Những Lỗ Hổng Mà Các Trang Website Gặp Phải – “90% lỗ hổng bảo mật bắt nguồn từ ứng dụng web, 90% nhà quản trị chưa có cái nhìn tổng quan về bảo mật WebApp”. Đây là lý do dẫn tới số lượng các cuộc tấn công trên mạng ngày càng nhiều.
Cùng đọc bài viết “ Top 10 Lỗ hổng trong Ứng dụng Web thường gặp nhất” dưới đây để thấu hiểu hơn vấn đề bảo mật cho ứng dụng web.
Những Lỗ Hổng Mà Các Trang Website Gặp Phải
Những Lỗ Hổng Mà Các Trang Website Gặp Phải: Lỗ hổng XSS (Cross Site Scripting)
Thông qua lỗi lỗ hổng XSS, web có thể bị chiếm quyền điều khiển phiên người dùng, xoá bỏ trang web, và hơn nữa có thể bị đánh cắp thông tin của người dùng dựa trên trình duyệt. Bởi bản chất của lỗ hổng này là dựa vào trình duyệt.
Họ có thể chèn mã JavaScript vào các trang web có lỗi XSS, khi người dùng truy cập vào những trang web như vậy, lập tức mã script của tin tặc sẽ hoạt động lưu lại thông tin người dùng ngay lập tức.
Chèn mã độc hại (Injection flaws)
Những kẻ tấn công có thể sử dụng điểm yếu của các truy vấn đầu vào bên trong ứng dụng để chèn thêm những dữ liệu không an toàn, từ đó máy chủ có thể bị tấn công bởi một số yếu tố như: XML Injection, Buffer overflow, LDAP lookups, Shell command Injection, SQL Injection, Xpath Injection.
Hậu quả để lại: Một số hoặc tất cả những dữ liệu quan trọng của doanh nghiệp sẽ bị hacker truy cập một cách trái pháp, chúng có thể sửa đổi, xóa bỏ thông tin hoặc thậm chí lợi dụng để đòi tiền. Trong các mã độc hại trên, SQL Injejection là phương thức tấn công thường gặp nhất trong các ứng dụng web.
Những Lỗ Hổng Mà Các Trang Website Gặp Phải: Tệp tin chứa mã độc
Nguy cơ web bị tấn công tiềm ẩn nhất với việc mã hóa trong tích hợp tệp tin từ xa (RFI) có thể là cho phép kẻ tấn công tạo sự thỏa hiệp của máy chủ. Dạng tấn công bằng tệp tin chứa mã độc này có thể ảnh hưởng đến PHP, XML của trang web hay bất kỳ tập tin nào từ người dùng.
CSRF (Cross-Site Request Forgery)
Một trong những lỗ hổng bảo mật thường gặp phải trong ứng dụng web là lỗ hổng CSRF.
Lợi dụng chệ độ tự động đăng nhập vào một số website, tin tặc có thể điều hướng người dùng theo hướng thực hiện các đoạn chứa mã độc, nhúng vào các website mà người dùng đang thực hiện các thao tác trên đó.
Từ đó, mã độc sẽ xâm chiếm chạy trên trình duyệt của người dùng và hacker sẽ thực hiện các hành vi xấu.
Vì vậy, trong một số diễn đàn hoặc website khi bạn đăng nhập tài khoản của mình, tốt nhất không nên tự động lưu lưu mật khẩu và tên người dùng.
Tham chiếu đối tượng trực tiếp không an toàn
Mối đe dọa tiềm ẩn ở đây là những kẻ tấn công web có thể lợi dụng những tài liệu tham khảo để truy cập vào quyền của các đối tượng khác mà không có sự cho phép.
Ví dụ: A có thể mạo danh là B để truy cập vào hệ thống. Việc tham chiếu các đối tượng, tệp tin, file, bản ghi cơ sở dữ liệu cần được thực hiện một cách gián tiếp và những thông tin nhạy cảm cũng nên được che giấu đi.
Bên cạnh đó, việc phân quyền cho nhà quản trị cũng cần cài đặt bảo mật ở chế độ cao nhất, không cho phép người lạ truy cập một cách trái phép dễ dàng. Một khi hacker có thể xác định được cấu trúc thông tin chuyển tới server, chúng có thể thu thập dữ liệu người dùng, ăn cắp tài khoản thẻ tín dụng,….
Webvocuc
Cảm ơn bạn đã theo dõi bài viết của Webvocuc.com! Cập nhật các bài viết khác từ Webvocuc để biết thêm nhiều thông tin mới nhất về thiết kế website chuyên nghiệp và marketing online.
- Tham khảo các gói dịch vụ thiết kế website tại webvocuc.vn
- Tham khảo thêm gói chăm sóc web và chạy quảng cáo hiệu quả tại webvocuc.com
