lắp mạng cáp quang fpt thái nguyên

Một số phương thức tấn công ứng dụng web

Đối với các cơ quan, tổ chức website là kênh cung cấp thông tin hiệu quả và nhanh chóng nhất. Cũng chính đặc điểm này, các website thường x...

Đối với các cơ quan, tổ chức website là kênh cung cấp thông tin hiệu quả và nhanh chóng nhất.

Cũng chính đặc điểm này, các website thường xuyên là mục tiêu tấn công của tin tặc để khai thác đánh cắp các thông tin liên quan bên trong. Một trong những phương thức tấn công phổ biến là khai thác các lỗi bảo mật liên quan đến ứng dụng web.

Các lỗi bảo mật ứng dụng web là nguyên nhân chủ yếu gây ra các lỗi đối với website đang vận hành. Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật khác nhau để tiến hành khai thác hệ thống đích. Một số kỹ thuật thường được sử dụng: Buffer Overflows, SQL Injection, and Cross-site Scripting…Việc phân loại các kiểu tấn công thành các nhóm khác nhau sẽ giúp cho người quản trị dễ dàng xác định các nguy cơ cũng như biên pháp đối phó hơn.

Tấn công Bruteforce
Bruteforce là cách thức thử tất cả các khả năng có thể có để đoán các thông tin cá nhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng…Nhiều hệ thống cho phép sử dụng mật khẩu hoặc thuật toán mã hóa yếu sẽ tạo điều kiện cho tin tặc sử dụng phương pháp tấn công này để đoán tài khoản và mật khẩu đăng nhập. Sau đó sử dụng các thông tin này để đăng nhập truy cập vào tài nguyên hệ thống.

Biện pháp đối phó:

Tăng cường độ mạnh cho mật khẩu (Độ dài ít nhất 6 ký tự, không chứa chuỗi username, chứa ít nhất 1 ký tự số, chứa ít nhất 1 ký tự đặc biệt, không cho phép thay đổi mật khẩu trùng lặp đã sử dụng, quản lý, điều khiển thông báo lỗi)
Sử dụng cơ chế chứng thực (Basic hoặc Digest Authentication)
Hạn chế số lần đăng nhập hoặc khóa tài khoản đăng nhập sai
Sử dụng module Mod_Dosevasive để xác định dấu hiệu của kiểu tấn công này.
Lỗi chứng thực yếu (Insufficient Authentication)
Lỗi chứng thực yếu xuất hiện khi một website cho phép truy cập các nội dung, tài nguyên nhạy cảm mà không có đủ quyền. Các trang quản trị là một ví dụ dễ thấy nhất. Nếu không có cơ chế phân quyền hợp lý thư mục cũng như tài khoản đăng nhập trang quản trị này. Tin tặc hoàn toàn có khả năng vượt qua được cơ chế đăng nhập để chiếm quyền điều khiển trang này.

Biện pháp đối phó:

Thiết lập cơ chế điều khiển truy cập thông quan .htaccess hoặc tập tin cấu hình httpd.conf
Ví dụ: Điều khiển truy cập thông qua httpd.conf
Code:
<LocationMatch “^/admin/”>
SSLRequireSSL
AuthType Digest
AuthName “Admin Area”AuthDigestfile
/usr/local/apache/conf/passwd_digest
Require user admin
</LocationMatch>
Dự đoán, chèn phiên (Credentical/Session Prediction)
Dự đoán, chèn phiênlà một phương thức chiếm phiên (hijacking). Thông thường, khi một tài khoản thực hiện quá trình chứng thực đối với server (tài khoản/mật khẩu). Dựa vào các thông tin này, server sẽ tạo một giá trị session ID duy nhất để cho phép và duy trì kết nối. Nếu đoán được session ID kế tiếp thì tin tặc có khả năng chiếm phiên đăng nhập của người dùng hợp lệ khác.

Biện pháp đối phó:

Sử dụng SSL (mod_ssl) trong quá trình chứng thực để chống lại việc nghe lén dữ liệu quan trọng.
Sử dụng cơ chế tạo session ID ngẫu nhiên, thuật toán mã hóa mạnh.
Session ID phải đủ lớn để làm khó quá trình tấn công brute-fore.
Giới hạn thời gian tồn tại của session ID.
XSS – Cross-Site Scripting
XSS là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.

Tin tặc tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP …) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML

Ví dụ: Sử dụng XSS chèn mã java script trực tiếp trên URL
Code:
http://www.demo.com/search.cgi?query=<script>alert(‘XSS was found !’);</script>
Khi wesite http://www.demo.combị lỗi XSS trình duyệt sẽ hiện lên một thông báo “XSS was found !”.

Nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site đó

Biện pháp đối phó:

Chỉ cho phép những dữ liệu hợp lệ, từ chối nhận các dữ liệu sai, thường xuyên kiểm tra và lọc dữ liệu đầu vào.
Sử dụng Mod_Security để lọc một số dữ liệu tấn công XSS.
Code:
SecFilterSelective THE_REQUEST “<[^>]*meta*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*style*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*script*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*iframe*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*object*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*img*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*applet*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*form*\”?[^>]*>”
SQL injection
Tấn công SQL Injection được thực thi bằng cách chèn các câu truy vấn SQL vào dữ liệu tương tác giữa máy khách và trình ứng dụng. Quá trình khai thác lỗi SQL Injection thành công có thể giúp tin tặc lấy được các dữ liệu nhạy cảm trong cở sở dữ liệu, thay đổi cơ sở dữ liệu (Insert/Update/Delete), thực thi các hành động với quyền của người quản trị và cao hơn có thể điều khiển được hệ điều hành máy chủ

Ví dụ: Xét đoạn mã truy vấn SQL sau:
Code:
SELECT * FROM Users WHERE Username=’$username’ AND Password=’$password’
Đây là một câu truy vấn thường hay được dùng trong các trình ứng dụng nhằm xác thực người dùng. Nếu câu truy vấn trả về một giá trị nói rằng thông tin về người dùng đang đăng nhập là đúng và được lưu trong cơ sở dữ liệu, thì người dùng được phép đăng nhập vào hệ thống, ngược lại thì không đăng nhập được. Người dùng nhập thông tin đó vào các trường gọi là web form.

Thay vì nhập đúng tên đăng nhập và mật khẩu, thử nhập vào các ký tự đặc biệt như:
Code:
$username = 1′ or ‘1’ = ‘1$password = 1′ or ‘1’ = ‘1
Khi đó câu truy vấn sẽ là:

Code:
SELECT * FROM Users WHERE Username=’1′ OR ‘1’ = ‘1’ AND Password=’1′ OR ‘1’ = ‘1’
Giả sử rằng giá trị của các tham số được gửi tới máy chủ bằng phương thức GET, thì có một câu lệnh khai thác lỗi như sau:
Code:
http://www.example.com/index.php?username=1’%20or%20’1’%20=%20’1&password=1’%20or%20’1’%20=%20’1
Khi đó, truy vấn sẽ trả về một giá trị (hay một loạt các giá trị) vì điều kiện trên luôn luôn đúng (OR 1=1). Trong trường hợp này tin tặc sẽ đăng nhập được vào hệ thống mà không cần biết tên đăng nhập và mật khẩu. Trường hợp này sẽ rất nguy hiểm nếu dòng đầu tiên trong bảng “Users” là tài khoản của người quản trị (admin) vì tin tặc sẽ đăng nhập vào hệ thống bằng tài khoản đầu tiên trong bảng này.

Biện pháp đối phó:

Kiểm tra dữ liệu đầu vào.
Sử dụng Mod_Security để lọc một số dữ liệu tấn công SQL injection.
Code:
SecFilter “delete[[:space:]]+from”
SecFilter “insert[[:space:]]+into”
SecFilter “select.+from”
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
Liệt kê thư mục (Directory indexing)
Đây là chức năng web server cho phép liệt kê tất cả nội dung bên trong một thư mục mà không có tập tin cơ sở (index.html/home.html/ default.html). Trong các thư mục đó có thể chứa nội dung quan trọng: tập tin cơ sở dữ liệu dự phòng, tập tin cấu hình, tập tin lưu trữ tạm thời, các kịch bản…

Biện pháp đối phó:

Thiết lập quyền hợp lý trên các thư mục chứa nội dung web.
Sử dụng mod_security để lọc dữ liệu đầu vào
Code:
SecFilterScanOutput On
SecFilterSelective OUTPUT “\<title\>Index of /”
Path Traversal
Path Traversal hay còn được biết với một số tên khác như “dot-dot-slash”, “directory traversal”,”directory clumbing” và “backtracking” là hình thức tấn công truy cập đến những file và thư mục mà được lưu bên ngoài thư mục webroot.

Hình thức tấn công này không cần sử dụng một công cụ nào mà chỉ đơn thuần thao tác các biến với ../ (dot-dot-slash) để truy cập đến file, thư mục, bao gồm cả source code, những file hệ thống, …

Ví dụ:
Code:
GET /../../../../../some/file HTTP/1.0
GET /..%255c..%255c..%255csome/file HTTP/1.0
GET /..%u2216..%u2216some/file HTTP/1.0
Biện pháp đối phó:

Sử dụng mod_security để lọc dữ liệu đầu vào
Code:
SecFilterSelective SCRIPT_FILENAME “/scripts/foo.cgi” chain
SecFilterSelective ARG_home “!^[a-zA-Z].{15,}\.txt”
Từ chối dịch vụ (DoS)
DoS là kỹ thuật tấn công nhằm không cho phép các truy cập hợp lệ truy cập tới server. Kỹ thuật tấn công này thường xảy ra tại lớp mạngvà lớp ứng dụng.

Các hệ thống đích có thể bị tấn công DoS:

Người dùng riêng lẻ: quá trình đăng nhập lặp đi lặp lại với tài khoản hợp lệ nhưng mật khẩu không đúng. Sau nhiều lần đăng nhập sai, hệ thống sẽ khóa tài khoản hợp lệ này, dẫn đến người dùng hợp lệ sẽ không thể đăng nhập được.
Máy chủ cơ sở dữ liệu: Sử dụng kỹ thuật chèn câu lệnh truy vấn SQL chỉnh sửa cơ sở dữ liệu, vì thế hệ thống sẽ không thể phục vụ các truy cập từ client.
Máy chủ phục vụ web: Sử dụng kỹ thuật tấn công tràn bộ đệm ( Buffer Overflow) để gới các gói truy vấn và làm đổ vỡ các tiến trình tại phía máy chủ phục vụ web, dẫn đến hệ thống máy chủ webserver sẽ không có khả năng phục vụ các truy cập hợp lý.
Biện pháp đối phó:

Sử dụng module Mod_Dosevasive
Thiết lập các thông tin hợp lý cho máy chủ phục vụ web: KeepAlives, KeepAliveTimeouts, MaxKeepAliveRequests…
Ads Here
Internet - Truyền hình -Camera FPT
0975.166.103 - 0941.468.700
Website: www.fptthainguyen.org
www.cameragiamsatthainguyen.com
FanPage: FB.com/truyenhinhFPTThaiNguyen
Hotline: 0975166103
Tên

1st,2,8051,3,AAG,1,ADS,2,ADSL,2,AIO,1,Alarm,1,Altcoin,1,AMD,2,Amplifier,4,Android,2,Android TV,3,AOE,1,APG,1,APK,2,ASIC,2,ATX,2,AVG,3,Ấp trứng,2,Bàn phím cơ,1,Bản quyền,1,baner,3,Bảng giá,5,Banggood,1,Báo giá,1,Báo hỏng,1,Bảo Mật,4,BCC,1,BCN,1,Binance,1,Bitcoin,5,Bitmex,1,Bittrex,1,BIX,1,blogger,2,BNB,1,Bóng đá,2,bootrom,1,BTC,4,Build PC,1,ByteCoin,1,cable,1,Cài đặt,3,Cài Win,2,Camera,6,Camera giám sát,3,camera IP,2,Cáp quang,9,Cáp quang Cá nhân,2,Cáp quang Doanh nghiệp,1,Cat5e,1,Cấu hình máy,1,CCTV,1,Chống nước,1,Clicksense,2,Cloud,1,Cloud camera,2,Code,8,Code FPT,1,Code web,8,coin,5,Combo,1,Controller,1,Covid-19,9,Công nghệ mới,1,Cryptocurrency,26,Cung hoàng đạo,1,DAG,1,Dây mạng,1,DDos,39,DEEP WEB,3,Dịch vụ FPT,4,DIY,8,Đại Từ,2,Đánh giá,5,Đào coin,6,Đâu là đúng,5,Địa chỉ,1,Điện thoại,2,Điều khiển giọng nói,1,Đồng hồ,1,Electronics,1,English,2,epon,1,ETC,1,ETH,6,Facebook,10,featured,1,Foxy,1,fpt,12,FPT camera,7,FPT internet,3,FPT Play,2,FPT Play Box,32,FPT Playbox,3,FPT Telecom,5,FPT Thái Nguyên,6,FPT TV,1,FPT TV 4K,1,FPT TVOnly,1,fshare,1,G-97D2,3,G97RG6M1,1,Game,2,Game gear,1,Game PC,2,getlink,1,Ghost,2,Ghost Windows 10,2,Ghost Windows 7,7,Gói cá nhân,2,Gói cước,2,Gói cước FPT,8,Gói Doanh Nghiệp,4,Gói kênh FPT Play,1,Gói max,1,GPON,3,GPU,2,Hà Nội,1,Hacker,1,Hàn Quốc,1,HBO,1,HG531,2,Hi FPT,3,HiFPT,1,Học Online,1,Hot,15,houbi,3,HT,1,HTC,1,Hướng dẫn,10,Hướng dẫn FPT,8,IC555,4,ICO,3,Ifan,1,Infographic,2,internet,8,Inverter,1,IP tĩnh,1,IPTV,1,ISO,1,K+,1,KCS,1,Key,1,keypad,1,Kho Tut,59,Khuyến mại,10,kích sóng wifi,1,Kiếm tiền trên mạng,1,Kiến thức,2,Kinh nghiệm,1,Lan,1,Laptop,1,Lắp mạng,4,LED,6,leech link,1,Li-Ion,1,Light,1,LM386,1,Love,2,Lừa đảo,1,Ma kết,1,Mạch Audio,1,Mạch điện tử,1,Mạch sạc,5,Mainboard,1,Mạng chậm,1,Mạng internet,3,Mạng LAN,3,Máy ảnh,1,Máy tính,3,Mesh,2,Meter,1,Miband,3,Microsoft,1,Minning,4,MMO,3,Mobile,3,Modem,17,Mở két,1,Music,1,Netflix,1,News,7,Ngoại ngữ,1,Nguồn,3,Nvidia,1,offer,1,Office,2,Onedrive,1,Online,1,OS,2,Others,1,Paypal,1,PC,1,PCB,1,PDF,1,Phấn Mễ,1,Phần mềm,2,Phim,1,Phòng nét,1,Photo,1,Phổ Yên,1,Phú Lương,1,Phụ nữ,1,PIC,2,Pin - Ắc qui,4,proxy,1,PUBG,1,Python,4,Remitano,3,Repeater,1,Review,4,Review FPT,2,Root,1,Router,3,Rút gọn link,1,sạc dụng phòng,1,Sạc điện thoại,1,Sàn giao dịch,2,Scam,3,Sensor,2,setup,2,smarthome,1,Softwares,5,sonoff,1,SQL,3,Super 22,2,Tài liệu,178,Tenda Nova MW3,1,Thái Nguyên,19,Thẻ visa,1,Thể thao,1,Thi công,1,Thơ thẩn,3,Thủ thuật,86,Tiền bạc,1,Tiền điện tử,3,Tin FPT,5,Tin tức,41,Tình yêu,4,Tivi box,1,Tivi Gold,1,TNUT,1,Tool,2,Tool đào coin,6,Tools,45,Tổng đài,1,TP Link,1,TP-Link,3,trade coin,8,Trading,1,Transitsor,2,Trâu cày,2,Truyện,3,Truyền hình,4,Truyền hình FPT,32,Tuyển dụng,4,Tư vấn,4,TV Box,3,UG,15,USB,1,USDT,2,VGA,1,Video,1,Viettel,2,Viễn thông,1,Vinaphone,1,Virus,11,VPN,1,Web,1,wifi,18,wifi 6,1,Wifi Maketting,1,Window XP,3,Windows,4,Windows 10,6,Windows 10 Mobile,1,Windows 7,2,Xiaomi,4,XMR,2,Youtube,1,Zcash,1,Zec,1,
ltr
item
Tổng đài lắp mạng FPT Thái Nguyên 0975166103 |Cáp quang | Wifi | Truyền hình FPT| Camera Cloud: Một số phương thức tấn công ứng dụng web
Một số phương thức tấn công ứng dụng web
https://fbcdn-sphotos-g-a.akamaihd.net/hphotos-ak-xfa1/v/t1.0-9/11035459_595753947233381_269199830709936344_n.jpg?oh=c6314f2fa6dd5a4c584c71b2ada44e0d&oe=5649C74F&__gda__=1447838751_2cd59ef901b28418402e63ee090d30be
Tổng đài lắp mạng FPT Thái Nguyên 0975166103 |Cáp quang | Wifi | Truyền hình FPT| Camera Cloud
https://www.xn--fptthinguyn-o7a6j.vn/2015/07/mot-so-phuong-thuc-tan-cong-ung-dung-web.html
https://www.xn--fptthinguyn-o7a6j.vn/
https://www.xn--fptthinguyn-o7a6j.vn/
https://www.xn--fptthinguyn-o7a6j.vn/2015/07/mot-so-phuong-thuc-tan-cong-ung-dung-web.html
true
8240370674769512952
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS CONTENT IS PREMIUM Please share to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy