Khung bảo mật mạng NIST là gì?
Lưu trữ thông tin trực tuyến đã trở thành tiêu chuẩn. Nhiều tổ chức đang cố gắng kéo phần này trở nên phù hợp trong thời đại của sự liên kết với nhau này.
Các cuộc tấn công CSRF là gì và bạn có thể ngăn chặn chúng như thế nào?
Truy vấn yêu cầu chéo trang web (CSRF) là một trong những cách lâu đời nhất để khai thác lỗ hổng bảo mật của trang web. Nó nhắm mục tiêu vào các công tắc web phía máy chủ thường yêu cầu xác th��c như đăng nhập. Trong cuộc tấn công CSRF, kẻ tấn công nhằm mục đích ép nạn nhân của nó thực hiện một yêu cầu web độc hại, trái phép thay mặt họ.
Thực tiễn bảo mật trang web yếu hoặc kém và sự bất cẩn trên đường dẫn của người dùng là một số nguyên nhân phổ biến dẫn đến một cuộc tấn công CSRF thành công.
Hãy xem cuộc tấn công CSRF là gì và những cách khả thi mà bạn có thể tự ngăn chặn nó với tư cách là nhà phát triển hoặc người dùng.
Các cuộc tấn công CSRF ảnh hưởng đến bạn như thế nào?
CSRF là một cuộc tấn công được sử dụng để thực hiện các yêu cầu trái phép trong các hành động web yêu cầu người dùng đăng nhập hoặc xác thực. Các cuộc tấn công CSRF có thể lợi dụng ID phiên, cookie, cũng như các lỗ hổng dựa trên máy chủ khác để lấy cắp thông tin đăng nhập của người dùng.
Ví dụ: kích hoạt các quy trình chống CSRF ngăn chặn các tương tác độc hại giữa nhiều miền.
Khi rào cản đó bị phá vỡ, kẻ tấn công có thể nhanh chóng lợi dụng ID phiên của người dùng thông qua cookie được tạo bởi trình duyệt của người dùng và nhúng thẻ tập lệnh vào trang web dễ bị tấn công.
Bằng cách thao túng ID, kẻ tấn công cũng có thể chuyển hướng khách truy cập đến một trang web khác hoặc khai thác các phương pháp kỹ thuật xã hội như email để gửi liên kết, khuyến khích nạn nhân tải xuống phần mềm độc hại.
Khi nạn nhân thực hiện các hành động như vậy, nó sẽ gửi một yêu cầu HTTP đến trang dịch vụ của người dùng và cho phép thực hiện hành động yêu cầu có lợi cho kẻ tấn công. Điều đó có thể gây tàn phá cho một người dùng không nghi ngờ.
Một cuộc tấn công CSRF thành công có thể khiến người dùng được ủy quyền mất thông tin xác thực truy cập của họ cho kẻ tấn công, đặc biệt là trong các hành động dựa trên máy chủ như yêu cầu thay đổi mật khẩu hoặc tên người dùng. Trong các tình huống tồi tệ hơn, kẻ tấn công chiếm toàn bộ phiên và hành động thay mặt người dùng.
CSRF đã được sử dụng để chiếm đoạt các giao dịch quỹ qua web cũng như thay đổi tên người dùng và mật khẩu, dẫn đến việc người dùng mất quyền truy cập vào dịch vụ bị ảnh hưởng.
Cách những kẻ tấn công chiếm đoạt phiên của bạn bằng CSRF: Ví dụ
Các mục tiêu chính cho các cuộc tấn công CSRF là các hành động web liên quan đến xác thực của người dùng. Để thành công, nó cần những hành động vô tình từ nạn nhân.
Trong một cuộc tấn công CSRF, các hành động GET, DELETE và PUT, cũng như các yêu cầu POST dễ bị tấn công là mục tiêu chính của kẻ tấn công.
Hãy xem ý nghĩa của các thuật ngữ đó:
- GET: Yêu cầu thu thập một kết quả từ cơ sở dữ liệu; ví dụ: tìm kiếm của Google.
- ĐĂNG: Thông thường để gửi yêu cầu qua biểu mẫu web. Yêu cầu ĐĂNG là phổ biến trong quá trình đăng ký hoặc đăng nhập của người dùng, còn được gọi là xác thực.
- XÓA: Để xóa tài nguyên khỏi cơ sở dữ liệu. Bạn làm điều này bất cứ khi nào bạn xóa tài khoản của mình khỏi một dịch vụ web cụ thể.
- PUT: Yêu cầu PUT sửa đổi hoặc cập nhật tài nguyên hiện có. Một ví dụ là thay đổi tên Facebook của bạn .
Trong thực tế, những kẻ tấn công sử dụng chiếm quyền điều khiển phiên để sao lưu một cuộc tấn công CSRF. Khi sử dụng sự kết hợp này, kẻ tấn công có thể sử dụng một cuộc tấn công để thay đổi địa chỉ IP của nạn nhân.
Việc thay đổi địa chỉ IP sau đó đăng nhập nạn nhân vào một trang web mới nơi kẻ tấn công đã chèn một liên kết lừa dối gửi biểu mẫu sao chép hoặc yêu cầu máy chủ sửa đổi mà chúng đã tạo thông qua CSRF.
Một người dùng không nghi ngờ sau đó nghĩ rằng chuyển hướng đến từ nhà cung cấp dịch vụ và nhấp vào liên kết trên trang web của kẻ tấn công. Sau khi thực hiện xong việc này, tin tặc sẽ gửi biểu mẫu khi tải trang mà họ không hề hay biết.
Ví dụ về một cuộc tấn công CSRF GET Request
Hãy tưởng tượng bạn đang cố gắng thực hiện thanh toán trực tuyến qua một nền tảng thương mại điện tử không an toàn. Chủ sở hữu nền tảng sử dụng yêu cầu GET để xử lý giao dịch của bạn. Truy vấn GET đó có thể trông giống như sau:
https://websiteurl/pay?amount=$10&company=[company ABC's account]
Một kẻ không tặc có thể đánh cắp giao dịch của bạn một cách dễ dàng bằng cách thay đổi các thông số của yêu cầu GET. Để làm điều này, tất cả những gì họ cần làm là hoán đổi tên của bạn cho họ và tệ hơn, thay đổi số tiền bạn định trả. Sau đó, họ điều chỉnh truy vấn ban đầu thành một thứ như thế này:
https://websiteurl/pay?amount=$20000&company=[attacker's account]
Khi bạn nhấp vào liên kết đến yêu cầu GET đã sửa đổi đó, bạn sẽ thực hiện chuyển khoản không chủ ý vào tài khoản của kẻ tấn công.
Giao dịch thông qua các yêu cầu GET là một hoạt động không tốt và khiến các hoạt động dễ bị tấn công.
Ví dụ về một cuộc tấn công CSRF yêu cầu POST
Tuy nhiên, nhiều nhà phát triển tin rằng sử dụng yêu cầu POST an toàn hơn để thực hiện các giao dịch trên web. Mặc dù điều đó đúng, nhưng thật không may, một yêu cầu POST cũng dễ bị tấn công CSRF.
Để chiếm đoạt thành công một yêu cầu POST, tất cả những gì kẻ tấn công cần là ID phiên hiện tại của bạn, một số dạng vô hình được sao chép và đôi khi, một chút kỹ thuật xã hội.
Ví dụ: biểu mẫu yêu cầu ĐĂNG có thể trông giống như sau:
Tuy nhiên, kẻ tấn công có thể hoán đổi thông tin đăng nhập của bạn bằng cách tạo một trang mới và sửa đổi biểu mẫu ở trên thành như sau:
Trong biểu mẫu bị thao túng, kẻ tấn công đặt giá trị của trường số tiền thành "30000", hoán đổi số tài khoản của người nhận thành của họ, gửi biểu mẫu khi tải trang và cũng ẩn các trường biểu mẫu khỏi người dùng.
Sau khi chúng chiếm đoạt phiên hiện tại đó, trang giao dịch của bạn sẽ bắt đầu chuyển hướng đến trang của kẻ tấn công, điều này sẽ nhắc bạn nhấp vào liên kết mà chúng biết rằng bạn có nhiều khả năng sẽ truy cập.
Nhấp vào đây sẽ tải biểu mẫu được nhân rộng gửi, biểu mẫu này sẽ chuyển tiền của bạn vào tài khoản của kẻ tấn công. Điều đó có nghĩa là bạn không cần phải nhấp vào các nút như "gửi" để giao dịch diễn ra, vì JavaScript tự động thực hiện việc này khi tải trang web tiếp theo.
Ngoài ra, kẻ tấn công cũng có thể soạn thảo một email nhúng HTML nhắc bạn nhấp vào một liên kết để thực hiện cùng một lần gửi biểu mẫu tải trang.
Một hành động khác dễ bị tấn công CSRF là thay đổi tên người dùng hoặc mật khẩu, ví dụ về yêu cầu PUT. Kẻ tấn công sao chép biểu mẫu yêu cầu của bạn và thay thế địa chỉ email của bạn bằng địa chỉ của chúng.
Sau đó, họ đánh cắp phiên của bạn và chuyển hướng bạn đến một trang hoặc gửi cho bạn một email nhắc bạn nhấp vào một liên kết hấp dẫn.
Sau đó, nó sẽ gửi một biểu mẫu được thao tác gửi liên kết đặt lại mật khẩu đến địa chỉ email của tin tặc thay vì của bạn. Bằng cách đó, tin tặc sẽ thay đổi mật khẩu của bạn và đăng xuất bạn khỏi tài khoản của mình.
Cách ngăn chặn các cuộc tấn công CSRF với tư cách là nhà phát triển
Một trong những phương pháp tốt nhất để ngăn CSRF là sử dụng các mã thông báo thay đổi thường xuyên thay vì phụ thuộc vào cookie phiên để chạy thay đổi trạng thái trên máy chủ.
Liên quan: Hướng dẫn miễn phí để hiểu bảo mật kỹ thuật số và bảo vệ quyền riêng tư của bạn
Nhiều khung phụ trợ hiện đại cung cấp bảo mật chống lại CSRF. Vì vậy, nếu bạn muốn tránh các kỹ thuật của việc tăng cường chống lại CSRF, bạn có thể giải quyết nó một cách dễ dàng bằng cách sử dụng các khuôn khổ phía máy chủ đi kèm với mã thông báo chống CSRF tích hợp sẵn.
Khi bạn sử dụng mã thông báo chống CSRF, các yêu cầu dựa trên máy chủ sẽ tạo ra các chuỗi ngẫu nhiên thay vì các cookie phiên tĩnh dễ bị tấn công hơn. Bằng cách đó, bạn có thể bảo vệ phiên của mình khỏi bị kẻ tấn công đoán.
Việc triển khai hệ thống xác thực hai yếu tố (2FA) để chạy các giao dịch trên ứng dụng web của bạn cũng làm giảm cơ hội xảy ra CSRF.
Có thể khởi tạo CSRF thông qua tập lệnh trên nhiều trang web (XSS), liên quan đến việc đưa tập lệnh vào các trường của người dùng như biểu mẫu nhận xét. Để ngăn chặn điều này, bạn nên bật tính năng tự động thoát HTML trong tất cả các trường biểu mẫu người dùng trên trang web của bạn. Hành động đó ngăn các trường biểu mẫu thông dịch các phần tử HTML.
Cách ngăn chặn các cuộc tấn công CSRF với tư cách là người dùng
Là người dùng của dịch vụ web liên quan đến xác thực, bạn cũng có một phần vai trò trong việc ngăn chặn những kẻ tấn công lấy cắp thông tin đăng nhập và phiên của bạn thông qua CSRF.
Đảm bảo bạn đang sử dụng các dịch vụ web đáng tin cậy trong các hoạt động liên quan đến chuyển tiền.
Ngoài ra, hãy sử dụng các trình duyệt web an toàn bảo vệ người dùng khỏi việc hiển thị phiên, cũng như các công cụ tìm kiếm an toàn bảo vệ chống rò rỉ dữ liệu tìm kiếm.
Liên quan: Công cụ Tìm kiếm Riêng tư Tốt nhất Tôn trọng Dữ liệu của Bạn
Là người dùng, bạn cũng có thể phụ thuộc vào các trình xác thực của bên thứ ba như Google Authenticator hoặc các lựa chọn thay thế của nó để xác minh danh tính của bạn qua web.
Mặc dù bạn có thể cảm thấy bất lực trong việc ngăn kẻ tấn công chiếm quyền điều khiển phiên của mình, nhưng bạn vẫn có thể giúp ngăn chặn điều này bằng cách đảm bảo rằng trình duyệt của bạn không lưu trữ thông tin như mật khẩu và các chi tiết đăng nhập khác.
Tăng cường bảo mật web của bạn
Các nhà phát triển cần thường xuyên kiểm tra các ứng dụng web để tìm các vi phạm bảo mật trong quá trình phát triển và triển khai.
Tuy nhiên, việc đưa ra các lỗ hổng bảo mật khác trong khi cố gắng ngăn chặn những lỗ hổng khác là điều phổ biến. Vì vậy, hãy cẩn thận để đảm bảo rằng bạn không vi phạm các thông số bảo mật khác trong khi cố gắng chặn CSRF.
NordVPN so với ExpressVPN: Bạn nên sử dụng VPN nào vào năm 2021?
Nếu bạn muốn đầu tư vào VPN, NordVPN và ExpressVPN là những lựa chọn rõ ràng. Cả hai đều cung cấp tốc độ cao và cả hai đều có lịch sử lâu dài về đánh giá tích cực của khách hàng.
Mã hóa đồng hình là gì?
Một từ được xuất hiện rất nhiều gần đây là mã hóa đồng hình. Nhiều công ty và dịch vụ trực tuyến đang chuyển đổi mô hình mã hóa của họ thành một loại mã hóa đồng hình, quảng cáo rằng nó mang lại sự riêng tư và bảo mật cho người dùng tốt hơn.
Psst! 1Password Now Cho phép bạn chia sẻ mật khẩu chỉ với một liên kết
Trình quản lý mật khẩu là một cách tuyệt vời để đối phó với lượng thông tin đăng nhập tràn ngập mà tất cả chúng ta đều phải xử lý như một phần của cuộc sống internet hiện đại.
Kiểm tra thâm nhập là gì và nó cải thiện an ninh mạng như thế nào?
Khi thiết lập một hệ thống bảo mật mới, bạn cần đảm bảo nó hoạt động bình thường với càng ít lỗ hổng bảo mật càng tốt. Khi có liên quan đến các tài sản kỹ thuật số trị giá hàng nghìn đô la, bạn không có khả năng học hỏi từ những sai lầm của mình và chỉ lấp đầy các lỗ hổng bảo mật mà các tin tặc đã khai thác trước đây.
Đánh giá ZenMate VPN: Suy ngẫm về quyền riêng tư của bạn
ZenMate VPN là lựa chọn phổ biến của người dùng, công ty quảng cáo chính sách không ghi nhật ký và chức năng bổ sung thông qua tiện ích mở rộng trình duyệt. Nếu bạn muốn tìm hiểu xem liệu nó có xứng đáng với thời gian của bạn hay không, hãy nhớ đọc tiếp bài đánh giá đầy đủ về ZenMate VPN để xem phán quyết của chúng tôi.
Bảo mật điểm cuối là gì và tại sao nó lại quan trọng?
Các cuộc tấn công bằng phần mềm độc hại ngày càng gia tăng và trở nên tiên tiến hơn vào cuối năm nay. Các tổ chức đang phải đối mặt với thách thức liên tục bảo vệ mạng CNTT của họ trước các mối đe dọa mạng.
Norton và Avast Merge: Điều này có ý nghĩa gì đối với bảo mật trực tuyến?
Vào tháng 8 năm 2021, một sự hợp nhất đã được công bố giữa NortonLifeLock và Avast.
Tác động của vụ tấn công SolarWinds là gì?
Các vụ hack luôn chiếm ưu thế trên các tin tức, và đúng như vậy. Chúng là bằng chứng cho thấy không ai an toàn, đặc biệt khi nạn nhân là một tập đoàn lớn với hệ thống an ninh mạng tinh vi. Một vụ hack có tác động đáng kể đến bối cảnh an ninh mạng là vụ hack SolarWinds.
Bảo mật dựa trên ảo hóa trong Windows là gì?
Bảo mật dựa trên ảo hóa đã là một tính năng trên Windows 10 trong nhiều năm. Nó đã bay trong tầm ngắm của nhiều người vì Microsoft không thực thi nó; tuy nhiên, điều này sẽ thay đổi với Windows 11.
4 loại công ty môi giới dữ liệu bạn cần biết
Mọi người dường như muốn dữ liệu cá nhân của bạn. Luôn luôn có ý định bán cho bạn một thứ gì đó, các công ty tranh nhau mời bạn đến xem sản phẩm của họ. Nhưng với internet đầy rẫy các tùy chọn không bao giờ kết thúc, việc mang lại trải nghiệm 1-1 cho khách hàng là cách duy nhất để khiến họ trở nên khác biệt.
Microsoft đã giảm nhẹ một trong những cuộc tấn công DDoS lớn nhất từng được ghi lại: Đây là những gì đã xảy ra
Vào ngày 11 tháng 10 năm 2021, Microsoft thông báo rằng vào cuối tháng 8, họ đã tình cờ chống lại được DDoS khổng lồ 2,4Tbps trên dịch vụ Azure của mình, mà hầu như không có bất kỳ thời gian chết nào cho hàng triệu người dùng trên toàn thế giới.
DNS qua HTTPS: DNS được mã hóa có chậm hơn không?
Khi chọn giao thức bảo mật và kết nối internet phù hợp, nhiều yếu tố có thể ảnh hưởng đến quyết định của bạn, từ mức độ dễ dàng và thuận tiện để triển khai, mức độ an toàn mà nó giữ cho dữ liệu của bạn và tốc độ kết nối tổng thể.
iOS 15 Bao gồm một VPN ẩn cho người đăng ký iCloud (Sắp xếp)
Mục đích của Apple là thay đổi cách bạn duyệt web trên iPhone của mình với bản cập nhật phần mềm iOS 15 mới. Giờ đây, iPhone của bạn có thể che địa chỉ IP của bạn và đảm bảo ẩn danh hoàn toàn với một tính năng được gọi là Private Relay. Vì vậy, nếu bạn đang trả tiền cho một VPN hoàn toàn để duyệt web an toàn, bạn có thể hủy đăng ký của mình ngay bây giờ.
Ý nghĩa của động lực mã hóa E2E theo quy định của Liên minh Châu Âu đối với các ứng dụng nhắn tin được mã hóa
Nếu bạn là một trong 1,6 tỷ người dùng WhatsApp, bạn đang sử dụng mã hóa end-to-end (E2EE). Hình thức liên lạc an toàn này có nghĩa là bất kỳ tin nhắn nào bạn gửi cho ai đó chỉ người nhận mới có thể đọc được --- các tin nhắn trò chuyện như vậy không thể bị chặn bởi các bên thứ ba, bao gồm cả chính phủ và tội phạm.
Bitwarden so với LastPass: Trình quản lý mật khẩu nào tốt nhất cho bạn?
Cả LastPass và Bitwarden đều là những trình quản lý mật khẩu xuất sắc về mặt bảo mật, tính năng và kế hoạch. Tuy nhiên, nếu bạn phải chọn giữa hai, cái nào sẽ đứng đầu?
Cách thiết lập mã xác thực sao lưu cho tài khoản Google của bạn
Mã dự phòng cung cấp một cách dễ dàng để truy cập lại vào tài khoản Google của bạn. Chúng hoạt động như tuyến phòng thủ cuối cùng để đăng nhập lại vào tài khoản Google của bạn nếu bạn bị mất điện thoại, không thể nhận tin nhắn từ Google hoặc không thể nhận mã từ ứng dụng Google Authenticator.
Máy quét mã vạch của bạn có an toàn hay có ẩn phần mềm độc hại Android không?
Mã vạch là một trong những cách tốt nhất để chia sẻ dữ liệu trên bề mặt vật lý. Tất cả những gì một người quan tâm phải làm là quét mã trực tiếp trên điện thoại thông minh của họ để truy cập trang web hoặc ứng dụng.
Cách bảo vệ bản thân khỏi các cửa hàng gian lận trên Shopify
Shopify, một nền tảng thương mại điện tử giá cả phải chăng được các doanh nghiệp nhỏ sử dụng để bán sản phẩm trực tuyến, dường như là nơi sinh sôi của những kẻ lừa đảo và các cửa hàng lừa đảo.
Cách tránh vi phạm bản quyền trên Pinterest
Pinterest là một chủ đề nóng khi nói đến bản quyền, nhưng trang này đang cố gắng hết sức để bảo vệ các nghệ sĩ. Bạn có thể thực hiện phần việc của mình bằng cách cẩn thận khi ghim hoặc sử dụng hình ảnh.
Khung bảo mật mạng NIST là gì?
Lưu trữ thông tin trực tuyến đã trở thành tiêu chuẩn. Nhiều tổ chức đang cố gắng kéo phần này trở nên phù hợp trong thời đại của sự liên kết với nhau này.
NordVPN so với ExpressVPN: Bạn nên sử dụng VPN nào vào năm 2021?
Nếu bạn muốn đầu tư vào VPN, NordVPN và ExpressVPN là những lựa chọn rõ ràng. Cả hai đều cung cấp tốc độ cao và cả hai đều có lịch sử lâu dài về đánh giá tích cực của khách hàng.
Psst! 1Password Now Cho phép bạn chia sẻ mật khẩu chỉ với một liên kết
Trình quản lý mật khẩu là một cách tuyệt vời để đối phó với lượng thông tin đăng nhập tràn ngập mà tất cả chúng ta đều phải xử lý như một phần của cuộc sống internet hiện đại.
Kiểm tra thâm nhập là gì và nó cải thiện an ninh mạng như thế nào?
Khi thiết lập một hệ thống bảo mật mới, bạn cần đảm bảo nó hoạt động bình thường với càng ít lỗ hổng bảo mật càng tốt. Khi có liên quan đến các tài sản kỹ thuật số trị giá hàng nghìn đô la, bạn không có khả năng học hỏi từ những sai lầm của mình và chỉ lấp đầy các lỗ hổng bảo mật mà các tin tặc đã khai thác trước đây.
Đánh giá ZenMate VPN: Suy ngẫm về quyền riêng tư của bạn
ZenMate VPN là lựa chọn phổ biến của người dùng, công ty quảng cáo chính sách không ghi nhật ký và chức năng bổ sung thông qua tiện ích mở rộng trình duyệt. Nếu bạn muốn tìm hiểu xem liệu nó có xứng đáng với thời gian của bạn hay không, hãy nhớ đọc tiếp bài đánh giá đầy đủ về ZenMate VPN để xem phán quyết của chúng tôi.
Bảo mật điểm cuối là gì và tại sao nó lại quan trọng?
Các cuộc tấn công bằng phần mềm độc hại ngày càng gia tăng và trở nên tiên tiến hơn vào cuối năm nay. Các tổ chức đang phải đối mặt với thách thức liên tục bảo vệ mạng CNTT của họ trước các mối đe dọa mạng.
TikTok có bị cấm ở Hoa Kỳ không?
Ứng dụng chia sẻ video TikTok là một hiện tượng. Kể từ khi ra đời vào năm 2017, mạng xã hội này đã có gần 90 triệu người dùng tích cực ở Mỹ và ứng dụng này đã được tải xuống ước tính khoảng hai tỷ lần.
Norton và Avast Merge: Điều này có ý nghĩa gì đối với bảo mật trực tuyến?
Vào tháng 8 năm 2021, một sự hợp nhất đã được công bố giữa NortonLifeLock và Avast.
Tác động của vụ tấn công SolarWinds là gì?
Các vụ hack luôn chiếm ưu thế trên các tin tức, và đúng như vậy. Chúng là bằng chứng cho thấy không ai an toàn, đặc biệt khi nạn nhân là một tập đoàn lớn với hệ thống an ninh mạng tinh vi. Một vụ hack có tác động đáng kể đến bối cảnh an ninh mạng là vụ hack SolarWinds.
WireGuard hỗ trợ những VPN nào?
WireGuard là một giao thức VPN tương đối mới giúp bảo vệ các hoạt động trực tuyến của bạn bằng cách sử dụng mật mã hiện đại. Nó nhằm mục đích cung cấp nhiều quyền riêng tư hơn, tốc độ kết nối nhanh hơn và tiết kiệm điện hơn các giao thức hiện có.