Rate this post

Có thể những kẻ tấn công có thể thu thập thông tin về một ứng dụng bằng cách theo dõi thời gian cần thiết để hoàn thành một tác vụ hoặc đưa ra phản hồi. Ngoài ra, những kẻ tấn công có thể thao túng và phá vỡ các luồng quy trình kinh doanh được thiết kế bằng cách chỉ mở các phiên hoạt động và không gửi giao dịch của chúng trong khung thời gian “dự kiến”.

Các bài viết liên quan:

Các lỗ hổng logic thời gian quy trình là duy nhất ở chỗ các trường hợp sử dụng sai thủ công này phải được tạo ra xem xét thời gian thực thi và giao dịch dành riêng cho ứng dụng / hệ thống.

Thời gian xử lý có thể cung cấp / rò rỉ thông tin về những gì đang được thực hiện trong các quy trình nền của ứng dụng / hệ thống. Nếu một ứng dụng cho phép người dùng đoán kết quả chi tiết tiếp theo sẽ như thế nào bằng cách xử lý các biến thể thời gian, người dùng sẽ có thể điều chỉnh cho phù hợp và thay đổi hành vi dựa trên kỳ vọng và “trò chơi hệ thống”.

ví dụ 1

Đánh bạc video / máy đánh bạc có thể mất nhiều thời gian hơn để xử lý một giao dịch ngay trước khi có một khoản thanh toán lớn. Điều này sẽ cho phép những người chơi cờ bạc nhạy bén đánh bạc số tiền tối thiểu cho đến khi họ thấy thời gian xử lý dài, sau đó sẽ nhắc họ đặt cược tối đa.

Ví dụ 2

Nhiều hệ thống đăng nhập các quy trình yêu cầu tên người dùng và mật khẩu. Nếu quan sát kỹ, bạn có thể thấy rằng việc nhập tên người dùng không hợp lệ và mật khẩu người dùng không hợp lệ sẽ mất nhiều thời gian hơn để trả về lỗi so với việc nhập tên người dùng hợp lệ và mật khẩu người dùng không hợp lệ. Điều này có thể cho phép kẻ tấn công biết liệu họ có tên người dùng hợp lệ hay không và không cần dựa vào thông báo GUI.

Hình 4.10.4-1: Quy trình kiểm soát ví dụ của Biểu mẫu đăng nhập

Ví dụ 3

Hầu hết các Đấu trường hoặc đại lý du lịch đều có ứng dụng bán vé cho phép người dùng mua vé và giữ chỗ. Khi người dùng yêu cầu vé, chỗ ngồi sẽ bị khóa hoặc giữ chỗ chờ thanh toán. Điều gì sẽ xảy ra nếu kẻ tấn công vẫn giữ chỗ nhưng không trả phòng? Sẽ hết chỗ, hay không bán vé? Một số nhà cung cấp vé hiện chỉ cho phép người dùng 5 phút để hoàn thành một giao dịch hoặc giao dịch bị vô hiệu.

Ví dụ 4

Giả sử một trang web thương mại điện tử về kim loại quý cho phép người dùng mua hàng với báo giá dựa trên giá thị trường tại thời điểm họ đăng nhập. Điều gì sẽ xảy ra nếu kẻ tấn công đăng nhập và đặt hàng nhưng không hoàn tất giao dịch cho đến cuối ngày khi giá kim loại tăng lên? Liệu kẻ tấn công có nhận được mức giá thấp hơn ban đầu?

Mục tiêu kiểm tra

Xem lại tài liệu dự án để biết chức năng hệ thống có thể bị ảnh hưởng theo thời gian.

Phát triển và thực hiện các trường hợp sử dụng sai.

Làm thế nào để kiểm tra

Người thử nghiệm phải xác định các quy trình nào phụ thuộc vào thời gian, liệu đó có phải là cửa sổ cho một nhiệm vụ được hoàn thành hay đó là thời gian thực thi giữa hai quy trình có thể cho phép bỏ qua các kiểm soát nhất định hay không.

Sau đó, tốt nhất là tự động hóa các yêu cầu sẽ lạm dụng các quy trình đã phát hiện ở trên, vì các công cụ phù hợp hơn để phân tích thời gian và chính xác hơn so với kiểm tra thủ công. Nếu không thể, vẫn có thể sử dụng thử nghiệm thủ công.

Người kiểm tra nên vẽ một sơ đồ về cách quy trình hoạt động, các điểm tiêm và chuẩn bị các yêu cầu trước khi thực hiện thủ công để khởi chạy chúng tại các quy trình dễ bị tấn công. Sau khi thực hiện xong, cần phân tích chặt chẽ để xác định những điểm khác biệt trong quá trình thực hiện quy trình và nếu quy trình hoạt động sai so với logic kinh doanh đã thỏa thuận.

Biện pháp khắc phục hậu quả

Phát triển các ứng dụng có lưu ý đến thời gian xử lý. Nếu những kẻ tấn công có thể đạt được một số loại lợi thế từ việc biết các thời gian xử lý và kết quả khác nhau, hãy thêm các bước hoặc xử lý bổ sung để bất kể kết quả nào chúng được cung cấp trong cùng một khung thời gian.

Ngoài ra, ứng dụng / hệ thống phải có cơ chế để không cho phép những kẻ tấn công kéo dài giao dịch trong một khoảng thời gian “có thể chấp nhận được”. Điều này có thể được thực hiện bằng cách hủy hoặc đặt lại các giao dịch sau một khoảng thời gian nhất định đã trôi qua như một số nhà cung cấp vé hiện đang sử dụng.

Leave a Reply

Call now
%d bloggers like this: