CSRF là gì? Hướng dẫn chi tiết cách phòng chống tấn công CSRF

CSRF là gì? Nhắc đến CSRF chúng ta sẽ nhớ ngay đến các vụ tấn công mạng nhằm vào các website của doanh nghiệp, tập đoàn lớn, các tổ chức toàn cầu. Bởi những thiệt hại mà chúng gây ra vô cùng nặng nề. Làm thế nào để phòng chống các tấn công CSRF? Bài viết này từ LANIT sẽ cho bạn câu trả lời.

CSRF là gì? Hướng dẫn chi tiết cách phòng chống tấn công CSRF
CSRF- Một kiểu tấn công mạng nguy hiểm của Hacker

Csrf là gì?

CSRF là hình thức tấn công mạng có thể gây ra những nhầm lẫn. Hay nói cách khác, chúng có khả năng đánh lừa trình duyệt, hướng trình duyệt thực hiện các hoạt động có thể gây hại trên ứng dụng mà người dùng sử dụng.

Mục tiêu của CSRF là website của các doanh nghiệp, các tổ chức uy tín, lớn trên toàn cầu. Chúng tác động và gây ra các xáo trộn về dữ liệu, đánh cắp thông tin người dùng, thay đổi mật khẩu. Thậm chí đánh cắp tiền trong tài khoản của các ngân hàng,…

Kỹ thuật tấn công CSRF rất tinh vi nên người dùng rất khó phát hiện và phân biệt giữa các yêu cầu thực và giả mạo do một số yêu cầu đã được xác thực từ trước đó.

Cách thức hoạt động của CSRF là gì?

Giống như các hình thức tấn công mạng nguy hiểm khác, cách thức hoạt động của CSRF, đó là lợi dụng các lỗ hổng bảo mật từ email, từ các đường link, các liên kết không an toàn mà người dùng đã truy cập vào.

CSRF là gì? Hướng dẫn chi tiết cách phòng chống tấn công CSRF
CSRF lợi dụng lỗ hổng từ email rác, các quảng cáo, link độc hại

Khi đã thâm nhập được vào thiết bị của bạn, CSRF tạo ra những nhầm lẫn, làm tăng tính xác thực trong các yêu cầu của người dùng. Và gửi đi những yêu cầu giả mạo đến hệ thống máy chủ để chiếm đoạt các quyền quản trị, quyền sở hữu,… Từ đó gây ra các xáo trộn dữ liệu, thay đổi hoặc đánh cắp thông tin đối với các dữ liệu quan trọng, cần bảo mật.

Quá trình tấn công CSRF diễn ra như sau: Hacker sử dụng kỹ thuật CSRF bằng cách gửi một yêu cầu lên Server theo cơ chế câu lệnh HTTP thông thường. Chúng lợi dụng tiện ích lưu thông tin đăng nhập của người dùng trên web, khiến cho cookies của bạn vẫn còn hiệu lực. Tiếp đến, tạo ra password mới và xác nhận lại password vừa nhập rồi chiếm đoạt tài khoản của bạn để thực hiện các yêu cầu không mong muốn khác.

Các lỗ hổng CSRF phổ biến

Các vụ tấn công CSRF đều đến từ IP của người dùng. Chúng thực hiện các kỹ thuật tinh vi và lợi dụng rất nhiều lỗ hổng khác nhau để thâm nhập và thiết bị của bạn và gửi đi những yêu cầu độc hại. Dưới đây là những lỗ hổng CSRF phổ biến nhất mà bạn cần biết.

  • Lỗ hổng từ các email rác mà bạn vô tình để lại địa chỉ email của mình trên một ứng dụng hay một trang web đăng ký nào đó.
  • Các liên kết có chứa các mã độc hại được gửi qua email, Facebook, Zalo, Instagram,… và các trang mạng xã hội khác.
  • Lỗ hổng từ các quảng cáo trực tuyến, các hình ảnh, các banner có chèn link độc hại.
  • Các đường link tải về các ứng dụng giả mạo.
  • Các liên kết chèn trong các bài viết thuộc các chủ đề mà người dùng quan tâm như: link hướng dẫn, link tham khảo, link mua hàng, đặt hàng,…

Hướng dẫn cách phòng chống tấn công CSRF

Kỹ thuật tấn công CSRF hoàn hảo đến mức khó tin. Nó có thể đánh lừa tất cả các trình duyệt của người dùng để thâm nhập và đánh cắp những thông tin quan trọng. Nếu không có biện pháp phòng ngừa, chắc chắn tổn thất mà bạn phải chịu là vô cùng to lớn.

CSRF là gì? Hướng dẫn chi tiết cách phòng chống tấn công CSRF
Đăng xuất thông tin đăng nhập email và các ứng dụng quan trọng để phòng CSRF

Trong những chia sẻ tiếp theo, chúng tôi sẽ hướng dẫn các bạn cách phòng chống CSRF hiệu quả nhất, đang được rất nhiều tổ chức, lập trình áp dụng hiện nay.

1. Về phía người dùng

Chúng ta đã biết, nguyên nhân dẫn tới các vụ tấn công CSRF bắt nguồn từ các hành vi truy cập từ người dùng. Do đó, để phòng ngừa tấn công CSRF chúng ta cần áp dụng các biện pháp cho user. Cụ thể:

  • Không để chế độ lưu thông tin tài khoản, mật khẩu trên các trình duyệt. Cần đăng xuất thông tin khỏi các website quan trọng như: gmail, tài khoản ngân hàng, mạng xã hội, các giao dịch internet banking.
  • Không dùng chung máy tính với người khác. Đặc biệt, hạn chế hoặc không đăng nhập vào các web, ứng dụng quan trọng từ các thiết bị công cộng.
  • Không mở các email, tin nhắn từ các nguồn không đáng tin cậy.
  • Không click vào các đường link được gửi đến thông qua email, tin nhắn facebook, zalo, hay các trang mạng xã hội.
  • Đối với các ứng dụng quan trọng như thông tin đăng nhập ngân hàng, thẻ tín dụng, bạn không nên đăng nhập cùng lúc trên 2 thiết bị mà chỉ sử dụng một thiết bị duy nhất. Đồng thời không cấp quyền cho các thiết bị khác.
  • Bạn nên cài đặt các ứng dụng bảo mật để tăng khả năng bảo vệ trên toàn hệ thống.

2. Về phía máy chủ (Server)

Phòng chống tấn công CSRF không chỉ thực hiện ở phía người dùng mà các máy chủ quản lý cũng cần được phòng ngừa. Bởi vì kỹ thuật tấn công CSRF có thể tăng tính xác thực cho các yêu cầu nên máy chủ rất khó phân biệt yêu cầu thật, yêu cầu giả. Cách tốt nhất để bảo vệ máy chủ khỏi CSRF là gì?

Đó là:

  • Xây dựng Captcha và các xác nhận đối với từng yêu cầu. Bởi vì mã captcha giúp xác nhận request được thực hiện từ người hay máy (robot). Việc gửi các xác nhận qua hòm thư điện tử hoặc số điện thoại cá nhân cũng giúp hiệu quả phòng chống CSRF được tối ưu.
  • Sử dụng Token: Đây là công cụ giúp làm mới các phiên làm việc trên hệ thống. Nếu như token ban đầu và token được gửi mới không trùng khớp với nhau thì yêu cầu sẽ bị loại bỏ.
  • Kiểm duyệt địa chỉ IP: Đối với các hệ thống quan trọng, bạn cần cài đặt tính năng cho phép truy cập từ các IP đã có sẵn và từ chối các IP lạ.
  • Dùng Cookie riêng biệt cho quản trị viên, không dùng chung cookies với các front end của sản phẩm hay của người dùng khác.

Lời kết

LANIT vừa chia sẻ đến các bạn những giải đáp về CSRF là gì? Cách thức hoạt động cũng như các biện pháp phòng chống tấn công CSRF. Để hệ thống website, các thông tin, ứng dụng quan trọng của mình không bị hack và gây ra những tổn hại nghiêm trọng, các bạn hãy áp dụng những biện pháp mà chúng tôi đã chia sẻ trong bài viết nhé!

Cảm ơn bạn đã đọc!

avata Hải

Triệu Huyền Trang

Triệu Huyền Trang chuyên gia 3 năm kinh nghiệm trong ngành Công Nghệ, Phần Mềm. Chuyên chia sẻ các kiến thức phần mềm mã nguồn, ứng dụng và thông tin về công nghệ hữu ích.

Chat với chúng tôi qua Zalo!
Chat với chúng tôi qua Zalo!