Các lỗi an toàn thông tin thường gặp ở các Website

[thaihihi007]

Các lỗi bảo mật website ngày càng đa dạng, với nhiều hình thức tấn công và gây thiệt hại nghiêm trọng.
Với hầu hết các doanh nghiệp, việc thực hiện bảo mật website nên là vấn đề được ưu tiên hàng đầu không cần đợi đến khi hậu quả xảy ra. Cách tiếp cận hiệu quả đối với các mối đe dọa về bảo mật web là chủ động và tự phòng ngừa. Bài viết này tập trung vào một số lỗ hổng bảo mật web phổ biến và quan trọng cũng như đề xuất các cách để khắc phục chúng.


Phần mềm, ứng dụng miễn phí
– Cũng như những phần mềm miễn phí tải về máy tính bị nhiễm virus, có những loại virus bạn chỉ cần CCleaner, bkav, hoặc phần mềm diệt virus thông thường có thể tránh được sự cố bảo mật về website, máy tính cá nhân. Tuy nhiên có những phần mềm bạn không thể xóa được mà cần phải nhờ sự giúp đỡ của những người có chuyên môn.
– Ứng dụng miễn phí cũng vậy, những ứng dụng này sẽ ngấm ngầm sao lưu dữ liệu thông tin của bạn gửi tới những kẻ xấu và bạn có thể bị mất tiền nếu muốn chuộc lại. Và gần đây nhất không đâu xa, quý I đầu năm 2017, hàng loạt vụ báo cáo về việc bị nhiễm phần mềm tống tiền Ransomware ảnh hưởng tới website, iphone, thiết bị IoT.
Injection flaws (Lỗi nhúng mã)
Lỗ hổng Injection là kết quả của sự thiếu sót trong việc lọc các đầu vào không đáng tin cậy. Nó có thể xảy ra khi bạn truyền các dữ liệu chưa được lọc tới Database (SQL injection), tới trình duyệt (XSS), tới máy chủ LDAP (LDAP Injection) hoặc tới bất cứ vị trí nào khác. Vấn đề ở đây là kẻ tấn công có thể chèn các đoạn mã độc dẫn đến lộ dữ liệu và chiếm quyền kiểm soát trình duyệt của khách hàng.
Mọi thông tin mà ứng dụng của bạn nhận được khi truy cập vào các nguồn không đáng tin cậy đều phải được lọc theo Whitelist, bởi nếu bạn sử dụng Blacklist việc lọc thông tin sẽ rất dễ bị bỏ qua. Tính năng Pattern matching sẽ không hoạt động nếu thiết lập Blacklist.
Do một số ngôn ngữ lập trình có tính bảo mật web chưa cao

– Ngôn ngữ lập trình backend dễ học nhất là PHP. Hầu hết các website ở Việt Nam được lập trình bằng php, wordpress. Các lập trình viên hay designer thường nhầm lẫn giữa 2 phương thức bảo mật GET và POST, do đó website có thể bị nhòm ngó nếu lập trình sai
– Thực tế, chuyên gia bảo mật SecurityBox cho rằng ngay cả những người không cần nền tảng về lập trình cũng có thể học được và tạo ra được những website, những phần mềm đơn giản. Vì cú pháp, function đơn giản nên có thể vì vậy mà tính bảo mật chưa cao
– Lỗi bảo mật trong website wordpress cũng không ngoại trừ. Nhắm vào những phần mềm SEO free, plugin for seo, các hacker đã tấn công người dùng 1 cách thầm lặng. Một trong những plugin cho Seo wordpress bị nhiễm mã độc mà bạn cần gỡ bỏ ngay chính là WP- Base-SEO.
Cách ngăn chặn lỗ hổng
Thật may mắn là để chống lại lỗ hổng này chỉ “đơn giản” là vấn đề bạn đã lọc đầu vào đúng cách chưa hay việc bạn cân nhắc liệu một đầu vào có thể được tin cậy hay không. Về căn bản, tất cả các đầu vào đều cần được lọc trừ trường hợp đầu vào đó chắc chắn đáng tin cậy. (Tuy nhiên việc cẩn thận kiểm tra tất cả các đầu vào là luôn luôn cần thiết).
Ví dụ, trong một hệ thống với 1000 đầu vào, lọc thành công 999 đầu vào là không đủ vì điều này vẫn để lại một phần giống như “gót chân Asin”, có thể phá hoại hệ thống của bạn bất cứ lúc nào. Bạn có thể cho rằng đặt kết quả truy vấn SQL vào truy vấn khác là một ý tưởng hay vì cơ sở dữ liệu này là đáng tin cậy nhưng thật không may nếu không có hệ thống Perimeter network, đầu vào có thể gián tiếp đến từ những kẻ có ý đồ xấu. Đây được gọi là lỗi Second Order SQL Injection.
Việc lọc dữ liệu khá khó (giống như crypto) vì thế các bạn nên sử dụng các chức năng lọc trong framework của mình
các tính năng này đã được chứng minh sẽ thực hiện việc kiểm tra một cách kỹ lưỡng. Bạn nên cân nhắc sử dụng các framework vì đây là một trong các cách hiệu quả để bảo vệ máy chủ của bạn.


Trên đây là các lỗi bảo mật website hay gặp nhất, phổ biến, thông dụng nhất mà chúng ta cần biết để tránh.

Nguồn: SecurityBox

​