Đánh giá về lỗi bảo mật CSRF của NukeViet và những điều quản trị site nên làm

Vừa qua, group "NukeViet - Cộng đồng Webmaster, SEO, Digital Marketing" thông tin về lỗi CSRF của NukeViet, BTQ đã chính thức công bố xác nhận lỗi. Ở bài viết này quan điểm của cá nhân tác giả phân tích về góc độ kỹ thuật của lỗi CSRF này. và đánh giá mức độ tác động, có cần cấp bách phải fix không.

Hiểu về cách thức tấn công trong bài test lỗi.

Trong bài test thử, hacker tạo một form ẩn, với nội dung và action tới các chức năng trong quản trị trên website của mình. Sau đó lừa quản trị site đang đăng nhập admin tới website của hacker và bằng cách nào đó nhấp nút submit (có thể giả dạng liên kết) để thực hiện việc gửi form đó về website bị tấn công.

Theo đó hacker sẽ có thể thay mặt quản trị site thực hiện được thao tác mong muốn, dữ liệu được hacker thiết lập. Admin đã vô tình tự mình thực hiện các thao tác trên chính site của mình mà mình không hề hay biết.

Khả năng tấn công thực tế

Chúng ta đều biết, để thực hiện một cuộc tấn công csrf, hacker thực sự phải là một nghệ sĩ khi thực hiện được quy trình:
  • Nhắm được website làm con mồi
  • Tìm tòi để biết được quản trị site đó là ai
  • Dụ dỗ quản trị site đó truy cập vào site khác có chứa code tấn công
  • Chờ đợi đến lúc quản trị vừa đăng nhập vừa vào site của mình để cuộc tấn công xảy ra.
Bất khả thi nếu thực hiện thực tế: Bị chặn bởi chức năng Cấu hình CORS 

CORS là chức năng có từ phiên bản 4.3.06 (Xem thêm tại đây) và mặc định được kích hoạt cả khi cài mới hoặc nâng cấp từ các phiên bản cũ lên (Code cập nhật tại đây) giúp cho quản trị thiết lập đóng/mở quyền truy vấn XMLHttpRequest bên ngoài đến website.
Ngoài chức năng trên CORS khi được kích hoạt cũng chặn hết các truy vấn bên ngoài đến khu vực quản trị (Xem code) do đó hacker nếu thử tấn công sẽ được kết quả là "Trắng trang"

Khi nào CORS active mà vẫn bị tấn công?

Đây là vấn đề trình duyệt, các trình duyệt cơ bản đều gửi kèm header Origin, Referer khi thực hiện cuộc truy vấn POST. Nếu bạn bị hacker lừa dùng luôn cả trình duyệt không an toàn thì =====>.... hết đường cứu chữa.

Quản trị nên làm

Nếu website của bạn ở phiên bản NukeViet 4.x nhỏ hơn 4.3.06 nên lập tức cập nhật lên tối thiểu 4.3.06 nếu có thể. Xem thêm thông báo phát hành tại https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-3-06-597.html
Tốt nhất nên cập nhật lên bản mới nhất 4.4.00 https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-4-00-621.html

Nếu website của bạn từ 4.3.06 trở lên, kiểm tra ngay cấu hình CORS có đang bật không? Mặc định nó tự động bật, nếu vì lý do nào đó bạn tắt đi thì cần bật lại.

Nếu có thể quản trị nên thực hiện theo những hướng dẫn chính thức của BQT tại https://nukeviet.vn/vi/news/Tin-an-ninh/thong-bao-ve-loi-bao-mat-nukeviet-4-x-625.html
Tiếp tục theo dõi thông tin chính thức từ trang chủ https://nukeviet.vn/ để có những cập nhật mới nhất.
Bình luận (0)