Csrf là gì? Cách thức hoạt động ra sao và cách phòng tránh hiệu quả

Các cuộc tấn công của tin tặc là vấn đề dễ gây ‘đau đầu’ nhất đối với các nhà quản trị web và an ninh mạng. Trong bối cảnh mà kỹ thuật tấn công của các hacker ngày một tinh vi và tân tiến thì hiểu về những hình thức tấn công là điều quan trọng hàng đầu để lên kế hoạch phòng ngừa.

CSRF là gì cũng nằm trong những kỹ thuật không thể bỏ qua. Tất cả những thông tin về CSRF sẽ được Bizfly đề cập đến ngay sau đây.

CSRF là gì? 

CSRF là từ viết tắt của “Cross-site Request Forgery“, dịch ra tiếng Việt có nghĩa là một loại kỹ thuật tấn công website bằng cách giả mạo chủ thể của nó.

CSRF là gì?

Kỹ thuật này được tiến hành thông qua việc sử dụng cookies để tấn công vào bộ phận chứng thực request của website, từ đó giả mạo chính chủ để tạo ra các request mà không để người dùng biết. Có thể nói, kỹ thuật tấn công này được áp dụng dựa trên lòng tin của trình duyệt với người truy cập mạng.

Lịch sử hình thành CSRF

Tấn công bằng kỹ thuật CSRF xuất hiện lần đầu tiên từ những năm 1990, song do sự tinh vi trong thủ thuật, cụ thể hơn là việc giả mạo IP của các chủ thể nên dấu hiệu của kỹ thuật này không được phát hiện bởi log file của website. Và hiển nhiên, báo cáo về những vụ tấn công bằng kỹ thuật này cũng bởi vậy mà không đầy đủ.

Vào năm 2007, một số dữ liệu mô tả chi tiết những trường hợp bị tấn công CSRF mới xuất hiện. Đến năm 2008, khoảng 18 triệu người dùng sBay tại Hàn Quốc bị mất thông tin cá nhân. Bên cạnh đó, tại Mexico, một vài khách hàng cũng bị mất tài khoản ngân hàng của mình bởi kỹ thuật tấn công CSRF. 

Từ đó đến nay, CSRF trở thành một trong những hình thức tấn công ‘đáng gờm’ và cần được lưu ý nhiều nhất. CSRF là gì trở thành điều bất cứ webmaster hay nhân viên an ninh mạng nào cũng cần tìm hiểu.

Cách thức hoạt động của csrf 

Hiểu cách thức hoạt động của CSRF là gì giúp bạn nhìn nhận kỹ thuật tấn công này kỹ lưỡng hơn và có những biện pháp phòng ngừa chu đáo. Bản chất của kỹ thuật tấn công này là tạo sự nhầm lẫn về tài khoản của người dùng - nạn nhân, từ đó giả mạo họ để gửi các request đến máy chủ website.

Cách thức hoạt động của csrf

Cụ thể, một cuộc tấn công CSRF gồm các quy trình:

• Người dùng gửi request HTTP đến website -> Thông tin người dùng được ghi lại trên Cookie, Cookie này được sử dụng với mục đích định danh người dùng, được tự động lưu lại để dùng cho lần đăng nhập sau mà không cần xác minh lại. Khi người dùng chưa đăng xuất thì thông tin đăng nhập vẫn được lưu  lại trên cookie.
• Thông tin người dùng được lưu trên cookie; Ứng dụng web/wesbite không có khả năng bảo mật tốt -> Hacker sử dụng kỹ thuật CSRF để tấn công, chiếm thông tin, tiến hành giả mạo và gửi request đến website dưới danh nghĩa nạn nhân.\

Xem thêm hình thức tấn công website XSS với nội dung bài viết XSS là gì, cách thức hoạt động và làm sao để ngăn ngừa XSS?

Làm thế nào để phòng tránh tấn công csrf? 

Có thể thấy, các cuộc tấn công CSRF có nguyên nhân từ cả 2 phía là User và Server, vì vậy để phòng tránh các rủi ro do kỹ thuật tấn công này mang lại, cần có sự phòng ngừa từ hai phía.

Từ phía User 

Về phía User, để để đảm bảo mình không trở thành một trong số các nạn nhân của CSRF, bạn cần thực hiện một số thao tác sau:

Làm thế nào để phòng tránh tấn công csrf?

• Tạo thói quen đăng xuất khỏi các tài khoản quan trọng trên website/ app quan trọng như mạng xã hội, thanh toán trực tuyến, gmail, tài khoản ngân hàng… ngay khi tiến hành xong các giao dịch cần thiết. 
• Chỉ đăng nhập tài khoản vào các thiết bị riêng và không để người khác tiếp xúc với nó.
• Không lưu trữ thông tin liên quan đến mật khẩu trên trình duyệt, từ chối các đề nghị ‘lưu mật khẩu’ hay ‘đăng nhập lần sau’
• Không truy cập vào các đường dẫn lạ nhận được trên mạng xã hội hoặc email bởi rất có thể chúng là mã độc, không an toàn cho tài khoản của bạn.
• Khi tiến hành các phiên giao dịch quan trọng, không nên đồng thời truy cập một URL khác bởi chúng có thể có chứa mã khai thác CSRF.

Từ phía Server 

Bên cạnh User, Server cũng là một trong các tác nhân dẫn đến tấn công CSRF. Tuy chưa có biện pháp khắc phục, phòng chống kỹ thuật tấn công này triệt để, song các quản trị viên cũng có thể ngăn ngừa phần nào bằng cách sử dụng một số kỹ thuật xác nhận như:

• Dùng captcha và thông báo xác nhận: Bản chất của tấn công CSRF là giả mạo chủ thể, vậy nên một khi máy chủ phát hiện ra sự giả mạo này, cuộc tấn công sẽ được phòng ngừa chu đáo. Điều này hoàn toàn có thể thực hiện bằng cách sử dụng Captcha để theo dõi phiên đăng nhập của người dùng.
• Sử dụng csrf_token: Đây là một loại token thay đổi một cách liên tục trong suốt phiên làm việc. Nhờ vào token này, server có thể xác nhận request có phải giả mạo không và loại bỏ request nếu nghi ngờ.
• Sử dụng cookie riêng đối với trang admin: Đối với các trang quản trị, cần sử dụng cookies riêng để tránh tấn công CSRF. 
• Kiểm tra IP: Đây cũng là kỹ thuật xác nhận tuyệt vời đối với những hệ thống quan trọng. 

Với những gợi ý trên, bạn có thể tự tin trong việc phòng ngừa, ngăn chặn các cuộc tấn công bằng kỹ thuật CSRF nhanh chóng và hiệu quả nhất. Đối với server, bảo mật và chống CSRF sẽ triệt để hơn nếu website được thiết kế hệ thống bảo mật riêng biệt. Tìm hiểu thêm về CSRF là gì và liên hệ với Bizfly nếu có nhu cầu sở hữu trang web bảo mật tối ưu.