Viettel IDC mách bạn 10 biện pháp chống hack website

19/10/2019

Tin tặc thường tấn công website bằng cách tạo ra các đoạn mã tự động dò quét lỗ hổng của các website trên Internet, cố gắng khai thác các lỗ hổng phổ biến tồn tại trong các ứng dụng web. Dưới đây là một số biện pháp chống hack website, do Viettel IDC tổng hợp.

1. Cập nhật phiên bản ứng dụng thường xuyên để chống hack website

Hãy chắc chắn rằng tất cả ứng dụng của mình đều được cập nhật phiên bản mới nhất, đây là công việc quan trọng giúp website trở nên an toàn. Biện pháp này được áp dụng trên cả hệ điều hành máy chủ hoặc bất cứ ứng dụng nào đang chạy trên website, ví dụ như một hệ quản trị nội dung (CMS) hay một diễn đàn. Khi một lỗ hổng bảo mật được tìm thấy trong ứng dụng, tin tặc luôn biết cách để lợi dụng triệt để chúng. Đây là một mối lo mà bất kỳ quản trị viên nào cũng phải đối mặt.

Nếu bạn sử dụng hosting mà website của bạn không được cập nhật thường xuyên, bạn phải nhanh chóng yêu cầu nhà cung cấp dịch vụ để thực hiện.

2. Chống tấn công SQL Injection

Chống hack website SQL Injection

Tấn công SQL Injection xảy ra khi tin tặc khai thác điểm yếu trong các điểm đầu vào trên website, một tham số trong URL để tấn công và chiếm quyền truy cập, khai thác cơ sở dữ liệu của website. Tin tặc có thể chèn các đoạn Shellcode độc hại nhằm thay đổi, lấy thông tin hoặc xóa dữ liệu trên website. Biện pháp đơn giản để ngăn chặn kiểu tấn công này là kiểm duyệt chặt chẽ các tham số đầu vào.

Ví dụ thực hiện truy vấn sau:

"SELECT * FROM table WHERE column = '" + tham_so_tu_url + "';"

Nếu tin tặc thay đổi tham số URL thành ‘ or ‘1’=’1 như sau:

"SELECT * FROM table WHERE column = '' OR '1'='1';"

Do 1 luôn bằng 1 nên câu lệnh cho phép tin tặc thêm vào các đoạn truy vấn SQL ở cuối cùng sẽ được thực thi và làm sai lệch cách xử lý của ứng dụng và làm lộ các thông tin nhạy cảm.

3. Chống tấn công XSS

Tấn công Cross site scripting xảy ra khi tin tặc cố gắng đưa các mã độc JavaScript, VBscript, Flash… hoặc những đoạn mã độc khác trang web nhằm thực thi mã độc với người dùng truy cập website.

Để chống hack website cần chắc chắn rằng ứng dụng web đã được kiểm duyệt chặt chẽ các tham số đầu vào cũng như ứng dụng web kiểm soát được các dữ liệu hiển thị trên trình duyệt web.

4. Hạn chế tối đa các thông báo lỗi

Thận trọng với các thông tin trả về của website, đặc biệt là các thông báo lỗi, nó có thể chứa các thông tin nhạy cảm về đường dẫn, dữ liệu RAM, tài khoản…. Ví dụ nếu có một form đăng nhập trên website, người quản trị nên nghĩ về việc sử dụng ngôn ngữ giao tiếp với người dùng trong trường hợp đăng nhập thất bại thay vì hiển thị các thông báo lỗi mặc định.

5. Kiểm duyệt phía máy chủ, kiểm duyệt form nhập

Kiểm duyệt dữ liệu đầu vào luôn phải được hoàn thành ngay trên trình duyệt và cả phía máy chủ. Trình duyệt web có thể bắt những lỗi đơn giản như để trống trường bắt buộc hay nhập kí tự chữ cái vào trường số điện thoại. Tuy nhiên, tin tặc hoàn toàn có thể qua mặt được các thao tác kiểm duyệt này, cần đảm bảo chắc chắn rằng webiste đã kiểm duyệt được các dữ liệu đầu vào được gửi đến từ người dùng website.

6. Sử dụng Mật khẩu an toàn

Chống hack website SQL Injection

Mọi người đều biết nên sử dụng mật khẩu phức tạp, nhưng không phải ai cũng làm điều đó. Quản trị website nên sử dụng mật khẩu mạnh cho máy chủ và khu vực quản trị website, kể cả những tài khoản người dùng cũng nên dùng tài khoản mạnh mẽ. Bạn có tin là nếu một máy chủ đặt mật khẩu yếu, máy chủ đó có thể bị hack chỉ “5 phút” sau khi hoàn thành việc cài đặt?

7. Bảo vệ các form File Upload

Các form này cho phép người dùng tải lên các tệp tin, đây có thể là một rủi ro an ninh rất lớn, nếu các form này không được kiểm duyệt, kiểm soát chặt chẽ, tin tặc có thể vượt qua để tài lên các tệp tin độc hại. Đây sẽ là các điểm yếu chết người trên website.

Nếu website có một form upload thì form này phải được kiểm duyệt chặt chẽ và kết hợp nhiều yếu tố trước khi ghi file vào ổ cứng của máy chủ. Bao gồm: tên file, phần mở rộng, MIME TYPE, kích thước… Ngoài ra bạn có thể đảm bảo an toàn bằng cách không cho phép thực thi tệp tin trong các thư mục chứa tài liệu upload. Một vài lựa chọn có thể dùng là đổi tên file đã được tải lên nhằm đảm bảo đúng phần mở rộng, hoặc thay đổi quyền của tệp tin, ví dụ chmod 0666 không thể thực thi. Nếu bạn sử dụng máy chủ Apache, bạn có thể tạo một tệp tin .htaccess file như sau:

  deny from all    <Files ~ "^\w+\.(gif|jpe?g|png)$">    order deny,allow    allow from all    </Files>

Để chống hack website, giải pháp được khuyến cáo khác là ngăn sự sự truy cập trực tiếp đến các file được tải lên. Theo cách này, bất cứ file nào tải lên website đều được lưu trữ trong một thư mục ngoài webroot hoặc trong cơ sở dữ liệu dưới dạng blob. Nếu tệp tin của bạn không thể truy cập trực tiếp, bạn cần tạo ra một script lấy file từ thư mục riêng (hoặc một HTTP xử lý trong .NET) và chuyển chúng đến trình duyệt.

Ngoài ra, nếu có thể hãy đặt cơ sở dữ liệu ở máy chủ khác máy chủ web. Máy chủ cơ sở dữ liệu sẽ không thể truy cập trực tiếp từ bên ngoài, chỉ máy chủ web mới có thể truy cập được nó, giảm thiểu rủi ro rò rỉ dữ liệu.

Cuối cùng, đừng quên cách li truy cập vật lí đến máy chủ.

9. Triển khai HTTPs

SSL là một giao thức cung cấp chuẩn an ninh thông qua Internet để mã hóa các dữ liệu được gửi trên đường truyền và chống hack website. Bạn có thể sử dụng HTTPs miễn phí cho website của mình tại đây.

10. Kiểm thử an toàn cho website, máy chủ

Nếu website của bạn đã đảm bảo được 9 yếu tố trên, website của bạn chưa hẳn đã an toàn. Để chống bị hack website bạn nên thực hiện việc kiểm thử độ an toàn website, tìm kiếm các lỗ hổng khác của website. Cách hiệu quả nhất là thông qua một số dịch vụ, các chuyên gia về An toàn thông tin có thể hỗ trợ bạn tìm kiếm các lỗ hổng, hỗ trợ khắc phục và ứng cứu khi có sự cố xảy ra. Tại Việt Nam hiện nay có khá nhiều đơn vị cung cấp các dịch vụ về Kiểm tra, đánh giá bảo mật cho website, máy chủ với giá tiền hợp lý, các dịch vụ này sẽ giúp bạn đảm bảo an toàn tuyệt đối cho website của mình.

Hiện tại, Viettel IDC đang cung cấp nhiều công cụ giúp bạn bảo vệ website của mình, như dịch vụ an ninh mạng Security Services. Dịch vụ này cung cấp công cụ bảo vệ website, hệ thống trước các nguy cơ tấn công, đánh cắp hay sử dụng thông tin sai mục đích. Các dịch vụ Viettel IDC cung cấp gồm: Firewall cứng/mềm (WAF); các giải pháp về phòng tránh DDoS, cảnh báo lỗ hổng, an toàn thông tin.

Tổng hợp từ Security Daily

Tin liên quan

23/01/2023

Xu hướng Cloud 2023 hàng đầu các doanh nghiệp cần biết

Nhiều doanh nghiệp đang tích cực chạy đua với cuộc đua “số hóa”, để có được khả năng cạnh tranh cao nhất trên thị trường. Vây nên, xu hướng Cloud 2023 là những điều đang được các doanh nghiệp rất quan tâm hiện nay. Trong bài viết này, Viettel IDC sẽ đề cập đến bạn những xu hướng về điện toán đám mây hàng đầu trong năm 2023 chúng ta cần biết nhé, bên cạnh các công nghệ thực tế ảo VR, metaverse.

19/01/2023

Dự báo TOP các xu hướng công nghệ hàng đầu trong năm 2023

​Các xu hướng công nghệ 2023 nổi bật được các chuyên gia dự đoán sẽ phát triển mạnh mẽ trong những năm tới là trí tuệ nhân tạo AI, công nghệ chuỗi khối Blockchain, vũ trụ ảo Metaverse. Việc bắt kịp và thích ứng với các công nghệ này sẽ giúp các doanh nghiệp có thể nâng cao khả năng cạnh tranh của mình trong thị trường khốc liệt sắp tới. Dưới đây, hãy cùng Viettel IDC điểm qua những xu hướng công nghệ 2023 nổi bật nhé!

13/01/2023

2022 - Thời kỳ bùng nổ của Cloud tại Việt Nam

​Công nghệ điện toán đám mây - Computing Cloud năm 2022 đã phát triển và bùng nổ cực kỳ mạnh mẽ, từ đó ảnh hưởng tới nhiều doanh nghiệp lớn và nhỏ. Dưới đây, chúng ta hãy cùng xem lại các xu hướng Cloud năm 2022 phổ biến nhất với Viettel IDC nhé!

11/10/2022

Những thông tin nhất định phải biết về Ethereum mới phiên bản 2.0

Ethereum 2.0, còn được biết đến là Eth2 hay “Serenity”, là một bản nâng cấp dành cho Ethereum Node, hứa hẹn sẽ cải thiện đáng kể chức năng và trải nghiệm của toàn bộ mạng. Tuy nhiên, đó chỉ là phần nổi của tảng băng chìm. Với việc Ethereum là một trong những loại tiền điện tử phổ biến nhất trên hành tinh, việc tìm hiểu Ethereum 2.0 thực sự là gì và nó sẽ ảnh hưởng như thế nào đến toàn bộ lĩnh vực tiền mã hóa vô cùng quan trọng. Ở bài viết này, Viettel IDC sẽ cung cấp cho bạn những thông tin nhất định phải biết về Ethereum phiên bản 2.0 nhé!

13/10/2022

Công nghệ chuỗi khối Blockchain là gì? Cơ chế hoạt động của chuỗi khối Blockchain?

Công nghệ Blockchain (chuỗi khối) đang dần trở thành xu hướng mới trên thị trường đầu tư và công nghệ toàn cầu. Công nghệ này có tiềm năng ứng dụng to lớn trong các ngành từ dịch vụ tài chính, sản xuất và khu vực công cho đến chuỗi cung ứng, giáo dục và năng lượng. Việt Nam cũng không nằm ngoài xu thế này. Chính vì vậy, việc tìm hiểu về Blockchain ngay từ bây giờ là rất cần thiết đối với các bạn trẻ.

14/10/2022

Tìm hiểu kiến thức về Public Chain và Private Chain

Nền tảng blockchain đã phát triển mạnh mẽ và được ứng dụng rộng rãi trong nhiều lĩnh vực. Các phân loại của blockchain như Private, Public mang những sự khác biệt dẫn đến trải nghiệm người dùng khác nhau và đa dạng hóa sự lựa chọn loại blockchain phù hợp. Hãy cùng CryptoLeakvn tìm hiểu sự khác nhau giữa Public và Private blockchain, cũng như tìm ra lựa chọn tối ưu nhất trong các loại blockchain này thông qua bài viết hôm nay.

05/10/2022

Công nghệ Blockchain là gì? Lợi thế vượt trội khi doanh nghiệp ứng dụng Blockchain

Trong thời gian gần đây, công nghệ Blockchain đã và đang dần trở thành xu hướng trên toàn cầu, trong đó có cả Việt Nam. Có thể nói, ngành công nghệ này đã mang lại nhiều lợi ích to lớn cho doanh nghiệp, từ lĩnh vực tài chính, sản xuất cho đến cả giáo dục hoặc năng lượng.

12/10/2022

​Tất tần tật kiến thức quan trọng về hạ tầng Blockchain

Mọi hệ thống phức tạp đều yêu cầu cơ sở hạ tầng thích hợp, hoặc tài nguyên và một khuôn khổ cơ bản để hoạt động. Cũng giống như lưới điện, các trạm phát điện và đường ống bao gồm cơ sở hạ tầng năng lượng cần thiết để cung cấp điện cho một quốc gia. Do đó, các Node, phần mềm và hệ thống dựa trên đám mây hoặc phần cứng được yêu cầu để chạy các mạng Proof of Stake (PoS).

09/10/2022

Tất tần tật từ A - Z về dịch vụ Blockchain

Hiện nay, dịch vụ Blockchain đã phát triển mạnh mẽ và mở ra một xu hướng mới cho nhiều lĩnh vực khác nhau như trong tài chính, điện tử viễn thông, kế toán, logistics,... Vậy, cụ thể thì Blockchain là gì? Chúng có thể mang lại những lợi ích gì cho chúng ta? Hãy cùng Viettel IDC tìm hiểu câu trả lời cho những vấn đề này nhé! Bài viết dưới đây sẽ giải đáp chi tiết giúp bạn.

08/10/2022

Node là gì? Nên thuê Ethereum Node hay Bitcoin Node?

Bạn mới tìm hiểu về Node Blockchain, và đang phân vân không biết nên thuê Ethereum Node hay Bitcoin Note? Cách hoạt động của Node là gì? Trong bài viết này, Viettel IDC sẽ giải đáp các câu hỏi này cho bạn đọc, cùng nhau theo dõi bài viết bên dưới nhé!

// doi link