Series bảo mật trong ASP.NET MVC - 2: Cross-Site Request Forgery (CSRF)

Cách tấn công CSRF này gọi là giả mạo request khi chúng giả mạo một request không phải từ chính website mà hacker sẽ giả lập request để gửi các thông tin lên server mà không qua hệ thống website. Cho phép kẻ tấn công giả mạo thông tin user để thực hiện các hành vi ngoài mong muốn.

Hãy xem ví dụ sau.

Người dùng đăng nhập vào tài khoản ngân hàng
Ngân hàng cấp quyền và một session bảo mật được khởi tạo giữa user và hệ thống ngân hàng.
Hacker gửi một email với link nói rằng bạn có thể kiếm 1.000.000 USD ngay bây giờ.
Người dùng click vào link nguy hiểm trên, site sẽ chuyển tiền từ account của bạn về tài khoản của hacker. Bởi vì sesion đó được khởi tạo và các đoạn mã đọc sẽ thực thi thành công.

Microsoft đã biết vấn đề này và để ngăn chặn nó bạn chỉ cần gọi AntiForgeryToken.

Giải pháp:-

Chúng ta cần thêm @Html.AntiForgeryToken() vào trong thẻ form. Và các Action Method nhân jcacs request Post này cần phải đặt attribute [ValidateAntiForgeryToken] để kiểm tra nếu token là hợp lệ.

Thêm [AntiForgeryToken] vào View

Hình 2. Adding AntiForgeryToken on View.

Adding [ValidateAntiForgeryToken] Attribute to HttpPost[HttpPost] Method.

Hình 3. Thêm ValidateAntiForgeryToken vào phương thức [HttpPost]

Cơ chế của AntiForgeryToken

Khi chúng ta thêm AntiForgeryToken vào View sẽ tạo ra một hidden field và gán một token duy nhất vào trong khi một session cookie được gửi về trình duyệt.

Khi chúng ta gửi request POST lên nó sẽ kiểm tra token hidden field có tên __RequestVerificationToken có tồn tại hay không. Nếu cookie hoặc hidden field __RequestVerificationToken bị thiếu, hoặc giá trị khống đúng. ASP.NET MVC sẽ không xử lý requesst này. Việc này ngăn chặn việc tấn công giả mạo.

RequestVerificationTokenon View.