Hacker tấn công người dùng web từ các lỗ hổng bảo mật

  • 25/02/2020
  • 09:55

Một nghiên cứu mới đây từ hãng bảo mật Positive Technologies cho thấy, 82% lỗ hổng ứng dụng web nằm trong mã nguồn và hầu hết các trang web đều có lỗ hổng rủi ro cao.

Positive Technologies cho biết, các công ty đang bắt đầu ưu tiên cho bảo mật nhưng vẫn không làm mọi thứ cần thiết để bảo vệ các ứng dụng và người dùng web.

Tin tặc có thể dễ dàng tấn công người dùng khi truy cập các trang web và 82% lỗ hổng ứng dụng web nằm trong mã nguồn.

Báo cáo chỉ ra rằng, nhiều cuộc tấn công lừa đảo nhằm đánh cắp thông tin đăng nhập, lây nhiễm máy tính bằng phần mềm độc hại hay chuyển hướng người dùng đến các trang web độc hại do tin tặc kiểm soát.

Nhiều công ty cũng đã không bảo vệ đầy đủ các ứng dụng web của họ bằng xác thực đa yếu tố, mà vẫn dựa vào xác thực bằng mật khẩu và điều này dễ dàng bị tin tặc tấn công.

Evgeny Gnedin, chuyên gia phân tích bảo mật thông tin tại Positive Technologies cho biết, xác thực chỉ bằng mật khẩu là một yếu tố góp phần trong hầu hết các cuộc tấn công xác thực. Thiếu xác thực hai yếu tố khiến các cuộc tấn công trở nên rất dễ dàng. Người dùng có xu hướng sử dụng mật khẩu yếu, điều này khiến vấn đề trở nên tồi tệ hơn. Việc bỏ qua các hạn chế truy cập thường dẫn đến việc tiết lộ, sửa đổi hoặc phá hủy dữ liệu trái phép.

Positive Technologies đã đánh giá 38 ứng dụng web với đầy đủ các chức năng vào năm 2019 và chỉ ra rằng, mặc dù đã có sự giảm dần về tỷ lệ ứng dụng web có lỗ hổng nghiêm trọng, nhưng tính bảo mật của hầu hết các ứng dụng web vẫn còn rất kém.

Nghiên cứu cho thấy, số lượng lỗ hổng trung bình trên mỗi ứng dụng đã giảm một phần ba so với năm 2018 và các công ty đang tăng cường bảo mật nghiêm ngặt hơn, không chỉ các ứng dụng web mà còn cả các ứng dụng trong mạng nội bộ của họ.

Các tổ chức tài chính hiện đang có xếp hạng bảo mật ứng dụng web cao nhất, trong khi các tổ chức nhà nước có điểm số thấp nhất.

Báo cáo cho biết, 16% ứng dụng chứa các lỗ hổng cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống và một nửa các trang web trong ngành sản xuất có lỗ hổng rủi ro cao. Trung bình, mỗi hệ thống chứa 22 lỗ hổng, bốn trong số đó có mức độ nghiêm trọng cao.

Phân tích của Positive Technologies cho thấy, tỷ lệ của các hệ thống sản xuất có lỗ hổng rủi ro cao đã giảm còn 45% năm 2019 so với 71% năm 2018 và các trang web chứa lỗ hổng bảo mật đã giảm dần trong năm năm qua. Đây là một dấu hiệu đáng khích lệ phù hợp với sự cải thiện toàn diện về bảo mật.

Năm 2019, khoảng 8% hệ thống bị hacker chiếm toàn quyền kiểm soát máy chủ ứng dụng web cho phép tấn công mạng cục bộ. Gần 70% ứng dụng web dễ bị vi phạm dữ liệu nhạy cảm, với hầu hết các dữ liệu có chứa thông tin cá nhân hoặc thông tin đăng nhập.

Về các lỗ hổng và các cuộc tấn công thường thấy, báo cáo của Positive Technologies cho biết, các cấu hình sai trong bảo mật (security misconfigurations), tấn công chèn những script độc hại (cross-site scripting) và phá vỡ xác thực (broken authentication) là mối quan tâm chính của hầu hết các ứng dụng web.

Lỗ hổng với rủi ro cao và phổ biến nhất là phá vỡ xác thực, được tìm thấy trong 45% ứng dụng web. Các ứng dụng được hãng Positive Technologies thử nghiệm đều có lỗ hổng cho phép tội phạm mạng tấn công phiên người dùng.

Theo nghiên cứu này, gần 1/3 các lỗ hổng bao gồm việc không hạn chế số lần thử xác thực và những kẻ tấn công có thể khai thác điều này để xác thực thông tin hay truy cập ứng dụng web.

Trong các trường hợp cụ thể, báo cáo lưu ý rằng, một số ứng dụng có thể được truy cập bằng quyền quản trị viên chỉ sau 100 lần thử. Các lỗ hổng ứng dụng web có thể giúp thu thập dữ liệu từ mạng nội bộ của các công ty, thí dụ như cấu trúc của các phân đoạn mạng, cổng vào ra và dịch vụ. Thậm chí, tin tặc có thể truy cập tài nguyên mạng nội bộ và dữ liệu bí mật được lưu trữ ở đó.

Hãng bảo mật Positive Technologies đề xuất, các công ty nên đào tạo các nhà phát triển theo nhiều phương pháp an toàn, đồng thời cung cấp cho họ các công cụ để phân tích mã nguồn tự động và tường lửa ứng dụng web như là biện pháp phòng ngừa.

(Nguồn : NDĐT)

  • Nguồn tin:
Share on facebook
Chia sẻ bài viết

Tất tần tật về Khóa bảo mật Titan 50 đô của Google

Google vừa mới tung sản phẩm Khóa bảo mật Titan, một thiết bị USB nhằm giúp khách hàng bảo mật tài khoản với giá 50 đô. Được công bố hồi tháng trước tại Hội nghị Google Cloud Next 2018, khóa bảo mật Titan là một thiết bị USB rất nhỏ – giống với YubiKey của Yubico – và

Crowdsourced Security – Xu thế bảo mật mới trong doanh nghiệp

Dịch vụ bảo mật IT Crowdsourcing Cho dù bạn cần một nhóm kiểm thử bảo mật (pentester), một chương trình trao thưởng tìm lỗi (bug bounty program) hay một chương trình tiết lộ lỗ hổng (vulnerability disclosure plan) thì một nền tảng crowdsourcing (mô hình tận dụng nguồn lực thuê ngoài) là một giải pháp

Crowdsourced Security – Xu thế bảo mật mới trong doanh nghiệp

Cho dù bạn cần một nhóm kiểm thử bảo mật (pentester), một chương trình trao thưởng tìm lỗi (bug bounty program) hay một chương trình tiết lộ lỗ hổng (vulnerability disclosure plan) thì một nền tảng crowdsourcing (mô hình tận dụng nguồn lực thuê ngoài) là một giải pháp hoàn hảo. Một phần quan trọng

Linux có thể bị hack chỉ vì mở một tệp trong Vim hoặc Neovim

Nếu gần đây bạn chưa cập nhật hệ điều hành Linux, đặc biệt là tiện ích soạn thảo văn bản dòng lệnh (command-line), thì bạn tuyệt đối không nên xem bất cứ nội dung tệp nào trên Vim hoặc Neovim. Người dùng Linux, hãy cẩn thận! Nhà nghiên cứu bảo mật Armin Razmjou gần đây đã phát