Tổng hợp những lỗi bảo mật website và cách phòng tránh

Thảo luận trong 'Tin Tức Hacking - Bảo Mật' bắt đầu bởi Thanhthanh123, 22 Tháng năm 2017.

Chia sẻ trang này

  1. Thanhthanh123

    Bài viết: 2
    Như các bạn biết đấy, số vụ tấn công website, hệ thống ngày càng nhiều, lỗ hổng bảo mật website ngày càng được phát hiện thêm. Có rất nhiều lỗi bảo mật website mà các chuyên gia phân tích, nhưng trong bài viết này mình đề cập tới những lỗi cơ bản mà hầu như ai cũng mắc phải.

    1. Lỗi bảo mật website XSS
    Một trong những lỗ hổng bảo mật website phổ biến đó là lỗ hổng XSS . Lỗ hổng này gây hậu quả nghiêm trọng nên hầu hết các framework.
    Để ngăn chặn bạn chỉ cần bạn sử dựng phiên bản framework mới nhất là có thể tránh được lỗi này rồi. Tuy nhiên, lỗi bảo mật XSS thường gặp ở nhiều trang khác nhau, nhiều trường hợp khác nhau nên nếu dev không cẩn thận rất có thể sẽ thiếu sót do không để ý.

    2. Bảo mật website bằng cách phòng tránh lỗi CSRF (Cross Site Request Forgery)
    Đặc biệt là với những website dùng framework cũ, chưa update hệ thống, và các tính năng nên đối với những người không thường xuyên cập nhật tin tức bảo mật sẽ không biết.
    Hình thức tấn công:
    Giả sử tôi đã login và trang xxx.com, và sau đó trình duyệt của mình tự động lưu cookie vào, lần sau mình vào không cần phải login lại nữa. Tuy nhiên, đường link đó chứa mã độc thì xác định laptop của mình và hệ thống website của mình sẽ bị nhiễm

    3. Lỗi bảo mật website Giấu đầu lòi đuôi
    Lỗi này nghe khá lạ phải không các bạn, nhưng có cũng không phải là hiếm khi gặp trong thực tế.
    Lỗi này được bắt nguồn từ developer, nó xảy ra khi cho phép người dùng truy cập những tài nguyên không được phép trong hệ thống, hay do cách phân quyền user chưa truyệt để.
    Giả sử ta có đường link như sau để xem một order history của một user: https://vibloasia/shop/order?id=1234. Nhưng khi hacker thay đổi cái id = 1234 là id = 1235 chẳng hạn thì đôi khi dev “quên” không check xem user khác có quyền truy cập vào order đó hay không mà cứ thế cho hiện thị ra với id đúng. Thật tai hại khi để lộ thông tin của người dùng bởi những lỗi ngớ ngẩn như thế này.

    4. Lỗi bảo mật website đến từ phần mềm, công cụ free
    Lỗi này thường do người dùng tải những phần mềm, công cụ miễn phí về mà không kiểm tra có virus hay không. Điều này rất đáng quan ngại, SecurityBox khuyên bạn hãy vào virustotal.com và quét thử. Nếu ok thì bạn hãy cài đặt nhé.

    5. Một số lỗi bảo mật website khác như:
    Ajax, GET, POST, lỗi trong javascript..

    >> Mời bạn xem chi tiết tại bài phân tích tổng hợp của các chuyên gia này: Các lỗi bảo mật website từ A - Z
     
  2. hoadao

    hoadao

    Tham gia ngày:
    31 Tháng năm 2017
    Bài viết:
    4
    Đã được thích:
    0
    Điểm thành tích:
    1
    Giới tính:
    Nữ

Chia sẻ trang này