Những vấn đề cơ bản về bảo mật cho website

Bởi
admin
-
0
378
Communications connectivity September 1, 2000

Mọi tổ chức, doanh nghiệp và cả chính phủ đều sử dụng website để quảng bá thương hiệu, và cung cấp cho người dùng thông tin về mình. Do đó nó thường là đối tượng tấn công của nhiều hacker, nhằm mục đích khai thác thông tin cho những hoạt động trái phép. Bài viết sẽ đưa ra những vấn đề cơ bản để bảo mật cho website.

Một số hình thức tấn công website:

  • Khai thác lỗ hổng của những phần mềm có trên web server.
  • Tấn công DDOS
  • Khai tác dữ liệu từ backend thông qua một số kiểu tấn công injection như SQL injection(SQLi), Light Directory Acess -Protocol(LDAP), Cross site sripting(XSS).
  • Thay đổi(deface) giao diện website.
  • Dùng web server đã bị tấn công để phát tán malware.
Communications connectivity September 1, 2000

Một số cách đơn giản để bảo mật cho website

1. Nguyên tắc bảo mật cho website với webserver

  • Chỉ cài những ứng dụng cần thiết trên webserver.
  • Thiết kế webserver chặt chẽ với dữ liệu ở back-end.

2. Đối với cơ sở dữ liệu SQL

  • Thực hiện việc phân quyền rõ ràng khi thao tác trên các CSDL có trong webserver
  • Kiểm soát kĩ đầu vào như: kiểu dữ liệu, chiều dài, định dạng…
  • Lập danh sách hạn chế (black list) những ký tự đặc biệt những tham số đầu vào nguy hiểm, và chặn toàn bộ request chứa dữ liệu có trong black list.
  • Hạn chế sử dụng những câu lệnh truy vấn (SQL) trực tiếp, nên sử dụng tham số và kiểm soát đầu vào như lưu ý ở trên hoặc sử dụng store produce.

3. Với hệ điều hành

  • Những tài khoản được phép đăng nhập vào webserver cần phải được phân quyền truy cập vào tài nguyên của hệ thống.
  • Việc đăng nhập vào webserver cũng nên sử dụng cơ chế xác thực hai lần (chữ ký số, 2FA) để bảo mật cho website.

4. Đối với mật khẩu nên

  • Sử dụng độ dài đủ lớn trên 15 ký tự và không bao gồm thông tin cá nhân.
  • Sử dụng kết hơp giữa số , chữ cái hoa, thường và các ký tự đặc biệt.
  • Mật khẩu nên được thay đổi định kỳ trong khoảng 2-3 tháng.
  • Giới hạn việc ghi nhớ mật khẩu và sử dụng lại mật khẩu cũ.
  • Thay đổi tất cả các tài khoản mặc định.
  • Xóa toàn bộ tài khoản không sử dụng và các tài khoản guest.
  • Liên tục update, những bản vá mới của hê điều hành từ nhà phân phối.
  • Hạn chế xây dựng website trên những host “công cộng” có đặt nhiều website khác nhau trên đó.
  • Sử dụng những giao thức bảo mật như: SSL/TLS.

Giải pháp bảo mật website cho các quản trị viên

> Phát hiện sớm lỗ hổng bảo mật với WhiteHub Bug Bounty – Nền tảng bảo mật cộng đồng, kết nối chuyên gia an ninh mạng với doanh nghiệp có nhu cầu kiểm thử lỗ hổng cho website.

VNtrip, Luxstay, Giaohangtietkiem, Sendo, Getfly và nhiều doanh nghiệp khác đã sử dụng Bug Bounty để tìm lỗ hổng cho web & mobile app của mình. Bạn đã sẵn sàng?

Lợi ích khi tham gia WhiteHub:

  • Kiểm thử (tìm lỗ hổng) Website, Mobile App, IoT, API, SAAS,… hiệu quả với cộng đồng 500+ chuyên gia bảo mật, pen-tester, và hacker mũ trắng tài năng.
  • Tối ưu chi phí: chỉ trả tiền thưởng cho chuyên gia khi có lỗ hổng được tìm thấy.
  • An toàn cho doanh nghiệp: Tổ chức chương trình Bug Bounty riêng tư cho phép lựa chọn chuyên gia tin cậy.
Những kinh nghiệm cơ bản để lập trình web an toàn

BÀI VIẾT LIÊN QUANXEM THÊM

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây