Bạn có quan tâm đến vấn đề bảo mật website và tấn công mạng cho trang web của mình? Tần suất bạn chạy phần mềm kiểm tra virus và hoạt động của website là bao nhiêu? Bạn có cho rằng website của bạn không có gì để người khác ăn cắp cả?

Bảo mật là một khía cạnh mà nhiều chủ trang web rất lơ là trong việc kiểm tra, trong khi nó lại là một yếu tố chủ chốt để website của bạn hoạt động tốt và có uy tín trong công tác tương tác với người dùng. Hãy cùng LPTech tìm hiểu thêm về các vấn đề bảo mật website và phương pháp nâng cấp website cho bạn nhé!

Những vấn đề cần quan tâm của website thương mại

Các thông tin bảo mật có thể bị ăn cắp thông qua phishing như thông tin thẻ tín dụng, mật khẩu hoặc xúi giục người dùng cài đặt các phần mềm độc hại walware vào thiết bị. Có thể thấy phishing là một bước trong kế hoạch tấn công bằng walware.

Gian lận - Phishing

Đây là một cách giả mạo thành một đơn vị hoặc cá nhân có uy tín, nhằm chiếm lấy lòng tin của người dùng và khai thác lòng tin ấy cho các mục đích bất chính. Thông thường hành vi phishing được thực hiện qua email.

Gian lận trong thanh toán

Đây là hình thức mà hacker lợi dụng lỗi trên hệ thống thanh toán của các website thương mại điện tử, nhằm thực hiện các giao dịch ảo để rút tiền từ người dùng và cả doanh nghiệp.

Trong một chương trình tiếp thị của một trang web đặt phòng khách sạn, người dùng sẽ được tặng tiền nếu mời được thêm 3 tài khoản mạng xã hội khác cùng đăng kí trên trang web đó. Nếu website lơi lỏng trong việc kiểm duyệt và xác minh tài khoản đăng ký mới, hacker sẽ dễ dàng tạo ra nhiều tài khoản mạng xã hội ảo để nhận được nhiều tiền từ doanh nghiệp.

Ăn cắp - Bots

Bot là một chương trình có khả năng thu thập dữ liệu quan trọng trong website mà tin tặc tạo ra và bằng những phương thức thông qua phishing hoặc tấn công website, tin tặc cài đặt được bot trong website của bạn và từ đó đánh cắp các thông tin nhạy cảm.

>> Xem thử: Bảo mật website trước nguy cơ bị đánh cắp dữ liệu

Man-in-the-middle attack

MitM hay được hiểu là tấn công theo kiểu rình mò, nghe trộm khi giữa 2 đối tượng đang có một giao dịch hay cuộc trò chuyện trực tuyến, họ bị nghe lén nội dung. Tin tặc sẽ chen giữa vào cuộc đối thoại giữa 2 đối tượng nhằm ăn cắp dữ liệu, khả năng này sẽ xảy ra khi:

• Người dùng đăng nhập vào mạng wifi công cộng và tin tặc chen vào giữa thiết bị của người dùng và mạng wifi đó.
• Khi người dùng cài đặt các phần mềm độc hại thiết bị, tin tặc có thể thao túng dữ liệu trong thiết bị của người dùng.

Phá hoại - Malwares

Phá hoại bằng malwares hay các phần mềm độc hại là cách phá hoại phổ biến nhất hiện nay. Khi phân loại malwares, ta liệt kê thành các loại sau: spyware – phần mềm gián điệp, ransomware – mã độc tống tiền, virus và worm – phần mềm độc có khả năng lây lan cao.

Cũng lợi dụng vào các lỗ hổng bảo mật website, tin tặc có thể xúi giục người dùng tải phần mềm độc hại xuống thiết bị bằng phishing hoặc đánh vào tâm lý thích miễn phí của người dùng. Những hậu quả có thể xảy đến khi malware được cài đặt thành công:

1. Người dùng không thể truy cập vào dữ liệu của chính mình, lúc này tin tặc sẽ tống tiền người dùng để bán lại dữ liệu hoặc có thể người dùng sẽ mất tiền và cả thông tin quan trọng đó vĩnh viễn
2. Dẫn dụ người dùng cài đặt thêm nhiều mã độc khác
3. Theo dõi và đánh cắp dữ liệu
4. Tê liệt hệ thống gây hư hại phần mềm và phần cứng vốn có của hệ thống

DoS – Denial of Service

Hình thức tấn công mang tên DoS chính là làm tắc nghẽn đường truyền của một hệ thống bao gồm máy chủ server và website, hoặc mạng nội bộ. Để khiến cho hệ thống bị đánh sập tạm thời, hacker sẽ tạo ra một lượng traffic hoặc request khổng lồ tại cùng một lúc, làm cho server bị quá tải dẫn đến tạm dừng hoạt động. Ngay lúc này, người dùng website không thể truy cập vào trang mạng họ đang dùng. Đồng thời, lợi dụng thời điểm website bị dừng hoạt động, hacker có thể xâm nhập vào hệ thống để ăn cắp và phá hoại website.

DDoS – Distributed Denial of Service

Hình thức tấn công này có xuất phát điểm giống như DoS, đó là làm tê liệt hệ thống mạng của máy chủ và website. Trong hình thức DDoS, thì tin tặc sử dụng một mạng lưới gồm các máy tính để tấn công. Bản thân các máy tính nằm trong mạng lưới cũng không nhận thức được, họ đã bị thâm nhập bất hợp phát và đang bị lợi dụng cho mục đích tấn công máy tính khác.

Spam

Spam là cách sử dụng hệ thống truyền tin để gửi đi những tin nhắn không được yêu cầu. Ví dụ như gửi các thông tin quảng cáo không cần thiết đến cho người dùng thông qua email hoặc đăng các phản hồi không liên quan và liên tục lên trên diễn đàn hoặc website. Hậu quả của spam là tăng traffic không cần thiết cho website, dẫn đến tốc độ tải trang bị suy giảm, ảnh hưởng xấu trực tiếp đến trải nghiệm của người dùng.

SQL injections

Trong một bài viết về vấn đề bảo mật website, LPTech đã giới thiệu với bạn đọc về cách phá hoại cơ sở dữ liệu có tên là SQL injection. Cụ thể, hacker sẽ chèn một đoạn code có hại vào server và khi server nhận truy vấn từ đoạn code SQL này, hậu quả là server sẽ trả lời lại bằng những thông tin mà đáng lẽ không được tiết lộ.

Các cuộc tấn công bằng SQL injection thực hiện được là dựa vào các lỗ hỗng kĩ thuật của website. Ví dụ đơn giản nếu hacker gõ đoạn mã độc vào thanh công cụ “Tìm kiếm” của trang web, hacker đã có thể thâm nhập được vào thông tin mật của website.

Zero day attack

Đây là một thuật tấn công vào các lỗ hổng bảo mật website mà chưa được biết đến hoặc chưa được các nhà cung cấp phần mềm an ninh cập nhật đến, và vì vậy chưa có phương án giải quyết chính thức. Do tính chất chưa xác định rõ của lỗ hổng bảo mật mà hacker lợi dụng để khai thác website với nhiều mục đích bất chính khác nhau.

Cross-site scripting

Viết tắt là XSS là một hình thức tấn công vào người dùng trang web. Đối với các website được sử dụng cho mục đích thương mại, hacker sẽ chèn mã độc thông qua các đoạn script ở phía khách hàng. Hậu quả xảy ra cho cả người dùng và chính trang web đều có thể mất thông tin nhạy cảm và bị gián đoạn khi sử dụng.

Tấn công Brute-force

Đối tượng tấn công trực tiếp của brute-force là admin hay quản trị viên của các trang web. Đặc biệt là đối với các trang web mua bán, tin tặc tấn công nhằm thao túng quyền quản trị trang web và thực hiện các hành vi bất hợp pháp đối với admin và hậu quả liên lụy đến người dùng website và uy tín của website sau này.

Để thực hiện được cuộc tấn công này, tin tặc sẽ sử dụng các công cụ chuyên dụng để kiểm tra password của admin. Chúng sẽ kiểm tra những từ và con số phổ biến nhất để dò ra mật khẩu và chiếm quyền kiểm soát website.

Nâng cấp website tăng cường bảo mật

Hầu hết các phần mềm dành cho website đều sử dụng cookies để lưu trữ các loại thông tin về người dùng, bao gồm các lựa chọn yêu thích, các trang thường được xem, giỏ hàng, phương pháp thanh toán và các loại thông tin liên quan cần thiết khác.

Cookies

Vì sự quan trọng của các dữ liệu chứa trong cookies, nên nhà lập trình web phải chú ý đến thiết lập tính năng bảo vệ secure và http flags cho các cookies này. Theo mặc định thì các flags này không được thiết lập là true, nhưng cần phải được chuyển đổi một cách ngoại lệ thành true. Khi đó, các thông tin mới được chắc chắn được truyền đi thông qua các đoạn mã truy vấn (https) và không thể được truy cập thông qua các đoạnc script ở phía khách hàng, đồng thời cũng ngăn ngừa các hình thức tấn công XSS Cross-site scripting.

Thông tin mật về ứng dụng hoặc cấu hình

Các thông tin mật trong ứng dụng bao gồm mật khẩu của admin, biên lai, API key và các key riêng tư (private key).

API key – Application programming interface key là một cách nhận dạng chuyên biệt dùng để xác nhận người dùng, nhà lập trình hoặc áp dụng chương trình đối với API. Hầu như API được sử dụng để xác minh một dự án hơn để xác nhận người dùng.

Không nên dự trữ các thông tin mật trong các files đầu, trong mã nguồn hay trong một dịch vụ cung cấp cấu hình. Thay vào đó, bạn nên sử dụng các phương pháp quản lý thông tin mật dành cho công ty. Những thông tin mật có thể bị rò rỉ thông qua các log files và chúng không nên được viết lại để ghi chú hay phải được ngụy trang.

Bảo mật website ngăn ngừa đánh cắp tài khoản và chiếm dụng

Người dùng thường thực hiện các bước có sử dụng đến chứng cứ xác nhận (authentication token) khi họ đăng nhập vào một hệ thống. Các ứng dụng nên luôn luôn tách việc xác minh người dùng (user identification) ra khỏi các chứng cứ (token) và so sánh chúng với userID của tài khoản trong khi được vận hành. Điều này sẽ đảm bảo rằng bạn không thể sử dụng chứng cứ của một người dùng A (A’s token) để thực hiện các hành động trên tài khoản của người dùng B.

Chuẩn hóa xác nhận đầu vào (input validation) và truy vấn dữ liệu (database queries)

Các cuộc tấn công như SQL injection có thể được phòng tránh dễ dàng nếu kích thước và nội dung đầu vào của người dùng được kiểm định đúng cách. Việc kiểm định ngăn ngừa một whitelist (cho phép sử dụng các kí hiệu) rất được ưu tiên hơn kiểm tra một blacklist (không cho phép sử dụng kí hiệu).

Đối với SQL, tốt hơn hết là nên sử dụng các trình bày đã được định sẵn và các giai đoạn đã được thiết kế thay vì sử dụng các truy vấn tự do. Các trình bày đã định sẵn sẽ xử lý an toàn các nội dung đầu vào của người dùng như các miêu tả nguyên bản của các chuỗi, thay vì xử lý chúng như một đoạn của truy vấn SQL. Nhờ vậy mà phòng chống được các cuộc tấn công này.

Sử dụng nhận diện cá nhân cho việc kiểm tra

Đây là một bước khá phổ biến trong các nhóm làm việc, khi họ cùng quản lý dữ liệu nhạy cảm để chia sẻ một tài khoản admin với các thành viên khác trong nhóm. Tất cả mọi người đều biết mật khẩu và có thể sử dụng uy tín của mình để cập nhật các dữ liệu nhạy cảm ấy. Tuy nhiên, đây lại là một hành động đi ngược lại với bảo mật website doanh nghiệp.

Thay vì sử dụng các tài khoản có đặc điểm chung, thì tốt hơn hết là mỗi cá nhân đều được nhận diện cụ thể để hợp thức vai trò của admin hoặc được sự cho phép của admin. Điều này cũng đảm bảo tính đúng đắn trong kiểm tra thay đổi về dữ liệu.