Broken

Authentication
Lỗi xác thực
 Đề mục

1 Lỗi xác thực là gì?

2
Các loại hình tấn công chính

3
Một số phương pháp phòng chống
1
Lỗi xác thực
là gì?
 Một lỗ hổng lỗi xác thực có thể cho phép kẻ tấn công sử
dụng các phương pháp thủ công và / hoặc tự động để cố
gắng giành quyền kiểm soát bất kỳ tài khoản nào họ
muốn trong hệ thống hoặc thậm chí giành quyền kiểm
soát hoàn toàn hệ thống.
 Lỗi xác thực thường đề cập đến các vấn đề logic
xảy ra trên cơ chế xác thực ứng dụng chẳng hạn
như quản lý phiên kém dễ bị liệt kê tên người dùng.

 Các trang web có lỗ hổng lỗi xác thực là rất phổ

biến trên web
 Lỗi xác thực được tìm thấy trong 45% ứng dụng
web.
 Gần một phần ba các lỗ hổng như vậy bao gồm
việc không hạn chế đúng số lần thử xác thực.
 Kẻ tấn công có thể khai thác điều này để
bruteforce các thông tin đăng nhập và truy cập
vào ứng dụng web.
 Ví dụ: một trong các ứng dụng có thể được truy
cập bằng quyền quản trị viên chỉ sau 100 lần thử.

OWASP Top 10 lỗ hổng phổ biến nhất

(tỷ lệ phần trăm các ứng dụng web) - 2019
 2
Các loại hình
tấn công chính
Lỗi chứng thực yếu
Insufficient Authentication

 Xuất hiện khi một website cho phép truy cập các nội dung,
tài nguyên nhạy cảm mà không có đủ quyền
 Ví dụ dễ thấy nhất là trang quản trị: nhiều trang web được
thiết kế với chức năng quản trị đặt ngay ngoài thư mục gốc
(/admin/). Thư mục này thường không được liên kết với bất
kì đâu trên website song vẫn có thể truy cập thông qua các
trình duyệt web. Thường thì người dùng không quan tâm đến
nó vì vậy việc thực thi xác thực nhiều lần thường bị bỏ qua.
Chính vì vậy nếu tin tặc truy cập được thì chúng hoàn toàn
có thể chiếm quyền điều khiền hoàn toàn của trang web.
Lỗi chứng thực yếu
Insufficient Authentication

 Trong trường hợp mà không có cơ chế phân quyền hợp lý

thư mục cũng như tài khoản đăng nhập trang quản trị, tin tặc
hoàn toàn có thể có khả năng vượt qua cơ chế đăng nhập để
chiếm quyền điều khiển trang web này.
 Khắc phục: nên thiết lập cơ chế điều khiển truy cập thông
qua .htaccess hoặc tập tin cấu hình httpd.conf
 Lỗi chứng thực yếu
Insufficient Authentication

Ngoài ra:
 Nên hạn chế quyền truy cập của quản trị viên
 Bảo vệ tệp config của website
 Cấm những user độc hại theo địa chỉ IP của chúng
 Tắt thực thi PHP
 Tắt tính năng duyệt thư mục
 Hạn chế quyền truy cập vào thư mục Content của
Website
 Xác thực khôi phục mật khẩu
yếu
Weak password recovery validation

 Đề cập tới trường hợp 1 ứng dụng cho phép kẻ tấn công
có thể lấy hoặc thay đổi mật khẩu của 1 người dùng khác.
 Một trang web bị coi là tiềm ẩn nguy cơ bị tấn công dạng
này khi cơ chế khôi phục mật khẩu này yêu cầu những
thông tin để xác minh danh tính người dùng quá dễ đoán
hoặc cơ chế này có thể bị phá vỡ
 Xác thực khôi phục mật khẩu
yếu
Weak password recovery validation

 Khi một cơ chế khôi phục mật khẩu yếu như vậy, kẻ tấn
công có rất nhiều cách để có thể tấn công như:
● Brute force attacks
● Đoán các câu hỏi xác minh
● Lừa người dùng để biết được câu trả lời
● Password reset poisoning
Ví dụ như một hệ thống mà chỉ yêu cầu địa chỉ email, địa chỉ
và số điện thoại để xác minh. Các thông tin này có thể tìm
thấy ở rất nhiều vị trí trên trang web (Ví dụ: Comment, user
profile)
 3
Một số phương
pháp phòng
chống
 Triển khai xác thực đã yếu tố (multi-factor
authentication) để ngăn các cuộc tấn công tự động
(credential stuffing, brute force).
 Không gửi hoặc sử dụng thông tin đăng nhập mặc định,
nhất là với admin
 Thực hiện kiểm tra mật khẩu yếu, yêu cầu mật khẩu có
độ dài và độ phức tạp phù hợp.
 Tăng cường các đường dẫn đăng kí tài khoản, khôi
phục thông tin và API để chống lại các cuộc tấn công
liệt kê tài khoản bằng cách gửi thông báo giống nhau
cho mọi kết quả.
 Cấm hoặc tăng thời gian chờ đăng nhập sau mỗi lần
đăng nhập.
 Sử dụng trình quản lý phiên từ máy chủ, tích hợp, bảo
mật để tạo các Session ID ngẫu nhiên sau khi đăng
nhập. Các Session ID không nên ở trong URL.
Thanks!