<![CDATA[Latest posts for the topic "Thỉnh cầu HVA check giùm server và website http://www.eco.vn "]]> /hvaonline/posts/list/6.html JForum - http://www.jforum.net Thỉnh cầu HVA check giùm server và website http://www.eco.vn /hvaonline/posts/list/5930.html#34926 /hvaonline/posts/list/5930.html#34926 GMT Thỉnh cầu HVA check giùm server và website http://www.eco.vn

ussteam wrote:
Tôi, ussteam đã đọc kỹ qui định kiểm tra bảo mật của HVA, nay xin thỉnh cầu và ủy quyền cho nhóm kiểm tra bảo mật HVA check server và website tại địa chỉ:http://www.eco.vn. Server và website trên là của ussteam quản lý và toàn quyền trong việc cài đặt, cấu hình. Server được ussteam đặt tại nhà cung cấp dịch vụ ISP Vietel. url xác nhận: http://www.eco.vn/front_end/pages/ussteam.htm Rất mong nhận được sự hỗ trợ từ HVA cùng các thành viên. Trân trọng cảm ơn. 
Nội dung trang ussteam.htm chưa thỏa mãn yêu cầu.]]>
/hvaonline/posts/list/5930.html#35003 /hvaonline/posts/list/5930.html#35003 GMT
Thỉnh cầu HVA check giùm server và website http://www.eco.vn /hvaonline/posts/list/5930.html#35051 /hvaonline/posts/list/5930.html#35051 GMT Thỉnh cầu HVA check giùm server và website http://www.eco.vn /hvaonline/posts/list/5930.html#35282 /hvaonline/posts/list/5930.html#35282 GMT Thỉnh cầu HVA check giùm server và website http://www.eco.vn

ussteam wrote:
Đã thực hiện theo đúng yêu cầu của bác Conmale. url xác nhận mới là: http://www.eco.vn/hva/request.htm Các bạn kiểm tra giúp nha. Trân trọng cảm ơn.  
Vừa check sơ bộ thì thấy: - site có cấu trúc chặt chẽ, trình bày rõ ràng. - request cho GET và POST được control kỹ lưỡng, đặc biệt dùng parameterising, khá gọn gàng và bảo đảm. - site đặc biệt ứng dụng ajax và sử dụng triệt để div nên hiệu năng hơn các web thông thường ở VN. - site này hầu như không mắc những lỗi thường thấy, chứng tỏ người coding và thiết kế có quan tâm đúng mức đến bảo mật. - server khá chặt chẽ. Tuy nhiên, nếu không có nhu cầu thì nên đóng cổng POP3 lại. - cổng mysql cũng nên filter luôn (nên cho nó LISTEN trên loopback) vì coi chừng bị brute force hay DDoS làm treo database. - server không thấy có cơ chế cản lọc malformed packets và có thể bị DDoS. Thân mến.]]>
/hvaonline/posts/list/5930.html#35337 /hvaonline/posts/list/5930.html#35337 GMT
Thỉnh cầu HVA check giùm server và website http://www.eco.vn

conmale wrote:
Vừa check sơ bộ thì thấy: - site có cấu trúc chặt chẽ, trình bày rõ ràng. - request cho GET và POST được control kỹ lưỡng, đặc biệt dùng parameterising, khá gọn gàng và bảo đảm. - site đặc biệt ứng dụng ajax và sử dụng triệt để div nên hiệu năng hơn các web thông thường ở VN. - site này hầu như không mắc những lỗi thường thấy, chứng tỏ người coding và thiết kế có quan tâm đúng mức đến bảo mật. - server khá chặt chẽ. Tuy nhiên, nếu không có nhu cầu thì nên đóng cổng POP3 lại. - cổng mysql cũng nên filter luôn (nên cho nó LISTEN trên loopback) vì coi chừng bị brute force hay DDoS làm treo database. - server không thấy có cơ chế cản lọc malformed packets và có thể bị DDoS. Thân mến. 
Chân thành cảm ơn Bác Conmale. Cổng POP3 hiện tại đang dùng để checkmail bằng các desktop app sẽ đóng lại và dùng webmail. cổng MySQL hiện tại cũng sẽ đóng lại và chỉ để listen trên loopback. Xin hỏi bác Conmale một chút: 1. Về chống DDoS thì mình cũng đang tìm giải pháp, có nghiên cứu việc dùng snort + snort_inline không biết có ổn không? 2. Nếu dùng bó cluster và IPVS để phân tải thì có hiệu quả trong chống đỡ DDoS không ? 3. Phương án dự phòng cho DNS 2 để chống đỡ DDoS có ổn không? Cuối cùng muốn đề nghị với Bác Conmale: 1. HVA có thể hỗ trợ hoặc giúp bọn mình xây dựng các phương thức bảo mật được không ? 2. Bọn mình muốn tổ chức một giải ( nho nhỏ thôi) để nhờ các Bạn thành viên bên HVA test kỹ hệ thống một chút, liệu Bác có đứng ra giúp được không? Trân trọng cảm ơn. ]]>
/hvaonline/posts/list/5930.html#35383 /hvaonline/posts/list/5930.html#35383 GMT
Thỉnh cầu HVA check giùm server và website http://www.eco.vn

ussteam wrote:
Chân thành cảm ơn Bác Conmale. Cổng POP3 hiện tại đang dùng để checkmail bằng các desktop app sẽ đóng lại và dùng webmail. cổng MySQL hiện tại cũng sẽ đóng lại và chỉ để listen trên loopback.  
Nên ứng dụng SSL cho webmail và các phần login. Cổng mysql đóng lại là tốt. Ngoài ra, phần check sơ bộ của tớ ở trên chỉ là... sơ bộ. Những phần test chi tiết về phần URL/URI inject/insert/encode chưa thực hiện (vì không có thời gian). Bồ là người thiết kế thì nắm rõ và test cái này nhanh chóng hơn là "blackbox" test như tớ. Có một điểm khá quan trọng cho vấn đề hiệu suất là bồ nên dùng relative path cho trọn bộ thông tin (css, gif, js...). Nên tránh dùng absolute path.

ussteam wrote:
Xin hỏi bác Conmale một chút: 1. Về chống DDoS thì mình cũng đang tìm giải pháp, có nghiên cứu việc dùng snort + snort_inline không biết có ổn không?  
Câu này khó trả lời cho chính xác bởi vì nó tùy thuộc rất nhiều cách sách xếp và ứng dụng snort + snort_inline và những thứ xảy ra sau khi snort detect cái gì đó. "inline" tổng quát thì ok nhưng nó như con dao 2 lưỡi. Nếu ứng dụng không khéo thì tự mình tạo ra denial cho chính mình.

ussteam wrote:
2. Nếu dùng bó cluster và IPVS để phân tải thì có hiệu quả trong chống đỡ DDoS không ?  
Cái này còn tùy cách phân tải nằm ở tier nào nữa. DDoS không chỉ có ảnh hưởng với load của server mà còn ảnh hưởng đến băng thông, đến tính trung thực của thông tin. Bởi thế, chống DDoS là "moving target" và hiểu rõ target là gì (hiểu rõ bồ đang bị DDoS ở dạng nào).

ussteam wrote:
3. Phương án dự phòng cho DNS 2 để chống đỡ DDoS có ổn không?  
DNS bản thân nó chỉ dùng để phân giải tên và IP. Nếu bồ có 2 streams (web/app/database) riêng biệt (hoặc hơn), hoặc có chuỗi web/app + share database thì sẽ phân tán bớt load. Tuy nhiên DNS round robin có cái yếu ở chỗ là client nếu đã dùng stream 1 thì client ấy dính với stream 1. DNS round robin không tính được load của mỗi stream mà chỉ đơn giản xoay vòng mà thôi.

ussteam wrote:
Cuối cùng muốn đề nghị với Bác Conmale: 1. HVA có thể hỗ trợ hoặc giúp bọn mình xây dựng các phương thức bảo mật được không ?  
"Dịch vụ" kiểm tra bảo mật của HVA hoàn toàn miễn phí và dựa trên tính thiện nguyện của thành viên trong nhóm kiểm tra. Bởi thế, việc hỗ trợ kỹ thuật để bảo mật không bao gồm trong "dịch vụ" này vì lý do thời gian (rảnh) của thành viên. Bởi thế, bồ có thể tham gia trên diễn đàn và đưa ra các thắc mắc, câu hỏi về những vấn đề bồ muốn tìm hiểu. Ngoài ra, HVA không có tài nguyên và nhân lực cho việc hỗ trợ. Ngoại trừ một số cá nhân có khả năng và thời gian giúp bạn với tư cách cá nhân.

ussteam wrote:
2. Bọn mình muốn tổ chức một giải ( nho nhỏ thôi) để nhờ các Bạn thành viên bên HVA test kỹ hệ thống một chút, liệu Bác có đứng ra giúp được không? Trân trọng cảm ơn.  
Rất tiếc là không. HVA thực hiện việc kiểm tra miễn phí trên tinh thần trợ giúp cộng đồng. Bởi thế, tạo giải là điều e không thích hợp. Nói đúng ra, site của bồ cũng không ở diện thỏa mãn để kiểm tra bảo mật vì bồ đang develop nó. Tuy nhiên, tớ đã dành chút thời gian để xem sơ qua vì thấy nó có những điểm đặc biệt hơn nhiều site hiện có ở VN. Bồ nên hoàn tất hệ thống của mình và nhờ HVA kiểm tra kỹ lưỡng (tất nhiên là phải thỏa mãn mọi yêu cầu của mục kiểm tra). Ngoài ra, "giải" là điều hoàn toàn không thích hợp. Thân mến.]]>
/hvaonline/posts/list/5930.html#35394 /hvaonline/posts/list/5930.html#35394 GMT
Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn Có một điểm khá quan trọng cho vấn đề hiệu suất là bồ nên dùng relative path cho trọn bộ thông tin (css, gif, js...). Nên tránh dùng absolute path.  Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. Sắp tới bọn mình đang định tách các dữ liệu tĩnh sang một webserver khác nhẹ và nhanh hơn ( dự định là dùng lighttp). Không biết có giải pháp nào để có thể dùng relative path thay thế được không? ]]> /hvaonline/posts/list/5930.html#35509 /hvaonline/posts/list/5930.html#35509 GMT Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn

ussteam wrote:
Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. 
Path với "nhiều site" đâu có dính gì với nhau! Những ath trong cùng 1 site thì nên là relative, đằng này trong cùng 1 site bạn cũng dùng luôn absolute path thì mới là vấn đề đang nói.]]>
/hvaonline/posts/list/5930.html#35525 /hvaonline/posts/list/5930.html#35525 GMT
Re: Thỉnh cầu HVA check giùm server và website http://www.eco.vn

nbthanh wrote:

ussteam wrote:
Bọn mình hiện đang bắt buộc phải dùng absolute path vì hệ thống CIINS sẽ bao gồm nhiều site hiển thị nằm trên các server khác nhau, mỗi site lại khai thác chung hoặc riêng các nguồn dữ liệu từ các server khác nhau. 
Path với "nhiều site" đâu có dính gì với nhau! Những ath trong cùng 1 site thì nên là relative, đằng này trong cùng 1 site bạn cũng dùng luôn absolute path thì mới là vấn đề đang nói. 
Các path của mình thống nhất trong toàn hệ thống là dùng 1 common class, class này chỉ định URL cho tất cả các navigation. Tiếp thu ý kiến của HVA, sắp tới mình sẽ sửa lại class này cho nó smart hơn bằng cách so sánh result với current. Nếu cùng domain thì sẽ chuyển thành relative path còn nếu khác domain sẽ trả lại absolute path. Cảm ơn các bạn thật nhiều. ]]>
/hvaonline/posts/list/5930.html#35592 /hvaonline/posts/list/5930.html#35592 GMT
Thỉnh cầu HVA check giùm server và website http://www.eco.vn /hvaonline/posts/list/5930.html#35596 /hvaonline/posts/list/5930.html#35596 GMT