Các lỗi bảo mật website thường gặp
Ngày đăng: 11/23/2021 7:44:11 AM - Lĩnh vực khác - Toàn Quốc - 130Chi tiết [Mã tin: 3540682] - Cập nhật: 24 phút trước
1. Broken Authentication
Đây là nhóm các vấn đề có thể xảy ra trong quá trình xác thực. Có một lời khuyên là không nên tự phát triển các giải pháp mã hóa vì rất khó có thể làm được chính xác.
Có rất nhiều rủi ro có thể gặp phải trong quá trình xác thực:
- URL có thể chứa Session ID và rò rỉ nó trong Referer Header của người dùng khác.
- Mật khẩu không được mã hóa hoặc dễ giải mã trong khi lưu trữ.
- Lỗ hổng Session Fixation.
- Tấn công Session Hijacking có thể xảy ra khi thời gian hét hạn của session không được triển khai đúng hoặc sử dụng HTTP (không bảo mật SSL)…
- …
Cách ngăn chặn:
Cách đơn giản nhất để tránh lỗ hổng bảo mật web này là sử dụng một framework. Trong trường hợp bạn muốn tự tạo ra bộ xác thực hoặc mã hóa cho riêng mình, hãy nghĩ đến những rủi ro mà bạn sẽ gặp phải và tự cân nhắc kĩ trước khi thực hiện.
2. Lỗ hổng Injection
Injection là lỗ hổng xảy ra do sự thiếu sót trong việc lọc các dữ liệu đầu vào không đáng tin cậy. Khi bạn truyền các dữ liệu chưa được lọc tới Database (Ví dụ như lỗ hổng SQL injection), tới trình duyệt (lỗ hổng XSS), tới máy chủ LDAP (lỗ hổng LDAP Injection) hoặc tới bất cứ vị trí nào khác. Vấn đề là kẻ tấn công có thể chèn các đoạn mã độc để gây ra lộ lọt dữ liệu và chiếm quyền kiểm soát trình duyệt của khách hàng.
Mọi thông tin mà ứng dụng của bạn nhận được đều phải được lọc theo Whitelist. Bởi nếu bạn sử dụng Blacklist việc lọc thông tin sẽ rất dễ bị vượt qua (Bypass). Tính năng Pattern matching sẽ không hoạt động nếu thiết lập Blacklist.
Cách ngăn chặn:
Để chống lại lỗ hổng này chỉ “đơn giản” là vấn đề bạn đã lọc đầu vào đúng cách chưa hay việc bạn cân nhắc liệu một đầu vào có thể được tin cậy hay không. Về căn bản, tất cả các đầu vào đều phải được lọc và kiểm tra trừ trường hợp đầu vào đó chắc chắn đáng tin cậy.(Tuy nhiên việc cẩn thận kiểm tra tất cả các đầu vào là luôn luôn cần thiết).
3. Lỗ hổng XSS
Lỗ hổng XSS (Cross-scite Scripting) là một lỗ hổng rất phổ biến. Kẻ tấn công chèn các đoạn mã JavaScript vào ứng dụng web. Khi đầu vào này không được lọc, chúng sẽ được thực thi mã độc trên trình duyệt của người dùng. Kẻ tấn công có thể lấy được cookie của người dùng trên hệ thông hoặc lừa người dùng đến các trang web độc hại.
Cách ngăn chặn:
Có một cách bảo mật web đơn giản đó là không trả lại thẻ HTML cho người dùng. Điều này còn giúp chống lại HTML Injection – Một cuộc tấn công tương tự mà hacker tấn công vào nội dung HTML – không gây ảnh hưởng nghiêm trọng nhưng khá rắc rối cho người dùng. Thông thường cách giải quyết đơn giản chỉ là Encode (chuyển đổi vê dạng dữ liệu khác) tất cả các thẻ HTML. Ví dụ thẻ <script> được trả về dưới dạng <script>.
4. Security Misconfiguration
Trong thực tế, máy chủ website và các ứng dụng đa số bị cấu hình sai. Có lẽ do một vài sai sót như:
- Chạy ứng dụng khi chế độ debug được bật.
- Directory listing
- Sử dụng phần mềm lỗi thời (WordPress plugin, PhpMyAdmin cũ)
- Cài đặt các dịch vụ không cần thiết.
- Không thay đổi default key hoặc mật khẩu
- Trả về lỗi xử lý thông tin cho kẻ tấn công lợi dụng để tấn công, chẳng hạn như stack traces.
Cách ngăn chặn:
Có một quá trình xây dựng ứng dụng an toàn. Cần một quá trình audit lỗ hổng bảo mật trên máy chủ trước khi triển khai.
5. Insecure Direct Object References
Đây là trường hợp điển hình của việc cho rằng đầu vào của người dùng là tin cậy từ đó dẫn đến lỗ hổng bảo mật. Lỗ hổng này xảy ra khi chương trình cho phép người dùng truy cập các tài nguyên (dữ liệu, file, database). Nếu không thực hiện quá trình kiểm soát quyền hạn (hoặc quá trình này không hoàn chỉnh) kẻ tấn công có thể truy cập một cách bất hợp pháp vào các dữ liệu nhạy cảm, quan trọng trên máy chủ.
Cách ngăn chặn:
Thực hiện phân quyền người dùng đúng cách và nhất quán với sự áp dụng triệt để các Whitelist.
6. Sensitive data exposure
Lỗ hổng này thuộc về khía cạnh crypto và tài nguyên. Dữ liệu nhạy cảm phải được mã hóa mọi lúc, bao gồm cả khi gửi đi và khi lưu trữ – không được phép có ngoại lệ. Thông tin thẻ tín dụng và mật khẩu người dùng không bao giờ được gửi đi hoặc được lưu trữ không được mã hóa. Rõ ràng thuật toán mã hóa và hashing không phải là một cách bảo mật yếu. Ngoài ra, các tiêu chuẩn an ninh web đề nghị sử dụng AES (256 bit trở lên) và RSA (2048 bit trở lên).
Cần phải nói rằng các Session ID và dữ liệu nhạy cảm không nên được truyền trong các URL và cookie nhạy cảm nên có cờ an toàn.
Cách ngăn chặn:
- Sử dụng HTTPS có chứng chỉ phù hợp và PFS (Perfect Forward Secrecy). Không nhận bất cứ thông tin gì trên các kết nối không phải là HTTPS. Có cờ an toàn trên cookie.
- Bạn cần hạn chế các dữ liệu nhạy cảm có khả năng bị lộ của mình. Nếu bạn không cần những dữ liệu nhạy cảm này, hãy hủy nó. Dữ liệu bạn không có không thể bị đánh cắp.
- Không bao giờ lưu trữ thông tin thẻ tín dụng, nếu không muốn phải đối phó với việc tuân thủ PCI. Hãy đăng ký một bộ xử lý thanh toán như Stripe hoặc Braintree.
- Nếu bạn có dữ liệu nhạy cảm mà bạn thực sự cần, lưu trữ mã hóa nó và đảm bảo rằng tất cả các mật khẩu được sử dụng hàm Hash để bảo vệ. Đối với Hash, nên sử dụng bcrypt. Nếu bạn không sử dụng mã hoá bcrypt, hãy tìm hiểu về mã Salt để ngăn ngừa rainbow table attack.
Không lưu trữ các khóa mã hóa bên cạnh dữ liệu được bảo vệ. Việc này giống như khóa xe mà cắm chìa luôn ở đó. Bảo vệ bản sao lưu của bạn bằng mã hóa và đảm bảo các khóa của bạn là riêng tư.
7. Missing function level access control
Đây chỉ là sai sót trong vấn đề phân quyền. Nó có nghĩa là khi một hàm được gọi trên máy chủ, quá trình phân quyền không chính xác. Các nhà phát triển dựa vào thực tế là phía máy chủ tạo ra giao diện người dùng và họ nghĩ rằng khách hàng không thể truy cập các chức năng nếu không được cung cấp bởi máy chủ.
Tuy nhiên, kẻ tấn công luôn có thể yêu cầu các chức năng “ẩn” và sẽ không bị cản trở bởi việc giao diện người dùng không cho phép thực hiện các chức năng này. Hãy tưởng tượng trong giao diện người dùng chỉ có bảng điều khiển/admin và nút nếu người dùng thực sự là quản trị viên. Không có gì ngăn cản kẻ tấn công phát hiện ra những tính năng này và lạm dụng nó nếu không phân quyền.
Cách ngăn chặn:
Ở phía máy chủ, phải luôn được phân quyền một cách triệt để từ khâu thiết kế. Không có ngoại lệ – mọi lỗ hổng sẽ dẫn đến đủ các vấn đề nghiêm trọng.
Nguồn: Các lỗi bảo mật website thường gặp
Tin liên quan cùng chuyên mục Lĩnh vực khác
- 2
Chính chủ cần cho thuê, sang nhượng nhà nghỉ, gần ngã tư trị trấn trạm trôi, huyện hoài đức, hà nội
Cập nhật: vài giây trước - 4
Bán nhà tân bình hxh 60m2 3 tầng btct nở hậu 4.5m 2 mặt hẻm
Cập nhật: vài giây trước - 2
Bán nhà 5 tầng tại kim hoàng vân canh, nhà mới xây sổ đỏ cất két sẵn sàng gio dịch - pb
Cập nhật: vài giây trước - 3
Bán đất quận bắc từ liêm- đường thụy phương ô tô vào nhà !!
Cập nhật: vài giây trước - 2
Bán nhà kha vạn cân, linh chiểu, thủ đức, 95m2, ngang 4.5m chỉ nhỉnh 3 tỷ siêu ngon, 50m ra mặt tiền
Cập nhật: vài giây trước - 5
Bán nhà bình thạnh hxh 55m2 sát mặt tiên ngang khủng 5m 3
Cập nhật: vài giây trước - 2
Bán nhà mặt tiền kd 130m2 tặng dãy trọ ngay nguyễn ảnh thủ, quận 12
Cập nhật: vài giây trước - 4
Nhà diện tích 40m2 x 4 tầng tại vân canh, hoài đức. lô góc
Cập nhật: vài giây trước - 2
Bán nhà riêng nguyễn thị định trung hòa 35m 5 tầng gần ô tô ở ngay nhỉnh 6 tỷ lh 0817606560
Cập nhật: vài giây trước - 5
Bán nhà 6m2 góc 2 mặt tiền & khu trọ 3t hà huy giáp, quận
Cập nhật: vài giây trước - 2
Bán nhà vương thừa vũ 52m 4 tầng mặt tiền 6m lô góc ô tô đỗ cửa ngõ thông kinh doanh nhỉnh 6 tỷ lh
Cập nhật: vài giây trước - 5
Bán căn hộ chung cư hưng ngân garden quận 12, 69m2, 2pn, đã
Cập nhật: vài giây trước - 2
Bán nhà phân lô phố phúc lợi long biên 95mx5t thang máy mt 6m nhỉnh 13 tỷ lh 0975124520
Cập nhật: vài giây trước - 2
Bán nhà phân lô vũ xuân thiều long biên 93mx5t thang máy mt 6m nhỉnh 13 tỷ lh 0975124520
Cập nhật: vài giây trước - 2
Bán nhà mặt ngõ vũ trọng phụng 32mx4t ngõ thông ô tô kinh doanh ở ngay 5 tỷ lh 0975124520
Cập nhật: vài giây trước - 1
Bán đất di trạch, sát ngã tư nhổn, chợ nhổn, di chuyển vài
Cập nhật: 1 phút trước - 4
Nhà 4 tầng sát ngã tư canh, diện tích 40m2 mặt tiền 4m, 5
Cập nhật: 1 phút trước - 4
Chủ nhà cần tiền bán gấp nhà vân canh hoài đức, nhà mới xây
Cập nhật: 1 phút trước - 2
Cần bán gấp lô đất thổ cư nhựt chánh long an shr 76m2.nhỉnh 1tỷ tl
Cập nhật: 1 phút trước - 2
Nhà mới xây tại di trạch hoài đức, nội thất đẹp, thiết kế đầy đủ công năng, ô tô tải đỗ cửa giá chỉ
Cập nhật: 1 phút trước - 2
Bán nhà gần tô ngọc va6h,tam phú, thủ đức 60m2, hẻm xe tải chỉ 3.xx tỷ giá siêu rẻ
Cập nhật: 1 phút trước - 2
Bán nhà gần đặng văn bi trường thọ 45m2, 2 tầng đúc, hẻm xe tải chỉ nhinh 3 tỷ
Cập nhật: 1 phút trước - 2
Bán gấp nhà riêng, hxh trường thọ, thủ đức, dt85m2, 3 tầng, chính chủ bán giá rẻ như cho nhỉnh 6 tỷ
Cập nhật: 1 phút trước - 2
Nhà ngay gốc đường võ văn ngân vàtô vĩnh diện, 5x23m, giá chỉ 7 tỷ, ngay vincom thủ đúc
Cập nhật: 1 phút trước - 2
Cơ hội sở hữu nhà riêng phường hiệp bình chánh,thủ đức,75m2, 3t, ở ngay chính chủ shr, nhỉnh 5.4 tỷ
Cập nhật: 1 phút trước - 2
Mặt phố tam khương 70m 5 tầng 2 mặt thoáng ô tô tránh vỉa hè kinh doanh lh 0817.606.560
Cập nhật: 1 phút trước - 2
Bán nhà quan nhân nhân chính 50m 4x4t ngõ thông kinh doanh nhà đẹp ở ngay nhỉnh 6 tỷ lh 0975124520
Cập nhật: 1 phút trước - 2
Mặt phố khương thượng 33m 4 tầng vỉa hè kinh doanh sầm uất nhỉnh 8 tỷ lh 0975124520
Cập nhật: 1 phút trước - 3
Bán nhà trần thái tông cầu giấy 49m gần phố , gần oto nhỉnh
Cập nhật: 1 phút trước - 2
Bán ccmn mỹ đình ô tô, dòng tiền 58 5t mt 4.5m giá 9.5 tỷ
Cập nhật: 1 phút trước - 2
Nhỉnh tr/m2 lô đất 1900m2 bán hxt an phú đông, quận 12 cho đầu tư, kho xưởng, biệt thự
Cập nhật: 1 phút trước - 1
Cần bán mảnh đất ở yên vĩnh, vị trí nằm sát khu đô thị mới kim chung, hoài đức, hà nội - pb
Cập nhật: 1 phút trước - 2
Bán gấp nhà 55m2, 2t, hxh, đường phạm văn đồng, linh tây, thủ đức chỉ nhỉnh 2 tỷ mới ở ngay
Cập nhật: 1 phút trước - 3
Bán gấp dãy nhà trọ 5x20m, hxh phường 5, gò vấp. chỉ 7.9 tỷ
Cập nhật: 1 phút trước - 3
Bán gấp nhà mặt tiền kinh doanh hiệp thành, quận 12, 5x25m,
Cập nhật: 1 phút trước - 2
1 tỷ 75 có ngay căn nhà cấp 4 diện tích 55 m3 mặt tiền 6 m đường thoáng kinh doanh đỉnh - pb
Cập nhật: 2 phút trước - 1
Bán đất di trạch, sát ngã tư nhổn, chợ nhổn, di chuyển vài
Cập nhật: 2 phút trước - 2
Bán đất cc phân lô mặt ngõ thông, văn hội bắc từ liêm , ô tô vào đất 56m mt4m gia nhỉnh 5 tỷ
Cập nhật: 2 phút trước - 2
Bán nhà phân lô - ô tô - thang máy - kd - vp trần quốc hoàn 50 m 6t mt 4.2 m giá 15.9 tỷ.
Cập nhật: 2 phút trước - 2
Chủ cần bán gấp nhà 5 tầng vị trí yên vĩnh, kim chung, diện tích 40 m2 nhà 5 tầng giá 2 tỷ 8
Cập nhật: 2 phút trước - 2
Cần tiền bán nhà tại vân canh hoài đức, s: 45m2, đường thoáng, sổ đẹp, giá chỉ 3 tỷ 2
Cập nhật: 2 phút trước - 1
Áo đầm màu rêu vnxk dư voan cát dún eo giá siêu rẻ
Cập nhật: 2 phút trước - 2
Bán nhà kv tân mai, tam trinh, dt 39m × 5t dòng tiền 220 triệu/năm ô tô đỗ cổng. chỉ 3 tỷ 740 triệu
Cập nhật: 2 phút trước - 0
Nhà đẹp ở ngay hoàng ngân thanh xuân 35m 5 tầng ngõ thông ô tô đỗ cửa nhỉnh 5 tỷ lh 0817606560
Cập nhật: 2 phút trước - 2
Nhỉnh 39tỷ thương lượng tốt- mặt tiền nguyễn trãi kd đa ngành nghề -hàng mới ra lò
Cập nhật: 2 phút trước - 2
Xíu 12tỷ-mặt tiền kinh doanh ký hòa-quận 5, 3tầng 52m-chỉ 1 căn duy nhất giá tốt
Cập nhật: 2 phút trước - 2
Không thể bỏ lỡ, bán nhà riêng, linh tây, td, 80m2 3t, sát trường đh cảnh sát, giá nhỉnh 7,5 tỷ
Cập nhật: 2 phút trước - 2
Bán nhà tại vân canh, hoài đức, diện tích 45 m2 mặt tiền 4,5m nhà đẹp thiết kế đủ công năng sử dụng
Cập nhật: 2 phút trước - 0
Mặt tiền kinh doanh nguyễn biểu quận 5 đường 2chiều-4tầng, khu hiếm nhà bán,10tỷ tl
Cập nhật: 2 phút trước - 1
Cân bán đất ở khu cao trung 1 hoài đức hà nội diện tích 75m2. mặt tiền 4,5 m .. giá 4tỷ2.
Cập nhật: 2 phút trước