1 / 6

CSRF là gì? Kỹ thuật tấn công và cách phòng chống CSRF hiệu quả

Khi u0111u1ec1 cu1eadp u0111u1ebfn CSRF lu00e0 gu00ec, khu00f4ng thu1ec3 khu00f4ng nhu1eafc u0111u1ebfn nhu1eefng hu1eadu quu1ea3 nghiu00eam tru1ecdng mu00e0 nu00f3 cu00f3 thu1ec3 gu00e2y ra. Ku1ebb tu1ea5n cu00f4ng cu00f3 thu1ec3 lu1eeba u0111u1ea3o ngu01b0u1eddi du00f9ng u0111u1ec3 thu1ef1c hiu1ec7n cu00e1c hu00e0nh u0111u1ed9ng khu00f4ng mong muu1ed1n, gu00e2y thiu1ec7t hu1ea1i lu1edbn. TopOnTech su1ebd cung cu1ea5p cho bu1ea1n cu00e1c giu1ea3i phu00e1p bu1ea3o vu1ec7 an tou00e0n vu00e0 hiu1ec7u quu1ea3.

Software27
Download Presentation

CSRF là gì? Kỹ thuật tấn công và cách phòng chống CSRF hiệu quả

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. https://topon.tech/vi/ CSRF LÀ GÌ? KỸ THUẬT TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG CSRF HIỆU QUẢ

  2. CSRF làgì? Đâylàmộtkiểutấncôngmạngtinhvi,chophéphackerđánh lừa hệthốngbằngcáchgửicácyêucầutráiphépdướidanhnghĩa người dùngđãđăngnhập. Khimộttrangwebkhôngđượcbảovệđúngcách,kẻ tấncôngcóthểthựchiệncáchànhđộngthayngườidùngmàkhôngcần sựđồngthuậntừhọ. Khôngchỉảnhhưởngđếncá nhân, CSRF cònlàmối đedọa nghiêmtrọngđốivớiuytínvàbảomậtcủa doanhnghiệp. Trong bàiviếtnày, TopOnTechsẽcùngbạnkhámphá CSRF làgì,cáchhoạt độngcủa nóvàcácbiệnphápphòngchốnghiệuquảnhất.

  3. CSRF làgì? CSRF (Cross-Site Request Forgery)làmộtcuộctấncônglợidụnglòngtincủa websiteđốivớitrìnhduyệtngườidùng đãxácthực. Khingườidùngđăngnhậpvàomộttrangweb,trìnhduyệtsẽlưulạithôngtinxácthực–thườnglà cookie–đểduytrìphiênlàmviệc. Cookienàysẽtựđộngđínhkèmtheomỗiyêucầugửiđếnmáychủ. Tuynhiên,nếutrangwebkhôngcóbiệnphápxácthựcbổsungngoàicookie,kẻtấncôngcóthểtạomộttrangđộc hạihoặcchènmãđộcvàomộttrangkhác. Khingườidùngtruycậpvàotrangbịcàimãđộctrongkhivẫnđăngnhập, trìnhduyệtsẽgửiyêucầuđếntrangwebgốcvớicookiehợplệ,khiếnmáychủxửlýyêucầumàkhôngphânbiệtđược thật–giả. Hậuquảlàngườidùngcóthểbịthayđổimậtkhẩu,chuyểntiềnhoặcthựchiệnhànhđộngkhôngmong muốnmàkhônghềhaybiết.

  4. Cáchthứchoạtđộngcủa CSRF CSRF khaithácsựtincậygiữa websitevàtrìnhduyệtđãxácthực. Kẻtấncôngkhông cầnbiếtthôngtinđăngnhậpcủa ngườidùng,màchỉcầnhọđangtrongtrạngthái đăngnhậphợplệ. Hackertạomộtyêucầugiảmạo–thườnglàmộtliênkết,biểu mẫu,hoặcthẻ HTML –vàđánhlừa ngườidùngkíchhoạtyêucầuđótrongkhitrình duyệtvẫnđanglưucookiexácthực. Vídụ,saukhingườidùngđăngnhậpthànhcông,cookiesẽđượclưuđểhỗtrợviệc nhậndiệntrongcáclầntươngtáctiếptheo. Nếuứngdụngwebbịbỏngỏ CSRF,kẻ xấucóthểgửicácyêucầunhưđổimậtkhẩu,chuyểnkhoảnhaythayđổithôngtin ngườidùngmàkhôngbịhệthốngpháthiện.

  5. Cáchphòngchống CSRF hiệuquả Cáchphòngtránhtừ User Ngườidùngđóngvaitròchủđộngtrongviệcbảovệbảnthânnếutuânthủcácnguyêntắcbảomậtsau: Đăngxuấtsaukhisửdụng: Đặcbiệtquantrọngkhisửdụngthiếtbịcôngcộnghoặcmạngkhôngbảomật. Tránhnhấpvàođườngdẫnkhôngđángtin: Khôngtruycậpcáclinklạtrongemail,tinnhắnhaybàiviếttừnguồnkhôngrõ ràng. Luôncậpnhậttrìnhduyệtvàphầnmềmbảomật: Cácbảnvá mớigiúpngănchặnlỗhổngcóthểbịkhaithácqua CSRF. Cẩntrọngvớiyêucầuxácnhậnthôngtin: Nếunhậnđượcyêucầuthayđổidữliệucá nhân,hãykiểmtra kỹ URL vàtínhxác thựccủa nguồngửi. Cáchphòngtránhtừ Server Tráchnhiệmchínhtrongviệcngănngừa CSRF thuộcvềnhàpháttriểnvàquảntrịviênhệthống. Cácbiệnpháp: CSRF Token: Gántokenngẫunhiênchomỗiphiênvàbắtbuộcgửikèmtokennàytrongmọiyêucầuthayđổidữliệu. Máy chủxácthựctokenđểđảmbảoyêucầulàhợplệ. Thiếtlập SameSite Cookies: Cấuhìnhthuộctính SameSitetrongcookiegiúpgiớihạnviệccookiebịgửitừcácdomainkhác, từđógiảmnguycơtấncông. Kiểmtra Originvà Referer: Đốichiếuheader Originvà Refererđểxácđịnhnguồngửiyêucầucóhợplệkhông. Sửdụng CAPTCHA hoặc OTP: Vớicáchànhđộngquantrọngnhưgiaodịchtàichínhhoặccậpnhậtthôngtin,việcyêucầu ngườidùngxácminhqua CAPTCHA hoặcmã OTP cóthểgiảmthiểurủiro. Xácthựcđa yếutố(MFA): Yêucầungườidùngxácnhậnqua nhiềubướcgiúptăngđộ antoànnếumộtlớpbảovệbịphá vỡ.

  6. Qua bàiviếtnày, TopOnTechhyvọngbạnđãhiểurõ CSRF làgì,cáchmàhackerlợidụngcơchếxácthựcngườidùng đểthựchiệncáchànhvitráiphép,cũngnhưcácbiệnphápphòngtránhphùhợptừcảphía ngườidùnglẫnphía hệ thống. Việctrangbịkiếnthứcvàthựcthiđúngđắncácgiảiphápbảomậtsẽgiúpwebsitecủa bạntránhxa cáccuộc tấncôngnguyhiểm,duytrìsự antoànvàuytínlâudài. THANK YOU!

More Related