Thích HiWeb trên Facebook:

Suy nghĩ đầu tiên của attacker tới website

Lần update cuối Lúc 18 giờ 51 phút 27-2-2014
Giới thiệu từ góc nhìn cá nhân của mình về 1 số phương hướng mà hacker nhìn vào khi có ý đồ với website của bạn

Hello, tiếp tục bài thứ 2 trong seri đầu tiên về bảo mật ứng dụng web tại DuyK.Net nhé :D

Hôm nay mình sẽ nói về vấn đề, attacker sẽ có những suy nghĩ gì khi thoáng đầu tiên có ý đồ với trang web của bạn. Dĩ nhiên mình chỉ là 1 tay mơ :( trình độ còn gà mờ có hạn nên chỉ có thể vui tay vui chân rảnh rỗi sinh nông nổi viết nhăng cuội 1 chút cho các bạn newbie đọc cho vui mắt, hoặc cho các pro đọc giải trí mà thôi. Vì vậy rất mong các bạn bè anh em có thể góp ý hoặc bổ xung :D mình rất vui được đón nhận và học hỏi từ các bạn.

Những phương hướng đầu tiên của attacker như sau:

Local attack

- Đầu tiên check info server của bạn, xem bạn đang dùng hosting của dịch vụ nào, hay là dùng VPS - Server riêng với hi vọng sẽ có cơ may local attack website của bạn :D như trước kia có rất nhiều diễn đàn Hacking - UG luôn trực sẵn 1 đội ngũ bờ rào chuyên up shell phục vụ cho member. Chỉ cần lập topic xin shell của server 123.456.789.123 chẳng hạn, thì có cơ may cao là nhiều pro sẽ vào cung cấp ngay ^^

(Bạn nào newbie chưa có khái niệm shell là gì thì click vào đây ...... Link đang được cập nhật)

- Hoặc nếu xui xẻo là ko xin đâu được link shell, thì họ sẽ tạm gác bước này lại và check các hướng tiếp theo trên site của bạn. Nếu qua 1 vòng ko làm gì được, họ sẽ bắt đầu quay lại Reverse IP (Tìm những site nằm trên cùng server bạn), để check xem có thể thịt được 1 trong những site đó hay ko, và họ sẽ thịt 1 website trên server của bạn, sau đó up shell và cuối cùng mới attack tới site bạn.

- Qua đây ta thấy rằng, việc chọn nhà cung cấp sử dụng dịch vụ rất quan trọng. Theo DuyK quan sát thì rất nhiều nhà cung cấp ở nước ngoài ko config bảo mật gì cho server :D Có thể là bởi vì bên đó dân họ ít nghịch ngợm như các thím VN bên mình =)) và nguyên nhân chính là do họ muốn người dùng có môi trường tốt nhất cho Source code của họ. Ở VN đôi khi nhiều nhà cung cấp disable quá nhiều hàm, dẫn tới việc nhiều khi 1 số source chạy bị lỗi hoặc ko chạy được hết chức năng.... Cũng có rất nhiều nhà cung cấp rất tuyệt vời, họ có cơ chế scan các hàm và hành động nhạy cảm khi người dùng chạy ứng dụng, nếu có nghi vấn bạn đag thực hiện hành vi trái phép họ sẽ xóa hoặc suspend hay cảnh cáo.

- Bạn cũng có thể khắc phục vấn đề này 1 phần nào đó bằng việc ẩn địa chỉ IP thật của bạn bằng cách sử dụng các dịch vụ CDN (Content Delivery Network) như cloudflare.com, hay incapsula.com . Các dịch vụ này giúp bạn đáng kể trong việc bảo mật, tiết kiệm băng thông, và đôi khi là chống DDOS nếu bạn dùng gói pro của họ. Mình sẽ có bài viết giới thiệu về CDN sau

- Chung quy thì việc sử dụng Shared hosting sẽ không an toàn cho lắm cho website của bạn :) nếu bạn có điều kiện thì vẫn nên nghĩ tới việc sử dụng VPS hoặc Server riêng. Hiện nay có rất nhiều nhà cung cấp VPS giá rẻ, giá chỉ giao động từ 300-500k / tháng là bạn có 1 con VPS đủ để chạy cho những site vừa và nhỏ

 

Tìm kiếm công bố bug tồn tại trên mã nguồn của bạn

- Như đã nói ở trên, sau khi có vẻ bế tắc với con đường Local attack, thì attacker sẽ nghĩ tới việc tiếp theo là tìm xem trên site bạn có bug gì không. Việc này đầu tiên thường sẽ là kiểm tra xem site bạn đang dùng mã nguồn gì, có phải mã nguồn mở hay không.

- Nếu là mã nguồn mở hoặc những mã nguồn phổ biến thì họ sẽ tìm kiếm những công bố về lỗ hổng bảo mật để tiến hành khai thác.

- Về cơ bản, những mã nguồn nổi tiếng thì bản thân có rất ít bug, hoặc nếu có cũng sẽ được công bố rất sớm và kịp thời nếu bạn chịu theo dõi và cập nhật bản vá thường xuyên. Tuy nhiên những addon-plugin hay thậm chí là những themes mà bạn thêm vào hay thậm trí là những mã nguồn NULLED thì lại không như vậy. Đó là các gói do các lập trình viên của bên thứ 3 tạo ra, nó tới từ rất nhiều nguồn và qua đi chuyển lại tùm lum. Cho nên có rất nhiều cơ hội cho attacker nếu như bạn thêm những thành phần (Chức năng, giao diện) của bên thứ 3 mà không xem xét kĩ càng.

 

Suy nghĩ về sơ hở của website bạn

- Nếu như bạn dùng source tự code, attacker không tìm kiếm được thông tin gì về mã nguồn của bạn, thì tới đây họ sẽ suy nghĩ về những lỗi, những sơ hở trong lập trình mà bạn vô tình tạo ra. Thường những attacker thực hiện bước này sẽ có kinh nghiệm cao và trình độ khá.

- Ai biết được trong lúc thực hiện code bạn có tạo ra sơ hở nào hay không ? Có rất nhiều khả năng có thể xảy ra. Đôi khi bạn tự tin rằng đã đảm bảo các quy tắc bảo mật cơ bản, nhưng chỉ cần 1 thuật toán ko chặt chẽ cũng có thể cấu thành 1 sơ hở chết người. Và attacker sẽ suy nghĩ tới những sơ hở bạn có thể tạo ra , check và khai thác nếu có. Đến như Facebook, Google đôi khi vẫn dính phốt với những sơ hở trong thuật toán của họ đấy :D

Cụ thể về trường hợp này bạn sẽ được tìm hiểu thêm trong các bài tiếp theo nha :D

 

DOS/DDOS - Không ăn được thì đạp đổ

Sự khó chịu nhất đối với webmaster đó là khi phải đối mặt và bất lực đối với DDOS. Khi "kẻ thù" của bạn đã có vẻ chán nản trong việc tìm kiếm lỗi để khai thác thì phần nhiều là họ sẽ bắt đầu nghĩ tới việc tấn công từ chối dịch vụ, 1 hình thức mà theo mình thì ko vẻ vang lắm :3 Đa phần thì chúng ta ai cũng chỉ có thể sở hữu những tài nguyên có giới hạn nhỏ, nên nếu phải đối mặt với những vụ DDOS kinh hoàng tới hàng trăm, hàng nghìn zombie thì đó đúng là thảm họa thực sự. Ngoài ra thậm chí có những tool rất khủng, sử dụng nhiều proxy và đem lại hiệu quả cũng kinh hoàng. Bạn có thể hạn chế hậu quả của nó bằng việc config server và viết tường lửa cho ứng dụng, hay nếu đại gia thì có thể chi tiền để nâng cấp phần cứng hoặc đầu tư nhiều server chơi công nghệ cân bằng tải :D lấy thịt đè người

Bài viết tại DuyK.Net . Vui lòng tôn trọng tác giả và tôn trọng chính bạn bằng cách không gỡ bỏ dòng chữ này khi phát hành lại nội dung.


Author: Doan Khanh

Từ khóa: hacking, security, bảo mật website, bảo mật, hacker,
DuyK.Net khởi chạy từ 10-2-2014

Sử dụng DuykNews 2.0

Ghi rõ nguồn DuyK.Net kèm trích dẫn khi phát hành lại thông tin từ website này.

Những thông tin đăng tải tại đây phục vụ mục đích thảo luận, nghiên cứu và bảo mật được tự do truy cập. Không sử dụng với mục đích phá hoại, HiWeb không chịu trách nghiệm trước những hành vi của người dùng.