Cách Xâm Nhập Vào 1 Trang Web Site With Basic Html Coding, Cách Hack 1 Trang Web

Posted on by adminChuyên mục:Kiến thức Internet

I. Tổng quan

Xu hướng sử dụng internet để tìm kiếm sản phẩm, dịch vụ và mua hàng trực tuyến ngày càng gia tăng. Việc này đã giúp các website luôn giữ được vị thế của mình vì lợi ích mà nó mang lại. Chính vì lợi ích to lớn ấy mà việc hack website từ các tin tặc cũng ngày 1 gia tăng. Việc bảo mật website là vô cùng cần thiết. Để việc bảo mật được hiệu quả, chúng ta cần phải hiểu được hack website là gì và các hình thức hack website để xây dựng các phương thức bảo vệ phù hợp.

Bạn đang xem: Cách xâm nhập vào 1 trang web

Hack là hành vi xâm nhập trái phép vào phần cứng hoặc ứng dụng. Hack Website là xâm nhập trái phép vào Website, truy vấn vào các khu vực mà người dùng thông thường không được phép như hosting, trang quản trị, soạn thảo … Hack website cũng gồm có hành vi can thiệp vào mã nguồn, database và chỉnh sửa nội dung và đổi khác các tính năng của Website trái phép .

*

2. Mục đích Hack Website 

Vào những năm đầu của kỷ nguyên Web, thì các hacker tấn công khai thác các lỗ hổng bảo mật trên Website mục đích chỉ để thể hiện hoặc phá hoại, có thể để cảnh báo các lỗ hổng bảo mật mà quản trị web không biết.Tiêu biểu là vụ học sinh hack website của bộ GD-DT.

So với thời kỳ đầu, thì mục đích của Hack Website hiện nay 99% là vì tiền, như ăn cắp dữ liệu để bán lại, ăn cắp thông tin thẻ tín dụng/ ghi nợ để rút tiền, hack mướn cho các đối thủ cạnh tranh không lành mạnh, phát tán nội dung cho các thế lực xấu….

Và nhất là hack website cho các mục tiêu kiếm tiền trực tiếp : chèn link chuyển hướng về site kiếm tiền, chèn nội dung lừa đảo, chèn quảng cáo, chèn link cho các chiến dịch Blackhat SEO …*

4. Hạn chế, phòng chống hack website

Để giảm rủi ro tiềm ẩn hack website, hãy bảo vệ website của bạn khỏi tin tặc bằng cách liên tục cải tổ năng lực bảo mật thông tin cho website. Tìm kiếm và phát hiện sớm các lỗ hổng bảo mật thông tin. Việc tạo ra những ứng dụng ô nhiễm đang tăng trưởng nhanh gọn, chúng liên tục tìm cách mới để tiến công các website. Để làm được điều này, bạn cần phải hiểu được các hình thức hack website từ các hacker. Sau đây, tất cả chúng ta sẽ cùng khám phá về 5 hình thức hack website mà hacker thường sử dụng .

II. 5 hình thức hack website phổ biến

Cách thức thực thi hack website là vô cùng phong phú, nhưng 5 hình thức hack website sau là phổ cập nhất, chiếm hầu hết các vụ tiến công bảo mật thông tin !

1. Tấn công Dò mật khẩu – Brute Force Attack

Đây là kiểu hack website tưởng là cơ bản nhưng hiệu suất cao cao nhất .*

a) Brute Force Attack thông thường

Brute Force Attack là kiểu hack website bằng chiêu thức dò mật khẩu, với các thuật toán tự động hóa thử các chuỗi mật khẩu khác nhau, gồm có số, vần âm, vần âm và số … .Về kim chỉ nan, nếu có đủ thời hạn, thì Brute Force sau cuối sẽ tìm được mật khẩu đúng chuẩn. Không phải như nhiều người nghĩ Brute Force Attack là “ đoán ” mật khẩu, mà thực tiễn có các chương trình với thuật toán dò mật khẩu ‘ máu lạnh ’ – với xác xuất bắt được các mật khẩu yếu rất cao .

b) Brute Force Attack qua XML-RPC

XML-RPC là một giao thức gọi thủ tục từ xa, được cho phép thực thi các request HTTP theo một tập lệnh XML được mã hóa. Điểm đặt biệt là của XML-RPC là phương pháp system.multicall, được cho phép gởi nhiều tổng hợp tham số trong mỗi request. XML-RPC hiện đang được sử dụng trên WordPress và nhiều CMS, ngôn từ lập trình Web thông dụng khác .Từ năm năm ngoái, hacker đã tận dụng phương pháp system.multicall của XML-RPC để thực thi các truy vấn dò mật khẩu quản trị .Cách tiến công này cũng không hề chặn bằng chiêu thức đổi đường dẫn đăng nhập hoặc Two Authentication, Captcha Chec7home. vnox … Vì tính năng XML-RPC khi bật hoàn toàn có thể gởi request trực tiếp mà không cần qua bất kỳ lớp bảo mật thông tin thường thì nào .Vì cường độ tiến công lớn, lỗ hổng XML-RPC còn được dùng cho mục tiêu tiến công khước từ dịch vụ ( DDos ) .Để chống thực trạng này, tất cả chúng ta sẽ cần tắt XML-RPC thủ công từ hosting, hoặc tắt một phần, chặn system.multicall bằng các plugin .

2. Tấn công vào các lỗ hổng bảo mật trên hosting

Có vô số các dịch vụ hosting, VPS trên thị trường, nhưng đằng sau đó nhiều lúc chỉ là một “ tay mơ ” thuê sever để bán hosting hoặc mua các gói reseller hosting chất lượng thấp bán lại .Các công nghệ tiên tiến bảo mật thông tin trên hosting nhu yếu về ngân sách và phải có trình độ kỹ thuật, giàu kinh nghiệm tay nghề. Hosting không chỉ có tài nguyên phần cứng, mà các công nghệ tiên tiến bảo vệ bảo đảm an toàn cho Website càng quan trọng hơn nhiều .Nếu một sever, vps hoặc gói hosting bị hacker xâm nhập, thì mọi phương pháp bảo mật thông tin trên Website trở nên không có ý nghĩa. Tai hại ở chỗ, nếu Website bị nhiễm malware trên hosting cũ, bạn move qua hosting mới mà chưa gỡ sạch mã độc trong code và database thì mọi thứ vẫn không khác gì .

3. Hack lỗ hổng bảo mật trên Code

Đây là phương pháp hack website phổ cập nhất, nó là nguyên do chính khiến cho “ bảo mật thông tin Website ” là cuộc chiến trường kỳ, không khi nào kêt thúc .

Mọi ngôn ngữ lập trình đều có điểm mạnh, điểm yếu nên luôn có các phương thức bảo mật để tránh bị hacker lợi dụng. Các phần mềm, mã nguồn website không thể tự tạo ra mà được code bằng con người, nên những lỗ hổng bảo mật từ sơ đẳng đến hiếm gặp ngày ngày được tạo ra.

Xem thêm: Tựa Vai Và Đưa Tay Đây Mình Nắm, Lời Bài Hát Là Bạn Không Thể Yêu

Rất nhiều ứng dụng, addons / plugins / extension … được tạo ra từ những developer tay mơ, kèm theo đó là những lỗi sơ đẳng về bảo mật thông tin, giải quyết và xử lý hiệu năng và các lỗi thích hợp … Mọi Coder đều có lúc không cẩn thận, chủ quan. Chưa kể có những yếu tố phát sinh từ thực tiễn sử dụng nên lỗ hổng bảo mật thông tin trong code luôn luôn Open .Để hiểu hơn về tiến công vào lỗ hổng bảo mật thông tin trên mã nguồn, tất cả chúng ta sẽ điểm qua các giải pháp hack website thông dụng nhât lúc bấy giờ qua lỗi bảo mật thông tin trên code :

a) SQL Injection 

Dựa vào lỗi bảo mật thông tin trong code truy vấn cơ sở tài liệu SQL, hacker chỉ cần cố ý sử dụng các giá trị và truy vấn đặc biệt quan trọng để truy xuất, chỉnh sửa, thêm, xóa các tài liệu trong database .

Lỗi SQL Injection chiếm một tỉ lệ lớn trong các vụ hack website, và gây ra tác hại rất nghiêm trọng vì khi can thiệp được vào database, hacker gần như nắm toàn quyền kiểm soát website của bạn.

*

b) Cross-Site Scripting (XSS)

Kiểu hack website này nhằm mục đích vào lỗ hổng bảo mật thông tin trên code, nhưng dùng các lệnh thực thi phía Client Site ( phía người dùng )Các lệnh mà tin tặc dùng thường là các ngôn từ client side như Javascript ( JS ), VBScript hay Flash, HTML … lúc bấy giờ thì thông dụng nhất là JS và HTML .Mục đích của các đoạn mã JS, HTML là :Ăn cắp cookie của người dùng: cookie này dùng để xác thực danh tính khi đăng nhập vào tài khoản trên các website, có được cookie này, hacker có thể hack vào tài khoản của bạn trên các website đang đăng nhập.Lừa đảo (Phishing): đưa các nội dung lừa đảo vào một trang web để lừa người dùng nhập thông tin cá nhân, hoặc thực hiện các yêu cầu khác (như gởi tiền vào tk nào đó hoặc click vào các link độc hại…)Ăn cắp cookie của người dùng : cookie này dùng để xác nhận danh tính khi đăng nhập vào thông tin tài khoản trên các website, có được cookie này, hacker hoàn toàn có thể hack vào thông tin tài khoản của bạn trên các website đang đăng nhập. Lừa đảo và chiếm đoạt tài sản ( Phishing ) : đưa các nội dung lừa đảo vào một trang web để lừa người dùng nhập thông tin cá thể, hoặc thực thi các nhu yếu khác ( như gởi tiền vào tk nào đó hoặc click vào các link ô nhiễm … )

Các loại XSS Attack

Reflected XSS (non – persistant)Hacker lừa người dùng nhấp vào các đường link của website họ đang đăng nhập.Ví dụ người dùng đang đăng nhập vào vietcombank.com.vn, thì hacker sẽ gởi cho họ một đường link tương tự nhưng kèm các tham số để thực thi lện js do hacker tạo ra.VD “https://webdemo.com/+ js code”Nếu trang web được code kém bảo mật, không check và làm sạch các tham số trên ULR, thì các lệnh “js code” của hacker sau khi được xử lý bởi Server sẽ trả về trình duyệt thực thi ngay trên trình duyệt của người dùng, và lệnh “js code” này thường có nhiệm vụ ăn cắp và gởi cookie trên trình duyệt tới server của hacker.Có cookie này hacker sẽ login vào chính tài khoản của người dùng trên webdemo.com mà không cần phải có username & mật khẩu.Tất nhiên cookie chỉ còn hiệu lực nếu phiên làm việc (session) của người dùng vẫn còn, nếu người dùng đã đăng xuất khỏi webdemo.com trước khi nhấp vào link do hacker gởi thì cookie đó không còn sử dụng để login được nữa.Cách tấn công này phụ thuộc vào trình độ “lừa” của hacker và sự bất cẩn từ người dùng!Stored XSSStored XSS là kiểu hack website mà các đoạn mã js được chèn vào code, database của Website luôn. Khi người dùng truy cập vào các tác vụ tương ứng, mã js sẽ thực thi và đánh cắp cookie hoặc đưa các thông tin lừa đảo, redirect sang web xấu..Kiểu tấn công này hiệu quả cao vì không cần lừa người dùng nhấp vào link nào cả, chỉ cần họ vào trang web có tác vụ bị gài mã js là ok.Việc đưa mã độc js vào code/ database thường được thực hiện qua các tính năng cần lưu dữ liệu như Form liên hệ, khung bình luận, reviews…Nếu quá trình code các tính năng này, developer không thực hiện các bước bảo mật như kiểm tra xác thực kiểu dữ liệu được nhập, loại bỏ các ký tự nguy hiểm… thì thay vì đưa các nội dung hợp pháp như nội dung bình luận, đánh giá… thì hacker sẽ nhập vào các đoạn mã js.DOM-based XSSMột kỹ thuật hack website XSS mới, cho phép hacker thay đổi cấu trúc DOM của trang web, khi người dùng nhấp vào phần nội dung thêm vào này, các đoạn mã js độc hại sẽ thực thi. Nó tương tự với Reflected XSS nhưng thay vì gởi về Server để xử lý và phản hồi lại cho trình duyệt, thì DOM-based XSS thực thi ngay trên trình duyệt mà không cần phải gởi về Servers để xử lý lệnh.Ví dụ hacker có thể gởi một đường link tới nạn nhân, nạn nhân click vào thì trên Website bị XSS sẽ có một Popup yêu cầu “nhập Password” để đăng nhập hoặc login để nhận phần thưởng chẳng hạn (mà thông tin bạn nhập vào sẽ gởi cho hacker thay vì gởi về server).tin tặc lừa người dùng nhấp vào các đường link của website họ đang đăng nhập. Ví dụ người dùng đang đăng nhập vào vietcombank.com.vn, thì hacker sẽ gởi cho họ một đường link tựa như nhưng kèm các tham số để thực thi lện js do hacker tạo ra. VD “ https://webdemo.com/+ js code ” Nếu trang web được code kém bảo mật thông tin, không check và làm sạch các tham số trên ULR, thì các lệnh “ js code ” của hacker sau khi được giải quyết và xử lý bởi Server sẽ trả về trình duyệt thực thi ngay trên trình duyệt của người dùng, và lệnh “ js code ” này thường có trách nhiệm đánh cắp và gởi cookie trên trình duyệt tới server của hacker. Có cookie này hacker sẽ login vào chính thông tin tài khoản của người dùng trên webdemo.com mà không cần phải có username và mật khẩu. Tất nhiên cookie chỉ còn hiệu lực thực thi hiện hành nếu phiên thao tác ( session ) của người dùng vẫn còn, nếu người dùng đã đăng xuất khỏi webdemo.com trước khi nhấp vào link do hacker gởi thì cookie đó không còn sử dụng để login được nữa. Cách tiến công này phụ thuộc vào vào trình độ “ lừa ” của hacker và sự không cẩn thận từ người dùng ! Stored XSS là kiểu hack website mà các đoạn mã js được chèn vào code, database của Website luôn. Khi người dùng truy vấn vào các tác vụ tương ứng, mã js sẽ thực thi và đánh cắp cookie hoặc đưa các thông tin lừa đảo, redirect sang web xấu .. Kiểu tiến công này hiệu suất cao cao vì không cần lừa người dùng nhấp vào link nào cả, chỉ cần họ vào trang web có tác vụ bị gài mã js là ok. Việc đưa mã độc js vào code / database thường được thực thi qua các tính năng cần lưu dữ liệu như Form liên hệ, khung phản hồi, trình làng … Nếu quy trình code các tính năng này, developer không thực thi các bước bảo mật thông tin như kiểm tra xác nhận kiểu tài liệu được nhập, vô hiệu các ký tự nguy khốn … thì thay vì đưa các nội dung hợp pháp như nội dung phản hồi, nhìn nhận … thì hacker sẽ nhập vào các đoạn mã js. Một kỹ thuật hack website XSS mới, được cho phép hacker biến hóa cấu trúc DOM của trang web, khi người dùng nhấp vào phần nội dung thêm vào này, các đoạn mã js ô nhiễm sẽ thực thi. Nó tựa như với Reflected XSS nhưng thay vì gởi về Server để giải quyết và xử lý và phản hồi lại cho trình duyệt, thì DOM-based XSS thực thi ngay trên trình duyệt mà không cần phải gởi về Servers để giải quyết và xử lý lệnh. Ví dụ hacker hoàn toàn có thể gởi một đường link tới nạn nhân, nạn nhân click vào thì trên Website bị XSS sẽ có một Popup nhu yếu “ nhập Password ” để đăng nhập hoặc login để nhận phần thưởng ví dụ điển hình ( mà thông tin bạn nhập vào sẽ gởi cho hacker thay vì gởi về server ) .

c) Cross-Site Request Forgery (CSRF/ XSRF)

Cách thức tiến công CSRF dễ nhầm lẫn với XSS, vì nó dùng thủ đoạn lừa người dùng thực thi một tác vụ mà chỉ có họ mới có quyền thực thi .Tuy nhiên, với XSS – kẻ tiến công triển khai các lệnh bằng JS ngay trên trình duyệt người dùng. Còn với CSRF – kẻ tiến công gởi các lệnh tới để lừa người dùng triển khai – các lệnh này hoàn toàn có thể là các tác vụ triển khai trên Server .Ví dụ, bạn đang đăng nhập vào https://webdemo.com, hacker sẽ gởi cho bạn một link như sau : https://webdemo/account?new_password=abc123Sau khi nhấp vào link, bạn đã thực thi đổi pass sang abc123 mà không hề biết, lệnh này chỉ có bạn khi đăng nhập mới có quyền thực thi. Thế là hacker dùng pass mới để login vào thông tin tài khoản của bạn .Hiện nay các Website lớn đều có chính sách chống tiến công CSRF, nhưng vẫn còn vô số lổ hổng để hacker tận dụng, nên đại chiến bảo mật thông tin luôn rất căng thẳng mệt mỏi .

d) Inclusion Vulnerabilities: LFI and RFI

Là phương pháp hack website dựa vào lỗ hổng bảo mật thông tin trên code Website, tức là tiến công vào mã nguồn trên sever, hacker sẽ tận dụng các tính năng được lập trình kém, không bảo mật thông tin của App, Website … để thực thi các đoạn mã độc có chủ ý .LFI – Local File InclusionLFI Attack là kiểu hack website dựa vào lỗ hổng bảo mật trên code, hacker sẽ thực thi các tác vụ khác có sẵn trên code hoặc xem các thông tin không được phép – đây là các tác vụ chúng ta không muốn thực thi vì bảo mật & ảnh hưởng đến hiệu suất của máy chủ.Ví dụ, khi ta viết code để mở một file ảnh, thì hacker sẽ mở luôn một file khác trên server (ví dụ file cấu hình hosting, website..).LFI Attack là kiểu hack website dựa vào lỗ hổng bảo mật thông tin trên code, hacker sẽ thực thi các tác vụ khác có sẵn trên code hoặc xem các thông tin không được phép – đây là các tác vụ tất cả chúng ta không muốn thực thi vì bảo mật thông tin và tác động ảnh hưởng đến hiệu suất của sever. Ví dụ, khi ta viết code để mở một file ảnh, thì hacker sẽ mở luôn một file khác trên server ( ví dụ file thông số kỹ thuật hosting, website .. ) .

RFI – Remote File Inclusion RFT – tương tự LFI Attack, nhưng được thực hiện bằng cách gọi một File khác nằm ngoài máy chủ (Remote File).Cách hack website này hậu quả còn nghiêm trọng hơn LFI, vì remote File là các đoạn code mà hacker làm chủ, họ có thể làm mọi thứ với các đoạn mã này.

4. Phát tán Code có gài mã độc

Một trong những phương pháp hack website chắc như đinh hiệu suất cao, dễ làm mà bạn chỉ cần xin ở đâu đó đoạn code ‘ backdoor ’ hoặc malware là hoàn toàn có thể sưu tập được list nạn nhân khổng lồ .Thế giới source code không tính tiền trên mạng cực kỳ hỗn tạp, mà hacker lẫn các chàng trai tốt bụng đều góp công vào việc phát tán mã độc .Bạn hoàn toàn có thể tìm hàng nghìn Website san sẻ mã nguồn PHP, CMS, WordPress Themes – Plugins … dưới các cái tên crack, nulled, gpl, …Số người dùng code từ các trang san sẻ này hoàn toàn có thể lên đến hàng chục triệu, … chưa kể số người được người quen, bè bạn, ‘ đồng râm ’ trên các forum, group san sẻ cho nhau các resources này …Với hacker, mua một ứng dụng, theme, plugin rồi chèn malware vào rồi phát tán là việc quá thuận tiện. Việc này giống như phát không lấy phí cho bạn các ổ khóa mưu trí, để rồi hacker muốn vào nhà bạn khi nào tùy thích .

5. Hack vào thiết bị lưu trữ thông tin tài khoản

Đây là cách hack website chiếm thiểu số các vụ tấn công Website, vì không phải ai bị hack thiết bị cá nhân như smartphone, máy tính… cũng sở hữu Website.

Xem thêm: Vì Sao Phải Chuẩn Bị Cho Trẻ Vào Lớp 1 ? Chuẩn Bị Cho Con Vào Lớp Một

Nhưng, nếu bạn sở hữu Website, lưu trữ thông tin login trên đt, laptop… mà bị mất hoặc bị hack… hoặc có dịp gởi đi sửa chữa…

Hãy cẩn trọng, nếu gặp sự cố thì nhanh tay đổi ngay thông tin login hosting / vps, domain, quản trị Website .*

III. Tổng kết

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàngHosting Phổ ThôngHosting Chất Lượng Cao

admin