TỔNG QUAN BẢO MẬT ỨNG DỤNG WEB/PORTAL (PHẦN 2)

+ Mô hình hoạt động của ứng dụng web

Thông thường mô hình của ứng dụng web theo mô hình 03 lớp. Lớp đầu tiên là trình duyệt web hoặc giao diện người dùng dạng Winform, lớp thứ hai là công cụ sử dụng công nghệ tạo ra các nội dung động như Java servlets (JSP) hoặc Active Server Pages (ASP), và lớp thứ ba là cơ sở dữ liệu có chứa nội dung (như tin tức, sản phẩm) và dữ liệu khách hàng (ví dụ như tên người dùng và mật khẩu, thông tin cá nhân, …)

Hình 1.1 Mô hình hoạt động ứng dụng web

Hình 1.1 Mô hình hoạt động ứng dụng web

Hình 1.2 (bên dưới) sẽ thể hiện chi tiết hơn quá trình từ lúc yêu cầu ban đầu được kích hoạt bởi người sử dụng thông qua trình duyệt trên Internet cho các máy chủ ứng dụng web, tiếp theo các ứng dụng web truy xuất đến máy chủ cơ sở dữ liệu để thực hiện các nhiệm vụ được yêu cầu như: thêm mới, cập nhật, lấy các thông tin trong cơ sở dữ liệu. Các ứng dụng web sau đó chuyển thông tin về đến trình duyệt web để cung cấp cho người dùng.

Hình 1.2 Mô hình chi tiết hoạt động ứng dụng web

Hình 1.2 Mô hình chi tiết hoạt động ứng dụng web

1.2 Vấn đề bảo mật các ứng dụng Web

Khi các công nghệ mới được phát triển và ứng dụng mạnh mẽ như các ứng dụng web hiện nay, thì theo khách quan đi cùng với điều này sẽ là hàng loạt các lỗ hổng bảo mật mới ra đời. Đa số các cuộc tấn công nghiêm trọng vào các ứng dụng web là làm lộ thông tin, dữ liệu nhạy cảm hoặc truy cập không hạn chế với các hệ thống mà các ứng dụng đang hoạt động.

Đối với nhiều tổ chức một cuộc tấn công gây ngừng hoạt động hệ thống là một vấn đề nghiêm trọng. Các tấn công từ chối dịch vụ ở cấp độ ứng dụng có thể được sử dụng để đạt được mục tiêu gây cạn kiệt nguồn tài nguyên tương tự như cuộc tấn công đối với cơ sở hạ tầng. Tuy nhiên, các tấn công này thường được sử dụng tinh vi hơn về kỹ thuật và mục tiêu tấn công. Tấn công từ chối dịch vụ ở cấp độ ứng dụng có thể được sử dụng để gây hại người dùng hoặc dịch vụ cụ thể để đạt được một lợi thế cạnh tranh so với các đối thủ trong các lĩnh vực kinh doanh tài chính, game online, đấu giá, mua vé trực tuyến. Theo đánh giá của Gartner (Công ty uy tính hàng đầu thế giới về đánh giá công nghệ) thì hơn 25% các cuộc tấn công dạng từ chối dịch vụ (DoS, DdoS) trong năm 2013 là nhằm vào các ứng dụng. Đặc biệt, trong sáu tháng cuối năm 2012, đã có nhiều cuộc tấn công DdoS vào các Ngân hàng của Mỹ và sẽ tiếp tục trong năm 2013.

Hình 1.3 đánh giá của Gartner cuộc tấn công dạng từ chối dịch vụ đối với các ứng dụng trong năm 2013

Hình 1.3 đánh giá của Gartner cuộc tấn công dạng từ chối dịch vụ đối với các ứng dụng trong năm 2013

Tuy nhiên, một nhận thức sai lầm phổ biến cho rằng vấn đề bảo mật cho các ứng dụng web là an toàn. Chỉ cần chúng ta duyệt qua một số trang web mua bán hàng trực tuyến, vào trang “những câu hỏi thường gặp” (FAQ), chúng ta sẽ rất yên tâm rằng trang web này an toàn. Vì hầu hết các ứng dụng web này công bố an toàn bởi vì họ sử dụng SSL. Ví dụ: “Hệ thống thanh toán của Zalora.vn đã được mã hóa với mã bảo mật 128-bit SSL và được chứng nhận bởi VeriSign. Quý khách có thể thấy giao dịch an toàn qua biểu tượng Ổ khóa ở phía dưới trình duyệt. Chúng tôi không giữ lại thông tin thẻ tín dụng của quý khách sau khi giao dịch hoàn tất. Thông tin thẻ của quý khách sẽ được chuyển trực tiếp đến ngân hàng của chúng tôi. Quý khách có thể tin tưởng rằng với mỗi lần mua hàng, thông tin thẻ hoặc tài khoản ngân hàng của quý khách được bảo mật” theo trang bán hàng trực tuyến của Công ty TNHH Một Thành Viên Giờ Giải Lao Bán Lẻ & Giao Nhận http://www.zalora.vn

Trong thực tế, phần lớn các ứng dụng web là không an toàn, mặc dù đã sử dụng rộng rãi công nghệ bảo mật SSL và tuân thủ qui trình, tiêu chuẩn PCI (Payment Card Industry-chuẩn công nghiệp của thẻ thanh toán). Các điểm yếu hay lỗ hổng nghiêm trọng của các ứng dụng web thường bắt nguồn từ việc viết mã (coding) không đúng phương pháp hay qui trình phát triển ứng dụng không an toàn sẽ cho phép tin tặc (hacker) truy cập trực tiếp và khai thác cơ sở dữ liệu để lấy dữ liệu nhạy cảm.

(còn tiếp phần 3)

* Lưu ý: Các bản sử dụng nội dung vui lòng ghi tên tác giả. Xin cảm ơn.

Comments

comments