Về cơ bản, để tấn công một trang web thì kẻ gian có thể dùng những thủ đoạn sau:
1. Tiêm lệnh từ bên ngoài (dùng để chạy lệnh từ xa, CỰC KỲ NGUY HIỂM)
2. Đánh cắp mật khẩu chu trình (dùng để giả danh)
3. Lũ truy cập (gây nghẽn mạng, làm trang bị chậm hoặc đơ luôn)
Còn nhiều thủ đoạn khác nhưng mình chưa đủ trình...
1. Tiêm lệnh
Khi xử lý dữ liệu đầu vào (hộp chữ điền tên đăng nhập, dữ liệu cookie..) có thể trang web của bạn sẽ chạy lệnh dựa theo dữ liệu đầu vào (đưa dữ liệu ra vào cơ sở dữ liệu, xử lý file...)
kẻ gian sẽ tìm hiểu cách máy chủ của bạn xử lý dữ liệu từ đó suy ra cách tiêm mã chạy lệnh mà không cần trực tiếp kiểm soát máy chủ. Loại tấn công này CỰC KỲ NGUY HIỂM vì kẻ gian có thể thực hiện nhiều thao tác khác nhau trên máy chủ của bạn tùy cách bạn xử lý dữ liệu.
Quá chậm, thời gian, phiền người dùng.
Để khắc phục, máy chủ trang web sau khi đã xác minh sẽ lưu một số ID vào bộ nhớ trên máy bạn, khi thực hiện thao tác thì trang web sẽ xác minh số ID đó là xong...
Tuy nhiên, do được lưu ở bộ nhớ máy khách, ai đó có thể sao chép số ID đó và mạo danh tài khoản đó
Nếu cùng lúc có quá nhiều yêu cầu truy cập thì máy chủ sẽ không phục vụ nổi.
Lợi dùng điều này, kẻ gian có thể dùng nhiều máy tính khỏe truy cập hàng loạt vào một trang web gây nghẽn băng thông, trang web sẽ bị chậm hoặc đơ hoàn toàn, không xử lý đươc gì nữa.
Cross site srcipting
Session hijacking (Cookie hijacking)
DDoS
chúc các bạn không bị tấn công mạng
1. Tiêm lệnh từ bên ngoài (dùng để chạy lệnh từ xa, CỰC KỲ NGUY HIỂM)
2. Đánh cắp mật khẩu chu trình (dùng để giả danh)
3. Lũ truy cập (gây nghẽn mạng, làm trang bị chậm hoặc đơ luôn)
Còn nhiều thủ đoạn khác nhưng mình chưa đủ trình...
CHI TIẾT
1. Tiêm lệnh
Khi xử lý dữ liệu đầu vào (hộp chữ điền tên đăng nhập, dữ liệu cookie..) có thể trang web của bạn sẽ chạy lệnh dựa theo dữ liệu đầu vào (đưa dữ liệu ra vào cơ sở dữ liệu, xử lý file...)
kẻ gian sẽ tìm hiểu cách máy chủ của bạn xử lý dữ liệu từ đó suy ra cách tiêm mã chạy lệnh mà không cần trực tiếp kiểm soát máy chủ. Loại tấn công này CỰC KỲ NGUY HIỂM vì kẻ gian có thể thực hiện nhiều thao tác khác nhau trên máy chủ của bạn tùy cách bạn xử lý dữ liệu.
CÁCH PHÒNG
Hảy cẩn thận khi viết mã xử lý dự liệu, bạn có thể dùng bộ lọc từ khóa, hạn chế luân chuyển dữ liệu..v..v..2. Đánh cắp mât khẩu chu trình
Làm sao một trang web nhớ bạn là ai? Bộ nhớ trang web ở máy chủ sẽ lưu các thông tin định danh kiểu email, số điện thoại..v.v.. nhưng sau khi đăng nhập thì khi bạn thực hiện thao tác nào đó thì trang web sẽ phải xác minh liên tục?Quá chậm, thời gian, phiền người dùng.
Để khắc phục, máy chủ trang web sau khi đã xác minh sẽ lưu một số ID vào bộ nhớ trên máy bạn, khi thực hiện thao tác thì trang web sẽ xác minh số ID đó là xong...
Tuy nhiên, do được lưu ở bộ nhớ máy khách, ai đó có thể sao chép số ID đó và mạo danh tài khoản đó
CÁCH PHÒNG
Trang web có thể tạo số ID chỉ dùng được với địa chỉ IP, thông tin hiết bị đó trong khoảng thời gian nhất định thôi.3. Lũ truy cập
Mỗi máy chủ trang web chỉ phục vụ được số dữ liệu nhất định cùng một lúc tùy độ khỏe của máy và lượng dữ liệu, cái này gọi là giới hạn băng thông.Nếu cùng lúc có quá nhiều yêu cầu truy cập thì máy chủ sẽ không phục vụ nổi.
Lợi dùng điều này, kẻ gian có thể dùng nhiều máy tính khỏe truy cập hàng loạt vào một trang web gây nghẽn băng thông, trang web sẽ bị chậm hoặc đơ hoàn toàn, không xử lý đươc gì nữa.
CÁCH PHÒNG
Không thực sự có một cách phòng triệt để nào, nhưng máy chủ của bạn có thể phục vụ một trang HTML nhẹ yêu cầu máy khách xác minh trước khi cho truy cập phần chính của trang.từ khóa gốc Tiếng Anh
SQL injectionCross site srcipting
Session hijacking (Cookie hijacking)
DDoS
chúc các bạn không bị tấn công mạng
Sửa lần cuối:
