Bảo mật cho forum nói chung bắt đầu từ đâu?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Bảo mật cho forum nói chung bắt đầu từ đâu?

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 00:17:51 (+0700) \| #1 \| 33576

newspring
Member

Joined: 04/07/2006 23:17:20
Messages: 23
Offline

Tôi đang chập chững tìm hiểu vấn đề bảo mật cho forum nói chung. Tuy nhiên tôi không biết bắt đầu từ đâu, phải làm những công việc gì? Phải biết ngôn ngữ lập trình nào v.v...Do vậy tôi rất mong được sự chỉ giáo của mọi người.
Cám ơn các bạn nhiều.

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 00:53:03 (+0700) \| #2 \| 33581

DigitalLove
Member

Joined: 13/12/2006 21:15:53
Messages: 62
Offline

Mình còn gà lắm nên chẳng dám nói nhiều. Nhưng mình nghĩ nếu bạn sử dụng những phần mềm forum như vBB, IPB, phpBB thì độ bảo mật cao lắm rồi . Mình thấy HvA cũng từ chối test những website sử dụng những mã nguồn trên. smilie

[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 13:59:20 (+0700) \| #3 \| 33667

nora
Elite Member

Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline

1-phiên bản của forum
bạn phải liên tục update
2-modules
hạn chế bớt modules, không phải nhiều modules là diễn đàn hay
3-forum permission
set permission cho forum cũng như thành viên một cách hạn chế, nghĩa là hạn chế upload, chèn code
4-admin
không nên dùng tài khoản admin post bài, chỉ nên dùng để điều chỉnh forum
đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa

5-hosting và domain
điều này không thể không nhắc đến nếu bạn dùng server bảo mật không tốt

[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 14:06:44 (+0700) \| #4 \| 33669

DigitalLove
Member

Joined: 13/12/2006 21:15:53
Messages: 62
Offline

nora wrote:

đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa

Bro ví dụ thêm 1 chút nữa được không smilie

Mình phải config cái file .htaccess và htpasswd ra sao ?

[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 14:49:48 (+0700) \| #5 \| 33677

nora
Elite Member

Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline

DigitalLove wrote:

nora wrote:

đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa

Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ?

OK

nếu site bạn có cpanel thì vào "pasword protect directory" để protect cái trang admin của bạn

nếu ko có bạn có thể làm thủ công, nói chung cũng chẳng khó
Bước 1
bạn tạo 1 file .htpasswd trong thư mục website của bạn ví dụ /home/username/.htpasswd
trong file này bạn đặt user và pasword, ví dụ
tôi có user: nora password: nora
nora:bmM.IhsrhkvNs
bạn hãy vào link này để tự tạo pasword cho mình
http://www.htaccesstools.com/htpasswd-generator/
sau đó chèn user và pasword mà bạn tạo được vào file htpasswd
Bước 2:
bạn tạo 1 file .htaccess trong file này có nội dung như sau

AuthName “Password Protect Directory”
AuthType Basic
AuthUserFile /home/username/.htpasswd
Require valid-user

và đặt file này tại domain.com/forum/admin/
nó sẽ thành domain.com/forum/admin/.htaccess
vậy là xong
chúc thành công

[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu?	01/01/2007 15:06:18 (+0700) \| #6 \| 33680

~simon~
Member

Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline

DigitalLove wrote:

nora wrote:

đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa

Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ?

Cái này bro hỏi Admin yeuhaiphong.com anh ấy có kinh nghiệm á nhưng cũng bị thịt như thường à smilie

.Nói chung srv mình host cũng quan trọng lắm.

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	02/01/2007 01:51:59 (+0700) \| #7 \| 33753

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

newspring wrote:

Tôi đang chập chững tìm hiểu vấn đề bảo mật cho forum nói chung. Tuy nhiên tôi không biết bắt đầu từ đâu, phải làm những công việc gì? Phải biết ngôn ngữ lập trình nào v.v...Do vậy tôi rất mong được sự chỉ giáo của mọi người.
Cám ơn các bạn nhiều.

Câu hỏi của bồ khá tổng quát nên khó có thể trả lời cho xác thực.

Điểm căn bản nhất cần nắm về một forum đó là một môi trường cho phép thành viên gởi thông tin và chia sẻ thông tin (thông tin có thể là text, hình ảnh, software...). Forum cung cấp càng nhiều phương tiện chia sẻ, càng có nhiều cơ hội bị thiếu sót. Nói một cách khác, một software càng có nhiều tính năng, càng phức tạp thì càng giảm độ bảo mật.

- nếu bồ rành lập trình, bồ nên chọn một forum viết bằng ngôn ngữ lập trình nào bồ thành thạo nhất (tất nhiên forum ấy phải cho phép bồ điều chỉnh nếu muốn).

- nếu bồ không rành lập trình, bồ nên chọn một forum nào được mọi người công nhận là ổn định và bảo mật nhất mà dùng. Tuy nhiên, việc theo dõi và cập nhật bản vá nhanh chóng và kịp thời là việc quan trọng nhất để duy trì tính bảo mật của nó.

Tính bảo mật của một forum không phụ thuộc vào ngôn ngữ lập trình mà phụ thuộc vào độ quan tâm đến tính bảo mật của người thiết kế và tạo nên forum ấy. Điểm quan trọng không kém để kiện toàn bảo mật cho forum là môi trường host forum ấy. Cho dù forum có bảo mật thế nào đi chăng nữa mà môi trường (router, server, services...) kém bảo mật thì vẫn có thể dẫn đến việc forum bị nhân nhượng.

Nếu bồ có vai trò thiết kế hoặc tu chỉnh một forum, những điều quan trọng cần lưu tâm cho bảo mật của forum là:
- chỉ cung cấp những tính năng thật sự cần thiết cho forum và mỗi tính năng này phải được thử nghiệm, kiểm tra kỹ lưỡng.
- bất cứ nơi đâu cho phép nhập dữ liệu (INPUT) đều phải được kiểm soát chặt chẽ để loại bỏ những thông tin mang tính dung hại. Phân biệt và tách rời giữa dữ liệu và phương tiện cung cấp dữ liệu (ví dụ như: <script></script> là phương tiện cung cấp dữ liệu và chúng phải được kiểm soát, sử dụng đúng chỗ).
- tuyệt đối loại bỏ khả năng tương tác trực tiếp đến cơ sở dữ liệu (từ asp, jsp, php....). Mọi thông tin cần gởi và nhận đến CSDL phải được một bộ phận trung gian điều tác và kiểm soát chặt chẽ.

Trên Internet có vô số các tài liệu về:
- phương pháp thiết kế ứng dụng.
- phương pháp validate dữ liệu nhập.
- phương pháp kiện toàn bảo mật môi trường hosting.

Nên tìm, đọc và thử nghiệm các tài liệu có chủ đề trên.

Vào diễn đàn và đưa ra những chủ đề cụ thể cho việc ứng dụng để nhận được góp ý từ các thành viên là một cách học và làm rất hữu hiệu.

Chúc bồ thành công.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Bảo mật cho forum nói chung bắt đầu từ đâu?	04/01/2007 07:47:17 (+0700) \| #8 \| 34178

watchd0g
Member

Joined: 30/11/2006 18:05:23
Messages: 42
Offline

Mọi thông tin cần gởi và nhận đến CSDL phải được một bộ phận trung gian điều tác và kiểm soát chặt chẽ.

Giả sử forum được code trên nền PHP và Web Admin chọn MySQL làm CSDL. Khi user làm động tác post bài (làm 1 cú query đến MySQL) thì chỉ có mỗi PHP tham gia thôi, nếu theo ý cuả anh conmale thì phải có cái gì đó chen vô giưã PHP & MySQL, vậy anh nói rõ và cụ thể hơn chút được không?

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	04/01/2007 12:30:45 (+0700) \| #9 \| 34214

lyhuuloi
Elite Member

Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline

Em cũng ko rõ ý của anh conmale lắm. Nhưng dĩ nhiên mọi dữ liệu đưa vào CSDL đều phải được lọc cẩn thận. :wink:

http://lyhuuloi.com smilie

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	04/01/2007 15:37:25 (+0700) \| #10 \| 34254

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

Cái bộ lọc đó có thể là code php luôn hoặc là phần mềm nào khác. Anh conmale có thể nói rõ về phần mềm khác được không?

[Question] Re: Bảo mật cho forum nói chung bắt đầu từ đâu?	04/01/2007 18:12:54 (+0700) \| #11 \| 34268

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

watchd0g wrote:

Mọi thông tin cần gởi và nhận đến CSDL phải được một bộ phận trung gian điều tác và kiểm soát chặt chẽ.

Giả sử forum được code trên nền PHP và Web Admin chọn MySQL làm CSDL. Khi user làm động tác post bài (làm 1 cú query đến MySQL) thì chỉ có mỗi PHP tham gia thôi, nếu theo ý cuả anh conmale thì phải có cái gì đó chen vô giưã PHP & MySQL, vậy anh nói rõ và cụ thể hơn chút được không?

Cái này gọi là "Data Abstract Layer" (tạm dịch là "Tầng gián tiếp dữ liệu"). Nó có nhiệm vụ kiểm soát, truy vấn, cập nhật, quản lý.... dữ liệu thay vì chính code chịu trách nhiệm trình bày phải trực tiếp truy vấn. Có nhiều điểm lợi khi dùng "Abstract Layer" nhưng 2 điểm quan trọng nhất là tính mở rộng và tính bảo mật.

Mở rộng nằm ở chỗ coder không cần phải chăm chú đến cú pháp cụ thể của từng loại database mà chỉ quan tâm đến tính logic và biên độ trình bày mà thôi. Code được viết xong có thể gắn vào bất cứ database nào cũng dùng được (tất nhiên là phải dùng "abstract layer" và data structure trên DB phải đâu vào đó).

Bảo mật nằm ở chỗ những câu truy vấn không nằm trên các mảnh code phục vụ tính logic và tính trình bày. Bởi thế, ngay khi có lấy được code của php thì cũng chẳng tìm ra được cấu trúc table hay bất cứ thông tin nào cụ thể về CSDL để phục vụ cho mục đích thâm nhập cả.

Xem một mớ thông tin về "Data Abstract Layer" và "Model View Controller" ở đây:
http://www.phpbuilder.com/columns/ian_gilfillan20050906.php3
http://www.developer.com/lang/php/print.php/3605221
http://www.onlamp.com/lpt/a/6179
http://pear.php.net/package/MDB2
http://www.oracle.com/technology/pub/articles/deployphp/schlitt_deployphp.html
http://adodb.sourceforge.net/

Đọc thêm cái này rất bổ ích:
http://xaprb.com/blog/2006/08/13/four-types-of-database-abstraction-layers/

Thân.

What bringing us together is stronger than what pulling us apart.

[Question] Bảo mật cho forum nói chung bắt đầu từ đâu?	07/01/2007 02:08:45 (+0700) \| #12 \| 34728

LNS
Member

Joined: 14/07/2006 18:07:38
Messages: 50
Offline

newspring wrote:

Tôi đang chập chững tìm hiểu vấn đề bảo mật cho forum nói chung. Tuy nhiên tôi không biết bắt đầu từ đâu, phải làm những công việc gì? Phải biết ngôn ngữ lập trình nào v.v...Do vậy tôi rất mong được sự chỉ giáo của mọi người.
Cám ơn các bạn nhiều.

Tại trang http://vndownloads.net/vi mục Tin học/Security - Hack có nhiều tài liệu về bảo mật ứng dụng web.

[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu?	07/01/2007 14:14:58 (+0700) \| #13 \| 34831

vietphuongtd
Member

Joined: 15/10/2005 01:27:12
Messages: 41
Location: TNCT
Offline

~simon~ wrote:

DigitalLove wrote:

nora wrote:

đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa

Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ?

Cái này bro hỏi Admin yeuhaiphong.com anh ấy có kinh nghiệm á nhưng cũng bị thịt như thường à .Nói chung srv mình host cũng quan trọng lắm.

và anh ta đã hack của anh em không thương tiếc! đã show off roài!
Đáng thương cho bác thèm tiền bị anh em móc lốp!

[Question] Re: Bảo mật cho forum nói chung bắt đầu từ đâu?	27/01/2007 22:19:54 (+0700) \| #14 \| 38526

Defender
Locked

Joined: 03/07/2006 11:27:43
Messages: 624
Offline

conmale wrote:

Mở rộng nằm ở chỗ coder không cần phải chăm chú đến cú pháp cụ thể của từng loại database mà chỉ quan tâm đến tính logic và biên độ trình bày mà thôi. Code được viết xong có thể gắn vào bất cứ database nào cũng dùng được (tất nhiên là phải dùng "abstract layer" và data structure trên DB phải đâu vào đó).

Anh ơi, em cứ suy nghĩ mãi về câu này mà sao vẫn thấy mơ hồ nhỉ!?
Anh giải thích kỹ giúp em chỗ này với.

Go to:

Users currently in here
1 Anonymous