Những lỗi bảo mật Website hay gặp
CÁC L I B O M T WEBSITE TH NG G P NH TỖ Ả Ậ ƯỜ Ặ Ấ
Các l i b o m t websiteỗ ả ậ ngày càng đa d ng, v i nhi u hình th c t n ạ ớ ề ứ ấ
công và gây thi t h i nghiêm tr ng. Làm th nào đệ ạ ọ ế ể b o m t ả ậ
website toàn di n, Securitybox s đ a ra nh ng l i b o m t website ệ ẽ ư ữ ỗ ả ậ
ph bi n nh t, kèm theo ví d ổ ế ấ ụ và nh ng gi i pháp c thữ ả ụ ể.
nh ng l i b o m t website th t khó l ng tr cữ ỗ ả ậ ậ ườ ướ
Theo chuyên gia b o m t Bùi Quang Minh, h u h t các website b g p v n ả ậ ầ ế ị ặ ấ
đ v b o m t là do k thu t l p trình, tính b o m t kém c a các ng ề ề ả ậ ỹ ậ ậ ả ậ ủ ứ
d ng, ph n m m dành cho website. Gi s nh ng d ng chat v i khách ụ ầ ề ả ử ư ứ ụ ớ
hàng online trên wesite online. N u ng d ng chat đó ch a đ c rà soát l ế ứ ụ ư ượ ỗ
h ng thì có th có kh năng ng d ng đó sổ ể ả ứ ụ ẽ ch a l h ng b o m t. Trên ứ ỗ ổ ả ậ
th c t , vi c ki m tra th nghi m tính b o m t c a website, ph n m m vàự ế ệ ể ử ệ ả ậ ủ ầ ề
các ng d ng còn đang r t ứ ụ ấ h n ch .ạ ế
– Theo th ng kố ế l i b o m t websiteỗ ả ậ vào năm 2015 thì có t i 9 website ớ
c a c quan nhà n c đã b t n công thay đ i giao di n. Cùng v i đó là ủ ơ ướ ị ấ ổ ệ ớ
144 đ ng d n b thay đ i, 227 đ ng d n phát tán mã đ c, 106 website bườ ẫ ị ổ ườ ẫ ộ ị
cài mã đ c.ộ
– Đáng chú ý h n, google Vi t Nam cũng đã b t n công vào 23/2/2015, v ơ ệ ị ấ ụ
vi c đ c xác minh là do nhóm hacker Lizard Squad. Và v vi c g n đây ệ ượ ụ ệ ầ
nh t làấ l i b o m t webỗ ả ậ c a c ng hàng khôngủ ả Tân S n Nh t, R ch Giá, ơ ấ ạ
Tuy Hòa đã b 2 b n tr 15 tu i t n công.ị ạ ẻ ổ ấ
V y nguyên nhân gây ra các l h ng b o m t website là gì ?ậ ỗ ổ ả ậ
1. Ph n m m, ng d ng mi n phíầ ề ứ ụ ễ
– Cũng nh nh ng ph n m m mi n phí t i v máy tính b nhi m virus, có ư ữ ầ ề ễ ả ề ị ễ
nh ng lo i virus b n ch c n CCleaner, bkav, ho c ph n m m di t virus ữ ạ ạ ỉ ầ ặ ầ ề ệ
thông th ng có th tránh đ c s c b o m t v website, máy tính cá ườ ể ượ ự ố ả ậ ề
nhân. Tuy nhiên có nh ng ph n m m b n không th xóa đ c mà c n ph iữ ầ ề ạ ể ượ ầ ả
nh s giúp đ c a nh ng ng i có chuyên môn.ờ ự ỡ ủ ữ ườ
– ng d ng mi n phí cũng v y, nh ng ng d ng này s ng m ng m sao Ứ ụ ễ ậ ữ ứ ụ ẽ ấ ầ
l u d li u thông tin c a b n g i t i nh ng k x u và b n có th b m t ư ữ ệ ủ ạ ử ớ ữ ẻ ấ ạ ể ị ấ
ti n n u mu n chu c l i. Và g n đây nh t không đâu xa, quý I đ u năm ề ế ố ộ ạ ầ ấ ầ
2017, hàng lo t v báo cáo v vi c b nhi m ph n m m t ng ti n ạ ụ ề ệ ị ễ ầ ề ố ề
Ransomware nh h ng t i website, iphone, thi t b IoT.ả ưở ớ ế ị
2.Do m t s ngôn ng l p trình có tính b o m t webộ ố ữ ậ ả ậ ch a cao:ư
các plugin wordpress có th ti m n l i b o m t websiteể ề ẩ ỗ ả ậ
– Ngôn ng l p trình backend d h c nh t là PHP. H u h t các website ữ ậ ễ ọ ấ ầ ế ở
Vi t Nam đ c l p trình b ng php, wordpress. Các l p trình viên hay ệ ượ ậ ằ ậ
designer th ng nh m l n gi a 2 ph ng th c b o m t GET và POST, do ườ ầ ẫ ữ ươ ứ ả ậ
đó website có th b nhòm ngó n u l p trình saiể ị ế ậ
– Th c t , chuyên gia b o m t SecurityBox cho r ng ngay c nh ng ng iự ế ả ậ ằ ả ữ ườ
không c n n n t ng v l p trình cũng có th h c đ c và t o ra đ c ầ ề ả ề ậ ể ọ ượ ạ ượ
nh ng website, nh ng ph n m m đ n gi n. Vì cú pháp, function đ n gi n ữ ữ ầ ề ơ ả ơ ả
nên có th vì v y mà tính b o m t ch a caoể ậ ả ậ ư
– L i b o m t trong website wordpress cũng không ngo i tr . Nh m vào ỗ ả ậ ạ ừ ắ
nh ng ph n m m SEO free, plugin for seo, các hacker đã t n công ng i ữ ầ ề ấ ườ
dùng 1 cách th m l ng. M t trong nh ng plugin cho Seo wordpress b ầ ặ ộ ữ ị
nhi m mã đ c mà b n c n g b ngay chính là WP- Base-SEO.ễ ộ ạ ầ ỡ ỏ
– V y làm th nào đ tăng c ng tính b o m t cho website đ c code ậ ế ể ườ ả ậ ượ
b ng PHP, câu tr l i là b n hãy dùng framework. Framework giúp tăng ằ ả ờ ạ
c ng tínhườ b o m t websiteả ậ mà m i ng i yêu thích dùng nh t là Laravel, ọ ườ ấ
ti p đó là symfony, th 3 là CodeIgniter.ế ứ
3. Gi i pháp tăng c ng tính b o m t website th ng g p n a là ả ườ ả ậ ườ ặ ữ
gi m l h ng trong session, XSSả ỗ ổ
Bên c nhạ nh ngữ l i b o m t website th ngỗ ả ậ ườ g pặ trên còn có l h ng ỗ ổ
trong XSS. B ng cách g i đ ng link t i session, user name, khi ng i ằ ử ườ ớ ườ
dùng click vào thì website c a b n đã b nhi m virus. B l i này coi nh ủ ạ ị ễ ị ỗ ư
toàn b website c a b n b hacker đi u khi n, t đó hackers có th l i ộ ủ ạ ị ề ể ừ ể ợ
d ng đ t n công chính site này và nh ng site khác n u chúng b b o m t ụ ể ấ ữ ế ị ả ậ
khác nh CSRF. Đây là hình th c t n công website nguy hi m cao nh ng ư ứ ấ ể ư
kh năng khai thác th p vì ph i l a đ c ng i dùng.ả ấ ả ừ ượ ườ
– Riêng t đ u năm đ n nay có t i 21.5% các website b xâm nh p vì l i ừ ầ ế ớ ị ậ ỗ
XSS.
4. L h ng b o m tỗ ổ ả ậ trong c s d li u, k t n i web 2.0, javascipt, ơ ở ữ ệ ế ố
AJAX
– Nh ng l i b o m t websiteữ ỗ ả ậ hay g pặ trong javascript là vô tình s d ng ử ụ
toán t gán, nh m l n gi a phép c ng và phép n i, l i câu l nh return, ử ầ ẫ ữ ộ ố ỗ ở ệ
k t thúc đ nh nghĩa b ng d u ph y không chính xácế ị ằ ấ ẩ
Ngay th m chí website google viet nam cũng b hackậ ị
5. L i chuy n ti p và đi u h ng không xác đ nhỗ ể ế ề ướ ị
– Đây là l i v n đ đ u vào (l i v input). Gi s r ng trang web đích có ỗ ấ ề ầ ỗ ề ả ử ằ
m t module redirect.php có th l y URL nh m t tham s GET. Khi th c ộ ể ấ ư ộ ố ự
hi n thao tác v i tham s này trên targetite.com, trang web c a b n có th ệ ớ ố ủ ạ ể
chuy n h ng t i ph n m m malwareinstall.com. Ng i dùng th ng c mể ướ ớ ầ ề ườ ườ ả
th y tin c y khi click vào targetite.com/blahblahblah nh ng ít ai ng đây là ấ ậ ư ờ
c h i cho các ph n m m đ c h i l i d ng t n công website. Ngoài ra, k ơ ộ ầ ề ộ ạ ợ ụ ấ ẻ
t n công có th chuy n h ng trình duy t sang ‘targetite.com/deleteprofile?ấ ể ể ướ ệ
confirm=1’.
b l i 404 b n c n ph i ki m tra l i website ngayị ỗ ạ ầ ả ể ạ
– Đi u đáng nói là khi nh i nhét nh ng input không xác đ nh đ c ng i ề ồ ữ ị ượ ườ
dùng có th làm ph n header trể ầ ở nên t h i.ệ ạ
>> Gi i phápả b o m t cho websiteả ậ khi b l i đi u h ng, chuy n ti pị ỗ ề ướ ể ế
– Không làm chuy n h ng t t c vì th c s không c n thi tể ướ ấ ả ự ự ầ ế
– có 1 danh sách tĩnh các v trí phù h p đ redect.ị ợ ể
Trên đây là các l i b o m t websiteỗ ả ậ hay g p nh t, ph bi n, thông d ng ặ ấ ổ ế ụ
nh tấ mà chúng ta c n bi t đầ ế ể tránh.
có thể bạn quan tâm
Tất tần tật những gì cần biết về Kiến trúc Website
8
669
285
Lập trình
8
(New)
Người nộp thuế cần biết những website của ngành thuế.
2
673
334
Kế toán, kiểm toán
2
(New)
Những website giúp bạn thư giãn sau thời gian làm việc vát vả
6
1.436
268
Tài liệu CNTT khác
6
(New)
.jpg)
Lỗi khi quảng cáo website
6
882
379
PR truyền thông
6
(New)
LẬP WEBSITE BÁN HÀNG
6
907
395
Kế hoạch kinh doanh
6
(New)
Một số cách kiểm tra tốc độ website
3
647
343
Tài liệu CNTT khác
3
(New)
.jpg)
Viết quảng cáo cho website
29
1.081
210
Tài liệu kinh doanh, tiếp thị khác
29
(New)
Quy Trình SEO website lên Top Google
3
659
302
Tài liệu CNTT khác
3
(New)
thông tin tài liệu
Các lỗi bảo mật website ngày càng đa dạng, với nhiều hình thức tấn công và gây thiệt hại nghiêm trọng. Làm thế nào để bảo mật website toàn diện, chúng tôi sẽ đưa ra những lỗi bảo mật website phổ biến nhất, kèm theo ví dụ và những giải pháp cụ thể.
Mở rộng để xem thêm
từ khóa liên quan
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
×
