Posted inSecurity

Bảo mật Web thực chiến: Săn lỗi XSS, SQLi và IDOR với Burp Suite Community

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Tại sao Burp Suite cần có trong bộ công cụ của lập trình viên

Bảo mật không còn là một “ô đánh dấu” lý thuyết đối với tôi kể từ lúc 3 giờ sáng một ngày thứ Ba. Tôi đã tận mắt chứng kiến server log tràn ngập hơn 10.000 lượt đăng nhập SSH thất bại từ một botnet duy nhất. Lời cảnh tỉnh đó đã thay đổi quy trình làm việc của tôi mãi mãi. Giờ đây, tôi không bao giờ mặc định code là an toàn chỉ vì nó vượt qua unit test. Tôi sử dụng Burp Suite để tìm ra các lỗ hổng trong logic của chính mình trước khi ai đó làm điều đó thay tôi.

Burp Suite Community Edition là tiêu chuẩn vàng cho các proxy chặn bắt (intercepting proxy). Hãy coi nó như một bức tường trong suốt giữa trình duyệt của bạn và máy chủ, một công cụ không thể thiếu bên cạnh việc kiểm tra bảo mật API. Nó cho phép bạn tạm dừng, đọc và thậm chí chỉnh sửa lưu lượng web ngay khi đang truyền tải. Trong khi phiên bản Professional có giá 449 USD một năm cho tính năng quét tự động, thì phiên bản Community miễn phí lại cực kỳ mạnh mẽ cho việc kiểm định (audit) thủ công nếu bạn biết cách vận hành.

Cài đặt Burp Suite trong 5 phút

Thiết lập môi trường chặn bắt là nơi hầu hết mọi người gặp khó khăn. Thông thường, đó là vấn đề về chứng chỉ (certificate). Hãy làm theo các bước sau để thực hiện đúng ngay từ lần đầu tiên.

1. Cấu hình Proxy

Mở Burp và đi tới tab Proxy, sau đó chọn Proxy Settings. Đảm bảo listener của bạn đang hoạt động trên 127.0.0.1:8080. Đừng tốn công thay đổi cài đặt proxy của toàn bộ hệ thống; việc đó rất phiền phức. Thay vào đó, hãy cài đặt tiện ích mở rộng FoxyProxy Standard trên Firefox. Tạo một profile mới cho Burp trên cổng 8080. Điều này giúp bạn bật/tắt tính năng chặn bắt chỉ với hai cú nhấp chuột.

2. Cài đặt CA Certificate

Hầu hết các trang web hiện nay đều sử dụng HTTPS. Nếu không có chứng chỉ gốc (root certificate) của Burp, trình duyệt của bạn sẽ hiển thị cảnh báo bảo mật lớn và chặn kết nối. Hãy bật proxy lên và truy cập http://burp. Nhấp vào CA Certificate để tải tệp xuống. Tiếp theo, vào trình quản lý chứng chỉ của trình duyệt và nhập tệp đó vào. Đảm bảo đánh dấu vào ô: “Trust this CA to identify websites” (Tin tưởng CA này để xác định các trang web).

3. Chặn bắt request đầu tiên

Chuyển sang tab Proxy -> Intercept và đảm bảo Intercept is on. Tải lại bất kỳ trang web nào. Request sẽ bị “đóng băng”, xuất hiện bên trong Burp. Bây giờ bạn có thể nhấn Forward để cho nó đi qua hoặc Drop để xóa nó trước khi nó kịp đến máy chủ.

Thực hành kiểm thử các lỗi phổ biến

Chúng ta sẽ tập trung vào ba lỗ hổng có tác động cao. Đây là những mục tiêu hoàn hảo cho công cụ Repeater của Burp. Để thực hành các kỹ thuật này một cách an toàn, bạn nên sử dụng một lab pen-test siêu nhẹ với Docker để tránh gây hại cho các hệ thống thực tế. Repeater cho phép bạn lấy một request duy nhất và gửi lại hàng chục lần với các payload khác nhau mà không cần chạm vào trình duyệt.

1. Reflected Cross-Site Scripting (XSS)

XSS xảy ra khi một ứng dụng phản hồi dữ liệu đầu vào của người dùng lên màn hình mà không làm sạch (sanitize) chúng trước. Hãy tìm các thanh tìm kiếm, các tham số URL như ?query=, hoặc các thông báo lỗi tùy chỉnh.

  • Tìm một trường tìm kiếm và nhập một chuỗi duy nhất như FIND_ME_123.
  • Trong HTTP History của Burp, tìm request GET đó.
  • Nhấn Ctrl+R để gửi nó sang Repeater.
  • Trong Repeater, thay thế FIND_ME_123 bằng <script>alert('XSS')</script>.
  • Nhấn Send. Nếu khung phản hồi (response) hiển thị thẻ script chính xác như bạn đã nhập, bạn đã tìm thấy một lỗ hổng. Nếu nó hiển thị &lt;script&gt;, lập trình viên đã làm sạch dữ liệu đầu vào thành công.

2. SQL Injection (SQLi)

SQL Injection vẫn là mối đe dọa hàng đầu đối với cơ sở dữ liệu, đặc biệt là khi tìm cách chặn SQLi và RCE trên các nền tảng phổ biến. Tôi luôn tìm kiếm các tham số trông giống như khóa cơ sở dữ liệu, chẳng hạn như product_id=101 hoặc cat=5. Ngay cả các framework hiện đại cũng có thể bị tổn thương nếu lập trình viên sử dụng các truy vấn thô (raw query) để “xử lý nhanh”.

Để kiểm tra SQLi cơ bản, hãy gửi một request tới Repeater và thêm một dấu nháy đơn (') vào giá trị:

GET /api/products?id=101' HTTP/1.1
Host: example.com

Lỗi 500 Internal Server Error hoặc thông báo đề cập đến “MySQL” hoặc “PostgreSQL” là một dấu hiệu cảnh báo lớn. Điều đó có nghĩa là dấu nháy của bạn đã phá vỡ truy vấn cơ sở dữ liệu. Để xác nhận, hãy thử một bài kiểm tra logic. Nếu id=101 AND 1=1 tải trang bình thường, nhưng id=101 AND 1=2 trả về lỗi hoặc trang trống, thì cơ sở dữ liệu đang thực thi mã code mà bạn đã chèn vào.

3. Insecure Direct Object Reference (IDOR)

IDOR là một lỗi logic mà các công cụ quét tự động thường bỏ sót. Nó xảy ra khi một ứng dụng tin tưởng người dùng trong việc xác định bản ghi nào được truy cập. Hãy tưởng tượng bạn đang xem hóa đơn của chính mình tại /billing/view?id=5001.

  1. Chặn bắt request xem hóa đơn của bạn.
  2. Gửi nó tới Repeater.
  3. Thay đổi ID từ 5001 thành 5000 hoặc 4999.
  4. Nhấp Send.

Nếu máy chủ trả về dữ liệu hóa đơn của người khác, bạn đã tìm thấy một lỗi IDOR nghiêm trọng. Tôi luôn kiểm tra điều này trên các nút “Cập nhật hồ sơ” (Update Profile) hoặc “Tải xuống PDF” (Download PDF). Các lập trình viên thường quên xác minh xem người dùng đang đăng nhập có thực sự sở hữu ID được yêu cầu hay không.

Vượt qua các Form “Bảo mật”

Xác thực phía máy khách (client-side validation) chỉ nhằm mục đích trải nghiệm người dùng, không phải để bảo mật. Nếu một form JavaScript ngăn bạn nhập số âm hoặc một chuỗi dài, Burp sẽ vượt qua điều đó hoàn toàn. Vì Burp bắt được lưu lượng sau khi trình duyệt xử lý xong, các bước kiểm tra JS đó không còn tồn tại nữa.

Tôi từng kiểm thử một trang thanh toán nơi menu thả xuống “Số lượng” (Quantity) chỉ cho phép từ 1 đến 10. Bằng cách chặn request và thay đổi số lượng thành -1, tổng giá tiền trở thành số âm, về cơ bản là nạp thêm tiền vào tài khoản. Luôn luôn xác thực dữ liệu trên máy chủ, vì phía máy khách nằm dưới quyền kiểm soát của kẻ tấn công.

Fuzzing với Intruder

Phiên bản Community giới hạn tốc độ của công cụ Intruder, nhưng nó vẫn tuyệt vời cho các tác vụ nhỏ. Nếu bạn cần kiểm tra xem 50 tệp phổ biến khác nhau như .env hoặc config.php có tồn tại trên máy chủ hay không, Intruder là người bạn đồng hành tốt nhất, hoặc bạn có thể tự động hóa bảo mật hạ tầng với Nuclei cho các quy mô lớn hơn.

Lời khuyên cuối cùng để kiểm thử tốt hơn

  • Thiết lập Scope: Sử dụng tab Target -> Scope để chỉ bao gồm URL mục tiêu của bạn. Lọc HTTP History của bạn để “Chỉ hiển thị các mục trong scope” (Show only in-scope items). Điều này ngăn lịch sử của bạn bị lộn xộn bởi lưu lượng nền từ các tab Gmail hoặc YouTube.
  • Sử dụng Decoder: Đừng dán dữ liệu nhạy cảm vào các trang web “Base64 Decoder” ngẫu nhiên. Burp có tab Decoder tích hợp sẵn giúp xử lý URL, Base64, Hex và nhiều định dạng khác một cách an toàn.
  • Tuân thủ pháp luật: Chỉ kiểm thử các ứng dụng bạn sở hữu hoặc những ứng dụng có chương trình Bug Bounty công khai. Sử dụng các công cụ này để xây dựng phần mềm kiên cố hơn, không phải để gây hại.
  • Tăng tốc với phím tắt: Hãy thành thạo Ctrl+R (Repeater) và Ctrl+I (Intruder). Việc di chuyển giữa các tab này nhanh chóng sẽ giúp bạn tiết kiệm hàng giờ đồng hồ trong quá trình kiểm định chuyên sâu.

Việc quan sát dữ liệu của bạn “trên đường truyền” mang lại một góc nhìn mà việc xem xét mã nguồn (code review) đơn thuần không thể sánh được, cũng giống như việc săn tìm SQLi và Web Shell qua Log để hiểu rõ hành vi của kẻ tấn công. Bằng cách sử dụng Burp Suite, bạn sẽ bắt đầu thấy được hệ thống “đường ống” ẩn sau trang web, giúp bạn trở thành một lập trình viên và nhà nghiên cứu bảo mật hiệu quả hơn nhiều.

Share:
Tags: