Mang tính kỹ thuật nhiều hơn có thể giải thích là, các ứng dụng Web truy vấn
máy chủ chứa nội dung (chủ yếu trên cơ sở dữ liệu lưu trữ nội dung) và tạo tài
liệu Web động để phục vụ yêu cầu của máy khách (chính là người dùng
website). Tài liệu được tạo trong kiểu định dạng tiêu chuẩn hỗ trợ trên tất cả
mọi trình duyệt (như HTML, XHTML). JavaScript là một dạng script client-
side cho phép yếu tố động có ở trên từng trang (như thay đổi ảnh mỗi lần
người dùng di chuột tới). Trình duyệt Web chính là chìa khóa. Nó dịch và
chạy tất cả script, lệnh… khi hiển thị trang web và nội dung được yêu cầu.
Wikipedia, bộ bách khoa toàn thư trực tuyến lớn nhất thế giới hiện nay định
nghĩa Web browser là “máy khách chung cho mọi ứng dụng web”.
Một cải tiến đáng kể khác trong quá trình xây dựng và duy trì các ứng dụng
Web là chúng có thể hoạt dộng mà không cần quan tâm đến hệ điều hành hay
trình duyệt chạy trên các máy client. Ứng dụng Web được triển khai ở bất cứ
nơi nào có Internet, không mất phí tổn, và hầu hết không đòi hỏi yêu cầu cài
đặt cho người dùng cuối.
Con số doanh nghiệp thu được lợi nhuận từ kinh doanh qua Web ngày càng
tăng. Do đó, việc sử dụng ứng dụng Web và các công nghệ liên quan khác sẽ
tiếp tục phát triển. Hơn nữa, khi các mạng Intranet và Extranet được thông
qua, ứng dụng Web trở thành “cứ điểm” lớn trong bất kỳ cơ sở hạ tầng
truyền thông nào của các tổ chức, doanh nghiệp. Phạm vi và khả năng kỹ
thuật, trình độ cao được mở rộng.
Hoạt động như thế nào?
Hình bên dưới minh họa chi tiết mô hình ứng dụng Web ba tầng. Tầng đầu
tiên thông thường là trình duyệt Web hoặc giao diện người dùng. Tầng thứ
hai là công nghệ kỹ thuật tạo nội dung động như Java servlets (JSP) hay
Active Server Pages (ASP). Còn tầng thứ ba là cơ sở dữ liệu chứa nội dung
(như tin tức) và dữ liệu người dùng (như username, password, mã số bảo mật
xã hội, chi tiết thẻ tín dụng).


Hình 1

Error!

Quá trình hoạt động bắt đầu với yêu cầu được tạo ra từ người dùng trên trình
duyệt, gửi qua Internet tới trình chủ Web ứng dụng (Web application Server).
Web ứng dụng truy cập máy chủ chứa cơ sở dữ liệu để thực hiện nhiệm vụ
được yêu cầu: cập nhật, truy vấn thông tin đang nằm trong cơ sở dữ liệu. Sau
đó ứng dụng Web gửi thông tin lại cho người dùng qua trình duyệt.
Hình 2
Các vấn đề bảo mật Web
Mặc dù không thể phủ nhận những cải tiến nâng cao đáng kể hiện nay, nhưng
vấn đề về bảo mật trong ứng dụng Web vẫn không ngừng tăng lên. Nguyên
nhân có thể xuất phát từ các đoạn mã không phù hợp. Nhiều điểm yếu nghiêm
trọng hay các lỗ hổng cho phép hacker xâm nhập thẳng và truy cập vào cơ sở
dữ liệu tách lấy dữ liệu nhạy cảm. Nhiều cơ sở dữ liệu chứa thông tin giá trị
(như chi tiết cá nhân, thông tin tài chính) khiến chúng trở thành đích nhắm
thường xuyên của hầu hết hacker. Mặc dù hoạt động tấn công phá hoại
website doanh nghiệp vẫn diễn ra thường xuyên, nhưng bây giờ tin tặc thích
tăng cường khả năng truy cập dữ liệu nhạy cảm nằm trên trình chủ chứa
database hơn vì lợi nhuận khổng lồ từ các vụ mua bán dữ liệu đem lại.
Trong khung hoạt động mô tả ở trên, bạn có thể thấy thật dễ dàng cho một
hacker truy cập nhanh chóng thông tin nằm trên cơ sở dữ liệu chỉ với một
chút sáng tạo. Nếu may mắn hơn chúng có thể gặp lỗ hổng xuất phát từ sự cẩu
thả hay lỗi người dùng trên các ứng dụng Web.
Như đã nói, website phụ thuộc vào cơ sở dữ liệu để phân phối thông tin được
yêu cầu cho người dùng. Nếu ứng dụng Web không an toàn (như có lỗ hổng,
gặp phải một kiểu kỹ thuật hacking nào đó), toàn bộ cơ sở dữ liệu chứa thông
tin nhạy cảm sẽ gặp nguy hiểm nghiệm trọng.
Một số hacker có thể chèn mã độc hại vào ứng dụng Web có lỗ hổng để lừa
đảo người dùng và dẫn họ tới website phishing. Kỹ thuật này được gọi là
Cross-site Scripting, có thể được dùng ngay cả khi bản thân Web Server và

nơi chứa cơ sở dữ liệu không có lỗ hổng nào.
Một cuộc nghiên cứu gần đây chỉ ra rằng 75% các cuộc tấn công mạng được
thực hiện ở mức ứng dụng Web.
Error!

• Website và các ứng dụng Web liên quan luôn phải sẵn sàng 24/7 để cung cấp
dịch vụ theo yêu cầu khách hàng, yêu cầu từ phía nhân viên, nhà cung cấp và
nhiều người liên quan khác.
• Tường lửa, SSL không thể bảo vệ ứng dụng Web trước mọi hoạt động
hacking, đơn giản vì truy cập vào website phải để ở chế độ public để bất kỳ ai
cũng có thể ghé thăm website được. Tất cả hệ thống cơ sở dữ liệu hiện đại
(như Microsoft SQL Server, Oracle, MySQL) đều có thể truy cập qua một số
cổng cụ thể (như cổng 80, 443). Nếu muốn, một người nào đó có thể kết nối
trực tiếp tới cơ sở dữ liệu một cách hiệu quả khi vượt qua cơ chế bảo mật của
hệ điều hành. Các cổng này để mở nhằm cho phép liên lạc với hoạt động giao
thông mạng hợp pháp, và do đó cũng hình thành nên lỗ hổng lớn nguy hiểm.
• Các ứng dụng Web thường truy cập dữ liệu cuối như cơ sở dữ liệu khách
hàng, điều khiển dữ liệu có giá trị và do đó rất khó để có thể tuyệt đối an toàn.
Lúc này truy cập dữ liệu thường không kèm script cho phép đóng gói và
truyền tải dữ liệu. Nếu một hacker nhận ra điểm yếu trong một script, anh ta
có thể dễ dàng mở lại lưu lượng sang khu vực khác và chia lẻ bất hợp pháp
chi tiết cá nhân người dùng, dù đôi khi không hề chủ tâm làm điều đó
• Hầu hết ứng dụng Web đều là tự tạo, do đó ít có được các kiểm tra trình độ
hơn so với phần mềm cùng loại. Do đó các ứng dụng tùy biến thường dễ bị tấn
công hơn.
Có thể nói ứng dụng Web là một cổng vào (gateway) của cơ sở dữ liệu, nhất là
các ứng dụng tùy biến. Chúng không được phát triển với mức bảo mật tốt
nhất vì không phải qua các kiểm tra bảo mật thông thường. Nói chung, bạn
cần trả lời câu hỏi: “Phần nào trên website chúng ta nghĩ là an toàn nhưng lại
mở cửa cho các cuộc tấn công?” và “Dữ liệu nào chúng ta đem vào một ứng

dụng khiến nó thực hiện một số điều không nên làm?”.
Đó là công việc của phần mềm rà soát lỗ hổng Web.
(Theo Security/QTM)
Skype liệu có an toàn?
Cập nhật lúc 10h07" , ngày 14/03/2007
Có rất nhiều thông tin (trong đó có không ít thông tin thiếu chính xác)
về mức độ nguy hiểm của Skype đối với mạng doanh nghiệp và người
Error!





dùng cá nhân. Vậy thực sự nó nguy hiểm như thế nào? Trong bài này chúng
ta sẽ cùng tìm hiểu.
Hiểu về cấu trúc cơ bản của Skype
Skype là một ứng dụng ngang hàng (P2P), tức là người dùng có thể kết nối
trực tiếp với nhau mà không phải thông qua một máy chủ trung tâm. Ban đầu
Skype sử dụng các server dựa trên nền tảng Internet để thẩm định người
dùng khi đăng nhập và theo dõi trạng thái của họ. Nhưng khi hình thức
“chat” hay chương trình tin nhắn tức thời (Instant Message), các cuộc thoại
máy tính (voice call) và truyền tải file ra đời, hình thức liên lạc được chuyển
sang kết nối trực tiếp P2P. Nếu một hoặc cả hai người dùng nằm phía sau
tường lửa thông dịch địa chỉ mạng doanh nghiệp (Network Address
Translation hay còn gọi là NAT Firewall), liên lạc có thể được tiếp sóng qua
một “Siêu nút” (Supernode). Vì kết nối P2P trực tiếp không thể được thiết lập
sau tường lửa NAT. Trong trường hợp truyền tải file, bạn sẽ thấy có một
thông báo được đưa ra nói rằng quá trình truyền tải đang được tiếp sóng.
Một trong những mối quan tâm hàng đầu của các chuyên gia bảo mật về
Skype là một Skype client có thể tìm ra đường đến quanh cấu hình tường lửa

tổng hợp an toàn quá dễ dàng. Skype sử dụng các cổng 80 và 443, có trong
hầu hết các tường lửa để mở cho các đường dẫn Web. Hơn nữa, Skype còn có
thể định tuyến lại lưu lượng nếu cổng khởi tạo được gán trong quá trình cài
đặt Skype không dùng được. Điều đó gây khó khăn rất nhiều cho việc loại bỏ
Skype ở mức tường lửa, vì các cổng Skype sử dụng có thể thay đổi nếu cần.
Skype cũng mã hoá từng liên lạc với khoá AES 25-bit, tức là mỗi liên lạc sẽ có
một khoá khác nhau trong từng thời điểm bạn thực hiện, khiến việc nghe
trộm các liên lạc hầu như không thể thực hiện được.
Một trong những điểm đáng lưu ý về bảo mật Skype là các “Siêu nút” của nó
(Supernote), có chức năng định tuyến lưu lượng Skype. Một Siêu nút là một
máy tính với cấu hình riêng, kết nối trực tiếp với Internet và không được nằm
sau tường lửa NAT. Chúng phải có một địa chỉ IP có thể định tuyến chung
“thực”. Ngoài một số giới hạn đó, siêu nút có thể là bất kỳ máy tính của người
dùng Skype nào đáp ứng được yêu cầu tối thiểu về phần cứng và cấu hình.
Có rất nhiều thứ bạn có thể học được về cấu trúc bảo mật của Skype. Xem chi
tiết trên website: Skype Security Resource Center.
Skype FUD
Bạn đã hiểu được sơ sơ cách hoạt động của Skype, bây giờ chúng ta sẽ xem
liệu nó có nguy hiểm không và nguy hiểm như thế nào. Có rất nhiều khái niệm
sai lầm về Skype vẫn đang trôi nổi trên thế giới mạng. Dưới đây là 5 khái
niệm sai phổ biến nhất:
+ Skype sử dụng rất nhiều băng thông trên một mạng.
+ Bất kỳ máy tính nào cũng có thể là một Siêu nút.
+ Skype giống như bất kỳ chương trình ứng dụng IM nào và dễ bị tổn thương
bởi các sâu, virus IM.
+ Skype khó có thể gỡ bỏ trên mạng.
+ Skype được mã hoá, không thể truy vấn được các tin nhắn IM.

Chúng ta hãy xem thực hư về những vấn đề này ra sao.
Vấn đề thứ nhất: Skype sử dụng rất nhiều băng thông trên mạng

Thực tế Skype sử dụng rất ít băng thông, chỉ xấp xỉ 30Kbit/giây cho một cuộc
thoại. Nếu một máy tính của người dùng trở thành Siêu nút thì tất nhiên nó sẽ
tiêu thụ mức băng thông cực ký lớn. Nhưng nên nhớ rằng, máy tính của bạn
phải được kết nối trực tiếp với Internet thì mới trở thành Siêu nút được. Còn
hầu hết các máy tính trong doanh nghiệp hay máy tính cá nhân đều phải kết
nối với Internet thông qua các server trung gian. Bởi vậy, vấn đề này thực sự
không đáng lo ngại.
Vấn đề thứ hai: Bất kỳ máy tính nào cũng có thể trở thành Siêu nút
Chúng ta đã biết rằng một máy tính phải có địa chỉ IP có thể định tuyến và
nằm trực tiếp trên mạng Internet mới có thể trở thành Siêu nút.
Nếu máy tính nằm trong một mạng công ty điển hình, được bảo vệ bởi một
tường lửa cung cấp NAT, dùng khung địa chỉ IP riêng 192.168.x.x hoặc
10.x.x.x thì nó không thể trở thành Siêu nút. Các tường lửa NAT và thậm chí
cả các router gia đình giúp ngăn chặn rất nhiều máy tính trở thành Siêu nút.
Vấn đề thứ ba: Skype dễ dàng bị tổn thương bởi các sâu và virus IM
Năm ngoái, theo thống kê của Akaonix Systems cho tới đầu tháng 12 thì có
1.355 sâu và virus tấn công các IM client, nhưng không có loại nào trong số đó
tác động lên Skype. Mặc dù Skype nhận được hai cảnh báo bảo mật trong
năm 2006, bốn cho năm 2005 và một trong năm 2004, nhưng chưa có cảnh
báo nào biến thành lỗ hổng bị khai thác.