Lợi íchSự bùng nổ Internet trên mọi lĩnh vực giúp mọi người có thể lấy các tin tứccần thiết, chia sẻ các thông tin trên mạng máy tính và liên lạc với người ở xa.Website là một trong nhữn
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
Trường Đại Học Gia Định
KHOA: CÔNG NGHỆ THÔNG TIN
Họ và tên: Hồ Trương Gia Phúc
Mã SV: 23150463
Lớp: 231509
Giảng viên hướng dẫn: Huỳnh Văn Huy
Đề tài: Tìm hiểu và nghiên cứu cách tấn công 1 website và đưa các phương án phòng vệ
Thành Phố Hồ Chí Minh,ngày 25 tháng 10 năm 2023
Trang 2MỤC LỤC
CHƯƠNG1 TỔNG QUÁT VỀ WEBSITE 1
1.1 Khái niệm 1
1.3 Lợi ích 2
1.4 Hậu quả của việc bị đánh cắp dữ liệu và cách bảo mật 2
CHƯƠNG2 CÁC CÁCH TẤN CÔNG 1 TRANG WEB 3
2.1 Tấn công website với SQL injection 3
2.2 Tấn công Brute Focre 3
2.3 Tấn công Ddos website 3
2.4 Tấn công website XSS 3
2.5 Lỗi chèn phiên 4
2.6 Lỗi chứng thực yếu 4
CHƯƠNG3 CÁC PHÒNG NGỰ VÀ PHƯƠNG THỨC PHỤC HỒI 5
3.1 Các cách phòng ngự 5
3.2 Các cách phục hồi 6
CHƯƠNG4 KẾT LUẬN 7
Trang 3CHƯƠNG1 TỔNG QUÁT VỀ WEBSITE
1.1 Khái niệm
1.1.1 Lịch sử hình thành:
Tim Berners-Lee, một nhà khoa học người Anh, đã phát minh ra World Wide Web (WWW) vào năm 1989, khi đang làm việc tại CERN Cuối năm 1990, Tim Berners-Lee có máy chủ và trình duyệt Web đầu tiên được thiết lập và chạy tại CERN, thể hiện ý tưởng của ông Anh ấy đã phát triển mã cho máy chủ Web của mình trên máy tính NeXT Để tránh việc nó tình bị tắt, máy tính có mộtvô
nhãn viết tay bằng mực đỏ: “Máy này là máy chủ KHÔNG ĐƯỢC TẮT NGUỒN NÓ!!” info.cern.ch là địa chỉ của trang web và máy chủ Web đầu tiên trên thế giới, chạy trên máy tính next tại CERN Địa chỉ trang web đầu tiên là:
http://info.cern.ch/hypertext/WWW/TheProject.html
1.1.2 Website
Cuộc cách mạng khoa học và công nghệ trên toàn thế giới thúc đẩy loài người bước sang một kỷ nguyên mới Đó là kỷ nguyên của nền văn minh dựa trên
cơ sở công nghiệp trí tuệ Cuộc cách mạng khoa học kỹ thuật có thể được đánh dấu bằng sự ra đời và phát triển ồ ạt của máy tính cũng như sự đa dạng của công nghệ phần mềm, nên việc ứng dụng tin học vào đời sống xã hội nói chung và công tác quản lý nói riêng đang phát triển mạnh mẽ, nó góp một vai trò không nhỏ vào việc phát triển của công nghệ thông tin và ngày nay sự phát triển đó đang được ứng dụng nhiều và không thể thiếu được trong mọi ngành nghề văn phòng, quảng cáo, tài chính, công tác quản lý …
Trang 41.2 Để website hoạt động ta cần có
Source Code Website (mã nguồn website): Đây là một hệ thống gồm một hoặc nhiều tập tin được viết dựa trên các ngôn ngữ lập trình và được kết nối thành giao diện người dùng trên website
Web Hosting (Lưu trữ web): Là máy chủ dùng để lưu trữ mã nguồn và các thành phần khác trên website của bạn
Doamin (Tên miền ): Tên miền là địa chỉ trang web hoạt động trên Internet
để người dùng truy cập vào website của bạn dễ dàng
1.3 Lợi ích
Sự bùng nổ Internet trên mọi lĩnh vực giúp mọi người có thể lấy các tin tức cần thiết, chia sẻ các thông tin trên mạng máy tính và liên lạc với người ở xa Website là một trong những phương tiện hữu ích giúp người sử dụng làm những công việc trên, thông qua Web mọi người tìm những gì mình cần rất nhanh chóng
mà không thiếu thốn thời gian vì phát triển thương mại điện tử nên mọi cơ quan, văn phòng cũng như siêu thị đều có Web của riêng mình Bạn nghĩ sao khi chỉ cần ngồi nhà mà có thể đặt hàng, đặt phòng cũng như lấy thông tin cần thiết Có được những điều đó là nhờ sự kết hợp của Web và cơ sở dữ liệu nhằm đưa ra những cơ
sở dữ liệu đơn lẽ độc lập trở nên hữu ích cho mọi người trên toàn thế giới, giúp mọi người có thể truy cập kho dữ liệu khổng lồ của nhân loại Web trở thành một cuộc cách mạng vì nó làm cho Internet trở nên thân thiện với người dùng
1.4 Hậu quả của việc bị đánh cắp dữ liệu và cách bảo mật
1.4.1 Hậu quả
Gián đoạn trong hoạt động web
Bị lộ hoặc bị đánh cắp dữ liệu khách hàng
Trang 5Ảnh hưởng đến uy tín thương hiệu.
Không thể chạy quảng cáo google, facebook,…
Ảnh hưởng đến SEO
1.4.2 Bảo mật
1.4.2.1 Bảo mật tài khoản quản trị viên.
Bảo vệ mật khẩu quản trị
Giới hạn số lần sai mật khẩu
Đổi URL Đăng nhập trang quản lí
Bật xác thực 2 bước
1.4.2.2 Phòng chống mã độc cho website
Quét mã độc cho website
Thận trọng với mã độc ấn trong theme và plugin miễn phí trên WordLess
1.4.2.3 Sử dụng HTTPS/ chứng chỉ SSL
Trang 6CHƯƠNG2 CÁC CÁCH TẤN CÔNG 1 TRANG WEB
2.1 Tấn công website với SQL injection.
SQL injection là một hình thức tấn công cho phép các tin tặc sử dụng các lỗ hổng tại kênh đầu vào của trang web với mục đích đánh cắp dữ liệu quan trọng tại nơi lưu trữ những thông tin có giá trị hay các cơ sở dữ liệu của trang web Ngôn ngữ truy vấn mang tính cấu trúc SQL là loại ngôn ngữ phổ biến để tạo, sửa hoặc lấy dữ liệu trên hệ quản trị cơ sở dữ liệu của ứng dụng Chính vì vậy, các cơ sở dữ liệu có trong SQL sẽ không thể tránh khỏi nguy cơ bị tấn công và các chương trình chống virus cũng không đảm bảo chặn được 100% các cuộc tấn công SQL injection
2.2 Tấn công Brute Focre.
Việc các tin tặc sử dụng phần mềm để các ký tự khác nhau được sắp xếp lại thành một mật khẩu đúng được gọi là hình thức tấn công website Brute force Nhiều quản trị viên của website thường chủ quan trong việc đặt username và mật khẩu, không thường xuyên thay đổi mật khẩu hay không bảo mật cho đường dẫn đăng nhập
Điều này vô tình đã giúp các tin tặc có thể dễ dàng tìm được thông tin đăng nhập Chúng sẽ sử dụng các thông tin tìm được để truy cập vào website và tiến hành thực hiện những hành vi trái phép tại đó
2.3 Tấn công Ddos website.
Nếu bạn nhận thấy website của mình đang phải nhận một lượng traffic lớn hoặc không thể truy cập được vào website thì khả năng cao trang web đã trở thành đối tượng bị tấn công DDoS Đây là hình thức tấn công được các tin tặc sử dụng để đánh sập máy chủ bằng số lượng request khổng lồ Điều này khiến cho khách hàng
Trang 7không thể truy cập được vào website và không thể thực hiện bất kỳ tương tác, mua hàng hay tìm kiếm những thông tin cần thiết Nó được xem là loại hình tấn công nghiêm trọng gây ra những hậu quả nặng nề cho doanh nghiệp, ảnh hưởng tiêu cực đến website
2.4 Tấn công website XSS.
XSS là một hình thức tấn công mạng mà trong đó, các phần nội dung của website đáng tin cậy sẽ bị các tin tặc chèn mã độc hại vào đó Hầu hết các đoạn mã độc hại được viết bằng Client-Site Script như JScript, JavaScript, DHTML thậm chí là cả các thẻ HTML
Với hình thức tấn công này, các tin tặc sẽ không tấn công trực tiếp vào nạn nhân mà sẽ khai thác các lỗ hổng trong trang web - nơi mà các nạn nhân truy cập Tuy nhiên, XSS chỉ gây tổn hại với các trang web tại phía client và những người duyệt trang đó sẽ vô tình trở thành nạn nhân trực tiếp
2.5 Lỗi chèn phiên.
Lỗi chèn phiên hay phương thức chiếm phiên thường xảy ra khi một tài khoản truy cập bất kỳ tiến hành thực hiện quá trình chứng thực tài khoản, mật khẩu đối với các server Server sẽ dựa trên những thông tin này để tạo ra một giá trị session ID duy nhất cho phép người dùng có thể duy trì kết nối
Nếu giá trị session ID này bị tin tặc đoán được thì khả năng người dùng hợp
lệ khác bị chúng chiếm phiên là rất lớn
2.6 Lỗi chứng thực yếu.
Khi một trang web cho phép một tài khoản bất kỳ không có đủ điều kiện truy cập vào các nội dung nhạy cảm thì lỗi chứng thực yếu sẽ xuất hiện Tình trạng này có thể dễ dàng gặp được tại các trang quản trị website
Trang 8CHƯƠNG3 CÁC PHÒNG NGỰ VÀ PHƯƠNG THỨC PHỤC HỒI 3.1 Các cách phòng ngự.
SQL injection.
Cách tốt nhất để ngăn chặn được hình thức tấn công này là bạn phải thường xuyên cập nhật, kiểm tra và vá các lỗ hổng bảo mật của tất cả các ứng dụng, dịch
vụ, máy chủ hoặc sử dụng source code
Brute focre.
Để có thể đối phó với loại tấn công này, bạn cần:
Tăng cường độ mạnh cho mật khẩu bằng cách đặt mật khẩu có tối thiểu 8 ký
tự, bao gồm chữ hoa, chữ thường, ký tự đặc biệt và không nên tuân theo một
ý nghĩa hay trật tự nào cả
Sử dụng các cơ chế chứng thực Digest Authentication hoặc Basic
Hạn chế đăng nhập sai tài khoản hoặc khoá tài khoản do đăng nhập sai Xác định dấu hiệu của hình thức tấn công này bằng cách sử dụng module Mod_Dosevasive
Ddos website.
Để đảm bảo an toàn cho website bạn nên:
Nâng cao ý thức bảo mật website cho các quản trị viên
Kiểm tra mã nguồn website định kỳ và cấu hình security cho trang web Hạn chế cài đặt các plugin lạ
Backup dữ liệu định kỳ theo ngày, theo tuần hoặc theo tháng
Website XSS.
Trang 9Để có thể tránh được loại tấn công này, bạn nên:
Từ chối nhận các dữ liệu sai và cho phép các dữ liệu hợp lệ
Kiểm tra và lọc các dữ liệu đầu vào một cách thường xuyên
Lọc các dữ liệu tấn công XSS bằng cách sử dụng Mod_Security
Lỗi chèn phiên.
Nếu giá trị session ID này bị tin tặc đoán được thì khả năng người dùng hợp
lệ khác bị chúng chiếm phiên là rất lớn Bạn có thể đối phó với loại hình tấn công này bằng cách:
Tránh trường hợp bị nghe lén dữ liệu bằng cách sử dụng SSL trong quá trình chứng thực
Thuật toán mã hoá mạnh và sử dụng các cơ chế ngẫu nhiên để tạo ra giá trị session ID
Để khiến cho quá trình tấn công web gặp khó khăn thì session ID phải đủ lớn
Thời gian tồn tại của session ID phải được giới hạn
Lỗi chứng thực yếu.
Các doanh nghiệp nên phân quyền cho từng vai trò quản trị trên trang một cách chặt chẽ để có thể giảm thiểu được nguy cơ tin tặc dễ dàng vượt qua các cơ chế đăng nhập của trang web và chiếm quyền kiểm soát trang web Bên cạnh đó, doanh nghiệp nên thông qua tập tin cấu hình httpd.conf hoặc htaccess để thiết lập
cơ chế điều khiển truy cập, đảm bảo an toàn cho website
3.2 Các cách phục hồi.
3.2.1 Cách ly trước khi phục hồi web.
Trang 103.2.2 Xác minh quyền sở hữu website 3.2.3 Xác định bản chất của cuộc tấn công 3.2.4 Đánh giá thiệt hại đóng tệp.
3.2.5 Xác định lỗ hỏng để phục hồi website 3.2.6 Làm sạch và bảo trì cho website 3.2.7 Làm sạch máy chủ.
3.2.8 Checklist phục hồi website bị hack 3.2.9 Yêu cầu và gửi đánh giá cho Google.
Trang 11CHƯƠNG4 KẾT LUẬN
Tóm tắt bài tiểu luận lại, cho ta thấy quá trình ra đời và hình thành của website, từ những trang liên kết đầu tiên cho tới những trang tìm kiếm hot hiện nay như google, cốc cốc, yahoo,….Nhờ vào những trang web
đó nó có thể giúp ta tìm hiểu những nội dung ta muốn hay lập ra một trang web có thể kinh doanh.
Qua những lợi ích mà website mang lại, thì những quản trị viên website vẫn đối mặt với những hacker mạng, chúng tấn công vào những trang web có lỗ hỏng bảo mật đánh cắp thông tin khách hàng mã hóa thông tin hay có thể là dùng virus xâm nhập đánh sập những website gây ra những tổn thất không nhỏ Qua bài tiểu luận trên ta có thể thấy chúng ta có thể phòng ngừa những hacker lợi dụng những lỗ hỏng đấy mà đề ra cách phòng ngừa và phục hồi lại website.
Trang 12TÀI LIỆU THAM KHẢO
1 elib.vku.udn.vn/bitstream/123456789/950/1/TTDATN-Vo%20Tai
%20Truong.pdf
2 codelean.vn/2021/08/lich-su-phat-trien-cua-web.html
3 https://cystack.net/blog/phuc-hoi-website-tan-cong
4 Thầy Huỳnh Văn Huy