Website security và 3 hình thức tấn công web phổ biến nhất

Cuộc Cách mạng công nghiệp 4.0 đang diễn ra nhanh chóng với sự phát triển mạnh mẽ của không gian mạng. Sự kết hợp giữa hệ thống ảo và thực tế đã làm thay đổi cách thức làm việc của con người, từ đó tạo nên “cuộc cách mạng” để thúc đẩy phát triển kinh tế - xã hội. Bên cạnh những lợi ích to lớn không thể phủ nhận thì việc kết nối toàn cầu với đặc tính không biên giới cũng đặt ra nhiều thách thức rất lớn đối với an ninh, trật tự của các quốc gia trên thế giới, khiến cho an ninh mạng đã trở thành vấn đề toàn cầu.

Đáng chú ý là năm 2020, đã phát hiện hệ thống thông tin mạng của Bộ Ngoại giao Áo, hãng hàng không Ravn Alaska (Mỹ), Đài phát thanh SER của Tây Ban Nha,… phải ngừng hoạt động do bị tấn công bằng mã độc và tấn công từ chối dịch vụ ( DDoS). Cơ sở dữ liệu của 6.000 nhân viên Mỹ đang làm việc tại nhà thầu hàng không vũ trụ và quốc phòng Boeing và nhiều tài liệu của các nhà mạng AT&T, Verizon và T-Mobile đã bị đánh cắp. 267 triệu tài khoản Facebook đã bị đánh cắp và lưu trữ trên máy chủ của tin tặc. 890 GB dữ liệu gồm lịch sử duyệt web, thông tin nhận dạng cá nhân của khoảng 1 triệu người dùng tại 11 quốc gia gồm: Congo, Bolivia, Colombia, Venezuela.... đã bị lộ do máy chủ cơ sở dữ liệu không được mã hóa.

Những năm qua, Việt Nam đã có nhiều chủ trương đẩy mạnh ứng dụng, phát triển CNTT phục vụ phát triển kinh tế - xã hội. Kinh tế số được hình thành và phát triển nhanh, xuất hiện ngày càng nhiều hình thức kinh doanh, dịch vụ mới xuyên quốc gia, dựa trên nền tảng Internet. Tuy nhiên, bên cạnh những thuận lợi, Việt Nam cũng đang phải đối mặt với nhiều thách thức đối với an ninh quốc gia, trật tự an toàn xã hội đến từ không gian mạng.

Chẳng hạn như trong năm 2020, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (ANM&PCTPCNC) phát hiện trên 2.600 trang/ cổng thông tin điện tử của Việt Nam (có tên miền “.vn”) bị tin tặc tấn công, thay đổi giao diện hoặc chèn tập tin (tăng 28% so với cùng kỳ năm ngoái). Đáng chú ý, lợi dụng dịch bệnh COVID-19 diễn biến phức tạp, các nhóm tin tặc đã gia tăng tấn công mạng qua khai thác lỗ hổng bảo mật của các ứng dụng họp trực tuyến, tán phát mã độc qua thư điện tử có nội dung liên quan đến công tác phòng, chống dịch.

5 mối đe dọa trực tuyến hàng đầu tại khu vực Đông Nam Á gồm: Mã độc ẩn trong các website - rất dễ gặp khi người dùng truy cập vào trình duyệt web bị nhiễm mã độc hoặc các quảng cáo trực tuyến; Mã độc trong tệp/chương trình được người dùng vô tình tải xuống từ internet; file đính kèm độc hại từ email trực tuyến; Mã độc ẩn trong tiện ích mở rộng trên trình duyệt; và Tệp chứa mã độc hoặc bị điều khiển bằng phương thức C&C (command-and-control) từ máy chủ của hacker.

Tuy nhiên, điều này cũng không hoàn toàn tiêu cực. Vì những hình thức tấn công website này đã giúp cho doanh nghiệp ý thức hơn trong việc nâng cao cảnh giác về bảo mật. Và thúc đẩy cho sự ra đời của nhiều giải pháp công nghệ hiện đại để giúp giải quyết vấn đề này.

1. Tấn công web dạng SQL injection

SQL injection (SQL) là một kỹ thuật cho phép những kẻ tấn công sử dụng những lỗ hổng trong các kênh đầu vào (input) của website. Nhằm nhắm vào cơ sở dữ liệu của ứng dụng web, nơi lưu giữ những thông tin có giá trị nhất. Kẻ tấn công có thể lợi dụng điều này để đánh cắp những dữ liệu quan trọng.

Nó giúp cho kẻ tấn công thực hiện các thao tác như: delete, insert, update,... trên cơ sở dữ liệu của ứng dụng.

Ngôn ngữ truy vấn mang tính cấu trúc (Structured Query Language-SQL) là một loại ngôn ngữ máy tính phổ biến để tạo, sửa, và lấy dữ liệu từ một hệ quản trị cơ sở dữ liệu quan hệ. Cơ sở dữ liệu sử dụng SQL bao gồm MS SQL Server, MySQL, Oracle, Access… tất nhiên các cơ sở dữ liệu này cũng không thể tránh khỏi các cuộc tấn công SQLi. Những chương trình chống virus cũng không thể đảm bảo chắc chắn là có thể chặn 100% các cuộc tấn công SQLi.

Để ngăn chặn SQL Injection tấn công, người dùng nên thường xuyên cập nhật, vá lỗi của tất cả các máy chủ, dịch vụ và ứng dụng, tiếp đến là xuất và sử dụng source code.

2. Tấn công website với XSS

Cross-Site Scripting (XSS) là một kỹ thuật tấn công phổ biến nhất hiện nay, nó được liệt vào danh sách nhiều thủ thuật tinh vi nhất đối với ứng dụng web.

XSS là một lỗi bảo mật cho phép Attacker/Hacker chèn các đoạn script nguy hiểm vào source code của ứng dụng web. Sau đó chạy trong trình duyệt của người dùng và có thể thay đổi hoặc đánh cắp thông tin trên trang web.

Hậu quả mà những gì kẻ tấn công gây ra sẽ không dễ nhận thấy, đặc biệt là khi các trình duyệt chạy JavaScript trong sự kiểm soát nghiêm ngặt và nó đã giới hạn quyền truy cập vào hệ điều hành, các file của người dùng.

Để nhận biết máy chủ bị tấn công, ta có thể xem xét quyền truy cập JavaScript:

JavaScript độc hại có quyền truy cập vào cookie. Cookie thường được sử dụng để lưu trữ mã token, nếu kẻ tấn công lấy được cookie của người dùng, chúng có thể mạo danh người đó.

JavaScript có thể đọc và thực hiện các chỉnh sửa tùy ý đối với DOM của trình duyệt (trong trang JavaScript đang chạy).

JavaScript có thể sử dụng XMLHttpRequest để gửi các yêu cầu HTTP có nội dung tùy ý đến các đích khác nhau.

JavaScript trong các trình duyệt hiện đại có thể tận dụng các API HTML5 để truy cập vị trí địa lý, webcam, micro và thậm chí các file cụ thể từ hệ thống file của người dùng. Mặc dù đa số các API này yêu cầu người dùng phải đồng ý, nhưng XSS kết hợp với một số kỹ thuật social engineering thông minh sẽ mang lại cho kẻ tấn công nhiều ưu thế hơn.

Hãy cảnh giác với hình thức tấn công web này và cả hình thức social engineering. Nếu kết hợp cả 2 loại trên, hacker sẽ đánh cắp được cookie, keylogging….

3. Tấn công DDoS website với lượng request cực lớn

Nếu không thể truy cập được website của bạn hoặc nhận thấy có một lượng traffic lớn đang đổ vào website. Điều đó có nghĩa là bạn đang trở thành đối tượng bị tấn công DDoS.

Tấn công DDoS (Distributed Denial of Service) là hình thức tấn công website nhằm đánh sập máy chủ bằng lượng số lượng request cực lớn. Bạn thử tưởng tượng một đợt Flash Sale mà cả triệu khách hàng ồ ạt vào mua hàng cùng một lúc, tấn công DDoS cũng tương tự như thế. Việc này gây tình trạng trang web bị lag, đơ. Như vậy, khi website bị tấn công bằng hình hình thức này thì khách hàng sẽ không thể truy cập được vào web, dẫn đến việc họ không thể tương tác, mua hàng hay tìm kiếm được bất kỳ thông tin nào họ cần.

Hiện tượng tấn công DDoS vào server các website hiện nay đã trở thành một vấn đề vô cùng nghiêm trọng. Bên cạnh gây ra những ảnh hưởng tiêu cực đến website, nó còn để lại hậu quả nặng nề cho các doanh nghiệp về doanh thu, lợi nhuận và uy tín. Do đó, đây đang là chủ đề được rất nhiều người dùng và doanh nghiệp quan tâm.

Và làm thế nào để website của bạn luôn được đảm bảo an toàn và bảo mật, hãy cùng tìm hiểu ở phần tiếp theo nhé!

Để ngăn chặn các hình thức tấn công vào website, nhiều doanh nghiệp đã triển khai thực hiện nhiều biện pháp thủ công như:

• Các quản trị viên nâng cao ý thức bảo mật cho trang web.
• Cấu hình security cho website, kiểm tra mã nguồn website định kỳ.
• Hạn chế tối đa việc cài các plugin lạ (đối với wordpress).
• Sao lưu thường xuyên. Backup dữ liệu hàng ngày, hàng tuần hoặc hàng tháng.
• Tuy nhiên, đó chỉ là những phương pháp bổ sung đi kèm.

Mà trong đó giải pháp đơn giản, hiệu quả và tiết kiệm chi phí nhất phải nhắc đến là VNIS Cloud WAF - một giải pháp cung cấp dịch vụ website security phù hợp với nhu cầu của từng khách hàng. Ở đây có có đội ngũ chuyên môn giàu kinh nghiệm, có thể giúp bạn xử lý sự cố một cách nhanh chóng, chính xác và tiết kiệm thời gian.

Bạn không thể chắc chắn chắn rằng website của mình an toàn nếu như các lỗ hổng trên website chưa được bảo vệ đúng cách.

• Cloud WAF VNIS như một lớp tường lửa bảo vệ thông minh trấn thủ ở mặt ngoài website của bạn.
• Chống DDoS layers 3, 4, 7.
• Nó có thể lọc được tất cả các traffic được gửi tới website, sau đó phân tích, đánh giá một cách nhanh chóng và chính xác nhất mà không làm ảnh hưởng đến tốc độ website khi trả về kết quả truy vấn đến người dùng hợp pháp.
• Chống tấn công Botnet, SQL, injection.
• Luôn theo dõi, phân tích môi trường mạng để đánh giá các mối đe dọa mới và giữ cho cơ sở dữ liệu được cập nhật liên tục.