Messages posted by: FaL

conmale wrote:

Tớ theo dõi chủ đề này và đã gần 30 bài thảo luận nhưng vẫn chưa thấy có ai đề cập đến khía cạnh nền tảng để ngăn chặn "back door".

Bất cứ một "back door" nào cũng cần có cơ chế truy cập đến nó và truy cập từ nó. Nói cụ thể hơn, một php dùng làm back door chẳng hạn có hai phía connections:
1. Từ trình duyệt của tin tặc đến php đó (client đến cổng 80/443 của dịch vụ web):
Trình duyệt:12345 ---> web server:80

2. Từ php đó (sau khi đã biến thành con php shell) ra ngoài để download, upload hoặc include một thứ gì khác (từ máy chủ của dịch vụ web đến một trang web hoặc một máy chủ khác).
web server:23456 ---> web server khác:80

Trong trường hợp thứ nhất, việc ngăn cản truy cập đến abc.php nào đó nếu biết trước thì không khó nhưng nếu đó là một file do tin tặc upload lên có một tên ngẫu nhiên hoặc thậm chí ẩn trong một file khác thì cực kỳ khó cản lọc. Đây là việc làm đòi hỏi sắp xếp và phòng chống trước khi xảy ra tình trạng bị upload "shell".

Trong trường hợp thứ nhì, việc ngăn cản máy chủ cung cấp dịch vụ web truy cập đến một trang web nào khác là việc cực kỳ đơn giản (nếu máy chủ có hệ thống tường lửa). Ví dụ, nếu dùng Linux và iptables thì 1 luật:
iptables -A OUTPUT -s <myip> -p tcp --SYN -d any/0 -j DROP
là xong. Máy chủ cung cấp dịch vụ web này không có cách nào tạo ra SYN để truy cập đến một trang khác. Bởi vậy, các phương pháp "INCLUDE" một file nào đó nằm ở một host khác là chuyện không thể xảy ra. Nếu như đụng đến việc "INCLUDE" một file nào khác trên cùng máy chủ và cũng "bị" upload cùng với "shell" thì biện pháp hoàn toàn khác (và hoàn toàn phụ thuộc vào việc sắp xếp và phòng chống ngay từ đầu).

Giải pháp của anh conmale rất hữu ích nếu mình làm chủ được máy chủ web, nhưng nếu trong trường hợp dùng shared host có lẽ không khả thi.

Theo mình có 2 trường hợp cho backdoor hoạt động:
1. (Tạm gọi là) Active:
- Client truy cập vào website, giúp đoạn code backdoor hoạt động, gửi thông tin về một máy chủ khác.

2. (Tạm gọi là) Passive:
- Hacker ghé thăm 2 website, kiểm tra xem website đó có bị "dính" backdoor của anh ta hay không? Sau đó thao tác gọi backdoor.

Với trường hợp 1, việc kiểm tra những request xuất phát từ webserver ra ngoài là việc cần thiết và hiệu quả.
Với trường hợp 2, kiểm tra mã nguồn khó khăn hơn rất nhiều. Có thể quét bằng antivirus nhưng bản thân Fal cũng chưa tìm hiểu xem các antivirus sẽ quét những gì trong mã nguồn để phát hiện backdoor, mức độ tin tưởng đến đâu?

chiro8x, dacminhm:
Thoải mái đi các bạn, chính mình cũng chưa đạt đến tầm để rà soát, kiểm tra hoàn toàn một source code. Vì thật sự bây giờ source code không đơn giản, cần phải hiểu biết ngôn ngữ, kiến trúc, triết lý,... mới có thể thực hiện công việc đó. Mình tạo ra chủ đề này để học hỏi thêm mọi người về khía cạnh bảo mật, bên cạnh đó cũng để một số bạn chưa quan tâm đúng mức đến vấn đề dùng source code lạ biết được những nguy cơ còn tồn tại.

TQN wrote:

Nên dùng các tool quét security, bug static để quét code.

anh TQN cho em mấy cái tool tin cậy đi anh! smilie

Cám ơn đóng góp của protectHat, anh tranhuuphuoc và xnohat,
Đến đây Fal tổng hợp lại ý kiến của mọi người như sau:

1. quét virus toàn bộ source code nghi ngờ;

2. cài đặt, kiểm tra kỹ db xem có gì lạ, khả nghi hay không;

3. chạy thử nghiệm xem có request nào lạ ra bên ngoài không;

4. config server để chống bypass, LFI;

5. debug code.

Quả thật công tác kiện toàn bảo mật cho web-application không thể tách rời việc kiện toàn bảo mật của server. Những bước 1, 2, 3 thực hiện không khó, nhưng đến bước thứ 4 cần phải có kiến thức tốt về hệ thống mới có thể thực hiện được, bước thứ 5 đòi hỏi trình độ code khá cao mới có thể thực hiện được. 2 bước cuối có vẻ ngắn gọn nhưng chứa đựng trong đó quá nhiều công việc.

Đáng tiếc là hiện nay việc kiện toàn bảo mật chưa được quan tâm đúng mức, người dùng nói chung sẵn sàng tắt antivirus để chạy crack một phần mềm nào đó. Coder sẵn sàng download source code lạ trong khi không đủ khả năng để debug.

Thời gian vừa qua rất nhiều website ở ta bị deface, việc kiện toàn bảo mật cho website đang là một vấn đề khá nóng bỏng. Chủ đề này không đi sâu vào việc kiện toàn bảo mật cho server chứa ứng dụng web, mà thảo luận về việc nhận biết backdoor của web-application không có nguồn gốc rõ ràng.

Thực tế có rất nhiều website sử dụng mã nguồn mở, nhưng kèm theo đó, chủ nhân của website cũng dùng rất nhiều module, component khác không có nguồn gốc rõ ràng (các hacked templates, hacked components,...). Dùng các source này nghĩa là bạn đã chấp nhận phiêu lưu với độ an toàn website của mình. "Source code của ứng dụng có chứa backdoor hay không?" luôn là câu hỏi thời sự. Vậy có cách nào nhận biết, phòng tránh trường hợp này không?

Mời các bạn cùng tham gia thảo luận!

Cám ơn hainp2604, tôi sẽ ghé qua xem.

Thần bài: Khẩn thiết thế mới mong có kết quả chứ lão, hehe

Mình đang cần mua 1 ổ IDE khoảng 160GB tại Hà Nội, bác nào biết chỗ nào bán chỉ giúp với ạ!
Gia đình xin cảm ơn và hậu tạ.

Bách khoa có truyền thống đáng tự hào, chúc mừng bạn kid1303, chúc bạn học tốt nhé!

B 0 0 B wrote:

em đang nhục mặt khi học đại học ko làm đc cái gì cả, thà ko học đh còn hơn

Bạn học đại học nào mà nghe có vẻ buồn thế?

Thêm khả năng quản lý các siêu thị khác cũng là một khả năng. Ngoài ra mình nghĩ có thể làm thêm các phần thống kê lượng, chủng loại mặt hàng, biểu thị kết quả thống kê dưới dạng biểu đồ,...

Nói chung là phân tích, làm kỹ thì sẽ có rất nhiều việc để làm.
Lưu ý là trước khi làm nên vạch ra những chức năng cụ thể, phù hợp rồi bám theo đó mà làm, chứ đừng nghĩ ra cái gì hay hay lại thêm thắt vào. Như thế vừa mất thời gian, vừa không đúng trọng tâm.

Chúc bạn thành công nhé!

bạn thử up chỗ khác xem, mình vẫn không xem được.

Mình ko xem được hình ảnh bạn gửi!

Quản lý siêu thị ở mức độ nào bạn?
Quản lý bán hàng hay là quản lý cả nhân sự? Một phần mềm riêng lẽ cho từng siêu thị hay là một hệ thống quản lý tất cả các siêu thị thành viên? Theo mình phát triển được hay không còn phụ thuộc vào bài toán, yêu cầu mình đặt ra thế nào nữa.

moonlight_farewell wrote:

Đúng rồi ạ, cuối năm nay mới làm đồ án tốt nghiệp nên cái em làm kì này chỉ là đồ án tính điểm học phần thôi, thời gian chuẩn bị là 2 tháng sau khi tên đồ án đăng kí được chấp nhận cho phép làm, ko hẳn là 2 ngôn ngữ này mà còn nhiều cái khác nữa VD như: mạng không dây, bảo mật mạng, đồ hoạ, hardware ... (vì cái đồ án này lấy điểm riêng nên có thể chọn tuỳ ý trong lĩnh vực IT chứ ko phải điểm của 1 học phần nào đó) tuy nhiên em muốn phát triển 1 ứng dụng từ 2 ngôn ngữ C# hay Java để cuối năm này lấy đó làm đồ án tốt nghiệp (tất nhiên phải cải tiến thêm), em muốn nghiên cứu về Java Mobile mà thầy hướng dẫn ko đồng ý hướng dẫn làm vì thầy nói ko có thời gian hướng dẫn đồ án Java Mobile, nên định chuyển qua C# và phân vân nên làm về cái gì với C#[i], VD như phát triển 1 ứng dụng quản lý vói C# như quản lý thư viện, quản lý siêu thị ... chẳng hạn, xin các anh cho em ý kiến thêm, cám ơn các anh !

Còn C# hay Java thì em cũng tàn tàn thôi nếu chọn về ngôn ngữ nào thì nghiên cứu thêm sau

Kinh nghiệm riêng của mình: Bạn nên chọn đồ án học phần này là một phần của đồ án tốt nghiệp, hoặc chính là bước đầu của đồ án tốt nghiệp cũng được. Như thế bạn sẽ có thời gian đầu tư và chăm chút hơn cho đồ án tốt nghiệp.

TQN wrote:

Lên http://www.wotsit.org mà xem.

Anh TQN bắt đúng mạch rồi này smilie