Skip to content
  • Đăng nhập
Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS
  • Đăng nhập
  • Khuyến mại
    • Tên miền
          • Đăng ký tên miền
            Miễn phí Email hoặc Hosting 1 năm
          • Bảng giá tên miền
          • Quy trình đăng ký tên miền
          • Gia hạn tên miền
            Duy trì tên miền với mức giá hợp lý
          • Kiểm tra tên miền
          • Thủ tục chuyển nhượng tên miền VN
          • Quy trình xử lý khiếu nại liên quan đến tên miền
    • Hosting
          • NVME Hosting
            Hosting tốc độ nhanh nhất hiện nay
          • Hosting Linux cPanel
            Giảm giá lên đến 40%
          • Hosting Linux DirectAdmin
            Off 15%: Hosting + Domain
          • Hosting WordPress
            Off 20%: Chuyển dịch vụ về BKNS
          • Hosting SEO
          • Hosting Windows
          • Reseller Hosting DirectAdmin
          • Reseller Hosting Cpanel
    • Email
          • Cloud Email Hosting
            Off 20%: Hosting + Domain + Email
          • Cloud Email Server
            Miễn phí SSL, Giảm giá 20%
          • Email Relay
            White list IP
          • Các hỏi đáp về dịch vụ Email
    • Cloud
          • Cloud VPS SSD
            Giảm giá lên tới 35%
          • VPS Giá Rẻ
          • Cloud VPS SEO
            Dành riêng cho SEO với 5 IP
          • Cloud VPS BK Misa
          • E-meeting
          • Cloud VPN
    • Máy chủ
          • Cho thuê máy chủ
            Thuê máy chủ tặng máy chủ
          • Dịch vụ quản trị máy chủ trọn gói
            Yên tâm, an toàn dữ liệu
          • Thuê chỗ đặt máy chủ
            Miễn phí 400W điện
          • Máy chủ cho MMO
            Tương tác tốt nhất với Youtube, FB, Google và MMO
          • Thuê Máy Chủ Riêng
    • Phần mềm
          • DirectAdmin
          • Softaculous
          • Cloudlinux CloudLinux
          • Cpanel/WHM
          • Imunify360
          • Plesk Obsidian
          • vBulletin
          • LiteSpeed
    • Website
    • Chứng chỉ SSL
    • Đại lý
      • Chính sách đại lý
      • Bảng giá đại lý
      • Các hỏi đáp về đại lý
    • Hướng dẫn
      • Hướng dẫn thanh toán
      • Hướng dẫn dịch vụ
      • Hướng dẫn sử dụng trang id.bkns.vn
      • Cam kết chất lượng mức dịch vụ (SLA)
  • Khuyến mại
Trang chủ » CSRF là gì? Tổng hợp kiến thức cần biết về CSRF

CSRF là gì? Tổng hợp kiến thức cần biết về CSRF

29/11/2022 16:38 | Lượt xem : 89

Đôi khi bạn vô tình truy cập vào một website nào đó và bị mất mật khẩu. Lúc đó bạn mới nhận ra trang mình vừa truy cập là một trang giả mạo trang web gốc mà bạn muốn truy cập ban đầu. CSRF là một dạng tấn công đánh cắp tài khoản dựa trên giả mạo những trang web chính. Cùng tìm hiểu CSRF là gì, làm sao để phòng tránh các cuộc tấn công CSRF. Tất cả đều có trong bài viết dưới đây, cùng BKNS theo dõi nhé. 

Cross Site Request Forgery (CSRF) là gì?
Cross Site Request Forgery (CSRF) là gì?

Mục lục

    • 0.1 Tìm hiểu về CSRF
    • 0.2 CSRF là gì?
    • 0.3 Hậu quả của một cuộc tấn công CSRF
    • 0.4 Một cuộc tấn công CSRF diễn ra như thế nào?
      • 0.4.1 Điều kiện để một cuộc tấn công CSRF có thể diễn ra
      • 0.4.2 Ví dụ về cuộc tấn công CSRF
  • 1 Cách phòng chống CSRF
    • 1.1 Phòng chống CSRF phía server
      • 1.1.1 Sử dụng Captcha, OTP và các yêu cầu xác thực bảo mật khác
      • 1.1.2 Kiểm tra địa chỉ IP
      • 1.1.3 Sử dụng phương án csrf_token
    • 1.2 Phòng chống CSRF phía client
  • 2 Kết luận

Tìm hiểu về CSRF

CSRF là gì?

CSRF là một kỹ thuật tấn công giả mạo chính chủ thể của chúng. Nó còn được biết đến với những cái tên như: ross-site Request Forgery, XSRF hay session riding. Trong một vài trường hợp, CSRF được phát âm là sea-surf.

Hiểu đơn giản, một cuộc tấn công CSRF sẽ khiến người dùng thực hiện những hoạt động chứng thực với website rằng họ đang thực hiện. Sau đó, các hacker dựa vào thông tin/ thao tác của người dùng để đánh cắp dữ liệu chính chủ.

Hậu quả của một cuộc tấn công CSRF

CSRF gây ra những hậu quả nghiêm trọng cho khách truy cập
CSRF gây ra những hậu quả nghiêm trọng cho khách truy cập

Sau khi tấn công dữ liệu người dùng, các hacker sẽ tiến hành thực hiện các hoạt động: 

  • Thay đổi email, thông tin đăng nhập của người dùng
  • Đánh cắp thông tin cá nhân của người dùng trong tài khoản
  • Thực hiện việc chuyển tiền bất hợp pháp
  • Tùy thuộc vào mục đích cuộc tấn công, hacker có thể chỉ yêu cầu thực hiện một số hành động. Hoặc chiếm hẳn quyền điều khiển tài khoản của người dùng.
  • Trong trường hợp tài khoản đó là tài khoản quản lý ứng dụng hay một website.  Bọn hacker sẽ chiếm hoàn toàn quyền điều khiển website, ứng dụng.

>>> Tham khảo: Mã độc tống tiền Ransomware là gì? – Làm sao để phòng chống?

Một cuộc tấn công CSRF diễn ra như thế nào?

Điều kiện để một cuộc tấn công CSRF có thể diễn ra

Để một cuộc tấn công CSRF diễn ra, cần có 3 điều kiện chính:

  • Hành động yêu cầu của kẻ tấn công nhắm vào những đặc quyền của người dùng như đổi mật khẩu, yêu cầu chuyển tiền,…
  • Cuộc tấn công CSRF sẽ diễn ra dựa vào session cookies của nạn nhân. Ví dụ: hacker đưa hàng loạt HTTP request vào ứng dụng. Ứng dụng không thể phân biệt được đâu là yêu cầu của người dùng, đâu là yêu cầu của hacker. Và từ đó nạn nhân dính bẫy. 
  • Không nhắm đến những thông tin không thể biết trước. Ví dụ, nếu một hành động hacker nhắm đến yêu cầu những thông tin không thể đoán hay không thể tìm được ví dụ như yêu cầu chuyển khoản ngân hàng. Hành động này sẽ yêu cầu khá nhiều thứ như: OTP, mật khẩu lẫn một số yêu cầu xác thực danh tính khác.

Ví dụ về cuộc tấn công CSRF

Một lần lướt web, bạn quyết định truy cập vào một trang web không đáng tin cậy và có nhiều khả năng chứa nhiều thứ độc hại như: website chứa nội dung 18+, website bóng đá, cá độ,…

Bạn vô tình bấm vào một banner hay website. Bỗng dưng xuất hiện một yêu cầu đăng nhập tài khoản Facebook mới có thể tiếp tục xem nội dung. Và bạn thực hiện đăng nhập theo yêu cầu của website.

Tuy nhiên bạn đừng nên bấm vào link đó, vì nó sẽ dẫn bạn đến 1 trang Facebook giả mạo khác với Facebook thật. Khi đăng nhập thông tin vào trang giả mạo đó, tin tặc sẽ lợi dụng sơ hở để đổi mật khẩu và đánh cắp thông tin của bạn. 

Cách phòng chống CSRF

Hiện tại chưa có biện pháp nào phòng chống hiệu quả các cuộc tấn công CSRF. Nó phụ thuộc phần lớn vào ý thức của bạn khi truy cập mạng internet. Không nên tò mò truy cập vào các website lạ trên mạng. Một số phương pháp phòng chống đến từ phía client và server bạn có thể tham khảo: 

Phòng chống CSRF phía server

Nếu bạn xây dựng ứng dụng, bạn có thể học hỏi theo cách bảo mật của các ngân hàng và các nhà phát triển lớn như Amazon, Google như sau:

  • Sử dụng Captcha, OTP và các yêu cầu xác thực bảo mật khác
  • Kiểm tra địa chỉ IP
  • Sử dụng phương án csrf_token

Sử dụng Captcha, OTP và các yêu cầu xác thực bảo mật khác

Khi sử dụng Captcha, sẽ loại bỏ được khá nhiều bot thực hiện yêu cầu liên tục vào website, ứng dụng của bạn.

Đối với những thao tác đặc quyền như: thay đổi mật khẩu, đăng nhập, reset mật khẩu, thực hiện chuyển khoản, thanh toán đơn hàng,..  nên áp dụng những phương thức bảo mật như:

  • Yêu cầu sinh trắc vân tay trên các thiết bị di động
  • Yêu cầu OTP qua email, số điện thoại 
  • Gửi link yêu cầu xác nhận qua email, số điện thoại.
    Nếu bạn sử dụng Shopee, bạn sẽ thấy phương thức bảo mật này khá quen thuộc. 
  • Gửi yêu cầu đến thiết bị di động để xác nhận như của Google.

Kiểm tra địa chỉ IP

Một trong những điều các hacker thông thường hay dùng là sử dụng địa VPN để ẩn địa chỉ IP. Do đó, có thể chặn những địa chỉ IP của các VPN nhằm tránh tình trạng bị tấn công cũng là một giải pháp.

Sử dụng phương án csrf_token

CSRF-la-gi
Cách phòng chống CSRF

Token sẽ thay đổi liên tục trong session. Nếu các request thay đổi thông tin có trùng session ID, bạn có thể loại bỏ bớt những request đó.

Phòng chống CSRF phía client

Đối với người dùng, nên lưu ý những điều dưới đây để đảm bảo việc bảo mật tốt nhất: 

  • Đăng xuất tài khoản của bạn khi thực hiện các giao dịch, tài khoản, website quan trọng sau khi thực hiện xong công việc.
    Hiện tại, các sàn thương mại điện tử sẽ giúp bạn thực hiện điều này sau một thời gian bạn không sử dụng tài khoản để mua sắm. 
  • Không nên click vào các URL, liên kết đáng ngờ. Khái niệm “đáng ngờ” khá “mông lung” nhưng bạn chỉ cần cảnh giác với các địa chỉ email lạ, SMS lạ,…
  • Xóa cookies sau khi sử dụng website cũng là một cách để phòng chống CSRF hiệu quả.

Kết luận

Đến đây có lẽ bạn đã hiểu được CSRF là gì và hậu quả của CSRF. BKNS hy vọng bạn có thêm nhiều kiến thức để phòng tránh các cuộc tấn công CSRF, tự bảo vệ thông tin cá nhân khi truy cập mạng.
Thường xuyên truy cập BKNS để cập nhật nhiều bài viết hữu ích khác nữa.

Đọc thêm các bài viết khác: 

Có những loại website nào?

Tiêu chí của một website chuẩn SEO là gì? 

 

 

Thanh Huyền Lê

Xin chào

Bài viết liên quan

Top 8 trình duyệt web phổ biến hiện nay cho điện thoại và PC

13/01/2023

48

Để có thể sử dụng Internet hiệu quả thì không thể thiếu là các trình duyệt web tiện ích và hữu dụng. Trong bài viết...

5 bước tạo menu ngang trong HTML và CSS

13/01/2023

46

Menu là một trong những yếu tố quan trọng nhất đối với mọi website. Về cơ bản, đó là một tập hợp các liên kết...
ps trong linux ppid

8 công dụng và cách sử dụng lệnh ps trong Linux

12/01/2023

104

Lệnh ps trong Linux được sử dụng để liệt kê các tiến trình đang chạy. Lệnh ps có thể được sử dụng theo nhiều cách...
Google News là gì?

Google News là gì? 7 bước đưa website của bạn lên Google News

12/01/2023

90

Bên cạnh những tiện ích quen thuộc như Google Sites, Google Trends, Google Meets… thì Google News là một trong những công cụ được đánh...

3 bước sửa lỗi màn hình đen khi Remote Windows Server 2023

12/01/2023

93

Lỗi màn hình đen khi Remote Windows Server khá phổ biến và thường xuyên xảy ra. Do đó, BKNS sẽ hướng dẫn bạn sửa lỗi...
Danh mục
  • Các lỗi website
  • Cài đặt SSL
  • Chứng chỉ SSL
  • Cloud Computing
  • Cloud VPS
  • Control Panel
  • cPanel
  • Dedicate Server
  • Dịch vụ CDN
  • DirectAdmin
  • DirectAdmin
  • DNS
  • Email
  • Giới thiệu chung
  • Hosting (Linux, Windows)
  • Hosting Linux
  • Hosting windows
  • Hướng dẫn
  • Hướng dẫn đăng ký dịch vụ
  • Hướng dẫn quản lý dịch vụ
  • Hướng dẫn sử dụng hệ thống hỗ trợ
  • Hướng dẫn thanh toán
  • IP
  • Kiến thức chung
  • Phần mềm
  • Plesk 12/Onyx
  • Server
  • Tên miền
  • Thiết kế website
  • Thông báo
  • Tin tức
  • Tối ưu web
  • Tuyển dụng
  • VPS
  • VPS Windows
  • Website
  • WordPress
Xem tất cả bài viết

Về chúng tôi

  • Giới thiệu
  • Thông báo
  • Hướng dẫn
  • Tuyển dụng
  • Liên hệ

Các dịch vụ

  • Đăng ký tên miền
  • Hosting cPanel
  • Dịch vụ Email
  • Thuê VPS Giá Rẻ – Thuê Máy Chủ VPS
  • Thuê chỗ đặt máy chủ
  • Phần mềm
  • SSL & Bảo mật
  • Thiết kế website

Thông tin cần biết

  • Quy trình đăng ký tên miền
  • Chính sách riêng tư
  • Tư vấn chọn Hosting
  • Tư vấn chọn tên miền đẹp
  • Tư vấn Thiết kế website
  • Ý nghĩa phần đuôi tên miền

Câu hỏi thường gặp

  • Câu hỏi thường gặp
  • Các hỏi đáp về dịch vụ tên miền
  • Các hỏi đáp về dịch vụ hosting
  • Các hỏi đáp về dịch vụ Email
  • Các hỏi đáp về dịch vụ máy chủ
  • Hỏi đáp dịch vụ SSL
  • Các hỏi đáp về đại lý

Hướng dẫn sử dụng

  • Hỏi đáp dịch vụ SSL
  • Các hỏi đáp về đại lý
  • Các hỏi đáp về dịch vụ tên miền
  • Các hỏi đáp về dịch vụ máy chủ
  • Các hỏi đáp về dịch vụ hosting
  • Các hỏi đáp về dịch vụ Email
  • Hướng dẫn thanh toán
Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS

Số ĐKKD: 0104850587, cấp ngày 10/8/2010, tại sở KHĐT Hà Nội

Địa chỉ trụ sở: BT2-VT18, Khu nhà ở Xa La, Phường Phúc La, Quận Hà Đông, Thành phố Hà Nội, Việt Nam

Chịu trách nhiệm nội dung: Giám đốc Thịnh Văn Hạnh

Copyright © Since 2010 BKNS, All rights reserved

Sử dụng dịch vụ tại BKNS.VN có nghĩa là bạn đồng ý với Quy định sử dụng của chúng tôi.

Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS

Công ty cổ phần giải pháp mạng Bạch Kim

LocationTầng 5, Tòa nhà 169, Nguyễn Ngọc Vũ, Phường Trung Hòa, Quận Cầu Giấy, TP Hà Nội.

LocationLầu 2 Tòa nhà 1B1 Thành Thái, Cư Xá Đồng Tiến, Phường 14, Quận 10, TP. Hồ Chí Minh.

Phone Tổng đài 24/7: 1900 63 68 09

Phone Tư vấn dịch vụ: 1800 646 884 (Miễn phí cước)

Email Email liên hệ: info@bkns.vn

Email Email phản hồi dịch vụ: gopy@bkns.vn

Liên hệ với chúng tôi:

Zalo Offcial Account của hệ thống :

Zalo
Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS Nhà cung Cấp Hosting – Tên Miền – Cloud VPS | BKNS
Copyright © 2022 BKNS, All rights reserved
  • Tên miền
    • Đăng ký tên miền
      Miễn phí Email hoặc Hosting 1 năm
    • Bảng giá tên miền
    • Gia hạn tên miền
      Duy trì tên miền với mức giá hợp lý
    • Quy trình đăng ký tên miền
    • Quy trình xử lý khiếu nại liên quan đến tên miền
    • Thủ tục chuyển nhượng tên miền VN
    • Kiểm tra tên miền
  • Hosting
    • NVME Hosting
      Hosting tốc độ nhanh nhất hiện nay
    • Hosting Linux DirectAdmin
      Off 15%: Hosting + Domain
    • Hosting Linux cPanel
      Giảm giá lên đến 40%
    • Hosting WordPress
      Off 20%: Chuyển dịch vụ về BKNS
    • Hosting SEO
    • Hosting Windows
    • Reseller Hosting Cpanel
    • Reseller Hosting DirectAdmin
  • Email
    • Cloud Email Hosting
      Off 20%: Hosting + Domain + Email
    • Email Relay
      White list IP
    • Cloud Email Server
      Miễn phí SSL, Giảm giá 20%
    • Các hỏi đáp về dịch vụ Email
  • Cloud
    • Cloud VPS SEO
      Dành riêng cho SEO với 5 IP
    • Cloud VPS SSD
      Giảm giá lên tới 35%
    • VPS Giá Rẻ
    • Cloud VPS BK Misa
    • E-meeting
    • Cloud VPN
  • Máy chủ
    • Cho thuê máy chủ
      Thuê máy chủ tặng máy chủ
    • Thuê chỗ đặt máy chủ
      Miễn phí 400W điện
    • Dịch vụ quản trị máy chủ trọn gói
      Yên tâm, an toàn dữ liệu
    • Máy chủ cho MMO
      Tương tác tốt nhất với Youtube, FB, Google và MMO
    • Thuê Máy Chủ Riêng
  • Phần mềm
    • DirectAdmin
    • Cloudlinux CloudLinux
    • Plesk Obsidian
    • vBulletin
    • LiteSpeed
    • Softaculous
    • Imunify360
    • Cpanel/WHM
  • Website
  • Chứng chỉ SSL
  • Đại lý
    • Chính sách đại lý
    • Bảng giá đại lý
    • Các hỏi đáp về đại lý
  • Hướng dẫn
    • Hướng dẫn thanh toán
    • Hướng dẫn dịch vụ
    • Hướng dẫn sử dụng trang id.bkns.vn
    • Cam kết chất lượng mức dịch vụ (SLA)
  • WooCommerce not Found
  • Newsletter
  • Đăng nhập
  • Tên miền
    • Đăng ký tên miền
      Miễn phí Email hoặc Hosting 1 năm
    • Bảng giá tên miền
    • Gia hạn tên miền
      Duy trì tên miền với mức giá hợp lý
    • Quy trình đăng ký tên miền
    • Quy trình xử lý khiếu nại liên quan đến tên miền
    • Thủ tục chuyển nhượng tên miền VN
    • Kiểm tra tên miền
  • Hosting
    • NVME Hosting
      Hosting tốc độ nhanh nhất hiện nay
    • Hosting Linux DirectAdmin
      Off 15%: Hosting + Domain
    • Hosting Linux cPanel
      Giảm giá lên đến 40%
    • Hosting WordPress
      Off 20%: Chuyển dịch vụ về BKNS
    • Hosting SEO
    • Hosting Windows
    • Reseller Hosting Cpanel
    • Reseller Hosting DirectAdmin
  • Email
    • Cloud Email Hosting
      Off 20%: Hosting + Domain + Email
    • Email Relay
      White list IP
    • Cloud Email Server
      Miễn phí SSL, Giảm giá 20%
    • Các hỏi đáp về dịch vụ Email
  • Cloud
    • Cloud VPS SEO
      Dành riêng cho SEO với 5 IP
    • Cloud VPS SSD
      Giảm giá lên tới 35%
    • VPS Giá Rẻ
    • Cloud VPS BK Misa
    • E-meeting
    • Cloud VPN
  • Máy chủ
    • Cho thuê máy chủ
      Thuê máy chủ tặng máy chủ
    • Thuê chỗ đặt máy chủ
      Miễn phí 400W điện
    • Dịch vụ quản trị máy chủ trọn gói
      Yên tâm, an toàn dữ liệu
    • Máy chủ cho MMO
      Tương tác tốt nhất với Youtube, FB, Google và MMO
    • Thuê Máy Chủ Riêng
  • Phần mềm
    • DirectAdmin
    • Cloudlinux CloudLinux
    • Plesk Obsidian
    • vBulletin
    • LiteSpeed
    • Softaculous
    • Imunify360
    • Cpanel/WHM
  • Website
  • Chứng chỉ SSL
  • Đại lý
    • Chính sách đại lý
    • Bảng giá đại lý
    • Các hỏi đáp về đại lý
  • Hướng dẫn
    • Hướng dẫn thanh toán
    • Hướng dẫn dịch vụ
    • Hướng dẫn sử dụng trang id.bkns.vn
    • Cam kết chất lượng mức dịch vụ (SLA)
  • Zalo Chat Zalo
  • Messenger Chat Messenger