Hiểu về cách thức tấn công trong bài test lỗi.

Trong bài test thử, hacker tạo một form ẩn, với nội dung và action tới các chức năng trong quản trị trên website của mình. Sau đó lừa quản trị site đang đăng nhập admin tới website của hacker và bằng cách nào đó nhấp nút submit (có thể giả dạng liên kết) để thực hiện việc gửi form đó về website bị tấn công.

Theo đó hacker sẽ có thể thay mặt quản trị site thực hiện được thao tác mong muốn, dữ liệu được hacker thiết lập. Admin đã vô tình tự mình thực hiện các thao tác trên chính site của mình mà mình không hề hay biết.

Khả năng tấn công thực tế

Chúng ta đều biết, để thực hiện một cuộc tấn công csrf, hacker thực sự phải là một nghệ sĩ khi thực hiện được quy trình:

• Nhắm được website làm con mồi
• Tìm tòi để biết được quản trị site đó là ai
• Dụ dỗ quản trị site đó truy cập vào site khác có chứa code tấn công
• Chờ đợi đến lúc quản trị vừa đăng nhập vừa vào site của mình để cuộc tấn công xảy ra.

Bất khả thi nếu thực hiện thực tế: Bị chặn bởi chức năng Cấu hình CORS 

CORS là chức năng có từ phiên bản 4.3.06 (Xem thêm tại đây) và mặc định được kích hoạt cả khi cài mới hoặc nâng cấp từ các phiên bản cũ lên (Code cập nhật tại đây) giúp cho quản trị thiết lập đóng/mở quyền truy vấn XMLHttpRequest bên ngoài đến website.
Ngoài chức năng trên CORS khi được kích hoạt cũng chặn hết các truy vấn bên ngoài đến khu vực quản trị (Xem code) do đó hacker nếu thử tấn công sẽ được kết quả là "Trắng trang"

Khi nào CORS active mà vẫn bị tấn công?

Đây là vấn đề trình duyệt, các trình duyệt cơ bản đều gửi kèm header Origin, Referer khi thực hiện cuộc truy vấn POST. Nếu bạn bị hacker lừa dùng luôn cả trình duyệt không an toàn thì =====>.... hết đường cứu chữa.

Quản trị nên làm

Nếu website của bạn ở phiên bản NukeViet 4.x nhỏ hơn 4.3.06 nên lập tức cập nhật lên tối thiểu 4.3.06 nếu có thể.