Tin hoạt động
Web Application Firewall (WAF) - Khắc tinh của 7 cuộc tấn công ứng dụng web phổ biến nhất
Tường lửa ứng dụng web (WAF) là một trong những tuyến phòng thủ đầu tiên khi ngăn chặn các cuộc tấn công ứng dụng Web. WAF bảo vệ các ứng dụng Web và trang Web bằng cách lọc, giám sát và phân tích lưu lượng Giao thức truyền siêu văn bản (HTTP) và Giao thức truyền siêu văn bản an toàn (HTTPS) giữa các ứng dụng Web và Internet.
Các mối đe dọa nhắm mục tiêu vào ứng dụng Web rất đa dạng và phức tạp. Dựa trên dữ liệu từ các dịch vụ bảo mật đám mây và nhóm tình báo, Radware cảnh báo 7 cuộc tấn công ứng dụng web phổ biến nhất hiện nay, bao gồm:
1. Tấn công Injection
Injection Attacks là kiểu tấn công bảo mật phổ biến mà tin tặc thường sử dụng trong lĩnh vực phát triển ứng dụng web. Bằng cách chèn một đoạn mã độc hại hoặc các lệnh lên dữ liệu đầu vào của ứng dụng, kẻ tấn công sẽ lợi dụng những lỗ hổng trong xử lý dữ liệu để thực thi các mã đó trên hệ thống hoặc thu thập các thông tin nhạy cảm.
Các kiểu tấn công “Injection Attacks” phổ biến như: SQL, NoSQL, OS, and Lightweight Directory Access Protocol (LDAP).
Dạng tấn công Injection phổ biến nhất là SQL Injection (tấn công vào cơ sở dữ liệu SQL). Đây là kiểu tấn công đơn giản và dễ dàng thực hiện vì các tập lệnh SQL injection thường có sẵn và được tìm kiếm dễ dàng.
2. Tấn công Predictable Resource Location
Predictable Resource Location là một kỹ thuật tấn công được sử dụng để khám phá nội dung và chức năng ẩn của trang web. Bằng cách đưa ra những phỏng đoán có cơ sở thông qua Phương thức vét cạn (Brute force), kẻ tấn công đoán tên tệp và thư mục được bảo mật.
“Brute force” giúp cho việc tìm tên tệp dễ dàng hơn vì các tệp/đường dẫn thường có các quy ước đặt tên chung và nằm ở các vị trí tiêu chuẩn. Chúng có thể bao gồm các tệp tạm thời, tệp sao lưu, nhật ký, phần trang web quản trị, tệp cấu hình, ứng dụng demo và tệp mẫu. Các tệp này có thể tiết lộ thông tin nhạy cảm về trang web, nội bộ ứng dụng web, thông tin cơ sở dữ liệu, mật khẩu, tên máy, đường dẫn tệp đến các khu vực nhạy cảm khác, v.v.
Điều này sẽ không chỉ hỗ trợ kẻ tấn công trong việc xác định bề mặt trang web, dẫn đến các lỗ hổng trang web bổ sung mà còn có thể tiết lộ thông tin có giá trị về môi trường hoặc người dùng của nó. Hình thức tấn công Predictable Resource Location còn được biết đến như: forced browsing, forceful browsing, file enumeration, và directory enumeration.
3. Tấn công DDoS HTTP Flood
HTTP Flood là một loại phương thức tấn công Từ chối dịch vụ phân tán được tin tặc sử dụng để tấn công các máy chủ và ứng dụng web. HTTP Flood hoạt động bằng cách hướng một lượng lớn yêu cầu HTTP tại một trang web để làm quá tải các máy chủ mục tiêu với các yêu cầu.
Trong HTTP Flood, các máy khách HTTP, chẳng hạn như trình duyệt web, tương tác với một ứng dụng hoặc máy chủ để gửi các yêu cầu HTTP. Yêu cầu có thể là “GET” hoặc “POST”. Mục đích của cuộc tấn công là buộc máy chủ phân bổ càng nhiều tài nguyên càng tốt để phục vụ cuộc tấn công, do đó từ chối quyền truy cập của người dùng hợp pháp vào tài nguyên của máy chủ. Những yêu cầu như vậy thường được gửi hàng loạt bằng botnet, do đó làm tăng sức mạnh tổng thể của cuộc tấn công.
Các cuộc tấn công DDoS này có thể là một trong những mối đe dọa không tận dụng lỗ hổng tiên tiến nhất mà các máy chủ web phải đối mặt hiện nay. Các thiết bị bảo mật mạng rất khó phân biệt giữa lưu lượng HTTP hợp pháp và lưu lượng HTTP độc hại và nếu không được xử lý đúng cách, nó có thể gây ra nhiều phát hiện sai. Các công cụ phát hiện dựa trên tỷ lệ cũng không thành công trong việc phát hiện các loại tấn công này vì lưu lượng truy cập HTTP Flood có thể nằm dưới ngưỡng phát hiện. Do đó, cần sử dụng một số phát hiện tham số, bao gồm các tham số dựa theo lưu lượng và tham số không dựa theo lưu lượng.
Phần lớn lưu lượng truy cập internet ngày nay được mã hóa. Hầu hết các cuộc tấn công HTTP Flood là HTTPS Floods. Các đợt flood được mã hóa mạnh hơn do cần có lượng tài nguyên máy chủ cao để xử lý chúng. Chúng cũng gây khó khăn hơn để giảm thiểu các cuộc tấn công như vậy do hệ thống phòng thủ DDoS thường không thể kiểm tra nội dung của các yêu cầu HTTPS mà không giải mã hoàn toàn tất cả lưu lượng.
4. Tấn công HTTP Request Smuggling
HTTP Request Smuggling, còn được gọi là Tấn công không đồng bộ HTTP, là một kỹ thuật tấn công can thiệp vào cách trang web xử lý chuỗi yêu cầu HTTP nhận được từ một hoặc nhiều người dùng. Nó cho phép kẻ tấn công "chuyển lậu" yêu cầu đến máy chủ web mà không cần các thiết bị giữa kẻ tấn công và máy chủ web biết về nó. Các lỗ hổng HTTP Request Smuggling về bản chất thường rất nghiêm trọng và cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật, can thiệp vào các phiên người dùng khác, giành quyền truy cập trái phép vào dữ liệu nhạy cảm và trực tiếp xâm phạm những người dùng ứng dụng khác.
5. Tấn công File Path Traversal / Directory Traversal
Tấn công File Path Traversal (còn được gọi là Directory Traversal) là một lỗ hổng bảo mật web cho phép kẻ tấn công truy cập các tệp và thư mục được lưu trữ bên ngoài thư mục gốc của web. Các tệp này có thể bao gồm mã ứng dụng và dữ liệu, thông tin đăng nhập cho hệ thống phụ trợ và các tệp hệ điều hành nhạy cảm.
Những hacker thành công trong một chiến dịch File Path Traversal dẫn tệp bằng cách đánh lừa máy chủ web hoặc ứng dụng web đang chạy trên máy chủ trả về các tệp tồn tại bên ngoài thư mục gốc của web.
6. Tấn công Server-Side Request Forgery (SSRF)
Tấn công yêu cầu giả mạo từ phía máy chủ (SSRF) là khi kẻ tấn công khai thác lỗ hổng bảo mật web để khiến ứng dụng phía máy chủ thực hiện các yêu cầu HTTP tới miền tùy ý do kẻ tấn công chọn.
Trong một cuộc tấn công như vậy, hacker có thể lạm dụng chức năng trên máy chủ để đọc hoặc cập nhật tài nguyên nội bộ. Kẻ tấn công có thể cung cấp hoặc sửa đổi một URL mà mã chạy trên máy chủ sẽ đọc hoặc gửi dữ liệu tới và cho phép kẻ tấn công đọc cấu hình máy chủ như siêu dữ liệu AWS, kết nối với các dịch vụ nội bộ như cơ sở dữ liệu hỗ trợ HTTP,...
Một cuộc tấn công SSRF thành công thường có thể dẫn đến các hành động hoặc quyền truy cập trái phép vào dữ liệu trong tổ chức, trong chính ứng dụng kém bảo mật hoặc trên các hệ thống phụ trợ khác mà ứng dụng có thể giao tiếp. Trong một số trường hợp, lỗ hổng SSRF có thể cho phép kẻ tấn công thực hiện lệnh tùy ý. Ở một số trường hợp khác, khai thác SSRF gây ra các kết nối với hệ thống bên thứ ba bên ngoài, điều đó có thể dẫn đến các cuộc tấn công nguy hiểm tiếp theo, và bị coi như bắt nguồn từ tổ chức chứa ứng dụng dễ bị tấn công.
7. Tấn công Clickjacking
Clickjacking là một kiểu tấn công xảy ra ở phía máy khách và mục đích của nó là lừa người dùng ứng dụng nhấp vào thứ gì đó khác với những gì họ nhận thức được. Tin tặc thực hiện kiểu tấn công này bằng cách giấu phần mềm độc hại hoặc mã độc trong một điều khiển có vẻ hợp pháp trên một trang web, chủ yếu bằng JavaScript của các dịch vụ bên thứ ba thường không được giám sát bởi các công cụ bảo mật tiêu chuẩn của ứng dụng, từ đó khai thác các lỗ hổng trong chuỗi cung ứng ứng dụng.
Đây là một kỹ thuật độc hại được kẻ tấn công sử dụng để ghi lại các lần nhấp của người dùng bị tấn công trên internet. Ví dụ: Điều này có thể được sử dụng để hướng lưu lượng truy cập đến một trang web cụ thể hoặc để khiến người dùng thích hoặc chấp nhận ứng dụng Facebook. Các mục đích bất chính hơn có thể bao gồm thu thập thông tin nhạy cảm được lưu trên trình duyệt, chẳng hạn như mật khẩu hoặc để cài đặt nội dung độc hại.
>> WAF bảo vệ chống lại những cuộc tấn công này như thế nào?
WAF tận dụng các khả năng và cơ chế khác nhau để bảo vệ ứng dụng khỏi các cuộc tấn công đa dạng này. Điều này có thể bao gồm các chính sách bảo mật động với tính năng False-postiive, bảo vệ DDoS lớp ứng dụng, phát hiện và bảo vệ API, giảm thiểu bot, v..v..
6 tính năng của WAF và giải pháp WAAP giúp các tổ chức/doanh nghiệp chống lại các cuộc tấn công ứng dụng Web:
- Khả năng phát hiện và bảo vệ API toàn diện, cung cấp khả năng hiển thị, thực thi và giảm thiểu tất cả các hình thức lạm dụng và thao túng API cho cả môi trường on-premise và được lưu trữ trên đám mây.
- Bảo vệ DDoS HTTP được tích hợp để ngăn chặn các cuộc tấn công DDoS lớp ứng dụng.
- Quản lý bot được tích hợp để phát hiện và giảm thiểu các bot tinh vi, thế hệ 3 và thế hệ 4 bắt chước hành vi của con người.
- Cơ chế ngăn chặn rò rỉ dữ liệu để tự động che giấu dữ liệu nhạy cảm của người dùng, chẳng hạn như Thông tin nhận dạng cá nhân (PII).
- Kết hợp mô hình bảo mật tiêu cực và tích cực (negative and positive security model) sử dụng các công nghệ phân tích hành vi tiên tiến để phát hiện các mối đe dọa độc hại.
- Các công cụ sàng lọc và điều chỉnh chính sách có thể liên tục tối ưu hóa các chính sách bảo mật và thích ứng với những thay đổi trong ứng dụng, lưu lượng truy cập và các mối đe dọa.
VNCS - Đơn vị phân phối chính thức các giải pháp bảo mật của Radware. Hãy liên hệ với chúng tôi để được tư vấn chuyên sâu về tường lửa ứng dụng Web cùng các giải pháp bảo mật khác!
Nguồn: Radware