ra. Tuy nhiên cho đến thời điểm hiện tại, việc phòng chống các cuộc tấn công từ CSRF vẫn chưa tìm ra được một công thức giải cụ thể. Bên cạnh những lưu ý từ người dùng, đối với hệ thống các website, vẫn nên sử dụng một vài kỹ thuật để hạn chế các cuộc tấn công giả mạo này.

- Thứ nhất, sử dụng đúng cách POST và GET. Đây là hai phương thức của giao thức HTTP. Theo đó, trong kỹ thuật chống CSRF, trưng trường hợp nếu thao tác là truy vấn dữ liệu, GET lúc này nên được sử dụng. Còn trong trường hợp thao tác tạo ra sự thay đổi về hệ thống, lúc này hãy dùng POST. Lời khuyên này được đưa ra theo khuyến cáo của W3C. Ngoài ra, bạn cũng có thể sử dụng thêm các HTTP hành động, chẳng hạn như DELETE, PUT hay PATCH nếu ứng dụng của bạn theo chuẩn RESTful.

Xem thêm: RESTful API là gì?

- Thứ hai, sử dụng các thông báo xác nhận và capcha. Thông thường, để xác minh hay nhận biết con người hay robot đang là đối tượng thao tác với hệ thống, người ta sẽ sử dụng captcha. Captcha được thường sử dụng ở những thao tác quan trọng chẳng hạn như “thanh toán”, “chuyển khoản” hay “đăng nhập”,... Bên cạnh đó, nên sử dụng những liên kết để gửi chúng qua email mà người dùng đã đăng ký để họ có thể chủ động xác nhận bằng cách click vào chúng ở những chức năng quan trọng như thay đổi mật khẩu, điều chỉnh thông tin tài khoản,....

sử dụng các thông báo xác nhận và capcha
Sử dụng các thông báo xác nhận và capcha

- Thứ ba, sử dụng token: Cụ thể ở đây là csrf_token, trong phiên làm việc của hệ thống với người dùng, chúng sẽ được thay đổi liên tục. Câu lệnh HTTP cần được loại bỏ nếu như token được gửi lên và token được sinh ra không trùng khớp.

- Thứ tư, với trang admin nên sử dụng tập tin riêng biệt: Để admin không sử dụng chung tập tin với front end của sản phẩm, bạn nên để chúng ở một subdomain riêng biệt. Chẳng hạn như nên đặt là admin.timviec365.vn hơn là để theo hình thức timviec365.vn/admin.

- Cuối cùng, thực hiện kiểm tra IP: Thông thường những hệ thống ứng dụng quan trọng và cần bảo mật cao chỉ cho phép một hoặc vài địa chỉ IP truy cập và những địa chỉ này đã được thiết lập, cài đặt sẵn. Bên cạnh đó, chỉ cho phép quyền truy cập quản trị thông qua hệ thống VPN hoặc địa chỉ IP local.

Tham khảo thêm: Mẫu CV IT đẳng cấp nhất

sử dụng token
Sử dụng token

Bài viết vừa thông tin đến bạn những kiến thức xoay quanh khái niệm CSRF là gì? Việc hiểu đúng kỹ thuật tấn công và hậu quả mà CSRF gây nên sẽ giúp bạn tìm ra những phương án chống lại tác nhân này. Hy vọng thông qua bài viết, những ai quan tâm về CSRF đã hiểu được phần nào về chúng và cách phòng chống chúng!

UML là gì? Tìm hiểu tất cả thông tin có liên quan đến UML

Ngành công nghệ thông tin có vô vàn thuật ngữ mà những tân binh mới làm quen cần học hỏi. Một trong số đó là thuật ngữ UML. Vậy UNL là gì? Cùng tìm hiểu thuật ngữ UML qua bài viết sau.

UML là gì?

Từ khóa liên quan

Chuyên mục

Bí quyết viết CV-Tâm sự Nghề nghiệp-Cẩm Nang Tìm Việc-Kỹ Năng Tuyển Dụng-Cẩm nang khởi nghiệp-Kinh nghiệm ứng tuyển việc làm-Kỹ năng ứng xử văn phòng-Quyền lợi người lao động-Bí quyết đào tạo nhân lực-Bí quyết lãnh đạo-Bí quyết làm việc hiệu quả-Bí quyết viết đơn xin nghỉ phép-Bí quyết viết thư xin thôi việc-Cách viết đơn xin việc-Bí quyết tăng lương-Bí quyết tìm việc dành cho sinh viên-Kỹ năng đàm phán lương-Kỹ năng phỏng vấn-Kỹ năng quản trị doanh nghiệp-Kinh nghiệm tìm việc làm tại Hà Nội-Kinh nghiệm tìm việc làm tại Đà Nẵng-Mẹo viết hồ sơ xin việc-Mẹo viết thư xin việc-Chia sẻ kinh nghiệm ngành Kinh doanh - Bán hàng-Định hướng nghề nghiệp-Top việc làm hấp dẫn-Tư vấn nghề nghiệp lao động phổ thông-Tư vấn việc làm Hành chính văn phòng-Tư vấn việc làm ngành Báo chí-Tư vấn tìm việc làm thêm-Tư vấn việc làm ngành Bất động sản-Tư vấn việc làm ngành Công nghệ thông tin-Tư vấn việc làm ngành Du lịch-Tư vấn việc làm ngành Kế toán-Tư vấn việc làm ngành Kỹ thuật-Tư vấn việc làm ngành Sư phạm-Tư vấn việc làm ngành Luật-Tư vấn việc làm thẩm định-Tư vấn việc làm vị trí Content-Tư vấn việc làm ngành Nhà hàng - Khách sạn-Tư vấn việc làm quản lý-Kỹ năng văn phòng-Nghề truyền thống-Các vấn đề về lương-Tư vấn tìm việc làm thời vụ-Cách viết Sơ yếu lý lịch-Cách gửi hồ sơ xin việc-Biểu mẫu phục vụ công việc-Tin tức tổng hợp-Ý tưởng kinh doanh-Chia sẻ kinh nghiệm ngành Marketing-Kinh nghiệm tìm việc làm tại Bình Dương-Kinh nghiệm tìm việc làm tại Hồ Chí Minh-Mẹo viết Thư cảm ơn-Góc Công Sở-Hoạt động đoàn thể-Tư vấn việc làm Biên - Phiên dịch-Tư vấn việc làm Ngành Nhân Sự-Tư vấn việc làm Ngành Xuất Nhập Khẩu - Logistics-Tư vấn việc làm Ngành Tài Chính - Ngân Hàng-Tư vấn việc làm Ngành Xây Dựng-Tư vấn việc làm Ngành Thiết kế - Mỹ thuật-Tư vấn việc làm Ngành Vận tải - Lái xe-Quản trị nhân lực -Quản trị sản xuất-Cẩm nang kinh doanh-Tư vấn việc làm Ngành Thiết kế - Nội thất-Mô tả công việc ngành Kinh doanh-Mô tả công việc ngành Bán hàng-Mô tả công việc Tư vấn - Chăm sóc khách hàng-Mô tả công việc ngành Tài chính - Ngân hàng-Mô tả công việc ngành Kế toán - Kiểm toán-Mô tả công việc ngành Marketing - PR-Mô tả công việc ngành Nhân sự-Mô tả công việc ngành IT - Công nghệ thông tin-Mô tả công việc ngành Sản xuất-Mô tả công việc ngành Giao nhận - Vận tải-Mô tả công việc Kho vận - Vật tư-Mô tả công việc ngành Xuất nhập khẩu – Logistics-Mô tả công việc ngành Du lịch - Nhà hàng - Khách sạn-Mô tả công việc ngành Hàng không-Mô tả công việc ngành Xây dựng-Mô tả công việc ngành Y tế - Dược-Mô tả công việc Lao động phổ thông-Mô tả công việc ngành Kỹ thuật-Mô tả công việc Nhà nghiên cứu-Mô tả công việc ngành Cơ khí - Chế tạo-Mô tả công việc bộ phận Quản lý hành chính-Mô tả công việc Biên - Phiên dịch-Mô tả công việc ngành Thiết kế-Mô tả công việc ngành Báo chí - Truyền hình-Mô tả công việc ngành Nghệ thuật - Điện ảnh-Mô tả công việc ngành Spa – Làm đẹp – Thể lực-Mô tả công việc ngành Giáo dục - Đào tạo-Mô tả công việc Thực tập sinh - Intern-Mô tả công việc ngành Freelancer-Mô tả công việc Công chức - Viên chức-Mô tả công việc ngành Luật - Pháp lý-Tư vấn việc làm Chăm Sóc Khách Hàng -Tư vấn việc làm Vật Tư - Kho Vận-Hồ sơ doanh nhân-Việc làm theo phường-Danh sách các hoàng đế nổi tiếng-Vĩ Nhân Thời Xưa-Chấm Công-Tài Sản Doanh Nghiệp-Nội Bộ Công Ty - Văn Hóa Doanh Nghiệp-Quản Lý Quan Hệ Khách Hàng-Quản Lý Công Việc Nhân Viên-Đánh giá nhân viên-Quản Lý Trường Học-Quản Lý Đầu Tư Xây Dựng-Kinh Nghiệm Quản Lý Tài Chính-Kinh nghiệm Quản lý kho hàng-Quản Lý Gara Ô Tô-Xem thêm gợi ý
;