banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Các nguy cơ tấn công website là gì? Giúp em với  XML
  [Question]   Các nguy cơ tấn công website là gì? Giúp em với 16/05/2007 09:36:19 (+0700) | #1 | 59440
tk1cntt
Member

[Minus]    0    [Plus]
Joined: 05/05/2007 01:48:43
Messages: 3
Offline
[Profile] [PM]
Chào các bác!

Em đang làm một bài tập lớn về phần mạng. Tìm hiểu về nguy cơ các website bị tấn công. Các bác chỉ cho em biết các nguy cơ đó là gì được không.

Em cám ơn. smilie
[Up] [Print Copy]
  [Question]   Các nguy cơ tấn công website là gì? Giúp em với 16/05/2007 18:34:20 (+0700) | #2 | 59494
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tk1cntt wrote:
Chào các bác!

Em đang làm một bài tập lớn về phần mạng. Tìm hiểu về nguy cơ các website bị tấn công. Các bác chỉ cho em biết các nguy cơ đó là gì được không.

Em cám ơn. smilie  


Mạng hay website? Hai cái có biên độ rất khác.

Bồ đã tìm hiểu được những gì rồi?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 16/05/2007 22:19:58 (+0700) | #3 | 59506
tk1cntt
Member

[Minus]    0    [Plus]
Joined: 05/05/2007 01:48:43
Messages: 3
Offline
[Profile] [PM]
Em tìm hiểu về các nguy cơ tấn công website, phạm vi nó hẹp hơn mạng đúng ko anh.

Em mong anh tóm lược lại các nguy cơ đó để em dễ dàng hơn trong việc tìm hiểu. Em muốn biết tác hại của các cách tấn công đó như thế nào. Cách phòng chống cơ bản nhất.

Em mới chỉ biết về SQL Ịnection và DOS nhưng em chưa tìm hiểu. smilie

Cám ơn anh ^_^

[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 17/05/2007 22:28:10 (+0700) | #4 | 59738
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tk1cntt wrote:
Em tìm hiểu về các nguy cơ tấn công website, phạm vi nó hẹp hơn mạng đúng ko anh.

Em mong anh tóm lược lại các nguy cơ đó để em dễ dàng hơn trong việc tìm hiểu. Em muốn biết tác hại của các cách tấn công đó như thế nào. Cách phòng chống cơ bản nhất.

Em mới chỉ biết về SQL Ịnection và DOS nhưng em chưa tìm hiểu. smilie

Cám ơn anh ^_^

 


Nguy cơ tấn công web có 2 tầng (ngoài tầng network mà mình không nói ở đây), chỉ bàn trên cổng dịch vụ 80 và những tính năng thông thường của một web server / web application:

1. tầng web service (như IIS / apache / zeus ...):
- server software bị lỗi (bị buffer overflow, bị thiếu kiểm soát chủ quyền cần thiết để chạy service).
- admin thiếu sót khi thiết lập server (.htaccess bị lỗi, gán quyền trên filesystem không đúng).
- server software không lo liệu đầy đủ việc kiểm soát encode và decode cũng như MIME type khiến cho service có thể bị nhân nhượng.

2. tầng ứng dụng (như chạy cgi, php, asp, jsp ...):
- các INPUT data thiếu xác thực (cần INPUT validation) nên bị xss, sql injection.
- Dùng SSI nhưng không kiểm soát chặt chẽ.
- Cho phép include nhưng không kiểm soát nội dung include.
- Thiếu chặt chẽ trong cơ chế gán quyền và thực thi quyền trên mỗi web application (nên bị leo thang).

Tổng quan là như thế. Bấy nhiêu ấy để tìm hiểu cũng cần nhiều thời gian rồi đó.

PS: đừng hỏi tớ "vậy làm sao để khai thác những điểm yếu ở trên?".
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Các nguy cơ tấn công website là gì? Giúp em với 18/05/2007 05:41:13 (+0700) | #5 | 59839
tk1cntt
Member

[Minus]    0    [Plus]
Joined: 05/05/2007 01:48:43
Messages: 3
Offline
[Profile] [PM]
smilie Em chỉ muốn tìm hiểu các khả năng website bị tấn công thôi. Những điều này em chưa biết. Rất cam ơn anh smilie
[Up] [Print Copy]
  [Question]   Các nguy cơ tấn công website là gì? Giúp em với 20/05/2007 19:37:32 (+0700) | #6 | 60451
[Avatar]
nora
Elite Member

[Minus]    0    [Plus]
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
[Profile] [PM]

tk1cntt wrote:
smilie Em chỉ muốn tìm hiểu các khả năng website bị tấn công thôi. Những điều này em chưa biết. Rất cam ơn anh smilie 


Các khả năng website bị tấn công từ đó mà ra đó em
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 27/07/2008 07:30:37 (+0700) | #7 | 143535
Evilno47
Member

[Minus]    0    [Plus]
Joined: 20/07/2008 11:15:52
Messages: 6
Offline
[Profile] [PM]
Conmale ơi cho tui hỏi nếu tôi thuê hosting tại godaddy, máy chủ người ta đã cài đặt tất cả những ứng dụng cần thiết, tôi chỉ việc code thôi vậy cho tôi hỏi nếu tôi viết website bằng ngôn ngữ asp thì có những nguy cơ bị hack như thế nào có phải chỉ còn nguy cơ từ SQL injection, xss không? Có tài liệu nào về bảo mật send giùm tôi nhé.
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 28/07/2008 01:57:41 (+0700) | #8 | 143647
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Nếu godaddy lo hết các phần ứng dụng, và bạn chỉ có việc ngồi code thôi thi bạn phải quan tâm đến vấn đề sau:

1. Code cho an toàn. Sql Inj + XSS đều là các lỗi do coder của web app code không cẩn thận mà thành. SQL Inj vẫn có phần lệ thuộc vào database. Bạn chỉ có thể chọn sử dụng backend database khác mà thôi.

Phần Godaddy sẽ phải lo:

1. Cập nhật các lỗi của của web server, DB server, các lỗi của các ứng dụng khác. Quản lý và cấu hình các món trên cho an toàn.

2. Quản lý phần users + phân quyền thư mục cho các user chính xác.

Nếu bạn tìm ra lỗi nên thông báo cho bên Godaddy.

khoai
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 28/07/2008 03:50:51 (+0700) | #9 | 143659
TienVe
Member

[Minus]    0    [Plus]
Joined: 17/07/2007 16:20:16
Messages: 24
Offline
[Profile] [PM]
Và mở càng ít cổng càng tốt, smilie , Sao đến giờ MS vẫn ko quan tâm đến cái này nhỉ , http://partner.microsoft.co.kr/index.html , smilie
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 28/07/2008 11:55:33 (+0700) | #10 | 143718
Evilno47
Member

[Minus]    0    [Plus]
Joined: 20/07/2008 11:15:52
Messages: 6
Offline
[Profile] [PM]
smilie Cảm ơn Mr.Khoai nha. Thế là yên tâm rùi, bạn không biết là tui đã lo lắng như thế nào đâu, vì tui chỉ biết lập trình bằng asp và sử dụng truy vẫn SQL thui. Rất lo là có nhiều cách khác để hack my first website. Sẽ học thêm để code an toàn. Trở thành a safe coder. Thank lun cả diễn đàn HVA nha.
[Up] [Print Copy]
  [Question]   Re: Các nguy cơ tấn công website là gì? Giúp em với 28/07/2008 12:57:29 (+0700) | #11 | 143725
[Avatar]
rong_tuech
Locked

[Minus]    0    [Plus]
Joined: 01/01/2007 10:39:36
Messages: 128
Location: C15
Offline
[Profile] [PM] [Yahoo!]
Tỉ lệ dính chấu và cách khai thác ở web app người ta gói trong cuốn ebook nhỏ nhẹ này smilie bạn coi cho zui smilie
Link : http://www.mediafire.com/?33uynmszgjm
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|