Giải pháp nâng cấp website để phòng tránh bị tấn công mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (397.72 KB, 5 trang )
LỜI MỞ ĐẦU
Bạn có quan tâm đến vấn đề bảo mật và tấn công mạng cho trang web của mình?
Tần suất bạn chạy phần mềm kiểm tra virus và hoạt động của website là bao nhiêu?
Bạn có cho rằng website của bạn không có gì để người khác ăn cắp cả?
Trong thời đại Internet phát triển nhanh chóng, người dùng dễ dàng hơn trong việc tìm
kiếm thông tin về các sản phẩm và dịch vụ trên công cụ tìm kiếm. Các website ra đời phục
vụ cho nhu cầu tìm kiếm của người dùng, đồng thời góp phần vào hiệu quả kinh doanh của
doanh nghiệp.
Song song đó, các vấn đề bảo mật thông tin, tình hình an ninh trên Internet cũng khiến
“nhà nhà, người người” quan tâm chú ý. Vậy giải pháp nào cho vấn đề trên?
LPTech với hơn 10 năm kinh nghiệm trong lĩnh vực Bảo mật Website, Thiết Kế Website,
Dịch Vụ SEO, công ty đã hệ thống lại các tài liệu liên quan đến vấn đề Bảo mật Website
hiệu quả để training nội bộ. Nay chúng tôi muốn chia sẻ những kinh nghiệm này cho bạn
đọc, đặc biệt là cho những bạn, doanh nghiệp thực sự quan tâm đến vấn đề này.
1
Tránh bị tấn công mạng bằng các
giải pháp nâng cấp website
Bảo mật là một khía cạnh mà nhiều chủ trang web rất lơ là trong việc kiểm tra, trong
khi nó lại là một yếu tố chủ chốt để website của bạn hoạt động tốt và có uy tín trong công tác
tương tác với người dùng.
Hãy cùng LPTech tìm hiểu thêm về các vấn đề Bảo Mật và phương pháp nâng cấp
website cho bạn nhé!
Xem bài phân tích đầy đủ hơn tại: Các biện pháp nâng cấp website, tăng cường bảo
mật
Những vấn đề cần quan tâm của website thương mại
Gian lận - Phishing
Đây là một cách giả mạo thành một đơn vị hoặc cá nhân có uy tín, nhằm chiếm lấy
lòng tin của người dùng và khai thác lòng tin ấy cho các mục đích bất chính. Thông thường
hành vi phishing được thực hiện qua email.
Các thông tin bảo mật có thể bị ăn cắp thông qua phishing như thông tin thẻ tín
dụng, mật khẩu hoặc xúi giục người dùng cài đặt các phần mềm độc hại walware vào thiết
bị. Có thể thấy phishing là một bước trong kế hoạch tấn công bằng walware.
Gian lận trong thanh toán
Đây là hình thức mà hacker lợi dụng lỗi trên hệ thống thanh toán của các website
thương mại điện tử, nhằm thực hiện các giao dịch ảo để rút tiền từ người dùng và cả doanh
nghiệp.
Trong một chương trình tiếp thị của một trang web đặt phòng khách sạn, người dùng
sẽ được tặng tiền nếu mời được thêm 3 tài khoản mạng xã hội khác cùng đăng kí trên trang
web đó. Nếu website lơi lỏng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới,
hacker sẽ dễ dàng tạo ra nhiều tài khoản mạng xã hội ảo để nhận được nhiều tiền từ doanh
nghiệp.
Ăn cắp - Bots
Bot là một chương trình có khả năng thu thập dữ liệu quan trọng trong website mà
tin tặc tạo ra và bằng những phương thức thông qua phishing hoặc tấn công website, tin tặc
cài đặt được bot trong website của bạn và từ đó đánh cắp các thông tin nhạy cảm.
Xem thử: Bảo Mật Website Trước Nguy Cơ Bị Đánh Cắp Dữ Liệu
2
Man-in-the-middle attack
MitM hay được hiểu là tấn công theo kiểu rình mò, nghe trộm khi giữa 2 đối tượng
đang có một giao dịch hay cuộc trò chuyện trực tuyến, họ bị nghe lén nội dung. Tin tặc sẽ
chen giữa vào cuộc đối thoại giữa 2 đối tượng nhằm ăn cắp dữ liệu, khả năng này sẽ xảy ra
khi:
Người dùng đăng nhập vào mạng wifi công cộng và tin tặc chen vào giữa thiết bị của
người dùng và mạng wifi đó.
Khi người dùng cài đặt các phần mềm độc hại thiết bị, tin tặc có thể thao túng dữ liệu trong
thiết bị của người dùng.
Phá hoại - Malwares
Phá hoại bằng malwares hay các phần mềm độc hại là cách phá hoại phổ biến nhất
hiện nay. Khi phân loại malwares, ta liệt kê thành các loại sau: spyware – phần mềm gián
điệp, ransomware – mã độc tống tiền, virus và worm – phần mềm độc có khả năng lây lan
cao.
Lợi dụng vào các lỗ hổng bảo mật trên website, tin tặc có thể xúi giục người dùng tải
phần mềm độc hại xuống thiết bị bằng phishing hoặc đánh vào tâm lý thích miễn phí của
người dùng. Những hậu quả có thể xảy đến khi malware được cài đặt thành công:
1. Người dùng không thể truy cập vào dữ liệu của chính mình, lúc này tin tặc sẽ tống
tiền người dùng để bán lại dữ liệu hoặc có thể người dùng sẽ mất tiền và cả thông
tin quan trọng đó vĩnh viễn
2. Dẫn dụ người dùng cài đặt thêm nhiều mã độc khác
3. Theo dõi và đánh cắp dữ liệu
4. Tê liệt hệ thống gây hư hại phần mềm và phần cứng vốn có của hệ thống
3
Ngoài ra còn có các dạng tấn công như: Dos (Denial of Service), DDoS (Distributed
Denial of Service), Spam, SQL injections, Zero day attack, Cross-site scripting, Tấn
công Brute-force.
Tìm hiểu chi tiết các loại tấn công trên: Vấn đề ảnh hưởng đến bảo mật website
Nâng cấp website tăng cường bảo mật
Đối mặt các vấn đề trên, LPTech cung cấp cho bạn một số các nâng cấp website để tăng
cường bảo mật như sau:
Cookies
Hầu hết các phần mềm dành cho website đều sử dụng cookies để lưu trữ các loại thông tin
về người dùng, bao gồm các lựa chọn yêu thích, các trang thường được xem, giỏ hàng,
phương pháp thanh toán và các loại thông tin liên quan cần thiết khác.
Tìm hiểu về Bảo mật Cookies
Thông tin mật về ứng dụng hoặc cấu hình
Các thông tin mật trong ứng dụng bao gồm mật khẩu của admin, biên lai, API key và các
key riêng tư (private key).
Ngăn ngừa đánh cắp tài khoản và chiếm dụng bằng chứng cứ
Người dùng thường thực hiện các bước có sử dụng đến chứng cứ xác nhận (authentication
token) khi họ đăng nhập vào một hệ thống. Các ứng dụng nên luôn luôn tách việc xác minh
4
người dùng (user identification) ra khỏi các chứng cứ (token) và so sánh chúng với userID
của tài khoản trong khi được vận hành.
Chuẩn hóa xác nhận đầu vào (input validation) và truy vấn dữ liệu
(database queries)
Các cuộc tấn công như SQL injection có thể được phòng tránh dễ dàng nếu kích thước và
nội dung đầu vào của người dùng được kiểm định đúng cách. Việc kiểm định ngăn ngừa
một whitelist (cho phép sử dụng các kí hiệu) rất được ưu tiên hơn kiểm tra một blacklist
(không cho phép sử dụng kí hiệu).
Sử dụng nhận diện cá nhân cho việc kiểm tra
Đây là một bước khá phổ biến trong các nhóm làm việc, khi họ cùng quản lý dữ liệu nhạy
cảm để chia sẻ một tài khoản admin với các thành viên khác trong nhóm. Tất cả mọi người
đều biết mật khẩu và có thể sử dụng uy tín của mình để cập nhật các dữ liệu nhạy cảm ấy.
Tuy nhiên, đây lại là một hành động đi ngược lại với bảo mật doanh nghiệp.
5
