It is currently Mon Jul 24, 2017 4:39 pm
All times are UTC + 8 hours

Tổng hợp những lỗi bảo mật website và cách phòng tránh

WE BUG THE wORLd!!!!!!!!!!

Moderators: Frog, hihihaha

Tổng hợp những lỗi bảo mật website và cách phòng tránh

Postby Thanhanm » Mon May 22, 2017 6:07 pm

Như các bạn biết đấy, số vụ tấn công website, hệ thống ngày càng nhiều, lỗ hổng bảo mật website ngày càng được phát hiện thêm. Có rất nhiều [url]lỗi bảo mật website [/url]http://securitybox.vn/719/cac-loi-bao-mat-website-thuong-gap-nhat-securitybox-vn/mà các chuyên gia phân tích, nhưng trong bài viết này mình đề cập tới những lỗi cơ bản mà hầu như ai cũng mắc phải.

1. Lỗi bảo mật website XSS
Một trong những lỗ hổng bảo mật website phổ biến đó là lỗ hổng XSS . Lỗ hổng này gây hậu quả nghiêm trọng nên hầu hết các framework.
Để ngăn chặn bạn chỉ cần bạn sử dựng phiên bản framework mới nhất là có thể tránh được lỗi này rồi. Tuy nhiên, lỗi bảo mật XSS thường gặp ở nhiều trang khác nhau, nhiều trường hợp khác nhau nên nếu dev không cẩn thận rất có thể sẽ thiếu sót do không để ý.

2. Bảo mật website bằng cách phòng tránh lỗi CSRF (Cross Site Request Forgery)
Đặc biệt là với những website dùng framework cũ, chưa update hệ thống, và các tính năng nên đối với những người không thường xuyên cập nhật tin tức bảo mật sẽ không biết.
Hình thức tấn công:
Giả sử tôi đã login và trang xxx.com, và sau đó trình duyệt của mình tự động lưu cookie vào, lần sau mình vào không cần phải login lại nữa. Tuy nhiên, đường link đó chứa mã độc thì xác định laptop của mình và hệ thống website của mình sẽ bị nhiễm

3. Lỗi bảo mật website Giấu đầu lòi đuôi
Lỗi này nghe khá lạ phải không các bạn, nhưng có cũng không phải là hiếm khi gặp trong thực tế.
Lỗi này được bắt nguồn từ developer, nó xảy ra khi cho phép người dùng truy cập những tài nguyên không được phép trong hệ thống, hay do cách phân quyền user chưa truyệt để.
Giả sử ta có đường link như sau để xem một order history của một user: https://vibloasia/shop/order?id=1234. Nhưng khi hacker thay đổi cái id = 1234 là id = 1235 chẳng hạn thì đôi khi dev “quên” không check xem user khác có quyền truy cập vào order đó hay không mà cứ thế cho hiện thị ra với id đúng. Thật tai hại khi để lộ thông tin của người dùng bởi những lỗi ngớ ngẩn như thế này.

4. Lỗi bảo mật website đến từ phần mềm, công cụ free
Lỗi này thường do người dùng tải những phần mềm, công cụ miễn phí về mà không kiểm tra có virus hay không. Điều này rất đáng quan ngại, SecurityBox khuyên bạn hãy vào virustotal.com và quét thử. Nếu ok thì bạn hãy cài đặt nhé.

5. Một số lỗi bảo mật website khác như:
Ajax, GET, POST, lỗi trong javascript..

>> Mời bạn xem chi tiết tại bài phân tích tổng hợp của các chuyên gia này
: Các lỗi bảo mật websitehttp://securitybox.vn/719/cac-loi-bao-mat-website-thuong-gap-nhat-securitybox-vn/ từ A - Z
Thanhanm
Dân đen
 
Posts: 2
Joined: Thu May 18, 2017 7:06 pm

Return to School of Computing

  • You cannot post new topics in this forum
    You cannot reply to topics in this forum
    You cannot edit your posts in this forum
    You cannot delete your posts in this forum
  • Who is online

    Users browsing this forum: No registered users and 2 guests

cron