Cách phòng tránh tấn công website qua lỗ hổng bảo mật của Cookies

Ở bài viết Cookies là gì? Cách hạn chế lỗ hổng bảo mật với cookies, chúng ta đã biết cookies là gì và cách cài đặt để tăng bảo mật khi sử dụng cookies. Bài viết này hãy cùng tìm hiểu các cách tấn công website qua cookies để duyệt web an toàn tuyệt đối nhé!

1. Các cách tấn công website phổ biến qua cookies.

1.1 Sử dụng các phần mềm theo dõi và can thiệp vào thông tin lưu truyền trong cùng một hệ thống mạng

Tấn công web bằng sniffer tool

Khi sử dụng các phần mềm này, hacker có thể theo dõi hoặc can thiệp vào các dữ liệu, các request gửi lên server của người dùng cùng hệ thống mạng. Bằng cách này, hacker có thể lấy thông tin cookies của người dùng về sử dụng chúng để mạo danh.

Trộm cookies bằng cách tấn công XSS.

Tấn công bằng XSS (Cross Site Scripting) là phương pháp tấn công website phổ biến nhất và cũng dễ dàng nhất do thói quen duyệt web của người dùng. Cụ thể là hacker có thể chèn mã độc (một đoạn <script>) vào một số thành phần hiển thị bên phía giao diện người dùng như:

- Những quảng cáo độc hại xuất hiện trong trang web.

- Form đăng nhập có trường giả mạo được hiển thị cho người dùng (nơi người dùng nhập thông tin đăng nhập, thông tin thanh toán).

- Email xác thực bị giả mạo, độc hại được gửi đến nạn nhân. 

Khi đoạn mã độc trên được thực hiện thì hacker đã có thể đánh cắp thông tin cá nhân của người dùng.

Có thể bạn quan tâm: Những lỗ hổng bảo mật website phổ biến và cách phòng tránh

2. Những ảnh hưởng nghiêm trọng đến người dùng.

Cookies để lưu trữ thông tin đăng nhập, thông tin cá nhân của người dùng. Khi những thông tin này bị đánh cắp, người dùng sẽ bị giả mạo, dẫn tới các hệ lụy nghiêm trọng như:

• Mất tài khoản, sử dụng tài khoản thực hiện các hành vi phạm pháp.

• Sử dụng thông tin đánh cắp để tống tiền, thực hiện hành vi mua bán trái phép.

• Rò rỉ thông tin thanh toán gây ảnh hưởng đến tài chính cá nhân như: thực hiện các khoản vay nợ, mua bán chất cấm và hàng hóa trái phép dưới danh nghĩa của người bị đánh cắp. 

3. Cách phòng tránh tấn công qua lỗ hổng bảo mật Cookies.

Bảo mật web

Để tăng cường tối đa bảo mật web, sẽ có cách phòng chống hiệu quả như sau:

- Sử dụng Flag HTTPOnly: Cookies có flag này sẽ không thể truy cập được thông qua hàm lấy thông tin cookies như document.cookie, browser.cookies.get(),... Do đó, web có bị lỗi XSS thì thông tin được lưu trữ trong cookies cũng không bị đánh cắp.

- Sử dụng Flag Secure (https): Cookies có flag này chỉ được gửi qua giao thức HTTPS - là giao thức HTTP tích hợp thêm Chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảo mật. Với giao thức này, hacker không thể sử dụng các sniffer tool để đánh cắp cookies của người dùng.

- Thiết lập Max-Age và Expired cho Cookies: Cookies có thời hạn sử dụng và để giảm thiểu thiệt hại khi cookie bị đánh cắp, ta nên cấu hình cookies với thời hạn nhất định trong khoảng vài ngày tới vài tuần, tuỳ theo yêu cầu của ứng dụng và người dùng.

- Sử dụng RESTful API và Token để xác thực. Token sẽ được gắn vào header của mỗi request nên sẽ tránh được cả lỗi CSRF. 

Hiện tại công ty Rabiloo, chúng tôi đã và đang sử dụng các phương thức tăng cường bảo mật trong 100% dự án. Chúng tôi luôn đảm bảo an toàn về bảo mật và tối ưu hóa trải nghiệm của khách hàng. 

Kết luận.

Các cách tấn công mạng rất đa dạng và nguy hiểm, trên đây chúng tôi đã chỉ ra cho bạn một số cách tấn công qua cookies phổ biến. Ngoài ra chúng tôi còn cung cấp giải pháp phát triển website với độ bảo mật cao giúp bạn an toàn tuyệt đối khi sử dụng. Liên hệ ngay với chúng tôi để được tư vấn.