CSRF là gì? CSRF (Cross-Site Request Forgery) là một kỹ thuật tấn công mạng nguy hiểm, cho phép kẻ xấu giả mạo yêu cầu từ phía người dùng đã đăng nhập, từ đó thực hiện các hành động trái phép trên website mà người dùng không hề hay biết. Loại tấn công này không chỉ đe dọa người dùng cá nhân mà còn ảnh hưởng nghiêm trọng đến bảo mật và uy tín của doanh nghiệp. Cùng Palmolive tìm hiểu về cách phòng chống ngay nhé!

CSRF là gì?

CSRF khai thác sự tin cậy của website vào trình duyệt của người dùng. Khi người dùng đăng nhập, trình duyệt sẽ lưu cookie phiên đăng nhập và tự động đính kèm cookie này vào các yêu cầu tiếp theo. Nếu website không có biện pháp xác thực bổ sung, kẻ tấn công có thể gửi yêu cầu giả mạo (qua trang độc hại hoặc email chứa mã độc), khiến hệ thống xử lý như thể đó là hành động hợp lệ từ người dùng thật.

Cách thức hoạt động của CSRF

1. Người dùng đăng nhập vào một website hợp lệ và giữ phiên hoạt động.
2. Kẻ tấn công dụ người dùng truy cập vào một trang độc hại.
3. Trang này gửi yêu cầu giả mạo đến website đích thông qua trình duyệt của người dùng.
4. Website đích nhận được yêu cầu kèm cookie hợp lệ và thực hiện hành động (ví dụ: chuyển tiền, thay đổi mật khẩu).

Mức độ nguy hiểm của CSRF

• Hành động trái phép: Thực hiện thay đổi mà người dùng không hay biết như chuyển tiền, xóa tài khoản, đổi mật khẩu…
• Không cần đánh cắp thông tin: CSRF không yêu cầu mật khẩu, chỉ cần cookie còn hiệu lực.
• Khó phát hiện: Không có dấu hiệu rõ ràng như cửa sổ pop-up hay cảnh báo bất thường.
• Rủi ro cao với hệ thống tài chính và quản trị: CSRF có thể bị lợi dụng để chiếm đoạt tài khoản hoặc dữ liệu quan trọng.
• ​​​​​​​Khó phòng tránh nếu server thiếu bảo vệ: Người dùng không thể tự ngăn chặn nếu hệ thống không có cơ chế bảo mật phù hợp.

Cách phòng chống CSRF

Đối với người dùng:

• Luôn đăng xuất sau khi sử dụng các dịch vụ quan trọng, đặc biệt trên thiết bị công cộng.
• Không nhấp vào liên kết lạ từ email, tin nhắn hoặc website không rõ nguồn gốc.
• Cập nhật phần mềm và trình duyệt để vá các lỗ hổng bảo mật mới nhất.
• ​​​​​​​Cảnh giác với yêu cầu thay đổi thông tin: Luôn xác minh trước khi thực hiện.

Đối với máy chủ và nhà phát triển:

• Sử dụng CSRF Token: Gắn mã xác minh duy nhất vào mỗi yêu cầu có thể thay đổi dữ liệu. Server chỉ xử lý nếu token hợp lệ.
• Thiết lập SameSite cho cookies: Giới hạn cookie chỉ được gửi khi yêu cầu đến từ cùng một nguồn.
• Kiểm tra Origin và Referer Header: Từ chối các yêu cầu không đến từ nguồn tin cậy.
• ​​​​​​​Áp dụng CAPTCHA hoặc OTP: Thêm lớp xác minh cho các hành động nhạy cảm.
• Triển khai xác thực đa yếu tố (MFA): Bảo vệ tài khoản bằng nhiều lớp xác thực để giảm rủi ro chiếm quyền truy cập.

CSRF là mối đe dọa âm thầm nhưng cực kỳ nguy hiểm, có thể phá vỡ toàn bộ lớp bảo mật nếu không được xử lý đúng cách. Việc chủ động phòng ngừa bằng cách triển khai các biện pháp bảo mật ở cả phía người dùng và hệ thống là yếu tố then chốt để bảo vệ tài khoản, dữ liệu và danh tiếng doanh nghiệp.