Bạn có bao giờ tưởng tượng rằng khi truy cập vào một trang web đáng tin cậy và thực hiện các hành động bình thường, bạn lại có thể bị đánh lừa để thực hiện những hành động trái phép mà không hề hay biết? Đó chính là kỹ thuật tấn công Cross-Site Request Forgery (CSRF), một trong những mối đe dọa nghiêm trọng nhất đối với sự an toàn và bảo mật trên internet. 

Vậy cross site request forgery là gì? Tại sao nó lại trở thành một mối đe dọa lớn đối với người dùng? Hãy cùng tìm hiểu về khái niệm CSRF và cách thức tấn công CSRF hoạt động trong bài viết này.

1. Cross site request forgery là gì?

Cross-site request forgery (CSRF) là một loại tấn công mạng, trong đó kẻ tấn công lừa người dùng thực hiện các hành động không mong muốn trên một trang web mà họ đã đăng nhập bằng cách sử dụng quyền truy cập của người dùng đó. Thường thì người dùng sẽ không nhận ra rằng họ đang thực hiện các hành động này, vì vậy tấn công CSRF được coi là một trong những mối đe dọa nghiêm trọng đối với an ninh của các trang web.

Các tấn công CSRF thường xảy ra khi kẻ tấn công tạo ra một yêu cầu giả mạo hoặc chèn một mã độc vào một trang web khác, khiến cho khi người dùng truy cập vào trang web đó và đăng nhập, yêu cầu giả mạo được thực hiện và các hành động không mong muốn được thực hiện mà không được sự cho phép của người dùng.

2. Cách thức tấn công CSRF hoạt động

Kỹ thuật tấn công Cross-Site Request Forgery (CSRF) hoạt động bằng cách khai thác sự tin tưởng của trình duyệt web và người dùng. Thông thường, khi bạn đăng nhập vào một trang web, trình duyệt sẽ lưu trữ một số thông tin đăng nhập, chẳng hạn như tên đăng nhập và mật khẩu, dưới dạng cookies. Khi bạn thực hiện các hoạt động trên trang web đó, trình duyệt sẽ tự động gửi các yêu cầu đến máy chủ của trang web đó, kèm theo các thông tin xác thực.

Tấn công CSRF xảy ra khi kẻ tấn công tạo ra các yêu cầu giả mạo hoặc khai thác các yêu cầu đã tồn tại trong trình duyệt của người dùng để gửi đến máy chủ của trang web đó. Khi người dùng truy cập vào trang web đó, các yêu cầu giả mạo này sẽ được tự động gửi đi mà không cần sự cho phép hay sự nhận biết của người dùng. Điều này có nghĩa là, nếu kẻ tấn công đã lừa được người dùng truy cập vào trang web của họ, thì họ có thể thực hiện các hoạt động trái phép trên trang web đó.

3. Hậu quả của việc bị tấn công CSRF

Tấn công CSRF mang lại rất nhiều hậu quả

Tiết lộ thông tin cá nhân: Kẻ tấn công có thể sử dụng tấn công CSRF để truy cập và đánh cắp thông tin cá nhân của người dùng, như tên đăng nhập, mật khẩu hoặc thông tin tài khoản ngân hàng.

Mất dữ liệu quan trọng: Kẻ tấn công có thể sử dụng tấn công CSRF để xóa, chỉnh sửa hoặc thêm dữ liệu trên trang web mà người dùng đã đăng nhập. Điều này có thể dẫn đến mất dữ liệu quan trọng và ảnh hưởng đến hoạt động kinh doanh của các tổ chức.

Mất niềm tin của khách hàng: Nếu một trang web bị tấn công CSRF và dẫn đến các vấn đề an ninh, khách hàng có thể mất niềm tin vào trang web và không muốn sử dụng nó nữa. Điều này có thể ảnh hưởng đến doanh thu của trang web và danh tiếng của nó.

Lây nhiễm malware: Kẻ tấn công có thể sử dụng tấn công CSRF để chèn mã độc vào trang web mà người dùng đã đăng nhập. Nếu người dùng truy cập vào trang web đó, họ có thể bị lây nhiễm malware hoặc virus, gây hại cho máy tính hoặc thiết bị của họ.

4. Các phương pháp phòng chống CSRF 

Cross site request forgery là gì? Làm thế nào để phòng chống tấn công CSRF

4.1. Đối với User

Người dùng internet nên tuân thủ một số nguyên tắc sau để tránh trở thành nạn nhân của những cuộc tấn công CSRF:

  • Không nên lưu thông tin mật khẩu tại trình duyệt (không nên chọn các phương thức “lưu mật khẩu” hay “đăng nhập lần sau”
  • Nên đăng xuất thông tin đăng nhập vào tài khoản ngân hàng, tài khoản email, hay các trang mạng xã hội trên máy tính lạ
  • Không nên click vào đường link lạ mà nhận được qua email, facebook. Bạn nên đưa chuột vào đường link, phía dưới bên trái của trình duyệt sẽ hiện địa chỉ link đích. Sau đó, bạn kiểm tra xem đây có phải địa chỉ mình muốn truy cập hay không.
  • Không nên truy cập vào các website khác trong khi thực hiện giao dịch. Việc truy cập các trang website lạ có thể chứa mã khai thác của kẻ tấn công. 

4.2. Đối với Server

Hiện nay có khá nhiều biện pháp để phòng chống CSRF, tuy nhiên vẫn chưa có một giải pháp nào để ngăn chặn triệt để. Dưới đây là một số biện pháp mà các nhà phát triển có thể áp dụng để phòng chống CSRF hiệu quả.

4.2.1. Sử dụng SameSite cookies

SameSite cookies là một loại cookie được thiết kế để chỉ cho phép các yêu cầu từ cùng một trang web mà cookie đã được tạo ra. Bằng cách sử dụng SameSite cookies, các nhà phát triển có thể giảm thiểu nguy cơ tấn công CSRF bằng cách đảm bảo rằng các yêu cầu chỉ được gửi từ trang web gốc. 

4.2.2. Thiết lập Access-Control-Allow-Origin

Thiết lập Access-Control-Allow-Origin cho phép các trang web chỉ cho phép các yêu cầu từ các trang web cụ thể. Bằng cách giới hạn các trang web mà có thể gửi yêu cầu, các nhà phát triển có thể giảm thiểu nguy cơ tấn công CSRF. 

4.2.3. Sử dụng token CSRF

Phương pháp này yêu cầu trang web tạo ra một token ngẫu nhiên và bao gồm nó trong các yêu cầu từ người dùng. Khi một yêu cầu được gửi đến trang web, token này được kiểm tra để đảm bảo rằng yêu cầu đó được gửi từ người dùng chính xác và không phải là một yêu cầu giả mạo. 

4.2.4. Kiểm tra tính hợp lệ của yêu cầu

Các trang web có thể kiểm tra tính hợp lệ của các yêu cầu bằng cách sử dụng các phương pháp như kiểm tra referrer hoặc kiểm tra xác thực người dùng. Tuy nhiên, các phương pháp này có thể không đủ để ngăn chặn tấn công CSRF. 

Tạm kết 

Bài viết này đã cho bạn biết Cross site request forgery là gì? Đây là một trong những kỹ thuật tấn công phổ biến nhất trên internet, đe dọa đến tính bảo mật và an toàn cho người dùng trên các trang web. Tuy nhiên, chúng ta vẫn có thể giảm thiểu nguy cơ bị tấn công và đảm bảo an toàn thông tin cho người dùng trên trang web bằng các biện pháp phòng chống CSRF hiệu quả.


Stringee API cung cấp các tính năng như gọi thoại, gọi video, tin nhắn chat, SMS hay tổng đài chăm sóc khách hàng có thể được nhúng trực tiếp vào các ứng dụng/website của doanh nghiệp nhanh chóng. Hiện Stringee được tin dùng bởi hơn 1000 doanh nghiệp tại nhiều lĩnh vực như TPBank, Techcombank, VietinBank, Hanwha Life, Đất Xanh, VOVbacsi24, eDoctor,...