Daily Archives: Tháng Mười 2, 2019

  • -

Các lỗi bảo mật của website không nên xem thường

Không nhiều webmaster hiểu được chính xác những nguy cơ từ các lỗi bảo mật, vì vậy mà họ xem thường dẫn đến những lỗi đáng tiếc xảy ra đối với website trong quá trình vận hành hoạt động.

Nhằm giúp bạn hiểu và nhận diện nguy cơ,, bài viết này sẽ liệt kê các lỗi bảo mật để bạn hiểu và từ đó ngăn ngừa phòng trừ những sự cố có thể đến.

Lỗ hổng PHP Injection

Ngôn ngữ lập trình có chứa các hàm cho phép thực thi mã bên ngoài, như: require(), include(), eval(), and preg_replace cùng với modifier /e sẽ xem nơi lưu trữ chuỗi kí tự như một PHP code. Ví dụ, giả sử trang web có một bộ điều khiển đơn giản dựa trên các tập tin là các biến gửi qua phương thức GET để đưa vào nội dung của một file có trước.

Các ngăn chặn PHP Injection

Cấu hình máy chủ sẽ giúp ích bạn phòng tránh kiểu tấn công này. Các tùy chọn allow_url_fopen có thể chặn file truy cập từ bên ngoài máy chủ dành cho các hàm file_get_contents, fopen, include, và require. Các bảo vệ tốt nhất là không cho phép dữ liệu đầu vào từ người dùng vào các hàm thực thi script. Bộ lọc chuỗi kí tự đầu vào và tạo ra whitelist các file được phép là điều cần thiết. Ngoài ra còn nhiều kiểu tấn công tương tự cũng được các tin tặc khai thác như: Local File Include, Php Object Injection…

Lỗ hổng trong việc sử dụng bảng mã Unicode

Sự phát triển của hệ thống kí tự ASCII mã hóa dựa trên các chữ cái tiếng Anh phổ biến toàn cầu. Theo thời gian, thế giới bắt đầu sử dụng các ngôn ngữ và hệ thống bảng chữ cái khác. Do 1 byte không thể dùng để lưu trữ kí tự trong tất cả các ngôn ngữ, một hệ thống mã hóa mới dành cho các ngôn ngữ đa dạng đã được ra mắt. Đó chính là chuẩn Unicode.

Trong hệ thống Unicode, mỗi kí tự được lưu trữ lớn hơn 1 byte. Bảng mã UTF-8 là bảng mã nền tảng Unicode được sử dụng rộng rãi nhất, cho phép tin tặc có thể chèm một vài kí tự ví dụ “../” theo các cách khác nhau. Bộ giải mã UTF-8 không kiểm tra tính hợp lệ của kí tự đặc biệt như “/” gây ra những exception (ngoại lệ) khi xử lý cho hệ thống.

Lỗ hổng SQL Injection

SQL Injection là một trong những lỗ hổng bảo mật phổ biến nhất, nó thường được sử dụng để khai thác lỗ hổng của trang web trên nền tảng PHP hoặc ASP. Các cuộc tấn công bao gồm việc tiêm mã độc vào những truy vấn SQL trong ứng dụng của bạn thông qua các giá trị đầu vào của ứng dụng. Nếu thành công sẽ cho phép kẻ tấn công thêm hoặc xóa nội dung cơ sở dữ liệu, lấy các giá trị trong CSDL như email, mật khẩu hoặc thông tin cá nhân người dùng trang web. SQL Injection có thể xảy ra nếu một trang web chấp nhận những truy vấn không đáng tin cậy vào cơ sở dữ liệu hoặc tạo ra chúng một cách tự động.

lỗi bảo mật của website

Lỗ hổng từ phần mềm, ứng dụng miễn phí

– Cũng như những phần mềm miễn phí tải về máy tính bị nhiễm virus, có những loại virus bạn chỉ cần CCleaner, bkav, hoặc phần mềm diệt virus thông thường cũng có thể tránh được sự cố bảo mật về website, máy tính cá nhân. Tuy nhiên có những phần mềm bạn không thể xóa được mà cần phải nhờ sự giúp đỡ của những người có chuyên môn.

– Ứng dụng miễn phí cũng vậy, những ứng dụng này sẽ ngấm ngầm sao lưu dữ liệu thông tin của bạn gửi tới những kẻ xấu và bạn có thể bị mất tiền nếu muốn chuộc lại. Và gần đây nhất không đâu xa, quý I đầu năm 2017, hàng loạt vụ báo cáo về việc bị nhiễm phần mềm tống tiền Ransomware ảnh hưởng tới website, iphone, thiết bị IoT.

Xem thêm bài viết có liên quan Giải mã các lỗi thường gặp trên website

_______________________________________________________________________________

TEAM Seo Lên Top 10 SEOLENTOP10.COM –  Dịch vụ seo từ khóa chuyên nghiệp và uy tín
Phone: 033 556 1529
Email: seolentop10.com@gmail.com
Chat Skype: seolentop10.com (vui lòng gõ tìm kiếm để add nick)
https://www.facebook.com/seolentop10