CÁC LOẠI TẤN CÔNG VÀ HACK BẢO MẬT ỨNG DỤNG WEB PHỔ BIẾN HIỆN NAY
1. LOCAL ATTACK
- - Local attack là gì ? Local
attack là một trong những kiểu hack rất phổ biến và không được khuyên dùng.Đối
một web server thông thường khi bạn đăng ký một tài khoản trên server nào đó bạn
sẽ được cấp một tài khoản trên server đó và một thư mục để quản lý site của
mình. Ví dụ : tenserver/tentaikhoancuaban. Và như vậy cũng có một tài khoản của
người dùng khác tương tự như : tenserver/taikhoan1.Giả sử taikhoan1 bị hacker
chiếm được thì hacker có thể dùng các thủ thuật,các đoạn scrip,các đoạn mã lệnh
để truy cập sang thư mục chứa site của bạn là tenserver/taikhoancuaban. Và cũng
theo cách này hacker có thể tấn công sang các site của người dùng khác và có thể
lấy thông tin admin,database,các thông tin bảo mật khác hoặc chèn các đoạn mã độc
vào trang index của site bạn. Dạng tấn công trên gọi là Local Attack - - Thông thường nhất, Local Attack được sử dụng để đọc lấy thông tin
config từ victim, sau đó dựa vào thông tin ở config và mục đích của hacker để
phá hoại website - Cách tấn công Local Attack :
- - Để thực hiện tấn công Local Attack, tùy theo cách thức của hacker mà
có những cách Local khác nhau. Thông thường thì các hacker thường sử dụng các
đoạn lệnh để tấn công vào database.
2. Tấn công từ chối dịch vụ - (Denial Of Service - Dos, DDos)
Giới
thiệu khái quát về DoS:
- DoS
(Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp
pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc
làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng là làm
cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client.
DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả
một hệ thống mạng rất lớn. Thực chất của DoS là kẻ tấn công sẽ chiếm dụng một
lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các
yêu cầu dịch vụ đến từ các client khác.
3. Tấn công SQL injection
- SQL Injection là
gì? - - Khi triển khai
các ứng dụng web trên Internet, nhiều người vẫn nghĩ rằng việc đảm bảo an toàn,
bảo mật nhằm giảm thiểu tối đa khả năng bị tấn công từ các tin tặc chỉ đơn thuần
tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ sở dữ liệu,
webserver sẽ chạy ứng dụng, ... mà quên mất ằng ngay cả bản thân ứng dụng chạy
trên đó cũng tiềm ẩn một lỗ hổng bảo mật rất lớn. Một trong số các lỗ hổng này
đó là SQL injection. Tại Việt Nam, đã qua thời kì các quản trị website lơ là việc
quét virus, cập nhật các bản vá lỗi từ các phần mềm hệ thống, nhưng việc chăm
sóc các lỗi của các ứng dụng lại rất ít được quan tâm. Đó là lí do tại sao
trong thời gian vừa qua, không ít website tại Việt Nam bị tấn công và đa số đều
là lỗi SQL injection. Vậy SQL injection là gì ?
- SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng
trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của
hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu
lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu
quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các
thao tác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng,
thậm chí là server mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các ứng
dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL
Server, MySQL, Oracle, DB2, Sysbase.
4. Cross Site Scripting (XSS)
- 1.
Tấn công XSS - - Cross-Site
Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay, đồng
thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát
triển web và cả những người sử dụng web. Bất kì một website nào cho phép người
sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm
thì đều có thể tiềm ẩn các lỗi XSS. - - Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là
CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn
công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ
HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử
dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng
các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các
thẻ HTML.Kĩ thuật tấn công XSS đã nhanh chóng trở thành một trong những lỗi phổ
biến nhất của Web Applications và mối đe doạ của chúng đối với người sử dụng
ngày càng lớn. Người chiến thắng trong cuộc thi eWeek OpenHack 2002 là người đã
tìm ra 2 XSS mới. Phải chăng mối nguy hiểm từ XSS đã ngày càng được mọi người
chú ý hơn.