Tóm Tắt
1. Lỗi chứng thực yếu (Insufficient Authentication)
Lỗi xác nhận yếu Open khi một website được cho phép thông tin tài khoản không có đủ quyền truy vấn những nội dung nhạy cảm. Tình trạng này thường gặp ở những trang quản trị website. Nếu doanh nghiệp không phân quyền ngặt nghèo cho từng vai trò quản trị trên trang, tin tặc hoàn toàn có thể thuận tiện vượt qua chính sách đăng nhập để chiếm quyền điều khiển và tinh chỉnh website .
Biện pháp đối phó
Thiết lập chính sách tinh chỉnh và điều khiển truy vấn thông quan. htaccess hoặc tập tin thông số kỹ thuật httpd.conf
Ví dụ: Điều khiển truy cập thông qua httpd.conf
Bạn đang đọc: 4 hình thức tấn công website thường gặp & cách đối phó
SSLRequireSSL
AuthType Digest
AuthName “ Admin Area ”
AuthDigestfile / usr / local / apache / conf / passwd_digest
Require user admin
Xem thêm: TOP 10 lỗ hổng trong ứng dụng web thường gặp
2. Tấn công Bruteforce
Bruteforce là hình thức tấn công mạng, trong đó tin tặc sử dụng ứng dụng để phối hợp những ký tự khác nhau thành một mật khẩu đúng. Nếu quản trị viên của website chủ quan trong việc đặt mật khẩu và username, tin tặc sẽ tìm ra thông tin đăng nhập. Sau đó, chúng sử dụng những thông tin này để truy vấn vào website và thực thi những hành vi trái phép .
Doanh nghiệp sẽ dễ bị tấn công Bruteforce khi :
- Đặt username là admin, administrator hoặc các tên đăng nhập tương tự.
- Đặt mật khẩu yếu, dễ đoán và quá phổ biến.
- Không bảo mật đường dẫn đăng nhập.
- Không thay đổi mật khẩu thường xuyên.
Biện pháp đối phó
- Đặt mật khẩu có độ bảo mật thông tin cao cường độ mạnh cho mật khẩu : có tối thiểu 8 ký tự gồm có chữ thường, chữ hoa, số, ký tự đặc biệt quan trọng, và đặc biệt quan trọng là không nên tuân theo một trật tự, ý nghĩa nào ( họ tên, ngày sinh, số điện thoại cảm ứng … ) .
- Sử dụng chính sách xác nhận ( Basic hoặc Digest Authentication ).
- Hạn chế số lần đăng nhập hoặc khóa thông tin tài khoản đăng nhập sai.
- Sử dụng module Mod_Dosevasive để xác lập tín hiệu của hình thức tấn công Bruteforce .
3. XSS – Cross-Site Scripting
XSS là hình thức tấn công trong đó tin tặc chèn những đoạn mã ô nhiễm vào phần nội dung của những website đáng đáng tin cậy. Những đoạn mã ô nhiễm hầu hết được viết bằng những Client-Site Script như JavaScript, JScript, DHTML và cũng hoàn toàn có thể là cả những thẻ HTML. Với hình thức tấn công này, tin tặc không tấn công trực tiếp vào nạn nhân. Thay vào đó, tin tặc khai thác lỗ hổng trong website mà nạn nhân truy vấn .
Ví dụ : Sử dụng XSS chèn mã java script trực tiếp trên URL
http://www.demo.com/search.cgi?query=
Xem thêm: Ngôn ngữ HTML – Lập Trình Từ Đầu
Khi wesite http://www.demo.com bị lỗi XSS, trình duyệt sẽ hiện lên một thông tin “ XSS was found ” .
Nếu như những kỹ thuật tấn công khác hoàn toàn có thể làm đổi khác được tài liệu nguồn của web server ( mã nguồn, cấu trúc, cơ sở tài liệu ) thì XSS chỉ gây tổn hại so với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó .
Biện pháp đối phó
- Chỉ được cho phép những tài liệu hợp lệ, khước từ nhận những tài liệu sai .
- Thường xuyên kiểm tra và lọc tài liệu nguồn vào .
- Sử dụng Mod_Security để lọc một số ít tài liệu tấn công XSS .
SecFilterSelective THE_REQUEST “ < [ ^ > ] * meta * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * style * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * script * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * iframe * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * object * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * img * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * applet * \ ” ? [ ^ > ] * > ”
SecFilterSelective THE_REQUEST “ < [ ^ > ] * form * \ ” ? [ ^ > ] * > ”
4. Dự đoán, chèn phiên (Credentical/Session Prediction)
Dự đoán, chèn phiên là một phương pháp chiếm phiên ( hijacking ). Thông thường, hình thức tấn công này xảy ra khi một thông tin tài khoản triển khai quy trình xác nhận so với server ( thông tin tài khoản / mật khẩu ). Dựa vào những thông tin này, server sẽ tạo một giá trị session ID duy nhất để cho phép và duy trì liên kết. Nếu đoán được session ID tiếp nối thì tin tặc có năng lực chiếm phiên đăng nhập của người dùng hợp lệ khác .
Biện pháp đối phó
- Sử dụng SSL ( mod_ssl ) trong quy trình xác nhận để tránh bị nghe lén tài liệu quan trọng .
- Sử dụng cơ chế tạo session ID ngẫu nhiên, thuật toán mã hóa mạnh .
- Session ID phải đủ lớn để gây khó dễ quy trình tấn công bruteforce .
-
Giới hạn thời gian tồn tại của session ID.
Trên đây là bốn hình thức tấn công website thường gặp nhất. Doanh nghiệp nên dữ thế chủ động tìm hiểu và khám phá và thực thi những giải pháp phòng chống để tránh mọi rủi ro đáng tiếc hoàn toàn có thể xảy ra .
Nếu doanh nghiệp có nhu yếu bảo mật thông tin website, hãy để lại thông tin để nhận tư vấn không lấy phí từ SecurityBox .
Source: https://final-blade.com
Category: Kiến thức Internet