Ngay cả khi bạn chỉ theo dõi một cách sơ sài các sự kiện của nhóm hacker Anonymous và LulzSec, bạn có thể đã nghe nói về việc các trang web và dịch vụ bị tấn công, như vụ hack khét tiếng của Sony. Bạn đã bao giờ tự hỏi họ làm điều đó như thế nào chưa?

Có một số công cụ và kỹ thuật mà các nhóm này sử dụng và mặc dù chúng tôi không cố gắng cung cấp cho bạn sổ tay hướng dẫn để bạn tự làm việc này, nhưng sẽ rất hữu ích nếu bạn hiểu được điều gì đang xảy ra. Hai trong số các cuộc tấn công mà bạn thường xuyên nghe thấy về chúng bằng cách sử dụng là “Từ chối dịch vụ (Phân tán)” (DDoS) và “SQL Injjection” (SQLI). Đây là cách chúng hoạt động.

Hình ảnh của xkcd

Tấn công từ chối dịch vụ

Nó là gì?

Tấn công “từ chối dịch vụ” (đôi khi được gọi là tấn công “từ chối dịch vụ phân tán” hoặc DDoS) xảy ra khi một hệ thống, trong trường hợp này là máy chủ web, nhận quá nhiều yêu cầu cùng một lúc đến mức tài nguyên máy chủ bị quá tải, hệ thống chỉ đơn giản là khóa và tắt. Mục tiêu và kết quả của một cuộc tấn công DDoS thành công là các trang web trên máy chủ mục tiêu không khả dụng với các yêu cầu lưu lượng truy cập hợp pháp.

Làm thế nào nó hoạt động?

Hậu cần của một cuộc tấn công DDoS có thể được giải thích tốt nhất bằng một ví dụ.

Hãy tưởng tượng một triệu người (những kẻ tấn công) tập hợp với nhau với mục tiêu cản trở hoạt động kinh doanh của Công ty X bằng cách hạ gục trung tâm cuộc gọi của họ. Những kẻ tấn công phối hợp để lúc 9 giờ sáng Thứ Ba, tất cả chúng sẽ gọi đến số điện thoại của Công ty X. Rất có thể, hệ thống điện thoại của Công ty X sẽ không thể xử lý một triệu cuộc gọi cùng một lúc nên tất cả các đường dây đến sẽ bị những kẻ tấn công trói chặt. Kết quả là các cuộc gọi của khách hàng hợp pháp (tức là những cuộc gọi không phải là kẻ tấn công) không được thông qua bởi vì hệ thống điện thoại bị buộc phải xử lý các cuộc gọi từ những kẻ tấn công. Vì vậy, về bản chất Công ty X có khả năng kinh doanh thua lỗ do các yêu cầu chính đáng không thể thực hiện được.

Một cuộc tấn công DDoS trên một máy chủ web hoạt động theo cùng một cách. Bởi vì hầu như không có cách nào để biết lưu lượng truy cập có nguồn gốc từ các yêu cầu hợp pháp so với những kẻ tấn công cho đến khi máy chủ web xử lý yêu cầu, kiểu tấn công này thường rất hiệu quả.

Thực hiện cuộc tấn công

Do tính chất “thô bạo” của một cuộc tấn công DDoS, bạn cần có nhiều máy tính phối hợp để tấn công cùng một lúc. Xem lại ví dụ về trung tâm cuộc gọi của chúng tôi, điều này sẽ yêu cầu tất cả những kẻ tấn công phải biết cả hai gọi vào lúc 9 giờ sáng và thực sự gọi vào thời điểm đó. Mặc dù nguyên tắc này chắc chắn sẽ hoạt động khi tấn công máy chủ web, nhưng nó trở nên dễ dàng hơn đáng kể khi các máy tính zombie, thay vì máy tính có người lái thực tế, được sử dụng.

Như bạn có thể biết, có rất nhiều biến thể của phần mềm độc hại và trojan, một khi trên hệ thống của bạn, nằm im lìm và thỉnh thoảng “gọi điện thoại về nhà” để được hướng dẫn. Ví dụ: một trong những hướng dẫn này có thể là gửi các yêu cầu lặp lại đến máy chủ web của Công ty X lúc 9 giờ sáng. Vì vậy, với một bản cập nhật duy nhất cho vị trí chính của phần mềm độc hại tương ứng, một kẻ tấn công có thể ngay lập tức điều phối hàng trăm nghìn máy tính bị xâm nhập để thực hiện một cuộc tấn công DDoS lớn.

Vẻ đẹp của việc sử dụng máy tính zombie không chỉ ở tính hiệu quả mà còn ở tính ẩn danh vì kẻ tấn công không thực sự phải sử dụng máy tính của họ để thực hiện cuộc tấn công.

SQL Injection Attack

Nó là gì?

Cuộc tấn công “SQL injection” (SQLI) là một cuộc khai thác lợi dụng các kỹ thuật phát triển web kém và thường kết hợp với bảo mật cơ sở dữ liệu bị lỗi. Kết quả của một cuộc tấn công thành công có thể bao gồm từ việc mạo danh tài khoản người dùng đến sự xâm phạm hoàn toàn cơ sở dữ liệu hoặc máy chủ tương ứng. Không giống như một cuộc tấn công DDoS, một cuộc tấn công SQLI có thể ngăn chặn hoàn toàn và dễ dàng nếu một ứng dụng web được lập trình thích hợp.

Thực hiện cuộc tấn công

Bất cứ khi nào bạn đăng nhập vào một trang web và nhập tên người dùng và mật khẩu của mình, để kiểm tra thông tin đăng nhập của bạn, ứng dụng web có thể chạy một truy vấn như sau:

SELECT UserID FROM Users WHERE UserName="myuser" AND Password='mypass';

Lưu ý: các giá trị chuỗi trong truy vấn SQL phải được đặt trong dấu ngoặc kép, đó là lý do tại sao chúng xuất hiện xung quanh các giá trị đã nhập của người dùng.

Vì vậy, sự kết hợp của tên người dùng đã nhập (myuser) và mật khẩu (mypass) phải khớp với một mục nhập trong bảng Người dùng để một UserID được trả về. Nếu không khớp, không có UserID nào được trả về nên thông tin đăng nhập không hợp lệ. Mặc dù một cách triển khai cụ thể có thể khác nhau, nhưng các cơ chế đều khá chuẩn.

Vì vậy, bây giờ chúng ta hãy xem xét một truy vấn xác thực mẫu mà chúng ta có thể thay thế các giá trị mà người dùng nhập vào biểu mẫu web:

CHỌN UserID TỪ Người dùng WHERE UserName = “[user]’VÀ Mật khẩu = “[pass]’

Thoạt nhìn, đây có vẻ là một bước đơn giản và hợp lý để dễ dàng xác nhận người dùng, tuy nhiên nếu thực hiện thay thế đơn giản các giá trị mà người dùng đã nhập trên mẫu này, nó dễ bị tấn công SQLI.

Ví dụ: giả sử “myuser’–” được nhập vào trường tên người dùng và “nhầm lẫn” được nhập vào mật khẩu. Sử dụng thay thế đơn giản trong truy vấn mẫu của chúng tôi, chúng tôi sẽ nhận được điều này:

SELECT UserID FROM Users WHERE UserName="myuser"--' AND Password='wrongpass'

Chìa khóa cho câu lệnh này là bao gồm hai dấu gạch ngang (--). Đây là mã thông báo bắt đầu nhận xét cho các câu lệnh SQL, vì vậy bất kỳ thứ gì xuất hiện sau hai dấu gạch ngang (bao gồm) sẽ bị bỏ qua. Về cơ bản, truy vấn trên được thực thi bởi cơ sở dữ liệu như:

SELECT UserID FROM Users WHERE UserName="myuser"

Thiếu sót rõ ràng ở đây là thiếu kiểm tra mật khẩu. Bằng cách bao gồm hai dấu gạch ngang như một phần của trường người dùng, chúng tôi đã hoàn toàn bỏ qua điều kiện kiểm tra mật khẩu và có thể đăng nhập với tư cách “myuser” mà không cần biết mật khẩu tương ứng. Hành động thao túng truy vấn để tạo ra kết quả không mong muốn là một cuộc tấn công SQL injection.

Những thiệt hại nào có thể được thực hiện?

Một cuộc tấn công SQL injection là do mã hóa ứng dụng cẩu thả và thiếu trách nhiệm và hoàn toàn có thể ngăn chặn được (chúng tôi sẽ đề cập trong giây lát), tuy nhiên mức độ thiệt hại có thể gây ra tùy thuộc vào thiết lập cơ sở dữ liệu. Để ứng dụng web giao tiếp với cơ sở dữ liệu phụ trợ, ứng dụng phải cung cấp thông tin đăng nhập vào cơ sở dữ liệu (lưu ý, điều này khác với đăng nhập của người dùng vào chính trang web). Tùy thuộc vào quyền mà ứng dụng web yêu cầu, tài khoản cơ sở dữ liệu tương ứng này có thể yêu cầu bất kỳ thứ gì, từ quyền đọc / ghi chỉ trong các bảng hiện có đến quyền truy cập cơ sở dữ liệu đầy đủ. Nếu bây giờ điều này không rõ ràng, một vài ví dụ sẽ giúp cung cấp một số sự rõ ràng.

Dựa trên ví dụ trên, bạn có thể thấy điều đó bằng cách nhập, ví dụ: "youruser'--", "admin'--" hoặc bất kỳ tên người dùng nào khác, chúng tôi có thể đăng nhập ngay lập tức vào trang web với tư cách là người dùng đó mà không cần biết mật khẩu. Khi chúng tôi ở trong hệ thống không biết chúng tôi thực sự không phải là người dùng đó, vì vậy chúng tôi có toàn quyền truy cập vào tài khoản tương ứng. Quyền cơ sở dữ liệu sẽ không cung cấp một mạng lưới an toàn cho điều này bởi vì, thông thường, một trang web ít nhất phải có quyền truy cập đọc / ghi vào cơ sở dữ liệu tương ứng của nó.

Bây giờ, hãy giả sử trang web có toàn quyền kiểm soát cơ sở dữ liệu tương ứng của nó, cung cấp khả năng xóa bản ghi, thêm / xóa bảng, thêm tài khoản bảo mật mới, v.v. Điều quan trọng cần lưu ý là một số ứng dụng web có thể cần loại quyền này vì vậy nó không tự động là một điều xấu mà toàn quyền kiểm soát được cấp.

Vì vậy, để minh họa thiệt hại có thể xảy ra trong tình huống này, chúng tôi sẽ sử dụng ví dụ được cung cấp trong truyện tranh ở trên bằng cách nhập thông tin sau vào trường tên người dùng: "Robert'; DROP TABLE Users;--". Sau khi thay thế đơn giản, truy vấn xác thực sẽ trở thành:

SELECT UserID FROM Users WHERE UserName="Robert"; DROP TABLE Users;--' AND Password='wrongpass'

Lưu ý: dấu chấm phẩy trong truy vấn SQL được sử dụng để biểu thị phần cuối của một câu lệnh cụ thể và phần đầu của một câu lệnh mới.

Cơ sở dữ liệu nào được thực thi như sau:

SELECT UserID FROM Users WHERE UserName="Robert"

Người dùng DROP TABLE

Vì vậy, giống như vậy, chúng tôi đã sử dụng một cuộc tấn công SQLI để xóa toàn bộ bảng Người dùng.

Tất nhiên, điều tồi tệ hơn có thể xảy ra là, tùy thuộc vào quyền SQL cho phép, kẻ tấn công có thể thay đổi giá trị, kết xuất bảng (hoặc toàn bộ cơ sở dữ liệu) thành tệp văn bản, tạo tài khoản đăng nhập mới hoặc thậm chí chiếm đoạt toàn bộ cài đặt cơ sở dữ liệu.

Ngăn chặn một cuộc tấn công đưa vào SQL

Như chúng tôi đã đề cập nhiều lần trước đây, một cuộc tấn công SQL injection có thể dễ dàng ngăn chặn được. Một trong những quy tắc cơ bản của phát triển web là bạn không bao giờ tin tưởng vào đầu vào của người dùng một cách mù quáng như chúng tôi đã làm khi thực hiện thay thế đơn giản trong truy vấn mẫu của chúng tôi ở trên.

Một cuộc tấn công SQLI dễ dàng bị cản trở bởi cái được gọi là làm sạch (hoặc thoát) đầu vào của bạn. Quá trình sanitize thực sự khá đơn giản vì tất cả những gì nó làm về cơ bản là xử lý bất kỳ ký tự dấu nháy đơn (‘) nội dòng nào một cách thích hợp để chúng không thể được sử dụng để kết thúc sớm một chuỗi bên trong câu lệnh SQL.

Ví dụ: nếu bạn muốn tra cứu “O’neil” trong cơ sở dữ liệu, bạn không thể sử dụng phép thay thế đơn giản vì dấu nháy đơn sau chữ O sẽ khiến chuỗi kết thúc sớm. Thay vào đó, bạn làm sạch nó bằng cách sử dụng ký tự thoát của cơ sở dữ liệu tương ứng. Giả sử ký tự thoát cho một trích dẫn đơn nội tuyến đang bắt đầu mỗi trích dẫn bằng ký hiệu . Vì vậy, “O’neal” sẽ được viết tắt là “O ‘neil”.

Hành động vệ sinh đơn giản này ngăn chặn khá nhiều cuộc tấn công SQLI. Để minh họa, hãy xem lại các ví dụ trước của chúng tôi và xem các truy vấn kết quả khi đầu vào của người dùng được khử trùng.

myuser'-- / đi sai đường:

SELECT UserID FROM Users WHERE UserName="myuser"--' AND Password='wrongpass'

Bởi vì trích dẫn duy nhất sau khi người dùng của tôi được thoát (có nghĩa là nó được coi là một phần của giá trị đích), cơ sở dữ liệu sẽ tìm kiếm Tên người dùng của "myuser'--". Ngoài ra, vì dấu gạch ngang được bao gồm trong giá trị chuỗi chứ không phải bản thân câu lệnh SQL, chúng sẽ được coi là một phần của giá trị đích thay vì được hiểu như một chú thích SQL.

Robert'; DROP TABLE Users;-- / đi sai đường:

SELECT UserID FROM Users WHERE UserName="Robert"; DROP TABLE Users;--' AND Password='wrongpass'

Chỉ cần thoát khỏi dấu nháy đơn sau Robert, cả dấu chấm phẩy và dấu gạch ngang đều được chứa trong chuỗi tìm kiếm Tên người dùng, do đó cơ sở dữ liệu sẽ tìm kiếm theo đúng nghĩa đen "Robert'; DROP TABLE Users;--" thay vì thực hiện xóa bảng.

Tóm tắt

Trong khi các cuộc tấn công web phát triển và trở nên tinh vi hơn hoặc tập trung vào một điểm xâm nhập khác, điều quan trọng cần nhớ là phải bảo vệ chống lại các cuộc tấn công đã thử và thực sự là nguồn cảm hứng của một số “công cụ hacker” miễn phí được thiết kế để khai thác chúng.

Không thể dễ dàng tránh được một số kiểu tấn công nhất định, chẳng hạn như DDoS, trong khi những kiểu tấn công khác, chẳng hạn như SQLI, thì có thể. Tuy nhiên, thiệt hại có thể gây ra bởi các loại tấn công này có thể từ bất tiện đến thảm khốc tùy thuộc vào các biện pháp phòng ngừa được thực hiện.

Tham khảo (HowToGeek)