CAPTCHA không còn an toàn

Cho đến thời điểm này, OWASP Top 10 có 3 phiên bản: 2004, 2007 và 2010. Trong phiên bản 2010, rủi ro chèn dữ liệu ác ý (injection flaws) xếp đầu tiên, kịch bản chéo trang tấn công người dùng cuối (Cross-Site-Scripting) vị trí thứ 2 và chiếm phiên truy cập của người dùng (Broken Authentication and Session Management) từ vị trí số 7 năm 2007 lên thứ 3 năm 2010. Hai rủi ro bị loại bỏ khỏi danh sách là thực thi mã độc (Malicious File Execution), và quản lý thông tin lỗi trả về (Information Leakage and Improper Error Handling).Hầu hết các hệ thống web cho phép đăng ký người dùng đều có cơ chế xác thực người dùng bằng hình ảnh chứa các ký tự khó đọc. Mục đích để đảm bảo là con người thực đang thao tác.

Tuy nhiên, ông Dương Ngọc Thái, Trưởng phòng an toàn thông tin của ngân hàng Đông A và cộng tác Juliano Rizzo đã chỉ ra cách làm trên không còn được an toàn nữa.

Để chứng minh, ông Thái đã trình diễn giải mã chuỗi ký tự cần người dùng nhập vào từ 1 chuỗi ký tự mã hóa. Tổng thời gian tìm ra chuỗi ký tự hơn 4 phút. Để khắc phục điểm yếu này, ông Thái chia sẻ thêm, cách cơ bản là các nhà phát triển nên dùng các thư viện mã hóa có sẵn như Cryptlib khi cài đặt cơ chế xác thực người dùng.

Ở quan điểm là người đánh giá, kiểm định hệ thống bảo mật ông Cường Phạm, Giám đốc dự án của Athena chia sẻ: “đánh giá ứng dụng web có an toàn hay không là một quy trình gồm nhiều bước. Từ thu thập thông tin, phân tích cho đến thẩm định hệ thống theo nhiều cách khác nhau”.