Forum asp có thể bất khả xâm phạm ko?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Forum asp có thể bất khả xâm phạm ko?

[Question] Forum asp có thể bất khả xâm phạm ko?	09/08/2009 06:48:42 (+0700) \| #1 \| 189205

gataphack
Member

Joined: 08/08/2009 09:26:38
Messages: 2
Offline

em dạo chơi trên mạng, thấy hầu hết đều là forum vbb,....v.v.
nhưng có 1 số forum asp, phần này cũng hay, em định vào đâm thử, nhưng chưa biết cách đâm, và nghe nói luôn là : forum asp không thâm nhập được vì hầu như hoàn thiện, và ít lỗi....
Có phải như vậy ko các anh?

[Question] Forum asp có thể bất khả xâm phạm ko?	09/08/2009 13:53:20 (+0700) \| #2 \| 189243

vduck
Member

Joined: 03/07/2009 18:05:07
Messages: 13
Offline

Ôi, website tốt không phụ thuộc vào công nghệ mà phụ thuộc vào người lập trình. Lập trình tốt thì ít lỗi. Còn về forum, theo mình thì forum viết bằng PHP mới là những loại forum tốt

[Question] Forum asp có thể bất khả xâm phạm ko?	09/08/2009 15:40:39 (+0700) \| #3 \| 189250

freeze_love
Member

Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline

Không có forum VBB, ASP nào là tốt nhất cả. Ăn thua là ở người quản lí (Admin), biết điểm yếu của WebSite mình và fix thôi. Làm Web = html đi. Thời giờ, người ta dùng php, asp,... thì mình quay lại thuở xưa chơi với html smilie

. Hacker thấy ko quy mô mấy nên ko ghé thăm hỏi sức khoẻ smilie

do{
học đến điên;
}while (sống);

[Question] Forum asp có thể bất khả xâm phạm ko?	09/08/2009 20:15:48 (+0700) \| #4 \| 189275

phonglanbiec
Member

Joined: 03/07/2006 20:56:00
Messages: 162
Offline

Tại sao chỉ "định" mà không đâm luôn? Nếu bạn đã thường xuyên "đâm" thì chắc cũng không hỏi câu hỏi này smilie

, theo mình nghĩ, không gì là bất khả xâm phạm smilie

[Question] Forum asp có thể bất khả xâm phạm ko?	13/08/2009 19:05:39 (+0700) \| #5 \| 189870

Jino_Hoang
Member

Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline

Mình không nghĩ vậy đâu. Chính những FOrum ASP mới nhiều lỗi hơn PHP vì nó ít được cập nhật
Thường phải thu phí nhiều lên it người dùng. Còn đâm được hay không là tuỳ ở bạn
Phương pháp hay dùng bây giờ là SQL Injection hoặc tài hơn bạn hack cả server của nó luốn
IIS server bây giờ thiếu gì lỗi

Đã Trở Lại - Ăn Hại Hơn Trước

[Question] Forum asp có thể bất khả xâm phạm ko?	22/08/2009 11:56:09 (+0700) \| #6 \| 190788

gataphack
Member

Joined: 08/08/2009 09:26:38
Messages: 2
Offline

vậy sẵn đây bạn có thể cho mình Y! để hỏi thăm 1 chút được ko?

[Question] Forum asp có thể bất khả xâm phạm ko?	23/08/2009 19:39:23 (+0700) \| #7 \| 190930

Mr.Kas
Member

Joined: 22/07/2009 14:36:56
Messages: 209
Offline

Theo lí thuyết thì không một mã nguồn hay là hệ thống nào có thể nói là hoàn thiện và không dính lỗi trong đó. Nhưng theo thực tế thì có những hệ thống có thể nói là kiện toàn bảo mật và bất khả xâm phạm. Nhưng lại nhìn lại lí thuyết thì nhận thấy rằng chúng bất khả xâm phạm vì không phải chúng không có lỗi mà chỉ đơn giản là chưa ai tìm ra lỗi của chúng hoặc là chúng "bí mật".

Câu nói "forum asp không thâm nhập được vì hầu như hoàn thiện, và ít lỗi.... " nhìn vào rất buồn cười, đã "hoàn thiện" thì không thể "hầu như" và càng không thể có lỗi chứ đừng nói đến chuyện là "ít hay nhiều". Và câu trả lời là forum ASP cũng như bao forum khác, vẫn tồn tại những lỗi trong lập trình và dựa vào đó người tấn công (hacker) có thể kiểm soát hoàn toàn forum hoặc thậm chí là deface.

Câu trả lời của bạn freeze_love làm tớ nghĩ tới vài chuyện, nhìn thì có vẻ buồn cười nhưng thật ra nếu xây dựng một web site nhỏ chỉ nhằm quản bá vài thứ gì đó thì tốn thời gian thêm tí chút để tạo từng trang html thì có thể chống được rất nhiều "hacker Việt Nam". Lưu ý là hacker Việt Nam thôi nhé, không phải là tất cả các hacker.

Vì theo tớ thấy các hacker Việt Nam chỉ toàn là attack application như SQL - Structured Query Language, LFI - Local File Include, RFI - Remote File Include, XSS - Cross Site Scripting, RCE - Remote Code Execution, AFD - Arbitrary File Download, SCD - Source Code Disclosure, PCI - PHP Code Injection, Bypass, Guess Pass, Buffer Overflow, Local Root Exploits, ..., ngoài ra hầu không có 1 tí SUID exploit, Race Condittion, remote/local BoF, IFS Exploit, TCP/IP attack, ... Chính xác hơn là các hacker Việt Nam chỉ "Web Attacking".

Thế nên HVA một phần vững vàng vì tớ nghĩ admin của HVA nhận ra rất rõ điều này. Các bạn thử nhìn vào trong sever HVA, nhìn cái source của forum HVA thấy là ghi JForum nhưng chưa ai dám chắc chắn 100% đó là JForum và sever HVA đang chạy tomcat hay là cái món nào khác. Thế nên nhiều lúc bảo mật chỉ có hai điều giản dị là "đơn giản" và "bí mật". Bí mật là một mắc xích khá quan trọng trong bảo mật. Một hệ thống "càng bí mật" thì càng khó bị xâm phạm.

@ Jino_Hoang: Không nên nhìn nhận vấn đề một cách dễ dàng như thế, nếu đơn giản IIS có rất nhiều lỗi thì tại sao hiện giờ vẫn có rất nhiều sever dùng IIS mà không phải là apache. Và các bản cập nhật của IIS vẫn ra điều đặng.

Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...

[Question] Forum asp có thể bất khả xâm phạm ko?	27/08/2009 20:12:17 (+0700) \| #8 \| 191275

Jino_Hoang
Member

Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline

Ý mình là bọn server IIS chưa chắc đã vá hết lỗi, không phải lúc nào admin cũng cập nhật
Bây giờ đã có IIS 7 mà 90% admin VN đều dùng bản 6.0 vì họ ngại nâng cấp.
Đó chính là lỗi của họ.

Đã Trở Lại - Ăn Hại Hơn Trước

[Question] Forum asp có thể bất khả xâm phạm ko?	27/08/2009 20:31:32 (+0700) \| #9 \| 191278

Mr.Kas
Member

Joined: 22/07/2009 14:36:56
Messages: 209
Offline

Theo thông tin không chính thức của tớ có thì HVA đang chạy IIS 4 đó smilie

Việc nhận định là IIS 6 hay IIS 7 của bạn là không có cơ sở gì nhiều cả. Mình cũng dùng IIS 6 nè, không phải là do không cập nhật mà là không muốn cập nhật, và hệ thống mình đang ổn định, mình không muốn tự nhiên update lên để sinh ra lỗi mới. Trong IIS 7 có nhiều lỗi mà IIS 6 không có đâu smilie

Thực ra "nâng cấp" không chỉ là fix lỗi và đưa ra bản vá, thường nâng cấp còn được dùng cho việc "bổ sung thêm" vào sản phẩm những tính năng mới, hay tối ưu hóa các tính năng cũ nhằm tạo nên hiệu suất. Ví dụ Windows XP, nếu người ngoài nhìn vào (hoặc là người dùng không chính thức - không mua bản quyền) thì việc ra đời Windows XP Sp2 và Sp3 đối với họ là lâu, và không ít người nhận định rằng "Windows rất lâu trong việc cập nhật lỗi, tới 5 năm mới có một bản SP" nhưng thực chất thì không phải vậy, bản thân mình dùng Windows XP SP2 mỗi ngày vẫn lên trang chủ của nó Download các bản vá lỗi thường xuyên, mà những bản vá lỗi này ở các máy tính không có bản quyền không thể nào update được.

Thêm một ví dụ mới rõ hơn là Windows XP và Windows Vista, Windows 7. Tại sao đã ra hai bản Windows mới đó rồi mà người dùng vẫn còn dùng Windows XP và theo nhận định của bạn là Windows XP còn rất nhiều "lỗi"? Thực ra vài ngày là Windows XP lại có bản vá trên trang update của nó, và tớ vẫn thường update thường xuyên Windows XP nên có thể nói là Windows XP trên máy tớ hoạt động khá ổn định, ổn định hơn cả Vista hay là Windows 7.

Một ví dụ về mã nguồn là trong các bản vBB thì bản vBB 3.5.4 là tương đối ổn định cao, các bản sau này chỉ thêm râu ria rờm rà vào thôi, thực chất không cải thiện được gì cả. Chỉ thay đổi một vài thành phần nhỏ không cần thiết. Bản thân bản vBB 3.5.4 dính một số lỗi bảo mật mà cụ thể là XSS, nhưng nếu bạn là người am hiểu PHP bạn có thể lên trang chủ của PHP hoặc là các trang cung cấp lỗi để có thể tự fix lỗi cho bản bạn đang dùng, thay vì đi update. Và thậm chí một số lỗi được sinh ra là do thêm các phần râu ria vào, càng nhiều râu ria thì càng nhiều bug.

Treo chuột, gác phím, cất modem, cắt NET. Lên núi luyện công chờ ngày trở lại ...

Go to:

Users currently in here
1 Anonymous