TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTTKT & TMĐT

————

BÀI THẢO LUẬN
MÔN: AN TOÀN VÀ BẢO MẬT THÔNG TIN
ĐỀ TÀI:
TRÌNH BÀY KHÁI NIỆM, ĐẶC TRƯNG, CÁCH PHÂN LOẠI CÁC
NGUY CƠ, CÁCH PHÒNG CHỐNG VÀ KHẮC PHỤC
SỰ CỐ ĐỐI VỚI WEBSITE CỦA DOANH NGHIỆP

Giáo viên hướng dẫn
Nhóm thực hiện
Lớp HP

: Nguyễn Thị Hội
: 07
: 2056eCIT092

HÀ NỘI – 2020


MỤC LỤC

2


LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, hiện nay rất
nhiều doanh nghiệp tại Việt Nam đã sử dụng website vào hoạt động

kinh doanh nhằm đưa thông tin, sản phẩm của doanh nghiệp tới gần
hơn với người tiêu dùng. Tuy số lượng website ngày càng tăng nhưng
vấn đề đảm bảo an toàn, an ninh thông tin website chưa được chú
trọng đúng mức. Theo số liệu của Bộ Thông tin và Truyền thông cho
thấy, trong 9 tháng đầu năm nay, đã ghi nhận được 4.625 vụ tấn
công mạng vào các hệ thống thông tin tại Việt Nam. Trong đó có
1.113 cuộc tấn công thay đổi giao diện (Deface), 762 cuộc tấn công
cài cắm mã độc (Malware), 2.750 cuộc tấn công lừa đảo (Phishing).
Nghiên cứu của các chuyên gia bảo mật cũng chỉ ra rằng, website
thường xuyên là mục tiêu tấn công của tin tặc để khai thác đánh cắp
các thông tin liên quan bên trong; bởi đối với các cơ quan, tổ chức
website là kênh cung cấp thông tin hiệu quả, nhanh chóng và phổ
biến nhất.
Theo đánh giá của các chuyên gia, hiện nay có khoảng 60%
website ở Việt Nam dính các lỗ hổng bảo mật, phổ biến nhất hiện tại
là các lỗi phân quyền người dùng (Broken access control), Cross-site
scripting (XSS), Cross-site request forgery (CSRF), SQL injection
(SQLi),... Mặc dù hình thức tấn công thông qua các lỗ hổng khá đơn
giản, tuy nhiên các cuộc tấn công đã gây ra những thiệt hại khôn
lường tới doanh nghiệp như hệ thống bị tê liệt, bị xóa dữ liệu, thời
gian khôi phục rất dài và mức độ thiệt hại lớn. Nguy hiểm hơn, các
hacker sẽ tiến hành khai thác một cách âm thầm và lấy cắp nhiều
thông tin nhạy cảm như danh sách khách hàng, danh sách nhân
viên, tài liệu dự án,...
Để cùng tìm hiểu sâu hơn về vấn đề an toàn bảo mật website
của doanh nghiệp, nhóm 07 chúng em xin được thuyết trình về đề
tài :“Trình bày khái niệm, đặc trưng, cách phân loại các nguy
3



cơ, cách phòng chống và khắc phục sự cố đối với website của
doanh nghiệp.” Qua bài thảo luận mà nhóm đã tìm hiểu và phân
tích, chúng em đã hiểu hơn về cách bảo mật website cho doanh
nghiệp để quản trị website một cách hiệu quả.

4


I. THỰC TRẠNG VỀ AN NINH WEBSITE CỦA DOANH NGHIỆP
TRÊN THẾ GIỚI VÀ TẠI VIỆT NAM
1. Thế giới

Theo Báo cáo an ninh website Q3, 2018 của CyStack, trong quý
3 năm 2018 đã có 129.722 website trên thế giới bị tin tặc tấn công
và chiếm quyền điều khiển. Như vậy, cứ mỗi phút trôi qua lại có 1
website bị tin tặc kiểm soát. Con số này ở tháng 7 là 43.110, sau đó
giảm còn 41.405 ở tháng 8 và tăng mạnh lên 45.207 vào tháng 9.
Vào thời điểm cuối tháng 9/2018, có đến 21,48% website bị tấn
công ở tháng 7 vẫn chưa được khôi phục nguyên trạng; số liệu ở
tháng 8 và tháng 9 lần lượt là 33,87% và 44,08%. Cho đến thời điểm
hiện tại, trong tổng số 41.405 website bị tấn công vào tháng 8, vẫn
còn tới còn 12.102 website chưa được khắc phục. Điều này cho thấy
rất nhiều chủ sở hữu đã không thực sự quan tâm đến bảo mật cho
website của mình, không biết mình đã bị tấn công hoặc không biết
cách xử lý sự cố.
Theo CyStack – trong 3 quý đầu năm 2019, có 454,599 website
bị hack trên toàn thế giới, riêng quý 3 là 137,512 website, tăng nhẹ
so với cùng quý năm ngoái. Con số này thể hiện tình hình an ninh
mạng đang diễn ra ngày càng phức tạp và nguy hiểm. Theo quan
5



sát, tin tặc có xu hướng hoạt động mạnh vào tháng 5 khi số website
bị xâm phạm trong tháng này tăng đột biến. Riêng 3 ngày 11, 23 và
31 số website bị hack lần lượt là 8892, 9645 và 7315 website. Trong
4 quý gần nhất, số website bị xâm phạm trên toàn tế giới có xu
hướng tăng cao vào cuối năm.

2. Việt Nam

Báo cáo An ninh Website 2019
Theo thống kê về tình hình an ninh website năm 2019, Việt Nam
đứng thứ 11 trong số các nước có website bị tấn công nhiều nhất
trên thế giới. Cụ thể, Việt Nam có hơn 9.300 website bị xâm nhập
trái phép. Tại Đông Nam Á, Việt Nam đứng thứ 3 chỉ sau Indonesia và
Singapore. Bảng xếp hạng này đã dấy lên hồi chuông cảnh báo về
vấn đề nâng cao tính bảo mật cho website của doanh nghiệp.
Một nghiên cứu khác cũng cho thấy, 60% website tại Việt Nam
dễ bị tin tặc tấn công do tồn tại nhiều lỗ hổng bảo mật nghiêm trọng.
6


Thông qua các lỗ hổng này, tin tặc có thể khai thác và đánh cắp
nhiều thông tin nhạy cảm mà doanh nghiệp không hề hay biết hoặc
khi phát hiện ra thì đã quá muộn.
Bộ Thông tin và Truyền thông cho biết, trong 4 tháng đầu năm
2020, hệ thống ghi nhận tổng cộng 1.056 cuộc tấn công mạng vào
các hệ thống thông tin. Trong đó, 553 cuộc tấn công lừa đảo
(Phishing), 280 cuộc tấn công thay đổi giao diện (Deface), 223 cuộc
tấn công cài mã độc (Malware). Mặc dù số lượng cuộc tấn công giảm

so với 4 tháng đầu năm 2019 nhưng khi thủ đoạn của tin tặc ngày
càng tinh vi, thật khó tính toán được thiệt hại đang đè nặng lên
doanh nghiệp sau khi hứng chịu hậu quả từ các cuộc tấn công mạng.
⇒ Tổng kết: Tình hình an ninh mạng trên thế giới nói chung và Việt

Nam nói riêng đang phát triển ngày càng tinh vi và phức tạp. Các
cuộc tấn công website đã, đang và sẽ gia tăng với tốc độ chóng mặt
cả về số lượng cũng như sự phong phú trong hình thức tấn công. Mỗi
cá nhân và tổ chức cần nâng cao nhận thức trong việc bảo vệ sự an
toàn và riêng tư của bản thân trên internet.

7


II. KHÁI NIỆM VÀ ĐẶC TRƯNG CỦA WEBSITE DOANH NGHIỆP
1. Khái niệm
Website doanh nghiệp có thể được hiểu là một tập hợp các trang
web (web page) bao gồm văn bản, hình ảnh, video,... về doanh
nghiệp nằm trên một tên miền trên World Wide Web của Internet.
Website doanh nghiệp cung cấp đến người truy cập đầy đủ các thông
tin về doanh nghiệp từ quá trình hoạt động, sản phẩm, dịch vụ cũng
như các chương trình khuyến mại doanh nghiệp đang cung cấp. Với
mỗi góc nhìn khác nhau, website doanh nghiệp lại có một định nghĩa
khác:
•

Từ góc độ truyền thông: Website doanh nghiệp là một công cụ quan
trọng của doanh nghiệp, là nơi cung cấp đầy đủ các thông tin về
doanh nghiệp giúp khách hàng, đối tác có thể hiểu rõ hơn về tính
chất cũng như chất lượng sản phẩm, dịch vụ của doanh nghiệp.


•

Từ góc độ quản lý: Website doanh nghiệp được tích hợp các công cụ
giúp việc quản lý công việc trở nên đơn giản và dễ dàng hơn, nâng
cao hiệu suất công việc, mở rộng không gian phát triển.
Bảo mật website là một hình thức bảo vệ các thông tin và tài

nguyên của hệ thống website:
• Cơ sở dữ liệu của trang Web
• Thông tin cá nhân của khách hàng và thông tin của tổ chức
•

Tài nguyên của hệ thống website
2. Hình thức

•

Web tĩnh (Static Website) chính là cách gọi khác của những website
phiên bản đầu tiên. Đây là trang web đơn thuần chỉ sử dụng hoàn
toàn ngôn ngữ lập trình HTML. Nó có nhiệm vụ đăng tải các thông tin
giống như một tờ báo. Sau khi tải trang HTML từ máy chủ xuống,
8


trình duyệt sẽ hỗ trợ biên dịch mã và hiển thị nội dung của trang
web. Và lúc này người dùng hầu như không thể tương tác được với
website. Không thể trò chuyện, giao tiếp với nó. Nội dung của
Website tĩnh đã được xác định ngay từ đầu. Nếu muốn thay đổi hay
thêm bớt nội dung, người quản lý phải làm lại khuôn để có thể in ra

những tờ báo mới.
•

Website động (Dynamic Website) là một thuật ngữ dùng để chỉ
những trang web được hỗ trợ bởi một phần mềm cơ sở web. Nói
đúng hơn đây là một chương trình chạy với giao thức http://. Có thể
xem nó là một tập hợp các dữ liệu số hóa được tổ chức thành cơ sở
dữ liệu và trình diễn trên các trang web dưới dạng văn bản, âm
thanh, hình ảnh. Dynamic website được tích hợp thêm các phần xử lý
thông tin và truy xuất dữ liệu.
3. Phân loại

•

Theo nhu cầu: Tùy vào nhu cầu mà website sẽ được thiết kế đáp ứng
nhu cầu đó. Có khách hàng tìm đến website để đọc tin tức thì sẽ có
những website tin tức (hay còn gọi là trang tin, báo điện tử). Hiện
nay các website ở Việt Nam như vnexpress, 24h, zing,…đều là những
trang tin phổ biến hiện nay. Cũng có khách hàng tìm đến website để
xem phim, xem video thì các website chuyên đăng tải video sẽ đáp
ứng cho bạn nhu cầu đó. Ngoài ra có có các website thương mại điện

•

tử để bán hàng, website giới thiệu công ty doanh nghiệp,…
Theo công nghệ: Tiêu chí này thường dựa vào source code. Một số
website dùng source code đóng (tức là phải tự code tay). Cũng có
những website dùng nền tảng mở (phổ biến như WordPress, Wix) để
tự mình thiết kế nên một website hoàn chỉnh. Cách này thường áp
dụng đối với người dùng không dùng không biết code. Thế nhưng

nếu có nhu cầu mở rộng website hơn thì cần nên áp dụng những
công nghệ khác để đem lại trải nghiệm ưng ý hơn cho người dùng.
4. Lợi ích
9


•

Tạo ra một kênh truyền thông trên mạng internet: Website tạo cho
doanh nghiệp một kênh truyền thông trên mạng internet, nơi phát
ngôn các thông tin chính thức của doanh nghiệp, hạn chế các tin tức

không chính xác của đối thủ cạnh tranh.
• Tăng hiệu quả truyền thông, tiết kiệm chi phí: Website doanh nghiệp
tạo cho đơn vị một kênh quảng bá tự nhiên hiệu quả, hỗ trợ tích cực
cho các hoạt động truyền thông, tăng hiệu suất và tiết kiệm chi phí
cho doanh nghiệp.
• Tiếp cận nguồn khách hàng tiềm năng lớn: Tiếp cận nguồn khách
hàng to lớn không giới hạn biên giới trên mạng internet là lợi ích thứ
3 khi thiết kế website doanh nghiệp.
• Nâng cao khả năng cạnh tranh với các đối thủ, rút ngắn khoảng cách
giữa doanh nghiệp nhỏ và lớn: Trên mạng internet, chỉ cần dịch vụ,
sản phẩm của bạn tốt, khách hàng sẽ không quá quan tâm đến việc
doanh nghiệp lớn hay nhỏ.
• Mở rộng không gian phát triển cho doanh nghiệp: Việc mở rộng thị
trường, mở rộng tệp khách hàng mục tiêu gián tiếp sẽ giúp doanh
•

nghiệp mở rộng không gian phát triển.
Tạo ra một kênh mua hàng uy tín, chất lượng cho khách hàng: Một

website doanh nghiệp sẽ cung cấp đến khách hàng một nguồn mua
hàng uy tín, chất lượng, hạn chế tình trạng hàng giả, hàng nhái đang
được bày bán trên thị trường.

10


III. CÁC NGUY CƠ ĐỐI VỚI WEBSITE CỦA DOANH NGHIỆP
Nguy cơ là những sự kiện có khả năng ảnh hưởng đến an toàn
của hệ thống website doanh nghiệp.
Sau khi tìm hiểu, nhóm 7 xin đưa ra một số nguy cơ về mất an
toàn thông tin có thể xảy ra đối với website của doanh nghiệp như
sau:
1. Bị tấn công vào hệ thống website của tổ chức, doanh
nghiệp và cá nhân
•

Từ CSRF (Cross - Site Request Forgery)

Một trong những lỗ hổng bảo mật thường gặp trong ứng dụng
web là lỗ hổng CSRF.
Lợi dụng cơ chế tự động đăng nhập vào một số website, tin tặc
có thể điều hướng người dùng thực hiện các đoạn chứa mã độc,
nhúng vào các website mà người dùng đang trong phiên làm việc. Từ
đó, mã độc sẽ chạy trên trình duyệt của người dùng và hacker sẽ
thực hiện các hành vi gian lận. Vì vậy, trong một số diễn đàn hoặc
website khi bạn đăng nhập tài khoản, tốt nhất không nên lưu mật
khẩu, tên người dùng.
•


Từ việc không hạn chế truy nhập vào URL nội bộ
Một trong những giải pháp nhằm hạn chế sự tấn công từ bên
trong nội bộ mà nhà quản trị nên làm là hạn chế sự truy cập vào các
URL quan trọng. Bạn có thể hạn chế địa chỉ IP, hạn chế sử dụng phân
quyền, sự truy cập trực tiếp vào url.
11


•

Từ việc không kiểm tra sự điều hướng và chuyển tiếp của
URL
Lợi dụng sơ hở này, tin tặc có thể điều hướng đường link gốc đến
một trang web hoặc một ứng dụng lừa đảo hoặc trang web đen. Khi
click vào đường dẫn tới trang web lừa đảo, máy tính của người dùng
có thể bị nhiễm mã độc và hacker sau đó có thể ép người dùng tiết lộ
thông tin cá nhân.

•

Từ việc quản lý xác thực và quản lý phiên yếu
Khâu xác thực (authentication) và trao quyền (authorisation)
được sử dụng khá phổ biến trong các ứng dụng web. Nếu một trong
2 khâu này không bảo mật mạnh mẽ thì đây chính là lỗ hổng tiềm ẩn
giúp tin tặc xâm nhập vào hệ thống. Mối đe dọa tiềm ẩn ở đây là kẻ
tấn công có thể thỏa hiệp mật khẩu, mã khóa hoặc danh tính người
dùng. Để hạn chế nguy cơ tấn công, quản trị viên nên thiết lập
session thật tốt.

•


Từ các lỗ hổng có sẵn trong thư viện
Thực tế hiện nay, một số tổ chức và doanh nghiệp Việt Nam
chưa cập nhật những bản vá lỗi trong ứng dụng web của mình, và cá
nhân cũng vậy. Một số lỗi xuất phát từ thư viện ứng dụng, một số
nằm trong plugin cài thêm, số khác ở trong module ứng dụng. Cũng
chính vì điều này mà hacker nhanh chóng khai thác các lỗ hổng bảo
mật và hàng loạt người dùng, thiết bị bị ảnh hưởng.

•

Từ Zero - Day Flaws
Lỗ hổng zero-day cũng là một trong nhiều mối đe dọa bảo mật
thương mại điện tử chưa được báo cáo cho nhà cung cấp phần mềm
thương mại điện tử. Vì các mối đe dọa này vẫn chưa được biết tới do
đó có khả năng là không có bản vá nào cho chúng. Trong quá khứ,
những kẻ tấn công đã xâm phạm nhiều trang web thương mại điện
tử bằng cách sử dụng các lỗ hổng zero-day. Nếu bạn tuân theo mọi
thực hành an toàn mà trang web vẫn bị xâm phạm, có khả năng đây
là một lỗ hổng zero-day. Tốc độ vá các lỗ hổng zero-day sẽ nhanh
12


hơn với các giải pháp thương mại điện tử nguồn mở. Hơn nữa, mã
của các giải pháp nguồn mở được kiểm tra bởi bất kỳ ai, do đó nguy
cơ bị zero-day là tương đối ít hơn.

13



2. Bị tấn công vào hệ thống máy chủ lấy cắp thông tin
•

Từ lỗ hổng XSS (Cross Site Scripting)

Thông qua lỗ hổng XSS, kẻ tấn công có thể chiếm quyền điều
khiển phiên người dùng, gỡ bỏ trang web, và có thể đánh cắp thông
tin của người dùng dựa trên trình duyệt. Bản chất của dạng tấn công
này là dựa vào trình duyệt. Tin tặc có thể chèn mã JavaScript vào các
trang web có lỗi XSS, khi người dùng truy cập vào những trang web
này, lập tức mã script của tin tặc sẽ hoạt động lưu lại thông tin người
dùng.
•

Từ việc rò rỉ thông tin và xử lý lỗi không đúng cách
Mối đe dọa tiềm ẩn từ việc rò rỉ thông tin và xử lý lỗi không đúng
cách (Broken Authentication and Session Management) có thể giúp
tin tặc ăn cắp dữ liệu nhạy cảm, hoặc tiến hành các cuộc tấn công
nghiêm trọng hơn. Một ứng dụng web không được bảo mật tốt có thể
vô ý rò rỉ thông tin về cấu hình, hoạt động bên trong, hoặc vi phạm
sự riêng tư thông qua một loạt các vấn đề ứng dụng.

•

Từ Bots xấu
Bots là một loại mối đe dọa bảo mật khác đối với thương mại
điện tử nơi các tập lệnh nhỏ được thiết kế để thực hiện một tác vụ cụ
thể và báo cáo cho botmaster.

14



3. Bị tấn công làm tê liệt hoạt động của máy chủ web
•

Từ sự tấn công của DdoS

DDoS là viết tắt của Distributed Denial of Service, tức từ chối
dịch vụ phân tán. Một cuộc tấn công DDoS là khi hacker nỗ lực làm
sập website của bạn thông qua cách bơm vào một lượng truy cập
quá tải so với băng thông cho phép của website. Lợi dụng lỗ hổng
của về bảo mật khi website quá tải, hacker sẽ đánh cắp được các dữ
liệu quan trọng trên website và trong máy tính chủ của bạn. Càng
ngày hình thức tấn công bằng DDoS càng tinh vi và phức tạp hơn.
Có thể thấy, việc “mất bò mới lo làm chuồng” sẽ là viễn cảnh
không hề mong muốn của các nhà doanh nghiệp sở hữu các trang
web với lượng người sử dụng hàng ngày cao.
4. Giả mạo người dùng để thực hiện các giao dịch giả
•

Từ tấn công lừa đảo (Phishing)

15


Phishing (Tấn công lừa đảo) là hình thức tấn công mạng mà kẻ
tấn công giả mạo thành một đơn vị uy tín để lừa đảo người dùng
cung cấp thông tin cá nhân cho chúng.
Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web
giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người

dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu
đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá
khác.
Phương thức tấn công này thường được tin tặc thực hiện thông
qua email và tin nhắn. Người dùng khi mở email và click vào đường
link giả mạo sẽ được yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ
có được thông tin ngay tức khắc.
•

Từ việc tham chiếu đối tượng trực tiếp không an toàn
Mối đe dọa tiềm ẩn ở đây là những kẻ tấn công có thể lợi dụng
những tài liệu tham khảo để truy cập vào quyền của các đối tượng
khác mà không sự cho phép. Ví dụ: A có thể mạo danh là B để truy
cập vào hệ thống.
Việc tham chiếu các đối tượng, tệp tin, file, bản ghi cơ sở dữ liệu
cần được thực hiện gián tiếp và những thông tin nhạy cảm nên được
che giấu. Bên cạnh đó, việc phân quyền nhà quản trị cũng cần cài
đặt bảo mật ở chế độ cao nhất, không cho phép người lạ truy cập trái
phép. Một khi hacker có thể xác định được cấu trúc thông tin chuyển
tới server, chúng có thể thu thập dữ liệu người dùng, ăn cắp tài
khoản thẻ tín dụng,...
5. Bị nghe lén thông tin trên đường truyền
Thông tin của người dùng có thể bị lấy cắp nhưng không làm
thay đổi thông tin từ người gửi đến người nhận.
6. Có thể bị nhiễm mã độc

•

Từ virus máy tính Malware
Những chương trình quảng cáo sử dụng mã độc, làm hiện các

trang pop-up, quảng cáo khi người sử dụng lướt web gây ra rất nhiều
trở ngại và khó chịu cho người dùng.
16


Hijacker hoạt động trên các trình duyệt web, với khả năng kiểm
soát và thay đổi các cài đặt của trình duyệt, thay đổi địa chỉ trang
chủ và dẫn người dùng đến các website lạ chứa nhiều mã độc và
virus.
Deepware là một loại mã độc hoạt động ảnh hưởng đến hệ điều
hành, làm cho hệ điều hành chạy chậm và bị lỗi hệ thống.
Ransomware là một loại virus được sử dụng để mã hóa dữ liệu,
ngăn chặn người dùng sử dụng thông tin dữ liệu của họ và yêu cầu
tiền chuộc.
•

Từ sự tấn công bởi các mã độc hại (Injection flaws)
Hacker có thể sử dụng điểm yếu của các truy vấn đầu vào bên
trong ứng dụng để chèn thêm dữ liệu không an toàn, từ đó máy chủ
có thể bị tấn công bởi một số dạng như: SQL Injection, Xpath
Injection, XML Injection, Buffer overflow, LDAP lookups, Shell
command Injection. Trong các lỗ hổng trên, SQL Injection là phương
thức tấn công thường gặp nhất trong ứng dụng web.
SQL injection hay còn gọi là SQLi được sử dụng để ăn cắp dữ
liệu, cản trở hoạt động của các ứng dụng bằng cách lợi dụng những
lỗ hổng trong các kênh đầu vào (input) của website.
Những xâm nhập bất hợp pháp này không chỉ dừng lại ở việc
gây tác hại đối với người dùng website, nó còn ảnh hưởng không hề
nhỏ đến các chủ sở hữu website bị tấn công như:


o Hoạt động trao đổi sản phẩm hay dịch vụ trên các website này bị
gián đoạn.
o Dữ liệu khách hàng với các thông tin cá nhân quan trọng bị đánh
cắp.
o SEO của website bị ảnh hưởng xấu khi các từ khóa được sử dụng bị
mất thứ hạng trên các công cụ tìm kiếm.
o Ảnh hưởng nặng nề đến uy tín thương hiệu của chủ sở hữu website.
o Website bị tấn công mất khả năng kiểm soát, không thể chạy quảng
cáo trên Google và các mạng xã hội.

o Một số hoặc tất cả những dữ liệu quan trọng của tổ chức bạn sẽ bị
hacker truy cập trái pháp, chúng có thể sửa đổi, xóa bỏ thông tin
17


hoặc thậm chí lợi dụng để tống tiến.
• Từ các tệp tin chứa mã độc
Nguy cơ bị tấn công tiềm ẩn với việc mã hóa trong tích hợp tệp
tin từ xa (RFI) có thể cho phép kẻ tấn công tạo sự thỏa hiệp của máy
chủ. Dạng tấn công bằng tệp tin chứa mã độc này có thể ảnh hưởng
đến PHP, XML và bất kỳ tập tin nào từ người dùng.
❖ Ví dụ:

Trên thế giới và tại Việt Nam đã có rất nhiều vụ tấn công mạng
nhưng vụ rò rỉ thông tin của hơn 50 triệu người dùng của Facebook
(2018) và vụ tấn công vào website của Vietnam Airlines (2016) là 2
vụ mất an toàn thông tin gây chấn động và được nhiều người quan
tâm nhất.
•


Facebook làm rò rỉ thông tin của hơn 50 triệu người dùng
Ngày 17/03/2018, Facebook bị tố làm rò rỉ thông tin cá nhân của
hơn 50 triệu người dùng. Những thông tin này được bán cho
Cambridge Analytica, một công ty chuyên về khai thác, phân tích dữ
liệu, chuyên dụng cho quá trình bầu cử. Số dữ liệu này sau đó được
cho là có tác động đến cuộc bầu cử Tổng thống Mỹ năm 2016. Sự
việc khiến Giám đốc Điều hành Facebook Mark Zuckerberg phải ra
điều trần trước Ủy ban Năng lượng và Thương mại của Hạ viện Mỹ
vào ngày 11/04.
Cũng trong tháng 4, Giám đốc Công nghệ Facebook công bố số
người bị lộ thông tin cá nhân ở Mỹ cao hơn 37 triệu người so với số
công bố trước đó, tức ít nhất 87 triệu người dùng Facebook bị thu
thập dữ liệu.
Trong tháng 9, dữ liệu của 50 triệu người Facebook có nguy cơ bị
lộ sau một cuộc tấn công diễn ra trong tuần này. Kẻ tấn công đã lợi
dụng một kẽ hở của Facebook, cụ thể là ở chức năng "View As" - tính
năng giúp người dùng có thể tự xem lại trang cá nhân của mình hiển
thị như thế nào trong mắt bạn bè và giúp chúng chiếm đoạt được tài
khoản của người dùng. Vụ việc một lần nữa làm dấy lên quan ngại về
18


khả năng bảo mật thông tin người dùng của mạng xã hội lớn nhất
thế giới.
•

Tin tặc tấn công vào các sân bay tại Việt Nam
Cuộc tấn công của các tin tặc bắt đầu vào lúc 13 giờ 46 phút
ngày 29 tháng 7 năm 2016 tại Cảng hàng không quốc tế Tân Sơn
Nhất và 16 giờ 7 phút tại cảng hàng không quốc tế Nội Bài.

Các hệ thống máy tính làm thủ tục hàng không của Hãng Hàng
không VietJet Air, Vietnam Airlines (bao gồm VASCO) tại nhà ga quốc
nội của sân bay Tân Sơn Nhất, hệ thống thiết bị thông tin chuyên
ngành hàng không (màn hình thông tin chuyến bay, màn hình máy
tính phục vụ check-in tại quầy thủ tục của Vietnam Airlines, hệ thống
phát thanh) tại Nhà ga hành khách T1 của sân bay Nội Bài bị tấn
công xâm nhập mạng phải dừng hoạt động. Hai sân bay Đà Nẵng và
Phú Quốc cũng trong tình trạng tương tự. Riêng với website của
Vietnam Airlines, tin tặc tấn công bằng cách điều hướng sang một
trang khác, đồng thời tiết lộ thông tin cá nhân bảo mật của các
khách hàng.
Ngoài việc thay đổi nội dung trên website của Vietnam Airlines
bằng cách chiếm quyền domain và chuyển sang trang web xấu ở
nước ngoài, nhóm hacker 1937cn còn tung ra danh sách các khách
hàng của hãng hàng không này. Bằng Tập tin Microsoft Excel nặng
khoảng gần 100MB, nhóm tin tặc đã công khai các dữ liệu của hơn
400.000 thành viên Golden Lotus. Ban đầu tập tin này được chia sẻ
trên trang Pastebin nhưng sau đó được lan truyền khắp các trang
web bị tấn công.
Danh sách này cũng không chỉ có những khách hàng người Việt
Nam mà còn có cả khách hàng nước ngoài đến từ nhiều quốc gia như
Nga, Đức, Canada, Nhật Bản, Hàn Quốc... phần lớn khách hàng trong
số này là các lãnh đạo, quản lý cơ quan Nhà nước, ngân hàng, doanh
nghiệp lớn trong nhiều lĩnh vực... Những thông tin trong file dữ liệu
bao gồm họ tên, ngày sinh, địa chỉ thường trú, đơn vị làm việc, số
19


điện thoại, quốc tịch, ngày tham gia chương trình, điểm tích lũy, mật
khẩu tài khoản GLP,… Trong đó, địa chỉ email của khách hàng đã

được thay thế bằng các ký tự xxxxx. Trong file dữ liệu khách hàng đã
được đăng tải trên internet không thấy có thông tin về thẻ tín dụng.
Các khách hàng lo lắng về khả năng thông tin thẻ có thể bị lấy cắp
nhưng hacker không công bố mà để sử dụng vào mục đích khác.
Tại các sân bay Phú Quốc, Đà Nẵng, Nội Bài, Tân Sơn Nhất hành
khách phải check-in bằng tay do Internet bị cắt để ngăn chặn hacker.
Tại sân bay Nội Bài tất cả các màn hình và loa phát thanh tạm thời
ngưng hoạt động để ngăn chặn hacker phát thông tin giả mạo. Các
hãng hàng không phải sử dụng loa tay để thông báo cho khách. Hơn
100 chuyến bay bị ảnh hưởng, trong đó hàng chục chuyến bay bị
chậm giờ từ 15 phút cho đến hơn 1 tiếng.

20


IV. CÁCH PHÒNG CHỐNG SỰ CỐ ĐỐI VỚI WEBSITE CỦA
DOANH NGHIỆP
1. Thường xuyên cập nhật phần mềm ứng dụng website
Việc đảm bảo tất cả phần mềm được cập nhật là điều quan
trọng trong việc giữ cho trang web của bạn tránh khỏi những nguy
hiểm luôn luôn rình rập. Điều này có thể áp dụng cho cả hệ điều
hành máy chủ và bất kỳ phần mềm nào bạn đang chạy trên trang
web bao gồm CMS hoặc diễn đàn.
Ví dụ: Một hệ quản trị nội dung (CMS) hay một diễn đàn. Khi một
lỗ hổng bảo mật được tìm thấy trong ứng dụng, tin tặc luôn biết cách
để lợi dụng triệt để chúng. Đây là một mối lo mà bất kỳ quản trị viên
nào cũng phải đối mặt. Nếu bạn sử dụng hosting mà website của bạn
không được cập nhật thường xuyên, bạn phải nhanh chóng yêu cầu
nhà cung cấp dịch vụ để thực hiện.
2. Bảo mật website với SQL injection

SQL injection hình thức tấn công trang web phổ biến nhất dựa
trên các thao tác form website, lý do là các nội dung này thường
không được mã hoá chính xác và công cụ hacking tận dụng các điểm
yếu này để hoạt động phá hoại, loại khai thác này rất dễ dàng để đạt
được mục đích ngay cả những tin tặc thiếu kinh nghiệm cũng có thể
thực hiện hành động này, nghiêm trọng hơn.
Cách phòng ngừa SQL injection phổ biến nhất được tạo thành từ
hai thành phần. Đầu tiên là thường xuyên cập nhật và vá lỗi của tất
cả các máy chủ, dịch vụ và ứng dụng, sau đó sản xuất và sử dụng tốt
source code đồng thời kiểm thử source code trang web không cho
phép tồn tại các lệnh SQL có dấu hiệu bất thường.
Ví dụ như thực hiện truy vấn sau:

Nếu tin tặc thay đổi tham số URL thành ‘ or ‘1’=’1 như sau:
21


Do 1 luôn bằng 1 nên câu lệnh cho phép tin tặc thêm vào các
đoạn truy vấn SQL ở cuối cùng sẽ được thực thi và làm sai lệch cách
xử lý của ứng dụng và làm lộ các thông tin nhạy cảm.
3. Bảo mật website với XXS
Có một công cụ mạnh mẽ khác trong hộp công cụ của XSS
Defender là Content Security Policy (CSP). CSP là một thuộc tính mà
máy chủ của bạn có thể trả về cho trình duyệt để giới hạn cách thức
JavaScript được thực hiện như thế nào trong website.
Ví dụ như không cho phép chạy bất kỳ tập lệnh nào không được
lưu trữ trên tên miền của bạn, không cho phép JavaScript inline hoặc
vô hiệu hóa hàm eval(), điều này làm cho các tập lệnh của tin tặc
khó làm việc hơn, ngay cả khi chúng có thể đưa vào trang web của
bạn.

4. Phòng chống các cuộc tấn công DDOS

•

Sử dụng tường lửa ứng dụng web:
Tường lửa Website (Web Appication Firewall – WAF) là một lớp
phòng thủ hữu hiệu, giúp máy chủ web tránh khỏi những hình thức
tấn công phổ biến như XSS, SQL injection, Buffer Overflow hay
DDOS.
Nhiệm vụ của Tường lửa Website là sàng lọc và phân loại các
luồng traffic vào website. Từ đó phát hiện và ngăn chặn các luồng
traffic được cho là độc hại. Đây là một phương pháp hiệu quả để bảo

vệ website khỏi các cuộc tấn công từ chối dịch vụ.
• Mua thêm băng thông dự phòng:
22


Nên sử dụng băng thông rộng hơn mức bạn cần cho máy chủ
web. Bằng cách đó, bạn có thể đáp ứng các đột biến bất ngờ trong
lưu lượng truy cập – có thể là kết quả của một chiến dịch quảng cáo,
một chương trình khuyến mãi đặc biệt mà công ty bạn đang sử dụng
hay do tên công ty của bạn được đề cập trên các phương tiện truyền
thông.
Lưu ý rằng cho dù bạn có sử dụng băng thông rộng gấp 100%
hay thậm chí 500% so với nhu cầu thực tế cũng không chắc chắn sẽ
ngăn chặn được một cuộc tấn công DDoS, nhưng nó có thể cho bạn
thêm thời gian để hành động trước khi máy chủ bị quá tải.
• Giám sát downtime cho website:
Nếu website bị DDOS ảnh hưởng tới công việc kinh doanh của

bạn. Chắc chắn bạn sẽ cần một phần mềm giám sát downtime của
website hiệu quả. Một trong những phần mềm miễn phí phổ biến
nhất là Uptime Robot. Tuy nhiên tài khoản miễn phí chỉ được cảnh
báo 5 phút 1 lần. Để có tần suất kiểm tra downtime cao hơn, bạn cần
nâng cấp lên bản trả phí.
5. Phòng chống mã độc và virus cho website
• Quét mã độc cho website:
Virus, trojan hay phần mềm độc hại nói chung là một mối đe dọa
tới sự an toàn của website. Việc quét và diệt mã độc thường xuyên
rất quan trọng với mọi website từ nhỏ đến lớn.
•

Thận trọng với mã độc ẩn trong theme và plugin miễn phí trên
WordPress:
Hacker có thể lợi dụng tâm lý ham rẻ của người dùng khi tải
theme hay plugin miễn phí trên mạng để chèn mã độc vào những
sản phẩm đó. Nếu không cẩn trọng, chủ website của thể tải những
thành phần đã nhiễm mã độc lên website dẫn tới việc website bị tấn
công lúc nào không hay.
Lời khuyên tốt nhất trong tình huống này là hãy cẩn trọng với
những “bữa ăn miễn phí” trên mạng. Nếu bạn có kiến thức về lập
trình thì hãy kiểm tra code của những plugin đó thật kỹ càng. Nếu
23


không, hãy trả phí để mua bản quyền để được hỗ trợ kỹ thuật và cập
nhật bảo mật trọn đời.
•

6. Bảo vệ dữ liệu website và thông tin khách hàng

Hạn chế cho phép upload files:
Việc cho phép người dùng tải file lên trang web có thể mang lại
rủi ro lớn cho website của bạn, NGAY CẢ KHI đó chỉ là hành động
thay đổi hình đại diện. Những file được upload lên, dù trông có vẻ vô
hại, thì cũng có thể chứa những dòng lệnh độc hại tiêm nhiễm vào
máy chủ. Vì thế, bạn nên “thẳng tay” tắt tính năng upload file nếu
không cần thiết.
Nếu bạn bắt buộc phải cho người dùng upload file, hãy cẩn trọng
với mọi tình huống. Đặc biệt, bạn không thể chỉ dựa vào phần mở
rộng để xác định đó là file hình ảnh. Bởi một file có tên
image.jpg.php có thể vượt qua dễ dàng. Ngoài ra thì hầu hết các
hình ảnh đều cho phép lưu trữ một phần bình luận (comment) có thể
chứa code PHP được thực thi bởi máy chủ web.
Giải pháp cho vấn đề này là chặn hoàn toàn quyền truy cập trực
tiếp vào các file được tải lên. Theo đó, mọi file tải lên website được
lưu trữ trong một thư mục bên ngoài webroot hoặc trong cơ sở dữ
liệu dưới dạng blob.

•

Xác thực từ 2 phía:
Xác thực phải luôn luôn được thực hiện cả trên trình duyệt và
phía máy chủ. Trình duyệt có thể gặp các lỗi đơn giản như khi các
trường bắt buộc điền bị để trống hay nhập văn bản vào trường chỉ
cho điền số. Tuy nhiên, những điều này có thể được bỏ qua và nên
đảm bảo việc kiểm tra các xác thực sâu hơn phía máy chủ. Vì không
làm như vậy có thể dẫn đến mã hoặc tập lệnh độc hại được chèn vào
cơ sở dữ liệu hoặc có thể gây ra kết quả không mong muốn trong

•


trang web.
Cẩn thận với các thông báo lỗi:
Hãy cẩn thận với lượng thông tin bạn cung cấp trong các thông
báo lỗi. Chỉ cung cấp các lỗi tối thiểu cho người dùng, để đảm bảo
24


chúng không làm rò rỉ các bí mật có trên máy chủ (Ví dụ: khóa API
hoặc mật khẩu cơ sở dữ liệu). Đừng cung cấp đầy đủ chi tiết ngoại lệ
vì những điều này có thể làm cho các cuộc tấn công phức tạp như
SQL injection được thực hiện dễ dàng hơn nhiều. Giữ các lỗi chi tiết
trong nhật ký máy chủ và chỉ hiển thị cho người dùng thông tin họ
cần.

25