banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Kiểm tra bảo mật Thỉnh cầu HVA check giùm server và website http://www.eco.vn  XML
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 08/01/2007 08:47:26 (+0700) | #1 | 34926
ussteam
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 03:07:29
Messages: 5
Offline
[Profile] [PM]
Tôi, ussteam đã đọc kỹ qui định kiểm tra bảo mật của HVA, nay xin thỉnh cầu và ủy quyền cho nhóm kiểm tra bảo mật HVA check server và website tại địa chỉ:http://www.eco.vn.
Server và website trên là của ussteam quản lý và toàn quyền trong việc cài đặt, cấu hình. Server được ussteam đặt tại nhà cung cấp dịch vụ ISP Vietel.
url xác nhận: http://www.eco.vn/hva/request.htm
Rất mong nhận được sự hỗ trợ từ HVA cùng các thành viên.
Trân trọng cảm ơn.
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 08/01/2007 18:02:29 (+0700) | #2 | 35003
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ussteam wrote:
Tôi, ussteam đã đọc kỹ qui định kiểm tra bảo mật của HVA, nay xin thỉnh cầu và ủy quyền cho nhóm kiểm tra bảo mật HVA check server và website tại địa chỉ:http://www.eco.vn.
Server và website trên là của ussteam quản lý và toàn quyền trong việc cài đặt, cấu hình. Server được ussteam đặt tại nhà cung cấp dịch vụ ISP Vietel.
url xác nhận: http://www.eco.vn/front_end/pages/ussteam.htm
Rất mong nhận được sự hỗ trợ từ HVA cùng các thành viên.
Trân trọng cảm ơn. 


Nội dung trang ussteam.htm chưa thỏa mãn yêu cầu.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 09/01/2007 00:09:37 (+0700) | #3 | 35051
ussteam
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 03:07:29
Messages: 5
Offline
[Profile] [PM]
Đã thực hiện theo đúng yêu cầu của bác Conmale.
url xác nhận mới là: http://www.eco.vn/hva/request.htm
Các bạn kiểm tra giúp nha.
Trân trọng cảm ơn.
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 10/01/2007 00:39:44 (+0700) | #4 | 35282
tuxracer
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 17:27:03
Messages: 1
Offline
[Profile] [PM]
À hà, cái site www.eco.vn của ông thấy bên ddth đang bàn luận đã lại sang cả đây nữa hả ông ussteam ?

Cái ciins với eco thấy có gì ghê gớm lắm đâu mà ông hết thách đố nơi này lại thỉnh cầu nơi kia thế nhỉ
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 10/01/2007 06:10:35 (+0700) | #5 | 35337
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ussteam wrote:
Đã thực hiện theo đúng yêu cầu của bác Conmale.
url xác nhận mới là: http://www.eco.vn/hva/request.htm
Các bạn kiểm tra giúp nha.
Trân trọng cảm ơn.  


Vừa check sơ bộ thì thấy:

- site có cấu trúc chặt chẽ, trình bày rõ ràng.
- request cho GET và POST được control kỹ lưỡng, đặc biệt dùng parameterising, khá gọn gàng và bảo đảm.
- site đặc biệt ứng dụng ajax và sử dụng triệt để div nên hiệu năng hơn các web thông thường ở VN.
- site này hầu như không mắc những lỗi thường thấy, chứng tỏ người coding và thiết kế có quan tâm đúng mức đến bảo mật.
- server khá chặt chẽ. Tuy nhiên, nếu không có nhu cầu thì nên đóng cổng POP3 lại.
- cổng mysql cũng nên filter luôn (nên cho nó LISTEN trên loopback) vì coi chừng bị brute force hay DDoS làm treo database.
- server không thấy có cơ chế cản lọc malformed packets và có thể bị DDoS.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 10/01/2007 14:24:07 (+0700) | #6 | 35383
ussteam
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 03:07:29
Messages: 5
Offline
[Profile] [PM]

conmale wrote:


Vừa check sơ bộ thì thấy:

- site có cấu trúc chặt chẽ, trình bày rõ ràng.
- request cho GET và POST được control kỹ lưỡng, đặc biệt dùng parameterising, khá gọn gàng và bảo đảm.
- site đặc biệt ứng dụng ajax và sử dụng triệt để div nên hiệu năng hơn các web thông thường ở VN.
- site này hầu như không mắc những lỗi thường thấy, chứng tỏ người coding và thiết kế có quan tâm đúng mức đến bảo mật.
- server khá chặt chẽ. Tuy nhiên, nếu không có nhu cầu thì nên đóng cổng POP3 lại.
- cổng mysql cũng nên filter luôn (nên cho nó LISTEN trên loopback) vì coi chừng bị brute force hay DDoS làm treo database.
- server không thấy có cơ chế cản lọc malformed packets và có thể bị DDoS.

Thân mến. 


Chân thành cảm ơn Bác Conmale.
Cổng POP3 hiện tại đang dùng để checkmail bằng các desktop app sẽ đóng lại và dùng webmail.
cổng MySQL hiện tại cũng sẽ đóng lại và chỉ để listen trên loopback.

Xin hỏi bác Conmale một chút:
1. Về chống DDoS thì mình cũng đang tìm giải pháp, có nghiên cứu việc dùng snort + snort_inline không biết có ổn không?
2. Nếu dùng bó cluster và IPVS để phân tải thì có hiệu quả trong chống đỡ DDoS không ?
3. Phương án dự phòng cho DNS 2 để chống đỡ DDoS có ổn không?

Cuối cùng muốn đề nghị với Bác Conmale:
1. HVA có thể hỗ trợ hoặc giúp bọn mình xây dựng các phương thức bảo mật được không ?
2. Bọn mình muốn tổ chức một giải ( nho nhỏ thôi) để nhờ các Bạn thành viên bên HVA test kỹ hệ thống một chút, liệu Bác có đứng ra giúp được không?

Trân trọng cảm ơn.






[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 10/01/2007 17:42:23 (+0700) | #7 | 35394
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ussteam wrote:


Chân thành cảm ơn Bác Conmale.
Cổng POP3 hiện tại đang dùng để checkmail bằng các desktop app sẽ đóng lại và dùng webmail.
cổng MySQL hiện tại cũng sẽ đóng lại và chỉ để listen trên loopback.
 

Nên ứng dụng SSL cho webmail và các phần login. Cổng mysql đóng lại là tốt.

Ngoài ra, phần check sơ bộ của tớ ở trên chỉ là... sơ bộ. Những phần test chi tiết về phần URL/URI inject/insert/encode chưa thực hiện (vì không có thời gian). Bồ là người thiết kế thì nắm rõ và test cái này nhanh chóng hơn là "blackbox" test như tớ.

Có một điểm khá quan trọng cho vấn đề hiệu suất là bồ nên dùng relative path cho trọn bộ thông tin (css, gif, js...). Nên tránh dùng absolute path.

ussteam wrote:

Xin hỏi bác Conmale một chút:
1. Về chống DDoS thì mình cũng đang tìm giải pháp, có nghiên cứu việc dùng snort + snort_inline không biết có ổn không?
 

Câu này khó trả lời cho chính xác bởi vì nó tùy thuộc rất nhiều cách sách xếp và ứng dụng snort + snort_inline và những thứ xảy ra sau khi snort detect cái gì đó. "inline" tổng quát thì ok nhưng nó như con dao 2 lưỡi. Nếu ứng dụng không khéo thì tự mình tạo ra denial cho chính mình.

ussteam wrote:

2. Nếu dùng bó cluster và IPVS để phân tải thì có hiệu quả trong chống đỡ DDoS không ?
 

Cái này còn tùy cách phân tải nằm ở tier nào nữa. DDoS không chỉ có ảnh hưởng với load của server mà còn ảnh hưởng đến băng thông, đến tính trung thực của thông tin. Bởi thế, chống DDoS là "moving target" và hiểu rõ target là gì (hiểu rõ bồ đang bị DDoS ở dạng nào).

ussteam wrote:

3. Phương án dự phòng cho DNS 2 để chống đỡ DDoS có ổn không?
 

DNS bản thân nó chỉ dùng để phân giải tên và IP. Nếu bồ có 2 streams (web/app/database) riêng biệt (hoặc hơn), hoặc có chuỗi web/app + share database thì sẽ phân tán bớt load. Tuy nhiên DNS round robin có cái yếu ở chỗ là client nếu đã dùng stream 1 thì client ấy dính với stream 1. DNS round robin không tính được load của mỗi stream mà chỉ đơn giản xoay vòng mà thôi.

ussteam wrote:

Cuối cùng muốn đề nghị với Bác Conmale:
1. HVA có thể hỗ trợ hoặc giúp bọn mình xây dựng các phương thức bảo mật được không ?
 

"Dịch vụ" kiểm tra bảo mật của HVA hoàn toàn miễn phí và dựa trên tính thiện nguyện của thành viên trong nhóm kiểm tra. Bởi thế, việc hỗ trợ kỹ thuật để bảo mật không bao gồm trong "dịch vụ" này vì lý do thời gian (rảnh) của thành viên. Bởi thế, bồ có thể tham gia trên diễn đàn và đưa ra các thắc mắc, câu hỏi về những vấn đề bồ muốn tìm hiểu. Ngoài ra, HVA không có tài nguyên và nhân lực cho việc hỗ trợ. Ngoại trừ một số cá nhân có khả năng và thời gian giúp bạn với tư cách cá nhân.

ussteam wrote:

2. Bọn mình muốn tổ chức một giải ( nho nhỏ thôi) để nhờ các Bạn thành viên bên HVA test kỹ hệ thống một chút, liệu Bác có đứng ra giúp được không?

Trân trọng cảm ơn.

 

Rất tiếc là không. HVA thực hiện việc kiểm tra miễn phí trên tinh thần trợ giúp cộng đồng. Bởi thế, tạo giải là điều e không thích hợp. Nói đúng ra, site của bồ cũng không ở diện thỏa mãn để kiểm tra bảo mật vì bồ đang develop nó. Tuy nhiên, tớ đã dành chút thời gian để xem sơ qua vì thấy nó có những điểm đặc biệt hơn nhiều site hiện có ở VN.

Bồ nên hoàn tất hệ thống của mình và nhờ HVA kiểm tra kỹ lưỡng (tất nhiên là phải thỏa mãn mọi yêu cầu của mục kiểm tra). Ngoài ra, "giải" là điều hoàn toàn không thích hợp.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn 11/01/2007 06:33:33 (+0700) | #8 | 35509
ussteam
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 03:07:29
Messages: 5
Offline
[Profile] [PM]

Trước hết xin chân thành cảm ơn bác Conmale và các thành viên HVA đã bớt chút thời gian check hệ thống của bọn mình.

Dù rằng các bạn mới check sơ bộ, nhưng những gì các bạn góp ý cũng đã giúp cho chúng tôi rất nhiều trong việc định hướng để hoàn thiện hệ thống.

Chúng tôi rất mong muốn các bạn bên HVA bớt chút thời gian tiếp tục giúp chúng tôi kiểm tra thật kỹ hệ thống CIINS và site eco.vn vì đây là phần căn bản nhất ( đã hoàn thành) để chúng tôi mở rộng, phát triển các mạng, app khác cho hệ thống trên nền CIINS framework.

Về việc ngăn chặn và chống tấn công từ chối dịch vụ thì chúng tôi mong nhận được sự chia sẻ và trao đổi kinh nghiệm từ các bạn. Chúng tôi cũng đang tiến hành xây dựng và thử nghiệm hệ thống ngăn chặn và chống tấn công DDoS , khi nào có kết quả tôi sẽ báo cho các bạn.

Chúc các Bạn luôn hành phúc, thành công.
Thân chào.

Notes:
Bàn thêm một chút:

Có một điểm khá quan trọng cho vấn đề hiệu suất là bồ nên dùng relative path cho trọn bộ thông tin (css, gif, js...). Nên tránh dùng absolute path. 

Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. Sắp tới bọn mình đang định tách các dữ liệu tĩnh sang một webserver khác nhẹ và nhanh hơn ( dự định là dùng lighttp).
Không biết có giải pháp nào để có thể dùng relative path thay thế được không?




[Up] [Print Copy]
  [Question]   Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn 11/01/2007 08:05:52 (+0700) | #9 | 35525
nbthanh
HVA Friend

Joined: 21/12/2001 14:51:51
Messages: 429
Offline
[Profile] [PM]

ussteam wrote:
Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. 

Path với "nhiều site" đâu có dính gì với nhau!
Những ath trong cùng 1 site thì nên là relative, đằng này trong cùng 1 site bạn cũng dùng luôn absolute path thì mới là vấn đề đang nói.
[Up] [Print Copy]
  [Question]   Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn 11/01/2007 14:20:28 (+0700) | #10 | 35592
ussteam
Member

[Minus]    0    [Plus]
Joined: 07/01/2007 03:07:29
Messages: 5
Offline
[Profile] [PM]

nbthanh wrote:

ussteam wrote:
Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. 

Path với "nhiều site" đâu có dính gì với nhau!
Những ath trong cùng 1 site thì nên là relative, đằng này trong cùng 1 site bạn cũng dùng luôn absolute path thì mới là vấn đề đang nói. 


Các path của mình thống nhất trong toàn hệ thống là dùng 1 common class, class này chỉ định URL cho tất cả các navigation. Tiếp thu ý kiến của HVA, sắp tới mình sẽ sửa lại class này cho nó smart hơn bằng cách so sánh result với current. Nếu cùng domain thì sẽ chuyển thành relative path còn nếu khác domain sẽ trả lại absolute path.
Cảm ơn các bạn thật nhiều.
[Up] [Print Copy]
  [Question]   Thỉnh cầu HVA check giùm server và website http://www.eco.vn 11/01/2007 15:28:54 (+0700) | #11 | 35596
[Avatar]
YHT
Member

[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cái này thì chắc là không khó vì chỉ cần thêm cái if và cắt đi cái chuổi đó đi là xong rồi. Hy vọng site của bạn sẽ thành công.
--YHT
Ps: Mình thì không phải dân hacker hay trùm net nên không thể giúp được gì, nhờ các anh em khác vậy smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|