Những vấn đề cơ bản đảm bảo an ninh cho ứng dụng web

traitimrimau2

Các tổ chức, doanh nghiệp đều sử dụng website để quảng bá thương hiệu, và cung cấp cho người dùng thông tin cho người dùng. Do đó nó thường là đối tượng tấn công của nhiều hacker, nhằm mục đích khai thác thông tin cho những hoạt động trái phép. Hình thức website bị tấn công gồm có:

  • Khai thác lỗ hổng của những phần mềm có trên web server.
  • Tấn công DDOS
  • Khai tác dữ liệu từ backend thông qua một số kiểu tấn công injection như SQL injection(SQLi), Light Directory Acess -Protocol(LDAP), Cross site sripting(XSS).
  • Thay đổi(deface) giao diện website.
  • Dùng web server đã bị tấn công để phát tán malware.

– Một số cách phòng chống
+ Một vài điểm cần lưu ý với  webserver

  • Chỉ cài những ứng dụng cần thiết trên webserver.
  • Thiết kế webserver chặt chẽ với dữ liệu ở back-end.

+ Đối với SQL services

  • Thực hiện việc phân quyền rõ ràng khi thao tác trên các CSDL có trong webserver
  • Kiểm soát kĩ đầu vào như : kiểu dữ liệu, chiều dài, định dạng…
  • Lập danh sách hạn chế (black list) những ký tự đặc biệt những tham số đầu vào nguy hiểm, và chặn toàn bộ request chứa dữ liệu có trong black list.
  • Hạn chế sử dụng những câu lệnh truy vấn (SQL) trực tiếp, nên sử dụng tham số và kiểm soát đầu vào như lưu ý ở trên hoặc sử dụng store produce.

+ Một vài điểm cần lưu ý đối với hệ điều hành

  • Những tài khoản được phép đăng nhập vào webserver cần phải được phân quyền truy cập vào tài nguyên của hệ thống. Việc đăng nhập vào webserver cũng nên sử dụng cơ chế xác thực hai lần (chữ ký số.)
  • Xóa toàn bộ tài khoản không sử dụng và các tài khoản guest.
    Liên tục update, những bản vá mới của hê điều hành từ nhà phân phối.
    Hạn chế xây dựng website trên những host “công cộng” có đặt nhiều website khác nhau trên đó.
    Sử dụng những giao thức bảo mật như: SSL/TLS.

+ Đối với mật khẩu

  • Sử dụng độ dài đủ lớn trên 15 ký tự và không bao gồm thông tin cá nhân.
  • Sử dụng kết hơp giữa số , chữ cái hoa, thường và các ký tự đặc biệt.
  • Mật khẩu nên được thay đổi định kỳ trong khoảng 2-3 tháng.
  • Giới hạn việc ghi nhớ mật khẩu và sử dụng lại mật khẩu cũ.
  • Thay đổi tất cả các tài khoản mặc định.

Comments

comments