Một số trang website khuyến cáo hay có bài hướng dẫn chúng ta dùng file .Htaccess để ngăn chặn ddos, tấn công xss hay tấn công sql injection.

Tuy nhiên qua kiểm thử mình thấy những cách này đều thể rõ là không hiệu quả và thực tế chỉ là che mắt người thường chứ thực chất không có tác dụng gì trong việc chống tấn công tôi sẽ lấy ví dụ cụ thể minh họa cho từng trường hợp

Một số trang website cho rằng dùng mã sau đây có thể chặn tấn công sql injection

Nhùn có vẻ rờm rà và khủng đấy nhưng chúng ta chỉ chú ý đoạn code sau

Đoạn mã này cho chúng ta thấy rằng sẽ xóa tất cả các ký tự có trong link như set|cast|convert|delete|drop|exec|insert|meta|script|select|truncate|update

vậy một vấn đề nếu tôi dùng đoạn code như sau

Chú ý tôi đang dùng UNIunionON SEselectLECT sau khi đi qua .htaccess xóa các ký tự có trong link như trên thì nó lại vẫn còn nguyên UNION SELECT vậy là firewall của bạn chả có ý nghĩa gì ở đây!

Rõ ràng đoạn code trên thực tế không có tác dụng gì trong việc ngăn chặn cả nó chỉ là làm mầu!

Chống tấn công LFI

Một số trang bạn có thể tìm thấy trên google sẽ thấy dùng đoạn code sau để tránh LFI

Code trên sẽ có tác dụng khi bạn nhập link cóp dạng

Tuy nhiên đối với cách này thì chúng ta có thể lợi dụng tính năng mã hóa url và sử dụng Double encoding để tấn công vô hiệu hóa ngay cái .htaccess  của bạn phía trên

Bạn có thể tham khảo một số Playload bypass tại đây để biết thêm chi tiết

.cchặn xss?

Đoạn code trên thường được cho rằng chặn được xss tuy dài vậy nhưng chúng ta chỉ cần chú ý đoạn

REQUEST_URI nó chỉ qua tâm tới các dấu ></ mà quên mất rằng chúng có mã hóa và bypass tương tự LFI các bạn có thể tìm thấy list các cách bypass ở các link sau:

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

https://84692bb0df6f30fc0687-25dde2f20b8e8c1bda75aeb96f737eae.ssl.cf1.rackcdn.com/–xss.html

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/XSS%20injection/XSS%20in%20Angular.md

Qua thực tế thì mình thấy các cách trên mạng thực chất chỉ là có cho đẹp nó không có tác dụng khi bạn bị tấn công có chủ ý. Chính vì thế đừng ảo tưởng về sức mạnh của file .htaccess

Leave a Reply

avatar
  Subscribe  
Notify of