• About
  • Advertise
  • Privacy & Policy
  • Contact
NQ NEWS
  • Kiến thức tổng hợp
    • Development
    • Deep Learning
    • Cloud Computing
    • Kiến thức bảo mật
    • Tin học văn phòng
  • Thủ thuật
    • Phần Mềm
    • Sửa lỗi máy tính
    • Bảo mật máy tính
    • Tăng tốc máy tính
    • Thủ thuật Wifi
  • Quản trị hệ thống
    • Giải pháp bảo mật
    • Mail Server
    • Mạng LAN – WAN
    • Máy chủ
    • Windows Server 2012
  • Tin tức
  • Đời sống thường thức
    • Tất cả
    • Bí ẩn - Chuyện lạ
    • Câu chuyện Khoa học
    • Chăm sóc Nhà cửa
    • Chăm sóc Sức khỏe
    • Chụp ảnh - Quay phim
    • Cưới hỏi
    • Dịch vụ ngân hàng
    • Game - Trò chơi
    • Kỹ năng
    • Là gì?
    • Mẹo hay
    Ielts La Gi 640 1

    IELTS là gì? Những điều cần biết về IELTS

    Cài font chữ

    Kẻ ô ly vuông trong Word và in ô ly Word

    Vivo Y33s

    3 cách chụp ảnh đẹp trên Vivo Y33s với nhiều hiệu ứng, filter độc đáo

    cách xem tin nhắn đã thu hồi trên messenger trên điện thoại

    Cách xem tin nhắn đã thu hồi trên Messenger cho điện thoại Android

    Cách hẹn giờ gửi tin nhắn chúc mừng

    Cách hẹn giờ gửi tin nhắn chúc mừng trên điện thoại vào dịp đặc biệt

    cách nhập code Play Together

    Nhập Full Code Play Together MỚI NHẤT hôm nay nhận quà khủng 2022

    • Bí ẩn – Chuyện lạ
    • Câu chuyện Khoa học
    • Chăm sóc Nhà cửa
    • Chăm sóc Sức khỏe
    • Chụp ảnh – Quay phim
    • Cưới hỏi
    • Dịch vụ ngân hàng
    • Game – Trò chơi
    • Kỹ năng
  • Nhịp sống công nghệ
    • Tất cả
    • Ảnh đẹp Khoa học
    • Anh tài công nghệ
    • Ảnh, đồ họa
    • Bình luận công nghệ
    • Chuyện công nghệ
    • Công nghệ
    • Công nghệ mới
    • Dịch vụ công trực tuyến
    • Dịch vụ nhà mạng
    Cuoc Thi Bao Mat 700 1

    Hai chuyên gia bảo mật Việt Nam giành giải thưởng 40.000 USD trong cuộc thi tấn công mạng Pwn2Own 2021

    He Tri Thuc Viet So Hoa 650 1

    Trải nghiệm sử dụng itrithuc.vn – dự án hệ tri thức Việt được số hóa đầu tiên

    Viettel Kiem Tra Thong Tin Thue Bao 700 1

    Kiểm tra thông tin thuê bao Viettel như thế nào?

    Hang Dien Thoai Lon Nhat 640 1

    Danh sách những hãng smartphone lớn nhất thế giới (cập nhật liên tục)

    Ai Gpt 3 Cua Elon Musk Vua Viet Ca Mot Bai Xa Luan Gay Chan Dong Tren Bao Anh 640 1

    AI viết bài xã luận gây chấn động trên báo Anh, tuyên bố sẽ không hủy diệt loài người

    V120 Viettel Dang Ky 640 1

    Cách đăng ký gói V120 Viettel

    Youtube Da Ra Doi Nhu The Nao Doi Net Ve De Che Youtube640 1

    YouTube đã ra đời như thế nào? Đôi nét về ‘đề chế’ YouTube

    Apple Ung Dung Nhan Dien Airtag Tren Android700 1

    Apple phát hành ứng dụng nhận diện AirTag trên Android

    He Dieu Hanh Se Khong Con Co The Su Dung Whatsapp640 1

    Đây là những hệ điều hành không thể tải WhatsApp trong thời gian tới

Không có kết quả
Xem tất cả kết quả
  • Kiến thức tổng hợp
    • Development
    • Deep Learning
    • Cloud Computing
    • Kiến thức bảo mật
    • Tin học văn phòng
  • Thủ thuật
    • Phần Mềm
    • Sửa lỗi máy tính
    • Bảo mật máy tính
    • Tăng tốc máy tính
    • Thủ thuật Wifi
  • Quản trị hệ thống
    • Giải pháp bảo mật
    • Mail Server
    • Mạng LAN – WAN
    • Máy chủ
    • Windows Server 2012
  • Tin tức
  • Đời sống thường thức
    • Tất cả
    • Bí ẩn - Chuyện lạ
    • Câu chuyện Khoa học
    • Chăm sóc Nhà cửa
    • Chăm sóc Sức khỏe
    • Chụp ảnh - Quay phim
    • Cưới hỏi
    • Dịch vụ ngân hàng
    • Game - Trò chơi
    • Kỹ năng
    • Là gì?
    • Mẹo hay
    Ielts La Gi 640 1

    IELTS là gì? Những điều cần biết về IELTS

    Cài font chữ

    Kẻ ô ly vuông trong Word và in ô ly Word

    Vivo Y33s

    3 cách chụp ảnh đẹp trên Vivo Y33s với nhiều hiệu ứng, filter độc đáo

    cách xem tin nhắn đã thu hồi trên messenger trên điện thoại

    Cách xem tin nhắn đã thu hồi trên Messenger cho điện thoại Android

    Cách hẹn giờ gửi tin nhắn chúc mừng

    Cách hẹn giờ gửi tin nhắn chúc mừng trên điện thoại vào dịp đặc biệt

    cách nhập code Play Together

    Nhập Full Code Play Together MỚI NHẤT hôm nay nhận quà khủng 2022

    • Bí ẩn – Chuyện lạ
    • Câu chuyện Khoa học
    • Chăm sóc Nhà cửa
    • Chăm sóc Sức khỏe
    • Chụp ảnh – Quay phim
    • Cưới hỏi
    • Dịch vụ ngân hàng
    • Game – Trò chơi
    • Kỹ năng
  • Nhịp sống công nghệ
    • Tất cả
    • Ảnh đẹp Khoa học
    • Anh tài công nghệ
    • Ảnh, đồ họa
    • Bình luận công nghệ
    • Chuyện công nghệ
    • Công nghệ
    • Công nghệ mới
    • Dịch vụ công trực tuyến
    • Dịch vụ nhà mạng
    Cuoc Thi Bao Mat 700 1

    Hai chuyên gia bảo mật Việt Nam giành giải thưởng 40.000 USD trong cuộc thi tấn công mạng Pwn2Own 2021

    He Tri Thuc Viet So Hoa 650 1

    Trải nghiệm sử dụng itrithuc.vn – dự án hệ tri thức Việt được số hóa đầu tiên

    Viettel Kiem Tra Thong Tin Thue Bao 700 1

    Kiểm tra thông tin thuê bao Viettel như thế nào?

    Hang Dien Thoai Lon Nhat 640 1

    Danh sách những hãng smartphone lớn nhất thế giới (cập nhật liên tục)

    Ai Gpt 3 Cua Elon Musk Vua Viet Ca Mot Bai Xa Luan Gay Chan Dong Tren Bao Anh 640 1

    AI viết bài xã luận gây chấn động trên báo Anh, tuyên bố sẽ không hủy diệt loài người

    V120 Viettel Dang Ky 640 1

    Cách đăng ký gói V120 Viettel

    Youtube Da Ra Doi Nhu The Nao Doi Net Ve De Che Youtube640 1

    YouTube đã ra đời như thế nào? Đôi nét về ‘đề chế’ YouTube

    Apple Ung Dung Nhan Dien Airtag Tren Android700 1

    Apple phát hành ứng dụng nhận diện AirTag trên Android

    He Dieu Hanh Se Khong Con Co The Su Dung Whatsapp640 1

    Đây là những hệ điều hành không thể tải WhatsApp trong thời gian tới

Không có kết quả
Xem tất cả kết quả
NQ NEWS
Không có kết quả
Xem tất cả kết quả
Trang chủ Kiến thức căn bản

Csrf là gì? Cách thức hoạt động ra sao và cách phòng tránh hiệu quả

@admiz bởi @admiz
04/02/2021
trong Kiến thức căn bản
0
Csrf Là Gì? Cách Thức Hoạt động Ra Sao Và Cách Phòng Tránh Hiệu Quả 612d118038622.jpeg

Các cuộc tấn công của tin tặc là vấn đề dễ gây ‘đau đầu’ nhất đối với các nhà quản trị web và an ninh mạng. Trong bối cảnh mà kỹ thuật tấn công của các hacker ngày một tinh vi và tân tiến thì hiểu về những hình thức tấn công là điều quan trọng hàng đầu để lên kế hoạch phòng ngừa.

CSRF là gì cũng nằm trong những kỹ thuật không thể bỏ qua. Tất cả những thông tin về CSRF sẽ được NQ News đề cập đến ngay sau đây.

Nội dung

  • 1 CSRF là gì? 
  • 2 Lịch sử hình thành 
  • 3 Cách thức hoạt động của csrf 
  • 4 Làm thế nào để phòng tránh tấn công csrf? 
  • 5 Từ phía User 
  • 6 Từ phía Server 

CSRF là gì? 

CSRF là từ viết tắt của “Cross-site Request Forgery“, dịch ra tiếng Việt có nghĩa là một loại kỹ thuật tấn công bằng cách giả mạo chủ thể của nó.

CSRF là gì

Kỹ thuật này được tiến hành thông qua việc sử dụng cookies để tấn công vào bộ phận chứng thực request của website, từ đó giả mạo chính chủ để tạo ra các request mà không để người dùng biết. Có thể nói, kỹ thuật tấn công này được áp dụng dựa trên lòng tin của trình duyệt với người truy cập mạng.

Webbuilder (Bizcloud Website) – Dịch vụ thiết kế website chuyên nghiệp, uy tín theo yêu cầu cho mọi lĩnh vực ngành nghề giúp doanh nghiệp bảo mật website hiệu quả

#modal1630343544612d1178482f5″

id=”modal1630343544612d1178482f5″

&frame_id=modal1630343544612d1178482f5″

Lịch sử hình thành 

Tấn công bằng kỹ thuật CSRF xuất hiện lần đầu tiên từ những năm 1990, song do sự tinh vi trong thủ thuật, cụ thể hơn là việc giả mạo IP của các chủ thể nên dấu hiệu của kỹ thuật này không được phát hiện bởi log file của website. Và hiển nhiên, báo cáo về những vụ tấn công bằng kỹ thuật này cũng bởi vậy mà không đầy đủ.

Vào năm 2007, một số dữ liệu mô tả chi tiết những trường hợp bị tấn công CSRF mới xuất hiện. Đến năm 2008, khoảng 18 triệu người dùng sBay tại Hàn Quốc bị mất thông tin cá nhân. Bên cạnh đó, tại Mexico, một vài khách hàng cũng bị mất tài khoản ngân hàng của mình bởi kỹ thuật tấn công CSRF. 

Từ đó đến nay, CSRF trở thành một trong những hình thức tấn công ‘đáng gờm’ và cần được lưu ý nhiều nhất. CSRF là gì trở thành điều bất cứ webmaster hay nhân viên an ninh mạng nào cũng cần tìm hiểu.

Cách thức hoạt động của csrf 

Hiểu cách thức hoạt động của CSRF là gì giúp bạn nhìn nhận kỹ thuật tấn công này kỹ lưỡng hơn và có những biện pháp phòng ngừa chu đáo. Bản chất của kỹ thuật tấn công này là tạo sự nhầm lẫn về tài khoản của người dùng – nạn nhân, từ đó giả mạo họ để gửi các request đến máy chủ website.

Cách thức hoạt động của csrf

Cụ thể, một cuộc tấn công CSRF gồm các quy trình:

  • Người dùng gửi request HTTP đến website -> Thông tin người dùng được ghi lại trên Cookie, Cookie này được sử dụng với mục đích định danh người dùng, được tự động lưu lại để dùng cho lần đăng nhập sau mà không cần xác minh lại. Khi người dùng chưa đăng xuất thì thông tin đăng nhập vẫn được lưu  lại trên cookie.
  • Thông tin người dùng được lưu trên cookie; Ứng dụng web/wesbite không có khả năng bảo mật tốt -> Hacker sử dụng kỹ thuật CSRF để tấn công, chiếm thông tin, tiến hành giả mạo và gửi request đến website dưới danh nghĩa nạn nhân.

Có thể bạn quan tâm: Sql injection là gì, mức độ nguy hiểm và cách ngăn chặn lỗ hổng bảo mật này

Khám phá ưu đãi MUA 1 TẶNG 1 khi sử dụng dịch vụ thiết kế website của NQ News NGAY HÔM NAY

TÌM HIỂU THÊM

Làm thế nào để phòng tránh tấn công csrf? 

Có thể thấy, các cuộc tấn công CSRF có nguyên nhân từ cả 2 phía là User và Server, vì vậy để phòng tránh các rủi ro do kỹ thuật tấn công này mang lại, cần có sự phòng ngừa từ hai phía.

Từ phía User 

Về phía User, để để đảm bảo mình không trở thành một trong số các nạn nhân của CSRF, bạn cần thực hiện một số thao tác sau:

Làm thế nào để phòng tránh tấn công csrf

  • Tạo thói quen đăng xuất khỏi các tài khoản quan trọng trên website/ app quan trọng như mạng xã hội, thanh toán trực tuyến, gmail, tài khoản ngân hàng… ngay khi tiến hành xong các giao dịch cần thiết. 
  • Chỉ đăng nhập tài khoản vào các thiết bị riêng và không để người khác tiếp xúc với nó.
  • Không lưu trữ thông tin liên quan đến mật khẩu trên trình duyệt, từ chối các đề nghị ‘lưu mật khẩu’ hay ‘đăng nhập lần sau’
  • Không truy cập vào các đường dẫn lạ nhận được trên mạng xã hội hoặc email bởi rất có thể chúng là mã độc, không an toàn cho tài khoản của bạn.
  • Khi tiến hành các phiên giao dịch quan trọng, không nên đồng thời truy cập một URL khác bởi chúng có thể có chứa mã khai thác CSRF.

Có những cách bảo mật website nào hiện nay? Xem ngay tại đây: https://nq.com.vn/bao-mat-website.html

Từ phía Server 

Bên cạnh User, Server cũng là một trong các tác nhân dẫn đến tấn công CSRF. Tuy chưa có biện pháp khắc phục, phòng chống kỹ thuật tấn công này triệt để, song các quản trị viên cũng có thể ngăn ngừa phần nào bằng cách sử dụng một số kỹ thuật xác nhận như:

  • Dùng captcha và thông báo xác nhận: Bản chất của tấn công CSRF là giả mạo chủ thể, vậy nên một khi máy chủ phát hiện ra sự giả mạo này, cuộc tấn công sẽ được phòng ngừa chu đáo. Điều này hoàn toàn có thể thực hiện bằng cách sử dụng Captcha để theo dõi phiên đăng nhập của người dùng.
  • Sử dụng csrf_token: Đây là một loại token thay đổi một cách liên tục trong suốt phiên làm việc. Nhờ vào token này, server có thể xác nhận request có phải giả mạo không và loại bỏ request nếu nghi ngờ.
  • Sử dụng cookie riêng đối với trang admin: Đối với các trang quản trị, cần sử dụng cookies riêng để tránh tấn công CSRF. 
  • Kiểm tra IP: Đây cũng là kỹ thuật xác nhận tuyệt vời đối với những hệ thống quan trọng. 

Với những gợi ý trên, bạn có thể tự tin trong việc phòng ngừa, ngăn chặn các cuộc tấn công bằng kỹ thuật CSRF nhanh chóng và hiệu quả nhất. Đối với server, bảo mật và chống CSRF sẽ triệt để hơn nếu website được thiết kế hệ thống bảo mật riêng biệt. Tìm hiểu thêm về CSRF là gì và liên hệ với NQ News nếu có nhu cầu sở hữu trang web bảo mật tối ưu.

Webbuilder (Bizcloud Website) – Dịch vụ thiết kế website chuyên nghiệp, uy tín theo yêu cầu

  • Địa chỉ: 337 Hồng Bàng, Phường 11, Quận 5, TP.HCM.
  • Hotline: 1900 2028
  • Website: https://nq.com.vn/tag/thiet-ke-website/
Post Views: 69
Tags: #Thiết kế website

Có thể bạn quan tâm bài viết

A/b Testing Là Gì Và 4 Bí Quyết Triển Khai A/b Testing đạt Hiệu Quả 612d041d91bdc.jpeg
Kiến thức căn bản

A/B Testing là gì và 4 bí quyết triển khai A/B Testing đạt hiệu quả

29/01/2023
Kích Thước ảnh đại Diện Facebook Chuẩn Nhất Năm 2020 612d0424a3475.jpeg
Kiến thức căn bản

Kích thước ảnh đại diện facebook chuẩn nhất năm 2020

29/01/2023
Top 12 Phần Mềm Quản Lý Bán Hàng Miễn Phí Tốt Nhất Hiện Nay 612cfef8d98cf.jpeg
Kiến thức căn bản

Top 12 phần mềm quản lý bán hàng miễn phí tốt nhất hiện nay

28/01/2023
Bạn Có Biết Bộ Nhận Diện Thương Hiệu Gồm Những Gì? 612d043067116.jpeg
Kiến thức căn bản

Bạn có biết bộ nhận diện thương hiệu gồm những gì?

28/01/2023
Tại Sao Landing Page Bán Hàng Hiệu Quả Hơn Website Thông Thường? 612d035564a6c.jpeg
Kiến thức căn bản

Tại sao landing page bán hàng hiệu quả hơn website thông thường?

27/01/2023
Ajax Là Gì? Tại Sao Nên Dùng Và Cách Hoạt động Của Ajax Trong Website 612d035c6ea9e.jpeg
Kiến thức căn bản

Ajax là gì? Tại sao nên dùng và cách hoạt động của Ajax trong Website

27/01/2023

Categories

  • Android
  • Ảnh đẹp Khoa học
  • Anh tài công nghệ
  • Ảnh, đồ họa
  • Bảo mật máy tính
  • Bảo mật, Antivirus
  • Bí ẩn – Chuyện lạ
  • Bình luận công nghệ
  • Câu chuyện Khoa học
  • Chăm sóc Nhà cửa
  • Chăm sóc Sức khỏe
  • Chụp ảnh – Quay phim
  • Chuyện công nghệ
  • Công nghệ
  • Công nghệ mới
  • Cưới hỏi
  • Deep Learning
  • Development
  • Dịch vụ công trực tuyến
  • Dịch vụ ngân hàng
  • Dịch vụ nhà mạng
  • DIY – Handmade
  • Đời sống thường thức
  • Game – Trò chơi
  • Giải pháp bảo mật
  • Giải trí
  • Giáng sinh – Noel
  • Giao tiếp, liên lạc, hẹn hò
  • Hệ thống
  • Hệ thống
  • Hỗ trợ học tập
  • Họp, học trực tuyến
  • Internet
  • iPhone
  • Khám phá khoa học
  • Khám phá thiên nhiên
  • Khoa học công nghệ
  • Khoa học Vũ trụ
  • Khoa học vui
  • Kiến thức bảo mật
  • Kiến thức căn bản
  • Kiến thức cơ bản
  • Kiến thức tổng hợp
  • Kinh nghiệm Du lịch
  • Kỹ năng
  • Là gì?
  • Làm đẹp
  • Lập trình
  • Linux
  • Linux OS
  • Lưu trữ đám mây
  • macOS
  • Mail Server
  • Mạng LAN – WAN
  • Máy ảo
  • Máy chủ
  • Máy công cụ
  • Máy hút mùi
  • Mẹo hay
  • Mẹo vặt
  • ms excel
  • ms-powerpoint
  • Nền tảng điện toán đám mây
  • Nhà thông minh
  • Phần cứng
  • Phần cứng
  • Phần Mềm
  • Phân phối
  • Quà tặng
  • Quản trị hệ thống
  • Quạt các loại
  • Quiz công nghệ
  • Raspberry Pi
  • Sửa lỗi máy tính
  • Tải game
  • Tấn công mạng
  • Tăng tốc máy tính
  • Tết 2022
  • Tết Trung thu
  • Thủ thuật
  • Thủ thuật SEO
  • Thủ thuật Wifi
  • Tiện ích hệ thống
  • Tin học văn phòng
  • Tin tức
  • Tivi
  • Trí tuệ nhân tạo (AI)
  • Tủ lạnh
  • Uncategorized
  • Ứng dụng
  • Ứng dụng văn phòng
  • Video Khoa học
  • Video, phim, nhạc
  • Website
  • Windows Server 2012

Tags

#app #chatbot #chatbot tự động #CRM #Email Marketing #Kiến thức cơ bản #Techblog #Thiết kế website Android apple cách chơi Pokémon Go Gmail Google Google Drive hacker HTML hàm python hàm python có sẵn hình nền máy tính học css học python học SQL ios iphone iphone 12 Microsoft minecraft mssql MS SQL Server Pokémon Go PUBG Mobile python Raspberry Pi Samsung smartphone SQL Server thiết bị số tivi tài liệu python windows windows 10 YouTube điện thoại di động điện thoại thông minh ứng dụng
  • About
  • Advertise
  • Privacy & Policy
  • Contact

© 2022 Pha Le Solution

Không có kết quả
Xem tất cả kết quả
  • Home

© 2022 Pha Le Solution

Are you sure want to unlock this post?
Unlock left : 0
Are you sure want to cancel subscription?