Đánh giá về lỗi bảo mật CSRF của NukeViet 4.2.01 và những điều quản trị site nên làm

Chủ nhật - 25/07/2021 22:30
Vừa qua, group "NukeViet - Cộng đồng Webmaster, SEO, Digital Marketing" thông tin về lỗi CSRF của NukeViet, BTQ đã chính thức công bố xác nhận lỗi. Ở bài viết này quan điểm của cá nhân tác giả phân tích về góc độ kỹ thuật của lỗi CSRF này. và đánh giá mức độ tác động, có cần cấp bách phải fix không.
TLS la gi 02
TLS la gi 02
THIẾT KẾ WEB NHANH

Hiểu về cách thức tấn công trong bài test lỗi.

Trong bài test thử, hacker tạo một form ẩn, với nội dung và action tới các chức năng trong quản trị trên website của mình. Sau đó lừa quản trị site đang đăng nhập admin tới website của hacker và bằng cách nào đó nhấp nút submit (có thể giả dạng liên kết) để thực hiện việc gửi form đó về website bị tấn công.

Theo đó hacker sẽ có thể thay mặt quản trị site thực hiện được thao tác mong muốn, dữ liệu được hacker thiết lập. Admin đã vô tình tự mình thực hiện các thao tác trên chính site của mình mà mình không hề hay biết.

Khả năng tấn công thực tế

Chúng ta đều biết, để thực hiện một cuộc tấn công csrf, hacker thực sự phải là một nghệ sĩ khi thực hiện được quy trình:
  • Nhắm được website làm con mồi
  • Tìm tòi để biết được quản trị site đó là ai
  • Dụ dỗ quản trị site đó truy cập vào site khác có chứa code tấn công
  • Chờ đợi đến lúc quản trị vừa đăng nhập vừa vào site của mình để cuộc tấn công xảy ra.
Bất khả thi nếu thực hiện thực tế: Bị chặn bởi chức năng Cấu hình CORS 

CORS là chức năng có từ phiên bản 4.3.06 (Xem thêm tại đây) và mặc định được kích hoạt cả khi cài mới hoặc nâng cấp từ các phiên bản cũ lên (Code cập nhật tại đây) giúp cho quản trị thiết lập đóng/mở quyền truy vấn XMLHttpRequest bên ngoài đến website.
Ngoài chức năng trên CORS khi được kích hoạt cũng chặn hết các truy vấn bên ngoài đến khu vực quản trị (Xem code) do đó hacker nếu thử tấn công sẽ được kết quả là "Trắng trang"

Khi nào CORS active mà vẫn bị tấn công?

Đây là vấn đề trình duyệt, các trình duyệt cơ bản đều gửi kèm header Origin, Referer khi thực hiện cuộc truy vấn POST. Nếu bạn bị hacker lừa dùng luôn cả trình duyệt không an toàn thì =====>.... hết đường cứu chữa.

Quản trị nên làm

Nếu website của bạn ở phiên bản NukeViet 4.x nhỏ hơn 4.3.06 nên lập tức cập nhật lên tối thiểu 4.3.06 nếu có thể
Liên hệ tư vấn Trần Minh Tuấn
Nhắn tin
Liên hệ tư vấn Huỳnh Ngọc Quận
Nhắn tin
Liên hệ tư vấn Trần Huỳnh Minh Tú
Nhắn tin

Tác giả bài viết: Trần Minh Tuấn

logoBạn cần tư vấn thiết kế website Nukeviet?
Vui lòng liên hệ để được tư vấn!

0903.177.8770988 80 13 80  ĐĂNG KÝ NGAY

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết
14 năm kinh nghiệm

14 năm kinh nghiệm

Trong lĩnh vực thiết kế website cho các
doanh nghiệp trong và ngoài nước
Hơn 1000 Website

Hơn 1000 Website

Đã được Web360do hoàn thành trong những năm qua,
với sự hài lòng của khách hàng.
Thiết kế web chuẩn SEO

Thiết kế web chuẩn SEO

Đi đầu các xu hướng chuẩn
(Search Engine Optimization)
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây