Dạo gần đây những lỗi bảo mật trang web ngày càng xuất hiện nhiều khiến người dùng cảm thấy vô cùng khó chịu. Chẳng may trong lúc bạn đang lướt web đọc báo một các vui vẻ thì tự nhiên “bụp” màn hình của bạn xuất hiện dòng chữ: your conection is not private khiến bạn cảm thấy vô cùng tức tối. Vậy giờ phải làm như thế nào? Hãy cùng khám phá những lỗi bảo mật trang web hay gặp và cách khắc phục chúng.
Contents
1. Lỗi bảo mật web thường gặp nhất
Các lỗi bảo mật xuất hiện nhiều hơn trước đây và gây ra nhiều thiệt hại cực kì nghiêm trọng đối với các website bán hàng: nhẹ thì mất khách hàng, sụt giảm doanh thu trên sàn thương mại điện tử. Sau đây là tổng hợp các lỗi thường gặp trên website
xem thêm: Bộ công cụ khai thác Capesand tích cực xuất hiện trong các cuộc tấn công
1. Lỗi chèn mã độc
Bạn có biết lỗi bảo mật trang web này chúng xuất hiện khi nào không? Chúng xuất hiện khi dữ liệu đầu vào của bạn chưa được lọc hoặc là các dữ liệu có nguồn từ một trang không uy tín nào đó. Điều này dẫn đến website của bạn có thể bị mất quyền kiểm soát hoặc rò rỉ dữ liệu trên website.
Để ngăn chặn lỗi này cần truy cập vào SQL, kiểm tra các nguồn dữ liệu có đáng tin cậy không và sử dụng framework để bảo vệ máy chủ.
Cách ngăn chặn
- Truy cập vào Cpanel để rà soát lại các mã nguồn trên web đã bị nhiễm độc.
- Kiểm tra các file đã thay đổi gần đây nhất kể từ khi chúng xuất hiện cảnh báo của google.
- Kiểm tra file các file có tên *index., .htaccess., .default* trên host.
2. LỖ HỔNG XSS
XSS (CROSS SITE CRIPTING) là lỗi thường gặp khi kẻ tấn công chèn một đoạn mã java scrip vào trong ứng dụng web. Lỗi này sẽ khiến website gặp vấn đề nghiêm trọng, các dữ liệu người dùng có thể bị đánh cắp.
Phương thức này được tùy biến để thực hiện với nhiều mục đích khác nhau. Và nó sẽ xuất hiện liên tục khi người dùng truy cập hoặc sử dụng một tính năng thích hợp.
Có 3 loại tấn công CSS
- Reflected XSS
- Stored XSS
- Dom based XSS
3. Lỗi bảo mật trang web security misconfiguration
Lỗi bảo mật trang web này có thể do máy chủ và website có thể định dạng sai cấu hình. Nguyên nhân do:
- Chạy ứng dụng khi đang bật debug.
- Sử dụng các phần mềm WP, PHP đã quá cũ.
- Tích hợp thêm các dịch vụ không cần thiết.
- Không thay đổi default hoặc mật khẩu thường xuyên.
Cách khắc phục:
Trước khi xác định lập website bạn nên liệt kê rõ những dịch vụ cần thiết và quan trọng, Audit máy chủ một cách chính xác và đảm bảo tính an toàn tuyệt đổi về bảo mật của trang web.
4. SENSITIVE DATA EXPOSURE
Lỗi bảo mật trang web này thường xuất hiện khi Crypto và tài nguyên xung đột với nhau. Việc này có thể gây rỏ rỉ dữ liệu khách hàng liên quan đến các vấn đề: Thẻ tính dụng, mật khẩu. Chúng cần phải được mã hóa, gửi đi và lưu trữ.
Cách ngăn chặn:
- Sử dụng thuật toán mã hóa liên quan đến bảo mật hoặc các hasing.
- Sử dụng tiêu chuẩn an ninh mạng AES và RSA.
- Không sử dụng URL và cookie nhạy cảm để truyền tải các Session ID và dữ liệu nhạy cảm.
- Sử dụng HTTPS theo chuẩn an toàn và chỉ nhận các HTTPS có SSL an toàn.
5. Lỗi phân quyền
Lỗi bảo mật trang web: lỗi phân quyền Là lỗi khi một hàm nào đó được gọi trên máy chủ nhưng do quá trình phân quyền không chính xác dẫn đến người dùng có thể hiểu nhầm là do không truy cập được. Với một hacker thì họ có thể vào ẩn hoặc thay đổi quyền truy cập của chức năng này. Nếu bạn chỉ nắm trong tay quyền truy cập admin thì hacker có thể tấn công bạn bất cứ lúc nào.
Cách khắc phục
Thiết lập các phân quyền từ lúc mới thành lập website và thường xuyên rà soát các lỗi. Yêu cầu khách hàng đặt mật khẩu có các kí tự khó cao.
Tổng kết
Bài viết trên là tổng hợp các lỗi bảo mật trang web hay gặp và cách khắc phục. Nó ảnh hưởng vô cùng lớn đến quyền quản trị website của bạn, cách khắc phục tốt nhất và an toàn nhất là khi bạn bắt đầu xây dựng web hãy lập ra cho mình những mục rõ ràng, tối ưu hóa website và chi nhỏ phân quyền để các hacker không thể can thiệp. Chúc bạn thành công.
