Thursday, November 12, 2015
10
cách tấn công thiết kế website thường thấy
Việc
biết cách thức hacker tấn công giúp bạn có thể phòng ngừa và bảo vệ hệ thống mạng
máy tính của mình tốt hơn. Các chuyên gia bảo mật liệt kê 10 cách thức tấn công
mà các hacker hay dùng 10 cách tấn công website thường gặp
1.
Thao tác vùng ẩn
Các
phần bị giấu đi trong trang Web thường được dùng để lưu thông tin về phiên làm
việc của client, phiên làm việc này được ghi nhớ ở máy khách (client) chứ không
cần phải tổ chức CSDL phức tạp trên máy chủ. Tuy vậy, phần bị giấu đi này không
"ẩn" thực sự, chức năng "View Source" (xem mã nguồn) của
trình duyệt cho phép đọc được mã nguồn của phần bị giấu của trang Web. Dựa vào
mã nguồn này hacker có thể giả lập phiên làm việc để truy cập thông tin trên
máy chủ.
2.
Can thiệp tham số
Đây
là cách thức tấn công bằng cách đưa tham số trực tiếp vào địa chỉ URL để truy cập
thông tin không dành cho người dùng (người dùng thao tác qua giao diện trên
trình duyệt không thể thấy được các thông tin này). Câu lệnh SQL truy cập CSDL
nền của ứng dụng trên Web thường được thể hiện trên địa chỉ URL. Người dùng tọc
mạch có thể thao rác trên đoạn mã SQL này để truy cập thông tin trong CSDL.
3.
Cửa hậu và bẫy lỗi
Khi
viết chương trình các thảo chương viên thường tạo các cửa hậu cũng như các tính
năng bẫy lỗi để tiện cho việc kiểm tra và phát hiện lỗi. Việc này rất có ích
trong quá trình phát triển sản phẩm ứng dụng. Tuy nhiên, các tính năng bẫy lỗi
này lại thường không được bỏ đi khi hoàn tất sản phẩm và chúng trở thành lỗ hổng
bảo mật dành cho hacker.
4.
Giả mạo Cookie
Nhiều
ứng dụng trên Web sử dụng cookie để lưu thông tin trên máy khách (như user ID,
thời gian kết nối ....). Do cookie không phải luôn luôn được mã hóa nên hacker
có thể sửa đổi cookie để đánh lừa chương trình ứng dụng truy cập bất hợp pháp
thông tin trong CSDL. Hacker cũng có thể ăn cắp cookie của một người dùng nào
đó để truy cập thông tin của người này mà không cần phải biết mã số đăng nhập
(ID) và mật khẩu (password).
5.
"Con ngựa thành Trojan"
Hãy
cẩn thận với các tác vụ thực thi trên Web server ví dụ như các lệnh Perl eval
và system, hay các câu truy vấn SQL, vì đây có thể là cửa ngõ để hacker cấy các
đoạn mã virus vào và thực thi các tác vụ không được phép trên Web server.
6.
Không cần log-in
Nếu
ứng dụng không được thiết kế chặt chẻ, không ràng buộc trình tự các bước khi
duyệt ứng dụng thì đây sẽ là một lỗ hổng bảo mật và hacker có thể lợi dụng để
truy cập thẳng đến các trang thông tin bên trong mà không cần phải qua bước
đăng nhập.
7.
Chèn mã lệnh
Đây
là kỹ thuật chèn mã lệnh vào trang Web từ máy khách. Kỹ thuật này cho phép
hacker đưa mã lệnh thực thi vào phiên làm việc trên Web của một người dùng
khác. Khi đoạn mã lệnh này chạy, nó sẽ cho phép hacker làm đủ thứ chuyện, từ
giám sát phiên làm việc trên Web cho đến toàn quyền điều khiển máy tính của khổ
chủ.
8.
Tràn bộ đệm
Tình
trạng tràn bộ đệm xảy ra khi dữ liệu được gửi đến ứng dụng nhiều hơn mong đợi.
Kỹ thuật tấn công này có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống
mất khả năng kiểm soát.
9.
Cấu hình không an toàn
Đây
là lỗ hổng do ứng dụng có các thiết lập mặc định không an toàn hoặc do người quản
trị hệ thống định cấu hình không an toàn. Ví dụ như cấu hình Web server cho
phép bấy kỳ ai cũng có quyền duyệt qua hệ thống thư mục. Việc này có thể làm lộ
các thông tin nhạy cảm như mã nguồn, mật khẩu hay thông tin của khách hàng.
10.
Các lỗ hổng bảo mật
Các
lỗ hổng bảo mật đã bị công bố của hệ điều hành, máy chủ Web, máy chủ ứng dụng
và các phần mềm của hãng thứ ba khác. Hầu hết các lỗ hổng này đều có phần sửa lỗi
bổ sung, tuy vậy những hệ thống không được cập nhật thường xuyên sẽ là miếng mồi
ngon cho hacker.
KHUYẾN MẠI THIẾT KẾ
WEBSITE THÁNG 11
Thiết kế Website trường
học với 6,000,000 VNĐ
Giảm 15% khi thiết kế
Web theo yêu cầu
Miễn phí 1 năm Domain
& Hosting
Free Hỗ trợ kỹ thuật 12
tháng
Bảo hành Website trọn
đời
CHỈ CÓ Ở THÁNG 11 NÀY
- NHANH TAY ĐĂNG KÝ NGAY
☎☎☎ 0965 173 888 - 0466
828 342
