Các lỗ hổng bảo mật của Website bị HACKER lợi dụng tấn công nhất

27/06/2022
LANIT JSC

Các vụ tấn công với mục đích chính là đánh cắp dữ liệu người dùng hoặc phá hoại website doanh nghiệp. Hầu hết chúng tấn công thông qua các lỗ hổng của website. Vậy Lỗ hổng bảo mật website là gì? Lỗ hổng bảo mật website nào dễ bị HACKER lợi dụng TẤN CÔNG nhất hiện nay? Theo dõi ngay nhé!

[toc]

Lỗ hổng bảo mật của Website là gì?

Lỗ hổng bảo mật chính là điểm yếu trong quá trình thiết kế và cấu hình của một hệ thống. Lỗ hổng này có thể do người lập trình hoặc do sơ suất trong quá trình vận hành hệ thống.

Hacker sẽ tìm tòi và phát hiện những website có bảo mật kém, những website làm từ những nền tảng: WordPress, Joomla có những lỗ hổng bảo mật chưa được khắc phục, để tấn công, xâm nhập lấy cắp dữ liệu, đặc biệt là dữ liệu khách hàng, phá hoại website, tống tiền doanh nghiệp.

9 Lỗ hổng bảo mật của Website bị hacker tấn công nhiều nhất

1. Lỗ hổng XSS

Với những trang web lỗi XSS, Hacker chiếm quyền quản trị, đánh cắp thông tin KH. Bằng cách chèn mã javascript vào code web. Khi User truy cập, đăng ký thông tin (mua hàng, nhận khuyến mãi hay tài liệu), mã Script của tin tặc sẽ lưu lại thông tin của họ

CÁCH KHẮC PHỤC:

Mã hóa, tất cả những gì khách hàng nhập (ký hiệu <, >, “, ‘ …)

2. Lỗ hổng Injection

Hacker lợi dụng điểm yếu của các truy vấn đầu vào bên trong ứng dụng để chèn thêm dữ liệu không an toàn. Hậu quả, máy chủ có thể bị tấn công bởi một số dạng như: SQL Injection, Xpath Injection, XML Injection, Buffer overflow, LDAP lookups, Shell command Injection. Trong đó, SQL Injection là hình thức tấn công phổ biến nhất trong ứng dụng web.

Khi website bị tấn công qua lỗ hổng này, toàn bộ dữ liệu quan trọng sẽ bị tin tặc truy cập trái phép: Sửa, xóa bỏ thông tin…gây ra thiệt hại vô cùng lớn cho doanh nghiệp

Rất nhiều ông lớn bị dính lỗ hổng bảo mật này như: Sony, yahoo, Microsoft UK đều liên quan đến hình thức tấn công SQL Injection.

3. Cookie

Các website hiện nay đều sử dụng cookie để ghi nhớ thông tin người dùng, cookie này sẽ được gửi lên server mỗi lần request để server biết họ là ai. Khi hacker lấy được cookie, có nghĩ là hacker chiếm được tài khoản của user đó.

Đối với website không https, hacker lấy được cookie rất dễ dàng, chỉ cần dùng công cụ đơn giản để sniff trong cùng một mạng LAN như Fiddler, Wireshark và dùng extention EditThisCookie để đưa vào trình duyệt là chiếm được quyền.
Hoặc website nào có lỗ hổng xss thì hacker sẽ chuyển hướng sang một trang web khác với hàm. document.cookie và lấy được cookie đó.

4. CSRF

Lỗi này khá phổ biến và hay gặp trong website, nhất là những website dùng framework cũ.

Lợi dụng cơ chế tự động đăng nhập vào một số website, tin tặc điều hướng người dùng thực thi các đoạn chứa mã độc, nhúng vào website mà họ đang truy cập. Khi đó, mã độc sẽ chạy trên trình duyệt của họ. Lúc này, hacker dễ dàng thực hiện các hành vi gian lận.

Lời khuyên: Khi đăng nhập tài khoản, tốt nhất bạn không nên lưu mật khẩu và User

5. Quản lý người dùng

Đối với bất kỳ website nào có chức năng login đều có những thao tác cơ bản sau:

Cho phép người dùng đăng kí, đăng nhập bằng email

Phân quyền khách hàng
Tích hợp với Gmail, Facebook
Tích hợp với hệ thống người dùng có sẵn trong doanh nghiệp
Reset mật khẩu
Block account khi KH nhập sai pass nhiều lần
Bảo mật cho API với app di động
Bảo mật 2 lớp với các account quan trọng
Quản lý: Thêm bớt xoá sửa User

Tuy nhiên, vẫn xảy ra 1 số trường hợp khiến thông tin khách hàng bị lộ

Ví dụ: Do người lập trình web thiếu kinh nghiệm

6. Lỗi cấp quyền

Lỗ hổng này diễn ra khi máy chủ nhận được yêu cầu của người dùng, nhưng không tiến hành cấp quyền chính xác khiến khách hàng không truy cập vào website

Hacker sẽ tấn công, đánh cắp thông tin cũng như dành quyền kiểm soát trang web

Do đó, khi xây dựng website, coder nên phân quyền luôn, đồng thời, yêu cầu khách hàng sử dụng mật khẩu có tính bảo mật cao

7. Do bất cẩn Coder – Không kiểm tra sự điều hướng và chuyển tiếp của URL

Với sơ hở này, tin tặc điều hướng đường link gốc đến một trang web lừa đảo. Khi người dùng click vào đường link tới trang web lừa đảo, máy tính của họ có thể bị nhiễm mã độc. Tin tặc sau đó có thể ép họ tiết lộ thông tin cá nhân.

8. Lỗ hổng đến từ thư viện có sẵn

Lỗ hổng đến từ thư viện ứng dụng, nằm trong plugin cài thêm hoặc trong module ứng dụng. Từ đó, hacker khai thác các lỗ hổng bảo mật, khiến hàng loạt khách hàng, thiết bị bị ảnh hưởng.

9. Máy chủ lưu trữ bảo mật kém

Hosting, Vps lưu trữ website bảo mật kém là mục tiêu của những kẻ tấn công

Mặc dù vấn đề an toàn – bảo mật dữ liệu được các đơn vị quản lý lưu ý, tuy nhiên, dữ liệu của DN không tránh khỏi bị tấn công. Nhất là, thuê phải nhà cung cấp có hạ tầng, hệ thống chống ddos kém.

Kết luận

Trên đây là 9 lỗ hổng bảo mật thường gặp nhất trên website. Hy vọng Doanh nghiệp sẽ lưu ý vào những vấn đề bảo mật này ngay từ khi chọn lựa đơn vị thiết kế , đơn vị lưu trữ dữ liệu website. Nếu bạn đang cần một dịch vụ lưu trữ chất lượng bảo mật, tham khảo ngay các dịch vụ của LANIT như Hosting giá rẻ, thuê Vps, Thuê Server vật lý,…

Máy chủ LANIT đặt tại trung tâm dữ liệu hàng đầu: FPT, VIETTEL cùng hệ thống Firewall chống DDoS mạnh mẽ giúp dữ liệu website bạn luôn an toàn, bảo mật.

Liên hệ ngay với LANIT để nhận được sự hỗ trợ, tư vấn tận tình nhé!

Cảm ơn bạn đã đọc !

Triệu Huyền Trang

Triệu Huyền Trang chuyên gia 3 năm kinh nghiệm trong ngành Công Nghệ, Phần Mềm. Chuyên chia sẻ các kiến thức phần mềm mã nguồn, ứng dụng và thông tin về công nghệ hữu ích.