Cybozu Vietnam Tech Sharing

Recursive Request Exploits (RRE): Nguy Cơ Tiềm Ẩn Cho Web Hiện Đại

#cy-psirt#psirt#security
Nguyễn Đặng Hiếu
Nguyễn Đặng HiếuMay 15, 2025
Recursive Request Exploits (RRE): Nguy Cơ Tiềm Ẩn Cho Web Hiện Đại

Xem nhanh

Lời nói đầu

Trong bối cảnh các ứng dụng web ngày càng phụ thuộc vào các API để hoạt động, các kỹ thuật tấn công mới cũng liên tục xuất hiện để khai thác những lỗ hổng trong các hệ thống này. Một trong những phương pháp tấn công mới, được gọi là Recursive Request Exploits (RRE), đang thu hút sự quan tâm của cộng đồng bảo mật do khả năng khai thác các phụ thuộc API để tấn công vào các cơ chế xác thực, phân quyền và thanh toán.

Trong bài viết này, chúng ta sẽ tìm hiểu về khái niệm RRE, cách thức hoạt động, các kịch bản tấn công tiềm năng, và các biện pháp phòng chống hiệu quả.

1. Recursive Request Exploits (RRE) là gì?

Recursive Request Exploits (RRE) là một kỹ thuật tấn công mới nhắm vào các ứng dụng web hiện đại bằng cách lợi dụng sự phức tạp của các chuỗi API gọi đệ quy (recursive API calls). Bằng cách thao túng các yêu cầu (request) trong các chuỗi phụ thuộc này, attacker có thể khai thác các lỗ hổng bảo mật để:

  • Bypass cơ chế xác thực (Authentication bypass)
  • Lạm dụng phân quyền (Privilege escalation)
  • Tấn công cơ chế thanh toán (Payment manipulation)

RRE có thể đặc biệt nguy hiểm khi các ứng dụng web hoạt động dựa trên các API được kết nối theo chuỗi mà không có các biện pháp kiểm tra chặt chẽ.

2. Cơ chế hoạt động của RRE

Bước 1: Theo dõi và phân tích chuỗi phụ thuộc API

Các ứng dụng web hiện đại thường triển khai các tính năng dựa trên một loạt các API liên kết với nhau (chained API calls). Attacker có thể sử dụng các công cụ như Burp Suite, OWASP ZAP, hoặc Postman để theo dõi luồng request-response nhằm xác định các API phụ thuộc.

Bước 2: Thao túng các request theo cách đệ quy

Sau khi hiểu được chuỗi API này, attacker sẽ:

  • Thực hiện các request đệ quy, tức là gọi lặp lại hoặc theo chuỗi các API theo trình tự đặc biệt nhằm khai thác điểm yếu trong luồng xử lý.
  • Lặp lại request kèm theo thông tin được sửa đổi để đánh lừa hệ thống hoặc tạo ra trạng thái giả mạo.

Bước 3: Khai thác lỗ hổng

Khi thành công, attacker có thể:

  • Truy cập trái phép vào các tài nguyên bị hạn chế.
  • Thực hiện các giao dịch thanh toán không hợp lệ.
  • Gửi các yêu cầu đệ quy để làm sập hệ thống hoặc khai thác dữ liệu nhạy cảm.

3. Kịch bản tấn công thực tế phổ biến

Ví dụ 1: Bypass cơ chế xác thực

Giả sử ứng dụng web có hai API:

  • API A: Kiểm tra quyền hạn người dùng (Authentication).
  • API B: Xử lý giao dịch hoặc truy xuất dữ liệu.

Trong trường hợp này, nếu API B không tự kiểm tra lại quyền truy cập mà chỉ dựa vào kết quả từ API A, attacker có thể:

  • Gửi request hợp lệ đến API A để lấy token xác thực.
  • Thực hiện các request lặp lại đến API B, ngay cả khi token đã hết hạn hoặc bị thu hồi.

Ví dụ 2: Lạm dụng phân quyền

Nếu hệ thống chỉ kiểm tra quyền hạn tại bước đầu tiên và các API liên kết tiếp theo không thực hiện kiểm tra lại, attacker có thể thay đổi tham số trong các request đệ quy để mở rộng quyền truy cập hoặc thực hiện các hành động không được phép.

Ví dụ 3: Khai thác lỗi thanh toán

Trong các hệ thống thanh toán trực tuyến, nếu một API xử lý giao dịch không kiểm tra tính hợp lệ của giao dịch ở mọi bước, attacker có thể gửi các request đệ quy để lặp lại hoặc sửa đổi giao dịch, dẫn đến việc trừ tiền nhiều lần hoặc bỏ qua các bước xác minh quan trọng.

4. Công cụ hỗ trợ khai thác RRE

Để thực hiện thành công các cuộc tấn công RRE, attacker thường sử dụng các công cụ sau:

  • Burp Suite: Công cụ mạnh mẽ cho việc phân tích luồng request-response và tự động phát hiện chuỗi phụ thuộc giữa các API.
  • Burp Suite Extension (dành riêng cho RRE): Một extension tùy chỉnh sắp được ra mắt sẽ giúp tự động hóa việc dò tìm và khai thác lỗ hổng RRE.
  • Postman: Công cụ chuyên dùng để thử nghiệm API, hỗ trợ theo dõi và chỉnh sửa request để mô phỏng các request đệ quy.

Các công cụ này có thể giúp phát hiện và khai thác các điểm yếu trong hệ thống API một cách hiệu quả.

5. Phòng chống RRE

Để bảo vệ ứng dụng khỏi các cuộc tấn công RRE, các nhà phát triển nên áp dụng các biện pháp sau:

a. Kiểm tra xác thực và phân quyền tại từng API riêng lẻ

  • Mỗi API nên thực hiện kiểm tra quyền truy cập thay vì chỉ dựa vào kết quả từ các API khác.
  • Tránh phụ thuộc hoàn toàn vào token hoặc kết quả từ API đầu tiên mà không xác thực lại trong các bước sau.

b. Sử dụng token ngẫu nhiên và duy nhất

  • Mỗi request hoặc giao dịch nên được gán một mã định danh ngẫu nhiên (nonce) để tránh tình trạng lặp lại request đệ quy.
  • Token nên có thời gian sống (expired time) ngắn để giảm thiểu nguy cơ bị lạm dụng.

c. Giám sát và phân tích log

  • Theo dõi các request bất thường như việc lặp lại nhiều lần với thông tin giống nhau.
  • Xây dựng hệ thống phát hiện bất thường (IDS/IPS) để ngăn chặn các mẫu hành vi đáng ngờ.

d. Sử dụng các công cụ kiểm thử bảo mật

  • Áp dụng các công cụ như Burp Suite, OWASP ZAP, hoặc Postman để kiểm tra các lỗ hổng tiềm ẩn trong chuỗi API.

Kết luận

Recursive Request Exploits (RRE) là một kỹ thuật tấn công mới, phức tạp và có khả năng gây ảnh hưởng nghiêm trọng đến các ứng dụng web hiện đại. RRE tận dụng các chuỗi API phức tạp để vượt qua các cơ chế bảo mật truyền thống. Để giảm thiểu rủi ro này, các Developer cần tập trung vào việc xây dựng các cơ chế xác thực và phân quyền vững chắc, kết hợp với các công cụ bảo mật để phát hiện và khắc phục các lỗ hổng tiềm ẩn.

Việc tìm hiểu và triển khai các biện pháp phòng chống phù hợp sẽ giúp doanh nghiệp nâng cao khả năng bảo mật và bảo vệ người dùng trước các mối đe dọa mới trong môi trường web hiện đại.