Các nguy cơ tấn công website là gì? Giúp em với

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Các nguy cơ tấn công website là gì? Giúp em với

[Question] Các nguy cơ tấn công website là gì? Giúp em với	16/05/2007 09:36:19 (+0700) \| #1 \| 59440

tk1cntt
Member

Joined: 05/05/2007 01:48:43
Messages: 3
Offline

Chào các bác!

Em đang làm một bài tập lớn về phần mạng. Tìm hiểu về nguy cơ các website bị tấn công. Các bác chỉ cho em biết các nguy cơ đó là gì được không.

Em cám ơn. smilie

[Question] Các nguy cơ tấn công website là gì? Giúp em với	16/05/2007 18:34:20 (+0700) \| #2 \| 59494

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

tk1cntt wrote:

Chào các bác!

Em đang làm một bài tập lớn về phần mạng. Tìm hiểu về nguy cơ các website bị tấn công. Các bác chỉ cho em biết các nguy cơ đó là gì được không.

Em cám ơn.

Mạng hay website? Hai cái có biên độ rất khác.

Bồ đã tìm hiểu được những gì rồi?

What bringing us together is stronger than what pulling us apart.

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	16/05/2007 22:19:58 (+0700) \| #3 \| 59506

tk1cntt
Member

Joined: 05/05/2007 01:48:43
Messages: 3
Offline

Em tìm hiểu về các nguy cơ tấn công website, phạm vi nó hẹp hơn mạng đúng ko anh.

Em mong anh tóm lược lại các nguy cơ đó để em dễ dàng hơn trong việc tìm hiểu. Em muốn biết tác hại của các cách tấn công đó như thế nào. Cách phòng chống cơ bản nhất.

Em mới chỉ biết về SQL Ịnection và DOS nhưng em chưa tìm hiểu. smilie

Cám ơn anh ^_^

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	17/05/2007 22:28:10 (+0700) \| #4 \| 59738

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

tk1cntt wrote:

Em tìm hiểu về các nguy cơ tấn công website, phạm vi nó hẹp hơn mạng đúng ko anh.

Em mong anh tóm lược lại các nguy cơ đó để em dễ dàng hơn trong việc tìm hiểu. Em muốn biết tác hại của các cách tấn công đó như thế nào. Cách phòng chống cơ bản nhất.

Em mới chỉ biết về SQL Ịnection và DOS nhưng em chưa tìm hiểu.

Cám ơn anh ^_^

Nguy cơ tấn công web có 2 tầng (ngoài tầng network mà mình không nói ở đây), chỉ bàn trên cổng dịch vụ 80 và những tính năng thông thường của một web server / web application:

1. tầng web service (như IIS / apache / zeus ...):
- server software bị lỗi (bị buffer overflow, bị thiếu kiểm soát chủ quyền cần thiết để chạy service).
- admin thiếu sót khi thiết lập server (.htaccess bị lỗi, gán quyền trên filesystem không đúng).
- server software không lo liệu đầy đủ việc kiểm soát encode và decode cũng như MIME type khiến cho service có thể bị nhân nhượng.

2. tầng ứng dụng (như chạy cgi, php, asp, jsp ...):
- các INPUT data thiếu xác thực (cần INPUT validation) nên bị xss, sql injection.
- Dùng SSI nhưng không kiểm soát chặt chẽ.
- Cho phép include nhưng không kiểm soát nội dung include.
- Thiếu chặt chẽ trong cơ chế gán quyền và thực thi quyền trên mỗi web application (nên bị leo thang).

Tổng quan là như thế. Bấy nhiêu ấy để tìm hiểu cũng cần nhiều thời gian rồi đó.

PS: đừng hỏi tớ "vậy làm sao để khai thác những điểm yếu ở trên?".

What bringing us together is stronger than what pulling us apart.

[Question] Các nguy cơ tấn công website là gì? Giúp em với	18/05/2007 05:41:13 (+0700) \| #5 \| 59839

tk1cntt
Member

Joined: 05/05/2007 01:48:43
Messages: 3
Offline

Em chỉ muốn tìm hiểu các khả năng website bị tấn công thôi. Những điều này em chưa biết. Rất cam ơn anh smilie

[Question] Các nguy cơ tấn công website là gì? Giúp em với	20/05/2007 19:37:32 (+0700) \| #6 \| 60451

nora
Elite Member

Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline

tk1cntt wrote:

Em chỉ muốn tìm hiểu các khả năng website bị tấn công thôi. Những điều này em chưa biết. Rất cam ơn anh

Các khả năng website bị tấn công từ đó mà ra đó em

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	27/07/2008 07:30:37 (+0700) \| #7 \| 143535

Evilno47
Member

Joined: 20/07/2008 11:15:52
Messages: 6
Offline

Conmale ơi cho tui hỏi nếu tôi thuê hosting tại godaddy, máy chủ người ta đã cài đặt tất cả những ứng dụng cần thiết, tôi chỉ việc code thôi vậy cho tôi hỏi nếu tôi viết website bằng ngôn ngữ asp thì có những nguy cơ bị hack như thế nào có phải chỉ còn nguy cơ từ SQL injection, xss không? Có tài liệu nào về bảo mật send giùm tôi nhé.

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	28/07/2008 01:57:41 (+0700) \| #8 \| 143647

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

Nếu godaddy lo hết các phần ứng dụng, và bạn chỉ có việc ngồi code thôi thi bạn phải quan tâm đến vấn đề sau:

1. Code cho an toàn. Sql Inj + XSS đều là các lỗi do coder của web app code không cẩn thận mà thành. SQL Inj vẫn có phần lệ thuộc vào database. Bạn chỉ có thể chọn sử dụng backend database khác mà thôi.

Phần Godaddy sẽ phải lo:

1. Cập nhật các lỗi của của web server, DB server, các lỗi của các ứng dụng khác. Quản lý và cấu hình các món trên cho an toàn.

2. Quản lý phần users + phân quyền thư mục cho các user chính xác.

Nếu bạn tìm ra lỗi nên thông báo cho bên Godaddy.

khoai

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	28/07/2008 03:50:51 (+0700) \| #9 \| 143659

TienVe
Member

Joined: 17/07/2007 16:20:16
Messages: 24
Offline

Và mở càng ít cổng càng tốt, smilie

, Sao đến giờ MS vẫn ko quan tâm đến cái này nhỉ , http://partner.microsoft.co.kr/index.html , smilie

[Question] Re: Các nguy cơ tấn công website là gì? Giúp em với	28/07/2008 11:55:33 (+0700) \| #10 \| 143718

Evilno47
Member

Joined: 20/07/2008 11:15:52
Messages: 6
Offline

Cảm ơn Mr.Khoai nha. Thế là yên tâm rùi, bạn không biết là tui đã lo lắng như thế nào đâu, vì tui chỉ biết lập trình bằng asp và sử dụng truy vẫn SQL thui. Rất lo là có nhiều cách khác để hack my first website. Sẽ học thêm để code an toàn. Trở thành a safe coder. Thank lun cả diễn đàn HVA nha.