Bao mat nhap mon

 0  40  51  2017-01-12 11:39:13 Report infringing document

PHẦNà à–àBẢOàMẬTàNHẬPàMÔN

GIAO TH ỨC HTTP “B O MẬT” Đ N MỨC NÀO? Ôn l ại về HTTP

  Tuy hacker vẫn có thể chôm cookie củagườiàd g,à hư gà tà aàhọ không bị lộ username và password.ản quyền thuộc về Hi ện tại nhiều trang web vẫn sử dụ gà httpsàgiả cầ à– chỉ sử dụng https ở những trang log-in và nh ững trang có dữ liệu nhạy cảm. Đoạ à odeà àđổi nội dung HTML mà client nhậ àđược ản quyền thuộc về Đườ gàli kàđ à ị đ hàt oà à lie tàkh gàha à iết gì M ột số t ường hợpàkh ,àt a gà e àd gàHTTP“à hư gà ẫn tải hình ảnh, javascript, css quahttp.

L Ỗ HỔNG B O MẬT XSS NGUY HI M Đ N M ỨC NÀO? Gi ới thiệu về XSS

  XSS (Cross Site Scripting) là m ột lỗi bảo mật hoàph pàha ke à h gà àđộc (javascript) vàom ột trang web khác. Hacker có thể lợi dụ gà àđộ à àđể deface trang web, cài keylog,chi ếm quyề àđiều khiển củaà gười dùng, dụ dỗ gười dùng tải virus về máy.

Nh ững dạng XSS

  Reflected XSS V ới cách tấn công này, hacker h à àđộ à oàU‘Làdưới dạ gà ue àst i g.àKhià gười dùng g oà gơà hấp vào URL này, trang web sẽ đọc query string, e de à àđộc vào HTML à gườid gà d hà ẫ . L àơ ,à i à hắc lại,àl àơ àd gà àthưà iện sẵn có chứ đừ gà hổ o à iết lại để thể hiện t hàđộ.àĐ à à ất nhiềuàt ường hợp dính lỗi XSS vì developer tự tin và tự viếtà odeàđể loại bỏkí t ự đặc biệtà …àđể sót.

L ời kết

  N iàhơià hủ ua àt à doà hàkoàưaàPHP ,àsố lượng trang web xây dựng bằng PHP bị lỗi XSS là nhiều nhất. Hi ện tại, số lượng website bị lỗi XSS là khá nhiều, các bạn chỉ cần lang thang trên mạng là sẽg ặp.àNhưà hàđ à i,àX““àl à ột lỗi rấtà ơà ản, hầuà hưàha ke à oà ũ gà iết.

I KHÔNG TƯ NG

Cookie – Chiế à hà ui àv àhại?

  Bài viết này sẽ đề cậpđến những cách hacker mà có thể lợi dụ gà ookieàđể chiếm quyề à gười dùng, tấn công hệ thống, cùng vớiàphươ gàph pàsử dụ gà ookieàđ gà hàđể gă à hặn những lỗ hổng này nhé. Cookieàthường có name, value, domain và expiration:  Na e,àđiàk à ới value: Tên cookie và giá trị củaà ookieàđ Do ai :àDo ai à à ookieàđược gửiàl .àNhưàở h hàdưới, cookies chỉ được gửi khi client truy c ập wordpress.com. Expiration: Thời gian cookie tồn tại ở máy client.

Bánh qui nho nh ỏ,àđầy những lỗ to to

  Do vậy, nếu có thể h à ookie à ủaà gười khác, ta có thể mạo danhgườiàđ .  Sử dụng Flag HTTP Only: Cookie có flag này sẽ không thể truy cập thông qua hàm document.cookie.àDoàđ ,àd à e à à ị lỗi XSS thì hacker không thể đ hà ắpàđược nó.

SQL INJECTION – LỖ HỔNG B O MẬT THẦN

THÁNH , các bT o gà hươ gà ạn sẽ được tìm hiểu thự àhưà ề lỗ hổng bảo mậtà“QLàI je tio à thần th h ,à ột trong những lỗ hổng bảo mật phổ biến và nguy hiểm nhất mọi thờiàđại.

T ại sao SQL Injection lạià thầ àth h ?

   Rất phổ biến và dễ thực hiện – Lỗ hổng này rất nổi tiếng, từ de elope àđến hacker gần hưàaià ũ gà iết. Ngoài ra, còn có 1 số tool tấ à gà“QLàI je tio à hoàd à goạiàđạo ,à nh ữ gà gười không biết gì về lập trình. Rất nhiều ông lớn từng bị dính – Sony, Microsoft UK.

H ậu quả của SQL Injection

  Hình ảnh công ty có thể bị ả hàhưởng, khách hàng chuyển qua sử dụng dịch vụ khác, dẫ àđếnphá s ả à …L ỗ hỗ gà à ũ gàảnh hưởng lớ àđến khách hàng. Đ à ũ gàl àlýàdoà hà hắc nhở phải mã hoá mật khẩu, nếu database có bị tấ à gàth à gười ản quyền thuộc về Trong nhi ềuàt ường hợp, hacker không chỉ đọ àđược dữ liệu mà còn có thể chỉnh sửa dữ liệu.

T ấ à gà“QLàI je tio à hưàthế nào?

  Cácframework web này s ẽ tự tạo câu lệnh SQL àha ke à ũ gàkh àtấ à gàhơ .ản quyền thuộc về Tuy nhiên, có r ất nhiều site vẫn sử dụng SQL thuầ àđể truy cập dữ liệu.àĐ à h hàl à ồi ngonhoàha ke .àĐể bảo vệ bả àth àt ước SQL Injection, ta có thể thực hiện các biện pháp sau.  Backup dữ liệuàthường xuyên: Các cụ à uà ẩn tắ à à à .àDữ liệu phảiàthường u àđượ à a kupàđể nếu có bị hacker xoá thì ta vẫn có thể khôi phụ àđược.

K ết luận

D ữ liệu là một trong những thứ đ gàtiề à hất trong website của bạ .à“auàkhiàđọc xonghươ g này, hãy kiếm tra lại xem trang của mình có thể bị tấn công SQL Injection hay không, sauđ à pàdụng nhữ gàphươ gàph pà hàđ àhướng dẫ àđể fix. Ngu ồn tham khảo thêm http://www.w3schools.com/sql/sql_injection.asp  http://expressmagazine.net/development/1512/tan-cong-kieu-sql-injection-va-cac- phong-chong-trong-aspnet  http://freetuts.net/ky-thuat-tan-cong-sql-injection-va-cach-phong-chong-trong-php- 107.html  http://kienthucweb.net/sql-injection-la-gi.html ản quyền thuộc về

INSECURE DIRECT OBJECT REFERENCES – GI U ĐẦU LÒI ĐUÔI

L ỗi gì mà tên dài rứa??

  L ỗià à lạ àở chỗ nó nằ àt o gàtopà àOWá“Pà hư gàlại có rất ít tài liệu về .àN à ũ gàkh gàn ổi tiế gà hư XSS hay CSRF hay SQL Injection (Dù rank OWASP củaà à aoàhơ àX““àha àC“‘Fànhi ều). Cóth ể l àdoà hưaà à ụ án nổi tiế gà oàli à ua àđến nó, hoặc do lỗi này có nhiều biến thể phứct ạpà hă g?

Cách l ợi dụng lỗ hổng

  Trong m ụ à Quả à lýà đơ à h g ,à U‘Là ủa mộtà đơ à h gà sẽ có dạ gà hưàsau: http://shop.com/user/order/1230. Trong th ực tế, hacker có thể dùng nhiềuà hi uàt à hư:àtha àđổiàU‘L,àtha àđổi param trongAPI, s ử dụ gà toolà để scan nhữ gà t ià gu à kh gà được bảo mật.

CSRF – NHỮNG CÚ LỪA NGO N M C

  Trong Tam Qu ốc, các bậ à u àsưàt ià ă gà àt iàđiều binh khiể àtưởng, ngồiàt o gàt ướngb ồng quyết thắ gà hàđ àh gà g àdặm. Trong Tu Chân, các cao thủ à hi uà C h KhôngTh ủ Vật àđiều khiể àđồ vật từ xa, hoặ à Ngự Kiế àPhiàH h ,àd gà h àkh àđể điềuàđộng phiki ếm hay pháp bảo.

Cơà ản về CSRF

  Hậu quả doà àg à aà ũ gà hơi à ghi àt ọng nên CRSF hân hạ hàđược nằm trong top 10 lỗ hổng bảo mật của OWASP.  Doàt o gà e uestà à àđ hàk à ookieà ủaà gườiàd g,àt a gà e àáàđ hàsẽ nhầm r ằ gàđ àl à e uestàdoà gười dùng thực hiện. Hacker có thể mạoàda hà gườiàd gàđể l à àh hàđộ gà hưàđổi mật khẩu, chuyển ti ề ,à….

Các ki ểu tấ à gàthường gặp Ki ểu 1. Dùng form

  BiếtàTườn là thành viên cộ à ,àTư gà à ă à ỉ Tườ à hoà ượ àa à hư gà àsợ a hàhưàhỏ gà àTườ àkh gà ho.àĐ gàl àa hàe àt ốt!! Ảnh minh hoạ từ thi àđịa, trang này có CSRF token Tu à hi ,à g à ưa,àkhià àlỗ hổng bảo mậtà à hưaàphổ biế àth àđ àl à h hàl à hà à hacker sử dụng.

Phòng ch ống cho website

  Khi gửi về server, ta kiể àt aàđộ xác thực c ủaà sessio à .à Doà toke à à được tạo ngẫu nhiên dựa theo session nên hacker không th ể làm giả đượ à C àf a e o kà hưà‘o‘,àCodeIg ite ,àá“P. Gầ àđ à àf a e o kàhầuà hưàđều mặc định chống lỗi này nên tần suất gặpà ũ gà tàđi.àTu à ậy ta vẫn phảiàđề phòng, nhất là cácwebsite t ự odeà h à Đặc biệt là code bằng PHP, ahihi).

ẮT NGƯ I Đ I VÀ KẺ X U

Thông tin h ệ thống là gì?

  Chươ gà àđề cập tới mộtàphươ gàph p bảo mật à gàđơn giản, hiệu quả hư gàlạiàđược tà gười biết và áp dụ g.àĐ àl àphươ gàph p:àGiấu thông tin hệ thống. NET nên database sẽ là MS SQL Server  Trang web có sử dụng jQuery và jQueryUI T a gà e àđược deploy trên Server ISS7 Ch ắc bạ àđa gàtự hỏi: Ủa, nếu hệ thống của mình không làm gì mờ ám thì sao phải giấu?

Chú gàtaàđể thông tin hệ thố gà hớ hê h à hưàthế nào?

  NET, Exception khi bị lỗi.àĐ àl à ồi ngon cho tấn công SQLInjection Để trong header trả về từ serverĐể hớ h h àt o gà ode buildwith.com . Trang này ho ạt độ gàt à gu àlýàđọc các header trả về từ server, xem HTML include các thưà iện nào.

Nh ững hậu quả của việ à lộ h g

  Từ các lỗ hổng này, hacker có thể tìm cách tấn công hệ thống. Ngoài ra, khi biếtàđượ àf a e o kàđa gàsử dụng, hacker có thể à aàđường dẫn tới trang admin (V ới wordpress là /wp-admin, với joomla là /administrator, với phpmyadmin là /phpmyadmin). Ti ếp theo, hacker có thể thử nhập username/password admin m ặ àđị hàđể đă gà hập vào hệ thố g.àĐ gàsợ hưa?? Với mobile app hoặc phần mềm, hacker có thể de o pileàđể chôm API hoặc security key.

Gi ấuà hưàthế oà hoàđú g?

  C ảnh giới cao nhất của việc giấu hàng là hacker không thể biết được hệ thống của bạ àđượcvi ết ngôn ngữ/framework gì, dùng database gì, deploy ở đ u.àĐiều này làm công việc củahacker tr ở àkh àkhă àhơ à ất nhiều. Trong bài này, mình chia s ẻ nhữ gàđiều cầ àlưuàýàkhiàthực hiệ àt hà ă gà .àKh à hiều khêvà ph ức tạpàđấy, các bạn chịuàkh àđọ àkĩà h !

Quan tr ọng nhất – Kh gàlưuà ật khẩu!

  Developer ph ải thuộc nằm lòng câu nói sau: Tuyệtàđối không bao giờ lưuà ật khẩu kháchhàng, dù s ếpà à iàg àđià ữa! H ậu quả của việ à à ũ gàkh gà àg à ghi àt ọng, cùng lắm là mất mặt công ty, mất account khách hàng và làm khách hàng chuyển qua dùng dịch vụ khác thôi.

Làm th ế oàkhià gười dùng quên mật khẩu?

  Ngoài ra, nếuà hưà iếtàđịa chỉmail, hacker có th ể lợi dụ gà àđể reset mật khẩu hàng loạtà gười dùng, nhằ à gă à ản họđă gà hập vào hệ thống. Nhưàđ à iàph aàt ,àdoàe ailà kh gàa àto à àtoke à à àđược expired ngay sau khi dùng, hoặc sau 24-48 tiế gàđồngh ồ sauàkhiàe ailàđược gửiàđi.

Ch ống việ àđo à à ật khẩu

  Để dò mật khẩu, hacker có thể viết một con bot, lầ àlượt submit username và password cho tớiàkhiàđă gà hậpàđượ .àĐể phòng tránh việc này, ta áp dụng nhữ gàphươ gàph pàsau:  Khià gườiàd gàđă gà hậpàsai,àđừng báo là sai username hay sai password. Lưuàý:àNhững cách cách này có thể gây khó chịuà hoà gười dùng, nếu dữ liệu không quá quan trọng (game, web hỏiàđ p,àgiaoàlưu,àgiảiàt à… àth à àthể nới lỏng một số yếu tố.

Nh ững biện pháp nho nhỏ tă gà ường bảo mật

  Lýà doà l à đ ià khià gười dùng bị chôm cookie, hoặ à lơà l à u à kho à máy. Bạn có thể d gà Oáuth,à hoà ph pà gườiàd gà đă gà hập từ Google, Facebook. Lúc này Google, Facebook sẽ chịu trách nhiệm quản lý mật khẩu và dữ liệu củaà gười d g.àNgười dùng thì không cần phảiàđă gàk à hiều tài khoản, mộtà gàđ ià iệc.

PHẦNà à–àCá“Eà“TUDY

L Ỗ HỔNG B O MẬT KH NG KHI P C A

  M ột số lỗi bảo mật của các trang web lớn tại Việt Namản quyền thuộc về Đă gà hập là một chứ à ă gàđơ àgiản nhấtà àhơ à %à ứng dụng web cần phải có. Tuy hi ,àđ iàkhiàtaàlạiàkh gàđược hướng dẫn cách thực hiện chứ à ă gà Đă gà hập à ột cáchđ gàđắn, bài bản, dẫ àđến những lỗi dở khóc dở ười, hoặc những lỗ hổng bảo mật khủng khiếp.

Đă gà hập hả? Chỉ cần một bảng User, hai cột Username và Password là xong

  Bướ à à à àkh gà àg àđ gà ,à hư gà ước 2 mớiàl àđiềuàđ gà i.àĐaàphần tụi mình đều lưuàt ực tiếp tên tài khoản và mật khẩu oàdata ase,àsauàđ àđe à aàsoàs h. Trong quá khứ, lỗi SQL Injection từng làm thất thoát hàng triệu thông ti àkh hàh gà àth gàti à edità a d.àChưaàt hàđến chuyện hacker bên ngoài, nhiều khith ằng Database Admin hứng lên, nó có thể àđược mật khẩu của khách hàng, lớn chuyệnhưa?

V ậyà àh aàl àđược chứ gì, lắm trò!!

  Hàm hash này ph ải là hàm hash một chiều, không thể dựa theo mật khẩuàđ àhashàđể suygượ à aàđầu vào.ản quyền thuộc về Th ế hư g,à ỏ quýt dày có móng tay nhọ .àĐ àl à hàlưuàt ữ mật khẩuàđ gà àhiện nayàf a e o kàđều áp dụng: 1. Lưuàsaltà àgi àt ị đ à ă à uống database (Mộtà gười dùng sẽ có 1 salt riêng).

Ối giời phức tạp thế, cùng lắm thì lộ password trên trang của mình thôi mà

  Nói nh ỏ một bí mật (mà chắ àaià ũ gà iết) cho các bạn nghe nè: Hầuà hưà gười dùng chỉ sửd ụng 1 username/mật khẩu duy nhất cho toàn bộ các tài khoản trên mạng. Nếu hacker tìmđược mật khẩu từ trang của bạn, chúng sẽ thử với các account facebook, gmail, tài khoản ngân hg,à…à ủaà gườiàđ .ản quyền thuộc về M ấtà àa ou tàl à e à hưà ất sạch sành sanh.

L ỗ hổng bảo mật khủng khiếp của Lotte Cinema

  Lỡ database bị thất thoát dữ liệulà toàn b ộ các tài khoản khác củaà hà V à àth hà i àlotteà i e aàkh à ũ gàđiàto gàtheo. Lỗi này mình phát hiệ à ă à go i,àđế à hàđ à ấy ngày vẫn còn y nguyên.

Gi ới thiệu

  T ại sao mình lại chọ àLotteàCi e a?àĐơ àgiản là cách đ à ́y tháng, khi nhắ àđ ́n m ̣t kh ̉u,m ì hàđã nêu ra m ̣t l ̃ h ̉ng bảo m ̣t khủng khi ́p củaàLotteàCi e a:àLưuà ̣t kh ̉uàdưới dạngtext. Đ ́n nay, l ̃ h ̉ng này v ̃ à hưaàđược sửa,àđi ̀u này chứng tỏ hai chuy ̣n: Đ ̣i ngũ l ̣p trình web lotte cinema thi ́u ki ́n thứ à ơà ản v ̀ l ̣p trình và cũng không thèm quan tâm gì đ ́n vi ̣c bảo trì sửa l ̃i.àĐiều này đồ gà ghĩaà ới việc website sẽ có nhiều lỗ hổ gàđể khai thác.

B ắtàđ ̀u câu cá

  M ̣t website không có https,àđ ̀ng nghĩa với vịc toàn b ̣ thông tin bạ à đi ̀n vào (username, password) hoàn toàn có th ̉ bị hacker tṛm n ́u bạn dù gà hu gàđường dây mạng/chung wifi vớiàha ke àđó (Xem thêm v ̀ sniffing). Thử đă gà h ̣p và e àlotteà i e aàlưuàgì trong cookie nào.ản quyền thuộc về Cá́I Lè̀ GÌ THỐN!!!

Câu nh ̀m …à cá m ̣p

  Vì m ̣tàuse àthường tái sử dụng m ̣t kh ̉u ở nhi ̀u trang, mình có th ̉ thử dùng username và m ̣t kh ̉u này ở m ̣t s ́ trang khá àđể mò account. Giờ mì hàđã có th ̉ đă gà h ̣p với m ̣t kh ̉u mớiđ ̉i.àĐ àlà l ̃i thứ :àKhiàtha àđ ̉i m ̣t kh ̉u, bắt bu ̣ à gười dùng phảiàđ ̉i m ̣t kh ̉u cũ.

Bonus thêm c á voi

  Chỉ c ̀n vi ́t một con bot nho nhỏ, l ̀ àlượt thaygi á trị membername trong cookie (từ a tới zzzzzzz) là có th ̉ l ́y gầ à hưàtoàn b ̣ thông tinkh ách hàng, hoặ àđ ̉i toàn bộ pass o dàl à gườiàd gàkh gàđă gà hậpàđược. Th ́ hư gà ọi chuy ̣ à hưaàdừng ở đ .àMình ti ́p tục thử nghi ̣ àđi ̀n tiên vào khung Họt .àLotteàtiếp tục lòi ra l ̃i XSS (Tấn công bằng cách chèn script vào trang chính).ản quyền thuộc về Kh á may mắn Lotte là đã cắt chu ̃i thành 30 kí tự nên không th ̉ đi ̀n JavaScript dài.

K ết lu ̣n

  Tuy nhiên, có vẻ LotteàCi e aàđã r ́t khôn ngoan trong khâu pháp l ́ khi rũb ỏ mọi trách nhi ̣m trong ph ̀n Thỏa Thu ̣n .àTuy thua 3- à hư gà ̃n không phải chịu tráchnhi ̣m gì, hoan hô Lotte Cinema. Mình không mu ́n ngà à aiàl àMươ gà àlại th ́y tin: [Hacker trẻ tu ̉i bị Lotte Cinema bắt.

LOZI.VN ĐÃ “VÔ Ý” Đ LỘ DỮ LIỆU 2 TRIỆU NGƯ I DÙNG NHƯ TH NÀO?

  L àde elope ,à hàkh gàđủ giỏi về mạng hay hạ tầng để có thể tấn công server hay DDOS gì g àđ .àV à ậy, mình quyếtàđịnh chỉ kiểm tra web và app, hai thứ mình rành nhất. Vi ệc dò lỗià ũ gàgiố gà hưà uà àvậ ,àđ iàkhià uàđược cá bự,àđ iàkhià uà ả buổiàkh gàđượco à o.àK à ,à hà uàđược một con cá nho nhỏ …à gu àhiểm của lozi.vn.

Dò tìm t ừ web

  N iàđơ àgiả ,àlướtweb có thông tin quan tr ọ gà àkh gà àHTTPà ũ gàgiố gà hưà à ạ àđià tà a,à hầ ,àđiàch ịch mà không dùng BCS vậy. Mình bi ếtà hàđẹpàt ai,à hư gà à ạ àđừ gà h à hà àh à h à gàkhoa hàđỏ ản quyền thuộc về Hàm GET này không có authentication, nên mình hoàn toàn có th ể lầ àlượt thay usernamevào và l ấy thông tin của toàn bộ user.

Đến app mobile

  Có m ột sự thậtà hoà hỏ à à tà ạn biết là: Mặc dù mình hay viết bài về C# và JavaScripthư gàthậtà aà hà ũ g khá rành Java và Android đấy nhé. Do team code rấtđ gà huẩn OOP và SOLID à ũ gàkh gà u àkh àkhă àđể mình lụ àt àđoạn code gọi API củaàlozi.àĐoạn code khiến mình h àýà h hàl àđoạn gọi API SearchUser.ản quyền thuộc về API này có d ạng GET nên mình không cần thêm thông tin gì.

Quá trình x ử lý lỗi

  Ngay sáng th ứ à g à / ,à hàđ à hậ àđược mail reply rất tận tình củaà gười chịu tráchnhi ệ àd àđa gàl àthứ 7. Kho ảng 4,5 ngày sau khi mình báo cáo lỗiàth àlozià ũ gàđ à ập nhật https và thêm token chocác API r ồi nhé.

Nh ận xét

  Tiếc thay, developer và hacker có thể dễ dàng decompiler app à ghịch ngợ à àáPIà . Các h ệ thống lớ à àđ iàkhià àlỏng lẻo kiểu này, liệu dữ liệu của chúng ta có an toàn khi cácha ke à hu à ghiệp à aàta ??

Thay l i k t

  Đừng bao giờ ti àtưởng những thứ gười dùng nhậpà o,àđừ gà ghĩàđằ gà gười dùng không biết sửa javascript, không biết nghịch lung tu g.àDướiàda hà ghĩaà gườiàd g,àha ke à àđể mọiàphươ gà hàđể tấn công hệ thống. Anh àhơ à à ă àki h nghiệ àt o gàlĩ hà ực phần mềm và rấtàđa à à ghi à ứu về bảo mật, công nghệ web, các công nghệ mớià hưàMa hi eàLea i g,àCog iti e.

RECENT ACTIVITIES
Autor
123dok avatar

Ingressou : 2016-12-29

Documento similar
Tags

Bao mat nhap mon

Livre

Feedback