Tài liệu Csrf ( cross site request forgery )

CSRF ( Cross Site Request Forgery ) là kĩ thuật tấn công bằng cách sử dụng  quyền chứng thực của người sử dụng đối với 1 website khác.Các ứng dụng web  hoạt động theo cơ chế nhận các câu lệnh http từ người sử dụng,sau đó thực thi các  câu lệnh này. CSRF sẽ lừa trình duyệt của người dùng gửi đi các câu lệnh http đến các ứng dụng  web.Trong trường hợp phiên làm việc của người dùng chưa hết hiệu lực thì các câu  lệnh trên sẽ dc thực hiện với quyền chứng thực của người sử dụng. CSRF còn dc gọi là "session riding", "XSRF" Các kiểu tấn công CSRF xuất hiện từ những năm 1990,tuy nhiên các cuộc tấn  công này xuất phát từ chính IP của người sử dụng nên log file của các website k  cho thấy các dấu hiệu của CFRS.Các cuộc tấn công theo kĩ thuật CSRF k dc báo  cáo đầy đủ,đến năm 2007 mới có một vài tài liệu miêu tả chi tiết về các trường hợp  tấn công CSRF. Năm 2008 người ta phát hiện ra có khoảng 18 triệu người sử dụng eBay ở Hàn  Quốc mất các thông tin cá nhân của mình.Cũng trong năm 2008,một số khách  hàng tại ngân hàng Mexico bị mất tài khoản cá nhân của mình.Trong 2 trường hợp  kể trên hacker đều sử dụng kĩ thuật tấn công CSRF Bob duyệt qua 1 diễn đàn yêu thích của mình như thường lệ.Một người dùng  khác,Malory ,đăng tải 1 thông điệp lên diễn đàn .Giả sử rằng Malory có ý đồ k tốt  và anh ta muốn lấy tiền từ những người có tài khoản tại ngân hàng như Bob.Malory  sẽ tạo 1 thông báo,trong đó có chèn 1 đoạn code như sau:  Mexico Bank has just announce a new interest rate.... Đoạn mã trên dc che giấu rất khéo,thứ nhất nó thêm các thông điệp bình thường  để người dùng không chú ý.Thứ hai thẻ " Các kĩ thuật CSRF rất đa dạng,lừa người dùng click vào link,gửi email chứa các  đoạn mã độc đến người dùng...Hacker còn có thể che giấu các link ở trên rất khéo  léo.Ví dụ trong trường hợp thẻ ". Tuy nhiên người dùng sẽ rất có phát hiện nếu hacker dùng đường link như sau :   và cấu hình lại máy chủ  Redirect 302/abc.jpg http://mexicobank.com/withdraw? account=bob_id&amount=1000000&for=Malory_ id"/> Kết thúc vấn đề kĩ thuật tại đây.Bạn có thể xem thêm một số chủ đề có liên quan:  CEH v6 Module 12 : Phishing CEH v6 Module 13 :Hacking Email Account Social Engineering XSS CSRF SECURE Dựa trên nguyên tắc của CSRF "lừa trình duyệt của người dùng(hoặc người dùng)  gửi các câu lệnh http",các kĩ thuật phòng tránh sẽ tập trung vào viêc tìm cách phân  biệt hạn chế các câu lệnh giả mạo. Có nhiều lời khuyến cáo dc đưa ra ,tuy nhiên cho đến nay vẫn chưa có biện pháp  nào có thể phòng chống triệt để CSRF.Sau đây là một vài kĩ thuật sử dụng. HẠN CHẾ THỜI GIAN HIỆU LỰC CỦA SESSION (SESSION TIMEOUT) Tùy theo ngôn ngữ hoặc web server dc sử dụng mà các thực hiện có thể rất khác  nhau.Với PHP,thông số "session.gc_maxlifetime" trong file php.ini qui định thời  gian hiệu lực của session. Nếu lập trình viên sử dụng ngôn ngữ k hỗ trợ chức năng này và họ phải quản lý  session bằng CSDL (ví dụ lưu bảng session...) hay bằng các file tạm (ví  dụ /tmp/session/) thì họ sẽ viết các chương trình hỗ trợ việc xóa các session này  (cron job,scheduler...) SỬ DỤNG GET VÀ POST HỢP LÍ Phương thức GET dc dùng để truy vấn dữ liệu,đối với các thao tác tạo ra sự thay  đổi hệ thống thì các phương thức khác như POST hay PUT sẽ dc sử dụng (theo  khuyến cáo của W3C­tổ chức tạo ra chuẩn http) SỬ DỤNG CAPTCHA,SỬ DỤNG CÁC THÔNG BÁO XÁC NHẬN. Captcha dc sử dụng để nhận biết đối tượng đang thao tác với hệ thống là con  người hay k?Các thao tác quan trọng như"đăng nhập" hay là " chuyển  khoản" ,"thanh toán" thường là hay sử dụng captcha.Tuy nhiên ,việc sử dụng  captcha có thể gây khó khăn cho một vài đối tượng người dùng và làm họ khó  chịu. Các thông báo xác nhận cũng thường dc sử dụng,ví dụ như việc hiển thị một thông  báo xác nhận "bạn có muốn xóa hay k" cũng làm hạn chế các kĩ thuật  SỬ DỤNG TOKEN Tạo ra một token tương ứng với mỗi form,token này sẽ là duy nhất đối với moit64  form và thường thì hàm tạo ra token này sẽ nhận đối số là"session".Khi nhận lệnh  http post về,hệ thống sẽ thực hiên so khớp giá trị token này để quyết định có thực  hiện hay k. Một số framework hiện nay đã hỗ trợ tạo token như là: aspnet webform,ruby on  rails,django. Mã: def authenticity_token_from_session_id key = if request_forgery_protection_options[:secret].respond_to? (:call)request_forgery_protection_options[:secret].call(@session) else request_forgery_protection_options[:secret] end digest = request_forgery_protection_options[:digest]||= 'SHA1' OpenSSL::HMAC.hexdigest(OpenSSL::Digest::Digest.new(digest),key.to_s, session.session_id.to_s) end Đây là một đoạn mã Ruby tạo token session của người dùng.Token này dc tạo từ  1 sesstion và 1 "secretekey" ( khóa bí mật­do người xây ứng dụng tạo ra ) Mã: Destroy Đoạn mã trên sử dụng phương thức POST để thực hiện thao tác xóa ,đồng thời nó  cũng hiển thị thông báo,đòi hỏi người dùng phải xác nhận.Nó còn sử dụng thêm 1  "authenticity_token". Bên phía máy chủ,trước khi thực hiện phương thức "xóa" theo 1 đoạn mã trên thì  chương trình sẽ kiểm tra xem câu lệnh http gửi đến có phải là post k SỬ DỤNG COOKIE RIÊNG BIỆT CHO PHẦN QUAN TRỊ. Một cookie k thể dùng chung cho các domain khác nhau,chính vì vậy việc sử dụng  "admin.site.com" thay vì sử dụng" site.com/admin" là an toàn hơn THIẾT KẾ HỆ THỐNG LOG Một vài framework ghi tất cả thông tin,dữ liệu xử lý vào các file log.Điều này rất  nguy hiểm nếu như đó là các thông tin nhạy cảm như mật khẩu ,số tài khoản. KIỂM TRA REFERRER Kiểm tra xem các câu lệnh http gửi đến hệ thống xuất phát từ đâu.Một ứng dụng  web có thể hạn chế chỉ thực hiện các lệnh http gửi đến từ các trang đã dc chứng  thực. Tuy nhiên cách làm này có nhiều hạn chế và k thật sự hiệu quả. KIỂM TRA IP. Một số hệ thống quan trọng chỉ cho truy cập từ những IP dc thiết lập sẵn Kĩ thuật CSRF còn có thể dc sử dụng với kĩ thuật XSS ( Cross Site  Scipting ) để tạo ra những cách tấn công tinh vi hơn CSRF by Example, How to do it, How to defend it July 6, 2009 07:45 by For a little bit of background I would recommend that you read the article that I originally wrote titled XSS by Example. I was originally intrigued by Cross Site Scripting and decided to give it a try. As dblackshell pointed out in the comments what I had originally attempted was CSRF or Cross Site Request Forgery. Following the link he put in the article and reading up a bit more I finally figured out how to perform a Cross Site Request Forgery to kick an Article at DotNetKicks.com (a rating site similar to Digg for .Net developers). CSRF what didn't work If you read my previous article you would have seen my first two failed attempts at CSRF. In one attempt I tried a cross site AJAX post which the browser wouldn't allow. In my second attempt I tried to load DotNetKicks in an IFrame and then manipulate it from my web page which the browser didn't allow. CSRF what did work I knew that the request needed to be a post so what I finally ended up getting to work was a Form with an action that posted the values to DotNetKicks.com. Below is an image from Firebug showing the request that I needed to forge. AJAX can make CSRF difficult If you are familiar with Firebug than you can clearly tell that the post above is an AJAX post using JSON and not simply a name value pair. At first I had a difficult time duplicating the request as the following type of form would not work. view plaincopy to clipboardprint? 1. 2. 3. 4. 5. 6.

What I finally got to work was an input element with a blank name and a value of the JSON string that I wanted to replicate. Below is the code that will vote for whatever article you choose. view plaincopy to clipboardprint? 1. 2. 3. 4. 6. 19. 20. 21.

22.

23.

24.

25.

26.

27. 28. If you create an ASPX page using the html above you can coerce anyone on your website to kick an article of your choosing (as long as they are still logged on at DotNetKicks.com. remember that is how CSRF works) with a simple Iframe somewhere else on your site that looks like this. view plaincopy to clipboardprint? 1. Now that I know this what should I do? Information is power. I hope with this little script that anyone who has a website that could be targeted by CSRF that they might be able to hack their own site and then figure out how to protect their site from it. You need to understand how hackers will attack your site to be able to protect yourself from it. I know that you can use a hidden field and validate the value against what you sent out but I would like to know what others are doing to protect against this kind of attack. Hướng dẫn : Sử dụng chương trình Scuba để rà soát security cho Oracle Database March 17, 2009 Filed under: Hướng dẫn : Sử dụng chương trình Scuba để rà soát security cho Oracle Database,Linux — kienmanowar @ 4:36 am Tags: use Scuba to scan Oracle DB Hướng dẫn : Sử dụng chương trình Scuba để rà soát security cho Oracle Database Nội dung chính Giới thiệu Cài đặt Scuba Cấu hình để kết nối tới Database cần test Test Configuration Output Options Configuration Thực hiện rà soát Cơ sở dữ liệu đã chọn Xuất kết quả ra báo cáo Giới thiệu Scuba là một công cụ nhỏ gọn dùng để đánh giá cơ sở dữ liệu, nó được sử dụng để thu thập các thông tin cấu hình liên quan tới security của một database. Bằng việc sử dụng Scuba có thể giúp chúng ta tìm ra hàng trăm thiếu sót như unpatched sofware (phần mềm chưa cập nhật bản vá), unsafe processes (các tiến trình không an toàn), weak passwords (các mật khấu “yếu”) , qua đó giúp ta đánh giá được những lỗi có độ rủi ro cao mà từ đó khiến cho cơ sở dữ liệu của chúng ta có khả năng bị tấn công bất cứ lúc nào. Điều đặc biệt là Scuba hoàn toàn free, được viết bằng Java, nó hỗ trợ scan các db phổ biến như : Oracle, DB2, MS-SQL để tìm ra các lỗi cũng như những thiếu sót trong việc cấu hình.Dựa trên kết quả mà chương trình đánh giá được, Scuba sẽ ghi lại kết quả vào một file XML và kèm theo các mẫu báo cáo có sẵn của nó để xuất ra các báo cáo chi tiết dựa trên kết quả mà nó đã thu thập được. Theo đánh giá của Pete Finnigan, một chuyên gia hàng đầu trong lĩnh vực Oracle Security thì Scuba thường được sử dụng để tìm ra những lỗi “simple”, và vì nó là một công cụ free cho nên việc đánh giá của nó sẽ không toàn diện được như những công cụ thương mại. Tuy nhiên, cá nhân ông vẫn xem Scuba là một công cụ hữu ích cho những nhà quản trị cơ sở dữ liệu. Cài đặt Scuba Để cài đặt Scuba trước tiên chúng ta phải download công cụ tại: http://www.imperva.com/products/scuba.html . Điền đầy đủ các thông tin yêu cầu bạn sẽ nhận được email cung cấp đường dẫn để download chương trình. Scuba là một file thực thi độc lập, chúng ta không cần phải cài đặt. Chương trình yêu cầu tối hiểu hệ thống phải cài đặt JRE phiên bản từ 1.4 trở lên để chạy được chương trình. Scuba bao gồm một file cấu hình test cơ bản và một số báo cáo mẫu dùng cho việc xuất kết quả. Khi ta chạy chương trình lần đầu tiên, nó yêu cầu chúng ta điền một số các thông tin để hoàn tất quá trình đăng kí sử dụng cũng như chấp nhận các điều khoản của chương trình. Để chạy được Scuba ta cần thực hiện theo ba bước: 1. Cấu hình Database connection. 2. Lựa chọn file test và cấu hình các thống số test. Thiết lập Output location để lưu file kết quả và lựa chọn mẫu báo cáo. Cấu hình để kết nối tới Database cần test Sau khi cài đặt xong chương trình, mặc định màn hình DB Config của Scuba hiện lên như sau : Màn hình này yêu cầu chúng ta cung cấp các thông tin cần thiết để kết nối tới Database Server : 1. DB Type : Lựa chọn kiểu DB, các db mà chương trình hỗ trợ : • • • • Oracle (versions 8i through 10gR2) MS SQL (versions 6 through 2005) Sybase (versions 11.x – 15.x) DB2 (8.x and all versions with support for DRDA communications) 2. Host : Nhập host name hoặc ip của máy chủ database. 3. Port : Nhập cổng mà DB server đang lắng nghe, nếu là Oracle thì mặc định là 1521. Nếu bạn cấu hình để listener lắng nghe trên một cổng khác thì nhập lại vào phần Port. Bảng ánh xạ các port : 4. DB Name : Trường này là cần thiết khi bạn lựa chọn loại cơ sở dữ liệu là Oracle hoặc DB2. Các trường hợp khác thì để trống. Đối với cơ sở dữ liệu Oracle thì trường DB Name này ta cần nhập SID (Service ID). 5. Windows Authentication : Trường này được sử dụng trong trường hợp lựa chọn Db Type là MS SQL Server. 6.User : Account của người sử dụng hợp lệ dùng để đăng nhập vào DB. Nên chọn account có đủ quyền trong việc truy cập dữ liệu đặc biệt là các Data Dictionary trên Db server. 7.Password : Mật khẩu để xác thực. Sau khi cung cấp đầy đủ toàn bộ thông tin liên quan, nhấn nút “Test Connectivity” để kiểm tra việc kết nối tới DB có thành công hay không? Nếu thành công ta sẽ nhận được thông báo sau : Test Configuration Chọn phần Test Config, màn hình test config xuất hiện như sau : Trước khi chạy chương trình để đánh giá DB được chọn ta cần cấu hình các mục tại phần Test Config. Bao gồm : 1. File : Đường dẫn đến file testconfig.xml, đây là một file xml bao gồm các mô tả về việc test mà sẽ được áp dụng cho DB mà chúng ta cần rà soát. Scuba đã cung cấp cho chúng ta một file mặc định, đi kèm với nó là thông tin về Date mô tả thời gian về lần cập nhật cuối cùng cho file này. Để cập nhật các thông tin mới nhất ta chọn phần Check For Updates. 1. Max Info : Giá trị trong trường này có thể được sử dụng để hạn chế về lượng thông tin kiểm tra bị thất bại mà ta thu thập từ cơ sơ dữ liệu 1. Parameters : Trong thực tế nhiều DB được cấu hình với một số các policy chẳng hạn Password Policy, thông tin trong trường parameters cho phép ta rà soát liên quan tới Policy đã được cấu hình bởi các nhà quản trị. Lấy ví dụ: độ dài tối thiểu cho một password mới là bao nhiêu, thời gian hết hiệu lực của password v..v.. Bạn có thể thay đổi các giá trị Parameter cho phù hợp với mục đích kiểm tra của mình. PS: Trong bài viết này của tôi, mọi thông tin trong phần Test Config đều được để nguyên theo mặc định của chương trình. Output Options Configuration Tiếp theo ta chuyển qua phần Output Config, màn hình cấu hình như sau : Trước khi thực hiện việc rà soát cơ sở dữ liệu ta cần cấu hình để Scuba lưu thông tin kết quả của quá trình kiểm tra ra một file. Trong trường hợp của tôi, mọi thông tin thu được sẽ được xuất ra file results.xml. Sau khi thực hiện xong việc rà xoát, dựa trên file kết quả này chúng ta có thể tạo ra các báo cáo dựa trên template là các file XSL có sẵn của Scuba. Chương trình bao gồm các mẫu báo cáo sau : • • • • • Scuba_Assessment_Report.xsl for reporting on all executed tests Scuba_Summary_Report.xsl for a graphical summary of the assessment run Scuba_Assessment_Report(No Details).xsl ScubaOutputTransformOnlyFailedTests.xsl for reporting all tests that failed ScubaOutputTransformOnlyInfo.xsl for reporting information only tests Tùy chọn Use External Browser cho phép chúng ta sử dụng IE browser để hiện thị các báo cáo. Nếu như ta không chọn tùy chọn này thì kết quả sẽ hiện thị trong một Java text pane. Thực hiện rà soát Cơ sở dữ liệu đã chọn Sau khi toàn bộ các thông tin liên quan về việc cấu hình đã hoàn tất, giờ là lúc ta tiến hành rà soát cơ sở dữ liệu của mình. Đơn giản chỉ bằng việc nhấn nút Go, chương trình sẽ thực hiện tự động và lưu kết quả vào file results.xml đồng thời hiện thị thông báo sau khi hoàn tất quá trình thực hiện. Môi trường thử nghiệm của tôi như sau : OS: Enterprise Linux Enterprise Linux AS release 4 (October Update 5) Oracle DB Version: Oracle Database 10g Enterprise Edition Release 10.2.0.3.0 – Prod Oracle SID: VD11 Host Name: test Xuất kết quả ra báo cáo Sau khi quá trình rà soát hoàn tất, bước cuối cùng là xuất kết quả kiểm tra ra các file báo cáo để theo dõi, qua đó tổng kết các thông tin liên quan tới security của DB. Dựa vào các thông tin này, ta có thể điều chỉnh để “Hardening Our Database” ! Tài liệu tham khảo: Scuba_Users_Guide.pdf Best Regards m4n0w4r