LỜI MỞ ĐẦU
Bạn có quan tâm đến vấn đề bảo mật và tấn công mạng cho trang web của mình?
Tần suất bạn chạy phần mềm kiểm tra virus và hoạt động của website là bao nhiêu?
Bạn có cho rằng website của bạn không có gì để người khác ăn cắp cả?
Trong thời đại Internet phát triển nhanh chóng, người dùng dễ dàng hơn trong việc tìm
kiếm thông tin về các sản phẩm dịch vụ trên công cụ tìm kiếm. Các website ra đời phục
vụ cho nhu cầu tìm kiếm của người dùng, đồng thời góp phần vào hiệu quả kinh doanh của
doanh nghiệp.
Song song đó, các vấn đề bảo mật thông tin, tình hình an ninh trên Internet cũng khiến
“nhà nhà, người người” quan tâm chú ý. Vậy giải pháp nào cho vấn đề trên?
LPTech với hơn 10 năm kinh nghiệm trong lĩnh vực Bảo mật Website, Thiết Kế Website,
Dịch Vụ SEO, công ty đã hệ thống lại các tài liệu liên quan đến vấn đề Bảo mật Website
hiệu quả để training nội bộ. Nay chúng tôi muốn chia sẻ những kinh nghiệm này cho bạn
đọc, đặc biệt là cho những bạn, doanh nghiệp thực sự quan tâm đến vấn đề này.
1
Tránh bị tấn công mạng bằng các
giải pháp nâng cấp website
Bảo mật một khía cạnh nhiều chủ trang web rất trong việc kiểm tra, trong
khi lại một yếu tố chủ chốt để website của bạn hoạt động tốt uy tín trong công tác
tương tác với người dùng.
Hãy cùng LPTech tìm hiểu thêm về các vấn đề Bảo Mật phương pháp nâng cấp
website cho bạn nhé!
Xem bài phân tích đầy đủ hơn tại: Các biện pháp nâng cấp website, tăng cường bảo
mật
Những vấn đề cần quan tâm của website thương mại
Gian lận - Phishing
Đây một cách giả mạo thành một đơn vị hoặc nhân uy tín, nhằm chiếm lấy
lòng tin của người dùng khai thác lòng tin ấy cho các mục đích bất chính. Thông thường
hành vi phishing được thực hiện qua email.
Các thông tin bảo mật thể bị ăn cắp thông qua phishing như thông tin thẻ tín
dụng, mật khẩu hoặc xúi giục người dùng cài đặt các phần mềm độc hại walware vào thiết
bị. Có thể thấy phishing là một bước trong kế hoạch tấn công bằng walware.
Gian lận trong thanh toán
Đây hình thức hacker lợi dụng lỗi trên hệ thống thanh toán của các website
thương mại điện tử, nhằm thực hiện các giao dịch ảo để rút tiền từ người dùng cả doanh
nghiệp.
Trong một chương trình tiếp thị của một trang web đặt phòng khách sạn, người dùng
sẽ được tặng tiền nếu mời được thêm 3 tài khoản mạng hội khác cùng đăng trên trang
web đó. Nếu website lơi lỏng trong việc kiểm duyệt xác minh tài khoản đăng mới,
hacker sẽ dễ dàng tạo ra nhiều tài khoản mạng hội ảo để nhận được nhiều tiền từ doanh
nghiệp.
Ăn cắp - Bots
Bot một chương trình khả năng thu thập dữ liệu quan trọng trong website
tin tặc tạo ra bằng những phương thức thông qua phishing hoặc tấn công website, tin tặc
cài đặt được bot trong website của bạn và từ đó đánh cắp các thông tin nhạy cảm.
Xem thử:
Bảo Mật Website Trước Nguy Cơ Bị Đánh Cắp Dữ Liệu
2
Man-in-the-middle attack
MitM hay được hiểu tấn công theo kiểu rình mò, nghe trộm khi giữa 2đối tượng
đang một giao dịch hay cuộc trò chuyện trực tuyến, họ bị nghe lén nội dung. Tin tặc sẽ
chen giữa vào cuộc đối thoại giữa 2đối tượng nhằm ăn cắp dữ liệu, khả năng này sẽ xảy ra
khi:
Người dùng đăng nhập vào mạng wifi công cộng tin tặc chen vào giữa thiết bị của
người dùng và mạng wifi đó.
Khi người dùng cài đặt các phần mềm độc hại thiết bị, tin tặc thể thao túng dữ liệu trong
thiết bị của người dùng.
Phá hoại - Malwares
Phá hoại bằng malwares hay các phần mềm độc hại cách phá hoại phổ biến nhất
hiện nay. Khi phân loại malwares, ta liệt thành các loại sau: spyware phần mềm gián
điệp, ransomware độc tống tiền, virus worm phần mềm độc khả năng lây lan
cao.
Lợi dụng vào các lỗ hổng bảo mật trên website, tin tặc thể xúi giục người dùng tải
phần mềm độc hại xuống thiết bị bằng phishing hoặc đánh vào tâm thích miễn phí của
người dùng. Những hậu quả có thể xảy đến khi malware được cài đặt thành công:
1. Người dùng không thể truy cập vào dữ liệu của chính mình, lúc này tin tặc sẽ tống
tiền người dùng để bán lại dữ liệu hoặc thể người dùng sẽ mất tiền cả thông
tin quan trọng đó vĩnh viễn
2. Dẫn dụ người dùng cài đặt thêm nhiều mã độc khác
3. Theo dõi và đánh cắp dữ liệu
4. Tê liệt hệ thống gây hư hại phần mềm và phần cứng vốn có của hệ thống
3
Ngoài ra còn các dạng tấn công như: Dos (Denial of Service), DDoS (Distributed
Denial of Service), Spam, SQL injections, Zero day attack, Cross-site scripting, Tấn
công Brute-force.
Tìm hiểu chi tiết các loại tấn công trên:
Vấn đề ảnh hưởng đến bảo mật website
Nâng cấp website tăng cường bảo mật
Đối mặt các vấn đề trên, LPTech cung cấp cho bạn một số các nâng cấp website để tăng
cường bảo mật như sau:
Cookies
Hầu hết các phần mềm dành cho website đều sử dụng cookies để lưu trữ các loại thông tin
về người dùng, bao gồm các lựa chọn yêu thích, các trang thường được xem, giỏ hàng,
phương pháp thanh toán và các loại thông tin liên quan cần thiết khác.
Tìm hiểu về
Bảo mật Cookies
Thông tin mật về ứng dụng hoặc cấu hình
Các thông tin mật trong ứng dụng bao gồm mật khẩu của admin, biên lai, API key các
key riêng tư (private key).
Ngăn ngừa đánh cắp tài khoản và chiếm dụng bằng chứng cứ
Người dùng thường thực hiện các bước sử dụng đến chứng cứ xác nhận (authentication
token) khi họ đăng nhập vào một hệ thống. Các ứng dụng nên luôn luôn tách việc xác minh
4
người dùng (user identification) ra khỏi các chứng cứ (token) so sánh chúng với userID
của tài khoản trong khi được vận hành.
Chuẩn hóa xác nhận đầu vào (input validation) truy vấn dữ liệu
(database queries)
Các cuộc tấn công như SQL injection thể được phòng tránh dễ dàng nếu kích thước
nội dung đầu vào của người dùng được kiểm định đúng cách. Việc kiểm định ngăn ngừa
một whitelist (cho phép sử dụng các hiệu) rất được ưu tiên hơn kiểm tra một blacklist
(không cho phép sử dụng kí hiệu).
Sử dụng nhận diện cá nhân cho việc kiểm tra
Đây một bước khá phổ biến trong các nhóm làm việc, khi họ cùng quản dữ liệu nhạy
cảm để chia sẻ một tài khoản admin với các thành viên khác trong nhóm. Tất cả mọi người
đều biết mật khẩu thể sử dụng uy tín của mình để cập nhật các dữ liệu nhạy cảm ấy.
Tuy nhiên, đây lại là một hành động đi ngược lại với bảo mật doanh nghiệp.
5