CSRF (Cross-Site Request Forgery) là một lỗ hổng bảo mật web mà trong đó một kẻ tấn công lừa người dùng đã xác thực để thực hiện các hành động mà họ không hề mong muốn trên một trang web mà người dùng đã đăng nhập. CSRF có thể dẫn đến việc thay đổi thông tin, chuyển tiền, hoặc các hành động nguy hiểm khác mà người dùng không hề nhận ra.
Giả sử chúng ta có một trang web ngân hàng trực tuyến (Website A) với một chức năng chuyển tiền. Người dùng có thể chuyển tiền bằng cách gửi một yêu cầu POST tới URL https://bank.com/transfer với các tham số như sau:
POST /transfer Host: bank.com Content-Type: application/x-www-form-urlencoded Cookie: session=abc123 amount=1000&to_account=123456789
Người dùng đăng nhập vào Website A: Người dùng Alice đăng nhập vào tài khoản ngân hàng trực tuyến của mình trên Website A và hệ thống lưu lại phiên đăng nhập của cô ấy dưới dạng cookie.
Truy cập trang web độc hại (Website B): Alice sau đó vô tình truy cập vào một trang web độc hại (Website B) được kiểm soát bởi kẻ tấn công. Website B chứa mã HTML hoặc JavaScript như sau:
<!DOCTYPE html> <html> <body> <h1>Check out this cool site!</h1> <img src="https://bank.com/transfer?amount=1000&to_account=987654321" style="display:none;" /> </body> </html>
Hoặc một form ẩn được tự động gửi:
<!DOCTYPE html> <html> <body onload="document.forms[0].submit()"> <form action="https://bank.com/transfer" method="POST"> <input type="hidden" name="amount" value="1000"> <input type="hidden" name="to_account" value="987654321"> </form> </body> </html>
Yêu cầu chuyển tiền được gửi: Khi Alice truy cập vào Website B, trình duyệt của cô ấy sẽ tự động gửi yêu cầu chuyển tiền đến Website A mà cô ấy không hề hay biết. Vì Alice đã đăng nhập vào Website A và cookie phiên của cô ấy vẫn còn hiệu lực, yêu cầu này sẽ được xử lý như một yêu cầu hợp lệ.
Tiền bị chuyển: Website A nhận được yêu cầu chuyển tiền và vì yêu cầu đó chứa cookie phiên hợp lệ của Alice, tiền sẽ được chuyển từ tài khoản của Alice sang tài khoản của kẻ tấn công.
Mỗi yêu cầu không phải GET nên kèm theo một token CSRF duy nhất, được sinh ra ngẫu nhiên và được gán vào form hoặc header của yêu cầu. Khi server nhận yêu cầu, nó sẽ kiểm tra token này. Nếu token hợp lệ, yêu cầu sẽ được xử lý.
Kiểm tra giá trị của header Referrer để đảm bảo yêu cầu đến từ cùng một miền. Tuy nhiên, phương pháp này không hoàn toàn đáng tin cậy vì Referrer Header có thể bị thiếu hoặc bị thay đổi.
Thiết lập thuộc tính SameSite cho cookie để ngăn chặn việc gửi cookie trong các yêu cầu cross-site. Các giá trị SameSite có thể là Strict, Lax, hoặc None.
Hạn chế sử dụng các phương thức GET cho các hành động có tác động thay đổi dữ liệu. Sử dụng POST, PUT, DELETE, v.v. cho các yêu cầu thay đổi dữ liệu.
Đối với các hành động nhạy cảm, yêu cầu người dùng nhập lại mật khẩu hoặc xác thực lại thông qua một bước bảo mật khác.
Thiết lập chính sách CORS để chỉ cho phép các miền đáng tin cậy thực hiện yêu cầu đến server của bạn.
Laravel sử dụng CSRF token để bảo vệ các ứng dụng web khỏi các tấn công CSRF. Mặc định, các route trong Laravel được bảo vệ bởi CSRF middleware, ngoại trừ các route sử dụng phương thức GET, HEAD, OPTIONS.
Thêm CSRF Token vào Form: Khi bạn tạo một form trong Laravel, hãy đảm bảo rằng bạn thêm CSRF token vào form. Bạn có thể làm điều này bằng cách sử dụng blade directive @csrf:
<form method="POST" action="/transfer"> @csrf <input type="text" name="amount"> <input type="text" name="to_account"> <button type="submit">Transfer</button> </form>
Blade directive @csrf sẽ tự động tạo một hidden input với token CSRF:
<input type="hidden" name="_token" value="CSRF_TOKEN_HERE">
Sử dụng trong AJAX:
Khi gửi yêu cầu AJAX, cần thêm CSRF token vào header của yêu cầu. Bạn có thể lấy token từ meta tag trong trang HTML và thêm vào tất cả các yêu cầu AJAX. Laravel mặc định tạo một meta tag chứa token CSRF:
<meta name="csrf-token" content="{{ csrf_token() }}">
Có thể sử dụng JavaScript để lấy giá trị của token này và thêm vào header của yêu cầu AJAX. Dưới đây là một ví dụ với jQuery:
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });
Sau đó, bạn có thể thực hiện các yêu cầu AJAX như bình thường:
$.post('/transfer', { amount: 1000, to_account: '123456789' }, function(data) { console.log(data); });
Cấu hình CSRF Middleware:
Laravel cung cấp một middleware mặc định cho việc xử lý CSRF token. Middleware này nằm trong file VerifyCsrfToken.php:
namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { // Các route hoặc URI bạn muốn bỏ qua kiểm tra CSRF protected $except = [ // ]; }
Nếu bạn muốn bỏ qua kiểm tra CSRF cho một số route hoặc URI cụ thể, bạn có thể thêm chúng vào mảng $except.
Sử dụng thuộc tính SameSite cho Cookie:
Để tăng cường bảo mật, bạn có thể thiết lập thuộc tính SameSite cho cookie session của Laravel. Bạn có thể làm điều này trong file config/session.php:
'same_site' => 'lax', // hoặc 'strict', 'none'
Bằng cách này, cookie sẽ không được gửi trong các yêu cầu cross-site trừ khi chúng đến từ một navigation từ link trên cùng hoặc submit form (với giá trị lax).
Kiểm tra và rà soát lỗi CSRF (Cross-Site Request Forgery) là một bước quan trọng để đảm bảo rằng ứng dụng web của bạn được bảo vệ khỏi các tấn công CSRF. Dưới đây là các cách kiểm tra và rà soát lỗi CSRF:
OWASP ZAP (Zed Attack Proxy) là một công cụ mã nguồn mở được sử dụng rộng rãi để kiểm tra bảo mật web. Nó có thể phát hiện các lỗ hổng bảo mật, bao gồm cả CSRF.
Burp Suite là một công cụ bảo mật web phổ biến khác có thể giúp bạn kiểm tra và phát hiện các lỗ hổng CSRF.
Xác minh sự hiện diện của CSRF Token:
Kiểm tra tính ngẫu nhiên của CSRF Token:
Xác minh cấu hình SameSite: Kiểm tra rằng thuộc tính SameSite cho cookie session được thiết lập hợp lý (ví dụ: 'Lax', 'Strict').
Viết các bài kiểm thử đơn vị (Unit Test) để kiểm tra CSRF: Sử dụng PHPUnit để viết các bài kiểm thử nhằm đảm bảo rằng mọi yêu cầu POST, PUT, DELETE đều phải có CSRF token hợp lệ.
public function testCsrfProtection() { $response = $this->post('/transfer', [ 'amount' => 1000, 'to_account' => '123456789' ]); $response->assertStatus(419); // 419 status code indicates CSRF token mismatch }
Viết các bài kiểm thử giao diện người dùng (UI Test) để kiểm tra CSRF: Sử dụng Laravel Dusk để tự động hóa kiểm tra giao diện người dùng và đảm bảo rằng mọi form bao gồm CSRF token và yêu cầu bị từ chối nếu không có token hợp lệ.
public function testCsrfProtection() { $this->browse(function (Browser $browser) { $browser->visit('/transfer') ->type('amount', '1000') ->type('to_account', '123456789') ->press('Transfer') ->assertSee('CSRF token mismatch'); }); }
Đánh giá bảo mật định kỳ: