Các lỗ hổng bảo mật của Website bị HACKER lợi dụng tấn công nhất
- 27/06/2022
- LANIT JSC
Như chúng ta đã biết, các vụ tấn công gần đây mục đích chính là đánh cắp dữ liệu người dùng hoặc phá hoại website doanh nghiệp. Hầu hết chúng tấn công thông qua các lỗ hổng của website. Lỗ hổng bảo mật website là gì? 9 lỗ hổng bảo mật website mà HACKER lợi dụng TẤN CÔNG nhiều nhất là gì? Mời anh chị tham khảo bài viết dưới đây
Lỗ hổng bảo mật của Website là gì?
Lỗ hổng bảo mật là những điểm yếu trong quá trình thiết kế và cấu hình của một hệ thống. Lỗ hổng có thể do người lập trình hoặc do sơ suất trong quá trình vận hành hệ thống
Hacker phát hiện những website bảo mật kém, những website làm từ những nền tảng: WordPress, Joomla có những lỗ hổng bảo mật chưa được khắc phục, để tấn công, xâm nhập lấy cắp dữ liệu, đặc biệt là dữ liệu khách hàng, phá hoại website, tống tiền doanh nghiệp
9 Lỗ hổng bảo mật của Website bị hacker tấn công nhiều nhất
1. Lỗ hổng XSS
Với những trang web lỗi XSS, Hacker chiếm quyền quản trị, đánh cắp thông tin KH. Bằng cách chèn mã javascript vào code web. Khi User truy cập, đăng ký thông tin (mua hàng, nhận khuyến mãi hay tài liệu), mã Script của tin tặc sẽ lưu lại thông tin của họ
CÁCH KHẮC PHỤC:
Mã hóa, tất cả những gì khách hàng nhập (ký hiệu <, >, “, ‘ …)
2. Lỗ hổng Injection
Hacker lợi dụng điểm yếu của các truy vấn đầu vào bên trong ứng dụng để chèn thêm dữ liệu không an toàn. Hậu quả, máy chủ có thể bị tấn công bởi một số dạng như: SQL Injection, Xpath Injection, XML Injection, Buffer overflow, LDAP lookups, Shell command Injection. Trong đó, SQL Injection là hình thức tấn công phổ biến nhất trong ứng dụng web.
Khi website bị tấn công qua lỗ hổng này, toàn bộ dữ liệu quan trọng sẽ bị tin tặc truy cập trái phép: Sửa, xóa bỏ thông tin…gây ra thiệt hại vô cùng lớn cho doanh nghiệp
Rất nhiều ông lớn bị dính lỗ hổng bảo mật này như: Sony, yahoo, Microsoft UK đều liên quan đến hình thức tấn công SQL Injection.
3. Cookie
Các website hiện nay đều sử dụng cookie để ghi nhớ thông tin người dùng, cookie này sẽ được gửi lên server mỗi lần request để server biết họ là ai. Khi hacker lấy được cookie, có nghĩ là hacker chiếm được tài khoản của user đó.
- Đối với website không https, hacker lấy được cookie rất dễ dàng, chỉ cần dùng công cụ đơn giản để sniff trong cùng một mạng LAN như Fiddler, Wireshark và dùng extention EditThisCookie để đưa vào trình duyệt là chiếm được quyền.
- Hoặc website nào có lỗ hổng xss thì hacker sẽ chuyển hướng sang một trang web khác với hàm. document.cookie và lấy được cookie đó.
4. CSRF
Lỗi này khá phổ biến và hay gặp trong website, nhất là những website dùng framework cũ.
Lợi dụng cơ chế tự động đăng nhập vào một số website, tin tặc điều hướng người dùng thực thi các đoạn chứa mã độc, nhúng vào website mà họ đang truy cập. Khi đó, mã độc sẽ chạy trên trình duyệt của họ. Lúc này, hacker dễ dàng thực hiện các hành vi gian lận.
Lời khuyên: Khi đăng nhập tài khoản, tốt nhất bạn không nên lưu mật khẩu và User
5. Quản lý người dùng
Đối với bất kỳ website nào có chức năng login đều có những thao tác cơ bản sau:
Cho phép người dùng đăng kí, đăng nhập bằng email
- Phân quyền khách hàng
- Tích hợp với Gmail, Facebook
- Tích hợp với hệ thống người dùng có sẵn trong doanh nghiệp
- Reset mật khẩu
- Block account khi KH nhập sai pass nhiều lần
- Bảo mật cho API với app di động
- Bảo mật 2 lớp với các account quan trọng
- Quản lý: Thêm bớt xoá sửa User
Tuy nhiên, vẫn xảy ra 1 số trường hợp khiến thông tin khách hàng bị lộ
Ví dụ: Do người lập trình web thiếu kinh nghiệm
6. Lỗi cấp quyền
Lỗ hổng này diễn ra khi máy chủ nhận được yêu cầu của người dùng, nhưng không tiến hành cấp quyền chính xác khiến khách hàng không truy cập vào website
Hacker sẽ tấn công, đánh cắp thông tin cũng như dành quyền kiểm soát trang web
Do đó, khi xây dựng website, coder nên phân quyền luôn, đồng thời, yêu cầu khách hàng sử dụng mật khẩu có tính bảo mật cao
7. Do bất cẩn Coder – Không kiểm tra sự điều hướng và chuyển tiếp của URL
Với sơ hở này, tin tặc điều hướng đường link gốc đến một trang web lừa đảo. Khi người dùng click vào đường link tới trang web lừa đảo, máy tính của họ có thể bị nhiễm mã độc. Tin tặc sau đó có thể ép họ tiết lộ thông tin cá nhân.
8. Lỗ hổng đến từ thư viện có sẵn
Lỗ hổng đến từ thư viện ứng dụng, nằm trong plugin cài thêm hoặc trong module ứng dụng. Từ đó, hacker khai thác các lỗ hổng bảo mật, khiến hàng loạt khách hàng, thiết bị bị ảnh hưởng.
9. Máy chủ lưu trữ bảo mật kém
Hosting, Vps lưu trữ website bảo mật kém là mục tiêu của những kẻ tấn công
Mặc dù vấn đề an toàn – bảo mật dữ liệu được các đơn vị quản lý lưu ý, tuy nhiên, dữ liệu của DN không tránh khỏi bị tấn công. Nhất là, thuê phải nhà cung cấp có hạ tầng, hệ thống chống ddos kém.
Kết luận
Trên đây là 9 lỗ hổng bảo mật thường gặp nhất trên website. Hy vọng Doanh nghiệp sẽ lưu ý và chú ý những vấn đề bảo mật này ngay từ khi chọn lựa đơn vị thiết kế , đơn vị lưu trữ dữ liệu website
LANIT – Nhà cung cấp dịch vụ lưu trữ website uy tín, với các dịch vụ chất lượng: Hosting giá rẻ, thuê Vps giá rẻ, Thuê Server vật lý,…
Máy chủ LANIT đặt tại trung tâm dữ liệu hàng đầu: FPT, VIETTEL cùng hệ thống chống ddos tốt nhất, chắc chắn dữ liệu website bạn luôn an toàn
Hãy liên hệ với LANIT, nhận tư vấn tối ưu
Cảm ơn bạn đã đọc !
