Bảo mật tài khoản: Cách chống lại tấn công Enumeration và Timing Attack trong ứng dụng Web

Lê Lân

17/08/2025

Các Loại Tấn Công Liệt Kê (Enumeration Attacks) và Tấn Công Dựa Trên Thời Gian (Timing Attacks) trong An Ninh Ứng Dụng

Mở Đầu

Trong lĩnh vực bảo mật ứng dụng, hiểu và phòng tránh các loại tấn công phổ biến như tấn công liệt kê và tấn công dựa trên thời gian là vô cùng quan trọng để bảo vệ người dùng và hệ thống khỏi bị xâm phạm dữ liệu.

Hai loại tấn công này thường lợi dụng các điểm yếu trong cách hệ thống phản hồi, từ đó rút ra thông tin nhạy cảm như email hợp lệ, mật khẩu, hoặc trạng thái xác nhận tài khoản. Bài viết này sẽ phân tích chi tiết về các kỹ thuật tấn công này, nguyên nhân gây ra, cách phát hiện, cũng như những phương án phòng tránh và xử lý hiệu quả áp dụng trong các hệ thống thực tiễn, đặc biệt là trong môi trường Ruby on Rails với Devise và Rack-Attack.

1. Tấn Công Liệt Kê (Enumeration Attacks) 🕵️‍♂️

1.1. Tấn Công Liệt Kê Là Gì?

Tấn công liệt kê là dạng khai thác điểm yếu trong cơ chế phản hồi của hệ thống nhằm khám phá thông tin hợp lệ, chẳng hạn như tên người dùng, email hay trạng thái của tài khoản. Ví dụ điển hình là khi hệ thống báo lỗi khác biệt giữa “Tên đăng nhập không tồn tại” và “Mật khẩu không chính xác”, kẻ tấn công có thể dựa vào đó để xác định tài khoản hợp lệ và tiến hành tấn công mật khẩu.

Việc phân biệt thông báo lỗi giúp kẻ xấu dễ dàng thu thập danh sách tài khoản hợp lệ, từ đó thực hiện các cuộc tấn công tiếp theo như brute-force hoặc dictionary attacks.

1.2. Rủi Ro Ngoài Kỹ Thuật

Việc tiết lộ trạng thái tồn tại của email hoặc tên người dùng còn ảnh hưởng nghiêm trọng đến quyền riêng tư của người dùng, đặc biệt khi email mở ra các dữ liệu cá nhân có thể suy luận như họ tên, tổ chức...

1.3. Ví Dụ Minh Họa

source: upguard.com

1.4. Nguyên Tắc Phòng Tránh

Tránh kiểm tra duy nhất sự tồn tại của dữ liệu cá nhân như email trên giao diện người dùng.

Thay thế các thông báo lỗi chi tiết bằng các thông báo chung chung và trung lập, ví dụ “Thông tin đăng nhập không hợp lệ”.

Khi người dùng nhập email đã tồn tại trong đăng ký, hiển thị thông báo thành công để không phân biệt được email đó đã được đăng ký hay chưa.

1.5. Ví Dụ Ứng Dụng Thực Tiễn Với Ruby on Rails và Devise

Bật chế độ config.paranoid = true trong Devise để ngăn chặn việc trả về thông tin xác thực email chưa được xác nhận khi mật khẩu sai (giữ bí mật trạng thái tài khoản).

Đối với form đăng ký và đặt lại mật khẩu, luôn trả về thông báo chung khi người dùng nhập email (có thể có hoặc không trong hệ thống).

source: stackexchange.com

2. Tấn Công Dựa Trên Thời Gian (Timing Attacks) ⏱️

2.1. Khái Niệm

Theo Medium , tấn công dựa trên thời gian là kiểu khai thác lỗ hổng hệ thống dựa trên sự khác biệt nhỏ trong thời gian phản hồi hệ thống cho các đầu vào khác nhau để suy ra thông tin bí mật.

2.2. Cách Hoạt Động

Tấn công phân tích độ trễ phản hồi của các thao tác, ví dụ login, để xác định xem một email hay tên người dùng có tồn tại hay không.

Kẻ tấn công gọi nhiều lần với dữ liệu khác nhau và so sánh thời gian trả về nhằm rút ra thông tin.

source: propelauth.com

2.3. Phòng Ngừa Với Rack-Attack Gem

Sử dụng Rack-Attack để áp dụng giới hạn tần suất truy cập (throttling) cho các form đăng nhập để giảm khả năng thử liên tục, bao gồm:

Giới hạn số lần đăng nhập từ một địa chỉ IP trong khoảng thời gian nhất định.

Cảnh báo hoặc khóa trước các IP/tham số Ip bị nghi ngờ.

Phương án	Mục đích	Ví dụ code
Giới hạn IP đăng nhập	Giảm rủi ro dò tìm tài khoản	```ruby throttle("logins/ip", limit: 5, period: 20.seconds) do	req	req.ip if req.path.starts_with?("/admin/sign_in") && req.post? end```

Cần thận trọng với việc giới hạn theo email vì có thể gây tấn công từ chối dịch vụ (DDoS) nếu kẻ tấn công spam email người khác.

Tham khảo chi tiết Rack-Attack Throttling

2.4. Phòng Tránh Cho Các Form Khác (Đăng Ký, Đặt Lại Mật Khẩu)

Sử dụng mô hình xử lý đăng ký và reset mật khẩu theo luồng xử lý không đồng bộ (sử dụng background jobs).

Thay vì xử lý trực tiếp trên request, lưu trữ dữ liệu đăng ký/tạm thời đã mã hóa, xử lý ở bước sau.

source: discourse.org

3. Một Số Kỹ Thuật Cải Tiến Cụ Thể Trong Rails

3.1. Lưu Trữ Tạm Thời Với Mã Hóa Dữ Liệu

# Ví dụ Migration tạo bảng lưu trữ tạm
create_table :registration_requests, id: :uuid do |t|
  t.string :email
  t.string :encrypted_password, null: false, default: ""
  t.string :first_name
  t.string :last_name
  t.timestamps
end

Sử dụng mã hóa dữ liệu trong RegistrationRequest để tránh lưu trữ dữ liệu cá nhân dạng thuần túy.

Sử dụng Active Record Encryption trong Rails giúp đảm bảo bảo mật dữ liệu.

3.2. Chuyển Dữ Liệu Từ Đăng Ký Tạm Sang Người Dùng

Sử dụng skip_password_validation để bypass kiểm tra mật khẩu trong quá trình tạo user mới dựa trên bản đăng ký tạm đã mã hóa.

Sao chép trực tiếp chuỗi mật khẩu đã mã hóa từ đăng ký tạm sang User :

user.encrypted_password = registration_request.encrypted_password

3.3. Ví Dụ Mô-đun Đăng Ký Người Dùng (Use Case)

module Auth
  module UseCases
    class RegisterUser < BaseUseCase
      def call(params:)
        user = nil
        ActiveRecord::Base.transaction do
          user = User.build(params)
          user.skip_password_validation = true
          user.save!
          user.skip_password_validation = false
        end
        user
      end
    end
  end
end

3.4. Cấu Hình Devise Paranoid Mode

# config/initializers/devise.rb
config.paranoid = true

Khi bật, Devise sẽ trả về thông báo chung cho các quá trình như xác nhận email, đổi mật khẩu... bất kể email có tồn tại hay không.

4. Tổng Kết & Lời Kêu Gọi Hành Động

Việc ngăn chặn tấn công liệt kê và tấn công dựa trên thời gian đóng vai trò then chốt trong việc bảo mật hệ thống và bảo vệ quyền riêng tư người dùng.

Bằng cách chuẩn hóa thông báo lỗi, mã hóa dữ liệu tạm, triển khai xử lý bất đồng bộ và sử dụng giới hạn truy cập hiệu quả (như Rack-Attack), các nhà phát triển có thể xây dựng hệ thống vững chắc trước các mối đe dọa phổ biến này.

Hãy áp dụng ngay các nguyên tắc và kỹ thuật nêu trên để nâng cao an toàn cho ứng dụng và bảo vệ người dùng của bạn!

Tham Khảo

OWASP - Authentication and Error Messages

UpGuard - What Is An Enumeration Attack?

TechTarget - What enumeration attacks are and how to prevent them

Medium - Introduction to Timing Attacks!

Rack-Attack Gem - Github Repository

Rails Guides - Active Record Encryption

Devise Token Auth - Sessions Controller Source

Discourse - Email Enumeration Vulnerability Discussion

YouTube - Devise pitfalls and way to tighten security

Propelauth - What does timing attack actually mean

Cover image source: DeepAI