[Bảo mật] CSRF là gì?

Những khái niệm cơ bản

Hiện nay vấn đề bảo mật đang được đặt lên hàng đầu tại những website lớn và có sức ảnh hưởng. Một trong số những kiểu tấn công phổ biến hiện nay ngoài SQL Injection, XSS,...thì CSRF là một loại tấn công tinh vi hơn cả.

CSRF là gì?

CSRF (Cross-site Request Forgery) là hình thức tấn công lợi dụng quyền chứng thực của người dùng để gửi đi các đoạn request đến server để thực hiện các hành động nhất định.
Hiểu một cách đơn giản, khi người dùng (nhân viên ngân hàng) đăng nhập vào một website (website ngân hàng) thì họ sẽ có một quyền chứng thực được server tin tưởng để gửi các request chứa các hành động cụ thể để tác động trực tiếp/gián tiếp lên server (máy chủ).
Lúc này, một hacker gửi một tin nhắn kèm theo một đoạn request không hợp lệ (request yêu cầu chuyển một khoản tiền đến một tài khoản nhất định) qua email của người dùng này. Người dùng này lỡ ấn nhầm vào link và gián tiếp thực hiện request không hợp lệ trên bằng quyền chứng thực của mình với máy chủ.


Cách phòng tránh

Hiện nay, một số cách phòng tránh được đề cập đến như khái niệm "token". Token đơn giản là một đoạn mã sẽ đi kèm theo những request cụ thể mà người dùng gửi đến server. Sau đó server sẽ check token trên để xem có giống với đoạn mã token bên server đã lưu hay không. Nếu đúng thì cho tiến hành tiếp tục các trao đổi (request - response).


Bước 1: Người dùng gửi 1 GET request lên server.
Bước 2: Server gửi lại một "token" và được lưu vào Cookie trình duyệt bên phía người dùng.
Bước 3: Người dùng submit (gửi) một form kèm data (POST request) và kèm theo "token" có trong Cookie để server xác thực.
Bước 4: Sau khi xác thực thì server sẽ quyết định việc chấp nhận / từ chối trao đổi request (request - response) từ phía người dùng.

(sẽ còn cập nhật thêm)

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

[Chia sẻ và mục tiêu]

Hình ảnh
Lời nói đầu Blog này được tạo ra để chia sẻ những kiến thức của bản thân trong quá trình học hỏi và phát triển của mình. Những kiến thức trong blog được mình tìm hiểu, kiểm chứng và đúc kết lại từ những dự án thực tế, kinh nghiệm thực tế đã trải qua. Phạm vi kiến thức chia sẻ Các kiến thức lập trình căn bản. Các thủ thuật máy tính hay ho. Kiến thức lập trình Laravel căn bản. Kiến thức lập trình Laravel nâng cao. Kiến thức lập trình Ruby On Rails căn bản. Kiến thức lập trình Ruby On Rails căn bản. Kiến thức lập trình MEAN stack (MongoDB - ExpressJS - Angular 2 - NodeJS) căn bản. Một số kiến thức về webRTC. Những ứng dụng thực tiễn (blog cá nhân, trang tin tức, web bán hàng nhỏ, hệ thống phòng chat công cộng, hệ thống email, hệ thống gửi thông báo theo thời gian thực,...) Những bài chia sẻ về Cơ Sở Dữ Liệu (Database). Cách cài đặt, tối ưu VPS, AWS, Cloud nói chung. Các bài thực hành mang tính ứng dụng cao. Những câu chuyện thú vị trong cuộc sống. Những chia sẻ si...
Đọc thêm

[Ruby On Rails] Giới thiệu

Hình ảnh
Ruby là một ngôn ngữ lập trình nhưng Rails lại không như vậy. Nó là một framework của Ruby và đóng góp một vai trò quan trọng trong sự hình thành các phiên bản web một cách nhanh chóng dùng trong các startup và các doanh nghiệp có nguồn chi tiêu hạn hẹp. Ưu điểm: Thời gian phát triển nhanh Cú pháp tối giản DRY (Don't repeat yourself) Cấu trúc đơn giản nhưng đôi chỗ khá là rối rắm. Tương tác với các prefix_path khá tiện dụng so với Laravel (PHP) Layout partials rất thú vị, gọn gàng. Những association, relationship giữa các model khởi tạo nhanh chóng, liên kết dễ hiểu. Hỗ trợ ORM. (Sẽ cập nhật thêm...)
Đọc thêm