7 cách phổ biến mà các trang web bị xâm nhập
Các hệ thống phức tạp trong bất kỳ tình huống nào cũng có thể có nhiều lỗ hổng bảo mật tiềm ẩn. Điều đó có nghĩa là các webmaster cần phải cảnh giác nhiều hơn và phải làm nhiều công việc để bảo đảm hơn. Về phía những người đột nhập vào các hệ thống thì không có gì không thể đoán trước được. Có một số loại khá phổ biến của các cuộc tấn công có thể được ngăn chặn chủ yếu thông qua những suy nghĩ đơn giản và lập kế hoạch.
Bài viết này sẽ trình bày một số cách phổ biến mà những kẻ tấn công sẽ sử dụng để cố gắng xâm nhập vào trang web của bạn:
1. Kỹ thuật xã hội
Yêu cầu bất kỳ chuyên gia bảo mật trong bất kỳ lĩnh vực nào: Điểm thất bại phổ biến nhất không phải là phần mềm hoặc phần cứng mà đó là con người và thiên hướng của họ là làm những điều ngớ ngẩn. Bạn biết đấy, những điều ngốc nghếch như để lại mật khẩu được viết ra một nơi nào đó hiển nhiên, hoặc chỉ đưa ra một tài khoản của người dùng cho ai đó trên điện thoại. Vì vậy, để đảm bảo máy chủ được an toàn, cũng nên đảm bảo rằng nhân viên có quy trình bảo mật thực hiện một cách rõ ràng.
2. Thiếu các bản vá bảo mật
Đây vẫn là một vấn đề lớn và đặc biệt là trong môi trường doanh nghiệp. Cập nhật rất nhiều máy tính cùng một lúc là một việc lớn. Đôi khi các bản cập nhật bị hoãn lại bởi các quản trị viên hệ thống vì chỉ muốn đảm bảo rằng không có bản cập nhật mới nào phá vỡ phần mềm của họ. Hoặc bất kể lý do gì, đôi khi các cập nhật bảo mật không được cài đặt dẫn đến các hệ thống còn lại dễ bị tổn hại.
3. Code của bên thứ ba không an toàn
Cài đặt nhiều plugin hơn có nghĩa là phức tạp hơn. Có nhiều plugin sẽ được kiểm tra bằng cách nào đó trước khi cài đặt và cập nhật hoặc bất cứ khi nào bản sửa lỗi xuất hiện nhưng vẫn có nhiều plugin không được kiểm tra và thường những plugin này sẽ có nguy cơ gây hại đến trang web.
4. Chính sách bảo mật người dùng kém
Trong trường hợp này, chính sách bảo mật sẽ đề cập đến cách bạn yêu cầu người dùng đóng góp vào sự an toàn tài khoản của chính họ. Các chính sách này là những vấn đề như câu hỏi về bảo mật, yêu cầu về mật khẩu mạnh, yếu tố xác thực hai bước và thậm chí thẻ bảo mật tài khoản vật lý được các tổ chức như ngân hàng sử dụng. Xác minh Email là khá phổ biến và đây là một trong những cách được rất nhiều người lựa chọn. Tuy nhiên, không phải là hoàn toàn không thể đánh lừa được, không có cách nào để xác minh chính xác ai là ai, vì vậy đây chỉ là một công thức thảm họa.
5. Tấn công bằng cách tiêm vào trang web các loại mã độc
Đây được gọi là các cuộc tấn công SQL Injection, hoặc SQLi. Về cơ bản, ai đó sẽ truy cập vào trang web và tìm kiếm các biểu mẫu. Một mẫu liên hệ, một mẫu đăng ký, một mẫu hồ sơ hay bất kỳ trong số này đều có thể làm được miễn là họ có thể gửi thông tin trực tiếp vào cơ sở dữ liệu SQL.
Họ chỉ cần nhập các câu lệnh SQL cơ bản và phổ biến vào các trường văn bản với hy vọng có thể kéo dữ liệu ra khỏi cơ sở dữ liệu. Và trừ khi hình thức input được tối ưu hóa (bị loại bỏ những thứ như lệnh SQL khi các hình thức được gửi), còn nếu không thì các câu lệnh đó có thể sẽ làm việc.
6. Dữ liệu bị rò rỉ
Tùy thuộc vào cách mọi thứ được lập trình, dữ liệu có thể... rò rỉ. URL có thể thực sự chứa thông tin nhạy cảm. Ví dụ: Mọi người chỉ có thể Google trang web của bạn và tìm các URL với thông tin nhạy cảm trong đó. Nếu tập tin nhạy cảm được tải lên các thư mục không được bảo vệ trên máy chủ thì bất kỳ ai cũng có thể tải chúng xuống. Nếu bằng cách nào đó mọi người có thể truy cập các tệp cấu hình cho CMS, có thể họ đã có một cách nhập.
Đây không phải luôn luôn là kết quả của lập trình kém hoặc đôi khi chỉ do bạn đã quên thiết lập quyền đúng cho các thư mục và tập tin, dó đó rò rỉ tình cờ xảy ra.
7. Clickjacking
Clickjacking xảy ra theo một trong hai cách:
Ở trên mới chỉ là 7 cách phổ biến nhất mà các hacker có thể xâm nhập trang web của bạn. Còn có rất nhiều cách khác nữa mà mình không thể liệt kê hết. Nhưng mà thà biết ít còn hơn không biết gì, vì vậy hãy lưu ý và bảo mật trang web thật tốt nhé.
Các hệ thống phức tạp trong bất kỳ tình huống nào cũng có thể có nhiều lỗ hổng bảo mật tiềm ẩn. Điều đó có nghĩa là các webmaster cần phải cảnh giác nhiều hơn và phải làm nhiều công việc để bảo đảm hơn. Về phía những người đột nhập vào các hệ thống thì không có gì không thể đoán trước được. Có một số loại khá phổ biến của các cuộc tấn công có thể được ngăn chặn chủ yếu thông qua những suy nghĩ đơn giản và lập kế hoạch.
Bài viết này sẽ trình bày một số cách phổ biến mà những kẻ tấn công sẽ sử dụng để cố gắng xâm nhập vào trang web của bạn:
1. Kỹ thuật xã hội
Yêu cầu bất kỳ chuyên gia bảo mật trong bất kỳ lĩnh vực nào: Điểm thất bại phổ biến nhất không phải là phần mềm hoặc phần cứng mà đó là con người và thiên hướng của họ là làm những điều ngớ ngẩn. Bạn biết đấy, những điều ngốc nghếch như để lại mật khẩu được viết ra một nơi nào đó hiển nhiên, hoặc chỉ đưa ra một tài khoản của người dùng cho ai đó trên điện thoại. Vì vậy, để đảm bảo máy chủ được an toàn, cũng nên đảm bảo rằng nhân viên có quy trình bảo mật thực hiện một cách rõ ràng.
2. Thiếu các bản vá bảo mật
Đây vẫn là một vấn đề lớn và đặc biệt là trong môi trường doanh nghiệp. Cập nhật rất nhiều máy tính cùng một lúc là một việc lớn. Đôi khi các bản cập nhật bị hoãn lại bởi các quản trị viên hệ thống vì chỉ muốn đảm bảo rằng không có bản cập nhật mới nào phá vỡ phần mềm của họ. Hoặc bất kể lý do gì, đôi khi các cập nhật bảo mật không được cài đặt dẫn đến các hệ thống còn lại dễ bị tổn hại.
3. Code của bên thứ ba không an toàn
Cài đặt nhiều plugin hơn có nghĩa là phức tạp hơn. Có nhiều plugin sẽ được kiểm tra bằng cách nào đó trước khi cài đặt và cập nhật hoặc bất cứ khi nào bản sửa lỗi xuất hiện nhưng vẫn có nhiều plugin không được kiểm tra và thường những plugin này sẽ có nguy cơ gây hại đến trang web.
4. Chính sách bảo mật người dùng kém
Trong trường hợp này, chính sách bảo mật sẽ đề cập đến cách bạn yêu cầu người dùng đóng góp vào sự an toàn tài khoản của chính họ. Các chính sách này là những vấn đề như câu hỏi về bảo mật, yêu cầu về mật khẩu mạnh, yếu tố xác thực hai bước và thậm chí thẻ bảo mật tài khoản vật lý được các tổ chức như ngân hàng sử dụng. Xác minh Email là khá phổ biến và đây là một trong những cách được rất nhiều người lựa chọn. Tuy nhiên, không phải là hoàn toàn không thể đánh lừa được, không có cách nào để xác minh chính xác ai là ai, vì vậy đây chỉ là một công thức thảm họa.
5. Tấn công bằng cách tiêm vào trang web các loại mã độc
Đây được gọi là các cuộc tấn công SQL Injection, hoặc SQLi. Về cơ bản, ai đó sẽ truy cập vào trang web và tìm kiếm các biểu mẫu. Một mẫu liên hệ, một mẫu đăng ký, một mẫu hồ sơ hay bất kỳ trong số này đều có thể làm được miễn là họ có thể gửi thông tin trực tiếp vào cơ sở dữ liệu SQL.
Họ chỉ cần nhập các câu lệnh SQL cơ bản và phổ biến vào các trường văn bản với hy vọng có thể kéo dữ liệu ra khỏi cơ sở dữ liệu. Và trừ khi hình thức input được tối ưu hóa (bị loại bỏ những thứ như lệnh SQL khi các hình thức được gửi), còn nếu không thì các câu lệnh đó có thể sẽ làm việc.
6. Dữ liệu bị rò rỉ
Tùy thuộc vào cách mọi thứ được lập trình, dữ liệu có thể... rò rỉ. URL có thể thực sự chứa thông tin nhạy cảm. Ví dụ: Mọi người chỉ có thể Google trang web của bạn và tìm các URL với thông tin nhạy cảm trong đó. Nếu tập tin nhạy cảm được tải lên các thư mục không được bảo vệ trên máy chủ thì bất kỳ ai cũng có thể tải chúng xuống. Nếu bằng cách nào đó mọi người có thể truy cập các tệp cấu hình cho CMS, có thể họ đã có một cách nhập.
Đây không phải luôn luôn là kết quả của lập trình kém hoặc đôi khi chỉ do bạn đã quên thiết lập quyền đúng cho các thư mục và tập tin, dó đó rò rỉ tình cờ xảy ra.
7. Clickjacking
Clickjacking xảy ra theo một trong hai cách:
- Một, ai đó thiết lập một trang web độc hại với nội dung nhìn rất bình thường. Nhưng khi chúng ta nhấp chuột vào trang đó thì nó sẽ thực hiện các hành động mà chúng ta không muốn làm (chẳng hạn như Liking một cái gì đó trên Facebook), hoặc đưa chúng ta đến nơi nào đó mà chúng ta không muốn đến.
- Hai, ai đó quản lý đã tiêm mã độc vào trang web của bạn để cướp các nhấp chuột. Ở mức tồi tệ nhất, điều này có thể dẫn đến việc người dùng thỏa hiệp thông tin cá nhân bằng cách nhập thông tin của họ vào một trang web trông rất giống của bạn.
Ở trên mới chỉ là 7 cách phổ biến nhất mà các hacker có thể xâm nhập trang web của bạn. Còn có rất nhiều cách khác nữa mà mình không thể liệt kê hết. Nhưng mà thà biết ít còn hơn không biết gì, vì vậy hãy lưu ý và bảo mật trang web thật tốt nhé.
PVS - Theo Developerdrive
