Khi tạo ra một dự án như một trang web hay một ứng dụng web bạn phải tuân thủ một số quy tắc cơ bản để đảm bảo người dùng được bảo vệ. Để ngăn chặn một cuộc tấn công, bạn cần tập trung vào chất lượng code tạo ra trong giai đoạn lập trình, việc cấu hình hệ thống trong giai đoạn triển khai. Dưới đây chỉ là 5 lỗ hổng bảo mật phổ biến có thể tấn công ứng dụng của bạn.

1. Lỗ hổng SQL Injection

SQL Injection là một trong những lỗ hổng bảo mật phổ biến nhất, nó thường được sử dụng để khai thác lỗ hổng của trang web trên nền tảng PHP hoặc ASP. Các cuộc tấn công bao gồm việc tiêm mã độc vào những truy vấn SQL trong ứng dụng của bạn thông qua các giá trị đầu vào của ứng dụng. Nếu thành công sẽ cho phép kẻ tấn công thêm hoặc xóa nội dung cơ sở dữ liệu, lấy các giá trị trong CSDL như email, mật khẩu hoặc thông tin cá nhân người dùng trang web. SQL Injection có thể xảy ra nếu một trang web chấp nhận những truy vấn  không đáng tin cậy vào cơ sở dữ liệu hoặc tạo ra chúng một cách tự động.

Giả sử rằng các biến đăng nhập (bao gồm tên và mật khẩu) được đưa trực tiếp đến các câu truy vấn SQL thông qua phương thức POST. Một đoạn code sẽ chịu trách nhiệm xử lý việc đăng nhập của người dùng có thể dễ dàng bị tổn thương:

SQL Injection - 05 lỗ hổng bảo mật phổ biến

Nếu một người dùng trang web gửi tới máy chủ giá trị admin– trong mục tên người dùng, truy vấn SQL sẽ thực hiện như sau

Điều gì đã xảy ra? Kí tự — sẽ được hiểu bởi DBMS như một comment, kết quả dẫn đến việc hoàn thành thực thi thất bại một phần của truy vấn SQL, phần này vốn dùng để kiểm soát mật khẩu. Tin tặc sẽ khai thác nó để chiếm quyền quản trị dịch vụ.

Cách ngăn chặn kiểu tấn công SQL Injection: Cách bảo vệ hiểu quả nhất đối với kiểu tấn công này là lọc dữ liệu mà người dùng cung cấp bằng các hàm: mysql_real_escape_string(), pg_escape_string()… Dữ liệu số phải được chuyển đổi bởi settype() or sprintf(), sau đó kiểm tra với s_numeric(), ctype_digit() nhằm định dạng dữ liệu chính xác.

2. Stored XSS

XSS – Cross Site Scripting là một trong những lỗ hổng bảo mật phổ biến nhất. Khi tấn công, một script được viết bởi tin tặc sẽ được đưa vào cơ sở dữ liệu của hệ thống bị ảnh hưởng. Đối lập với kiểu tấn công SQL Injection, các mã độc không ảnh hưởng đến cơ sở dữ liệu mà chỉ ảnh hưởng tới người dùng của hệ thống. Ví dụ như phần bình luận của trang web. Tin tặc có thể khai thác tất cả người dùng mà người dùng không hề nghi ngờ trang web đã bị lây nhiễm các mã độc javscript có thể đánh cắp phiên đăng nhập của người dùng.

Ví dụ:

3
4

Cách ngăn chặn Stored XSS

Để ngăn chặn Stored XSS cần một bộ lọc thích hợp cho các dữ liệu đầu vào. Phương pháp tốt nhất là tạo ra một whitelist các kí tự được phép sử dụng trong các mục. Nếu trang web dễ bị tổn thương trước Stored XSS thì tùy chọn httpOnly cho cookie gửi đi có thể giúp bảo vệ tốt hơn người dùng khỏi việc mất phiên người dùng. Trong đa số trình duyệt hiện nay đã có thể ngăn chặn hành vi ăn cắp cookie bằng JavaScript từ người dùng.

3. Lỗ hổng trong việc sử dụng bảng mã Unicode

Sự phát triển của hệ thống kí tự ASCII mã hóa dựa trên các chữ cái tiếng Anh phổ biến toàn cầu. Theo thời gian, thế giới bắt đầu sử dụng các ngôn ngữ và hệ thống bảng chữ cái khác. Do 1 byte không thể dùng để lưu trữ kí tự trong tất cả các ngôn ngữ, một hệ thống mã hóa mới dành cho các ngôn ngữ đa dạng đã được ra mắt. Đó chính là chuẩn Unicode.

Trong hệ thống Unicode, mỗi kí tự được lưu trữ lớn hơn 1 byte. Bảng mã UTF-8 là bảng mã nền tảng Unicode được sử dụng rộng rãi nhất, cho phép tin tặc có thể chèm một vài kí tự ví dụ “../” theo các cách khác nhau. Bộ giải mã UTF-8 không kiểm tra tính hợp lệ của kí tự đặc biệt như “/” gây ra những exception (ngoại lệ) khi xử lý cho hệ thống. Ví dụ, để nói về các bảng mã, hãy cùng xem những đường link giống nhau được viết trong hệ thống bảng mã khác nhau:

Trong các hệ thống mã hóa khác nhau, kí tự sẽ được lưu trữ trong các vị trí khác nhau. Do đó, bộ lọc danh sách đen các kí tự đầu vào sẽ yêu cầu sử dụng tất cả các bộ kí tự. Cách phòng chống kiểu tấn công này là chuyển đổi tất cả dữ liệu thành một định dạng thống nhất. Sau đó chúng ta mới có thể kiểm thử chúng hợp lệ hay không và loại bỏ kí tự không mong muốn.

4. Lỗ hổng PHP Injection

Ngôn ngữ lập trình có chứa các hàm cho phép thực thi mã bên ngoài, như: require(), include(), eval(), and preg_replace cùng với  modifier /e sẽ xem nơi lưu trữ chuỗi kí tự như một PHP code. Ví dụ, giả sử trang web có một bộ điều khiển đơn giản dựa trên các tập tin là các biến gửi qua phương thức GET để đưa vào nội dung của một file có trước.

Php Injection - 05 lỗ hổng bảo mật phổ biến

Như chúng ta thấy tập tin được gọi thông qua bởi phương thức GET và được sử dụng thông qua hàm include(). Đó là một lỗi nguy hiểm có thể bị khai thác bởi tin tặc bằng nhiều cách khác nhau. Bất kì mã nào cũng có thể được thực thi. Ví dụ:

Đường dẫn đến mã độc được thông qua như một tham số của hàm. Kịch bản này sẽ được thực thi bởi các máy chủ của tin tặc.

Các ngăn chặn PHP Injection

Cấu hình máy chủ sẽ giúp ích bạn phòng tránh kiểu tấn công này. Các tùy chọn allow_url_fopen có thể chặn file truy cập từ bên ngoài máy chủ dành cho các hàm file_get_contents, fopen, include, và require. Các bảo vệ tốt nhất là không cho phép dữ liệu đầu vào từ người dùng vào các hàm thực thi script. Bộ lọc chuỗi kí tự đầu vào và tạo ra whitelist các file được phép là điều cần thiết. Ngoài ra còn nhiều kiểu tấn công tương tự cũng được các tin tặc khai thác như: Local File Include, Php Object Injection…

5. Account Lockout

Minh họa tốt nhất cho các cuộc tấn công này là câu chuyện về một người dùng trong một trang web đấu giá lớn nhất thế giới. Người này đưa ra giá rất cao cho một sản phẩm. 15 phút trước khi phiên đấu giá đóng cửa, một người dùng khác bước vào đấu giá. Trước khi đấu giá kết thúc, người dùng đầu tiên cố gắng chốt lại quyết định cuối cùng của mình, ông đã bị đăng xuất khỏi dịch vụ và nhận được thông báo tài khoản của ông bị khóa trong vòng 30 phút và không được đấu giá thêm.

Tại sao hệ thống lại xử lí như vậy?

Người dùng thứ hai đã có thể thấy được người dùng đầu tiên đăng nhập. Hắn thực hiện nhiều lần đăng nhập vào tài khoản người dùng thứ nhất với mật khẩu sai. Với mục đích ngăn chặn các cuộc tấn công brute-force , hệ thống sẽ khóa tài khoản người dùng sau khi vượt quá lần đăng nhập thất bại. Tin tặc sử dụng Account Lockout có thể khiến tài khoản người dùng không thể truy cập được nữa.

Cách ngăn chặn Account Lockout: Thay vì khóa tài khoản người dùng sau khi vượt quá số lần đăng nhập thất bại, bạn nên xem xét việc yêu cầu người dùng gõ mã Captcha sau mỗi lần đăng nhập tiếp theo. Điều này sẽ bảo vệ các trang web khỏi kiểu tấn công brute-force mà không từ chối truy cập người dùng. Một giải pháp khác là chặn địa chỉ IP trong một khoản thời gian nhất định. Nhưng vẫn có thể tin tặc và người dùng bị tấn công có chung địa chỉ IP. Nó vẫn sẽ khiến người dùng không thể truy cập vào tài khoản.

Phòng tránh: Sử dụng các dịch vụ Kiểm tra bảo mật do chuyên gia bảo mật thực hiện

Kiểm tra thủ công trang web của bạn với những lỗ hổng bảo mật là điều cần thiết. Để tiết kiệm thời gian bạn có thể sử dụng một số công cụ tìm kiếm lỗ hổng tự động. Chúng ra hãy cùng nói về 3 phương pháp kiểm tra bảo mật:

  • Black Box Penetration testing: Kiểm thử viên Black box chỉ thực hiện thông tin về các hàm trong một trang web và không cần biết cấu trung bên trong ứng dụng. Họ sẽ kiểm tra những dữ liệu đầu vào nào hợp lệ và kết quả đầu ra có chính xác hay không. Acunetix là một ví dụ về phầm mềm Black Box Testing.
  • White Box Testing: White Box Testing lại dựa theo quy tắc ngược lại. Kiểm thử viên sẽ toàn quyền truy cập vào mã nguồn, các lỗ hổng bảo mật sẽ được phát hiện thông qua việc kiểm tra code. RATS là một ví dụ phần mềm White Box Testing tự động.
  • Grey Box Testing: Đó là sự kết hợp cả 2 phương pháp nêu trên. Kĩ thuật này đòi hỏi chúng ta tiếp cận toàn bộ tài liệu tạo ra trong suốt quá trình phát triển ứng dụng nhưng không tiếp cận vào mã nguồn. Theo phương pháp này, chúng ta có thể điều chỉnh mức độ kiểm tra biến cụ thể trong Black Box Testing.

Tổng kết

Năm kiểu tấn công được lựa chọn không được đề cập đến chuyên sâu, chỉ là một vài kịch bản cơ bản được nêu ra. Chắc chắn còn có rất nhiều các cuộc tấn công đe dọa doanh nghiệp của bạn. Bất kể lập trình viên, quản lí dự án hay các công ty khởi nghiệp cần nhận thức được tầm quan trọng trong việc bảo vệ ứng dụng của mình. Không thực hiện các biện pháp bảo mật đầy đủ có thể khiến bạn bị mất uy tín với khách hàng ngay cả khi đó là dịch vụ tốt nhất.

Chia sẻ bài viết này