1. LỖI CHÈN MÃ ĐỘC
Lỗi chèn mã độc là lỗi xảy ra khi chưa có sự lọc dữ liệu đầu vào, các dữ liệu truy cập có thể là một trang không uy tín. Khi truy cập, website có thể bị tấn công bằng cách chèn mã độc hại gây ra mất quyền kiểm soát hoặc rò rỉ thông tin trên website.



Để chặn lỗi bảo mật trang web này, bạn cần kiểm tra dữ liệu đầu vào đã tin cậy và an toàn không. Bạn cần kiểm tra truy vấn SQL và sử dụng các framework để bảo vệ máy chủ.

Cách ngăn chặn
Rà soát lại toàn bộ mã nguồn web bị nhiễm mã độc

Kiểm tra các file có thời gian thay đổi gần nhất kể từ khi xuất hiện cảnh báo của google

Kiểm tra file có tên index.*, Default.*, .htaccess trên host và gỡ các đoạn iframe

Thay đổi mật khẩu các tài khoản với mật khẩu phức tạp hơn



2. LỖ HỔNG XSS (CROSS SITE SCRIPTING)
Đây là lỗi bảo mật trên web thường gặp. Kẻ tấn công chèn các đoạn mã JavaScript vào ứng dụng web. Trong lỗi bảo mật XSS, các dữ liệu nhận dạng người dùng sẽ bị đánh cắp như cookies, token hay thông tin khác.

Phương thức tấn công này được thực hiện theo nhiều cách khác nhau. Mã độc có thể thể hiện trên trình duyệt người bị lỗi này hoặc lưu trong cơ sở dữ liệu và bật lên mỗi khi họ sử dụng chức năng tích hợp.

Nguyên nhân được giải thích là do dữ liệu xác thực đầu vào không hợp lệ, dữ liệu độc hại đầu vào có thể xâm nhập vào dữ liệu đầu ra.

Có 3 loại tấn công CSS

+ Reflected XSS

+ Stored XSS

+ DOM Based XSS



Cách ngăn chặn
Loại tấn công này được coi là nguy hiểm và rủi ro nhất, bởi vậy nên có một kế hoạch ngăn ngừa.

Bước đầu trong quá trình phòng chống tấn công này là xác thực đầu vào, đặc biệt là đầu vào của người dùng. Ý tưởng lọc đầu vào của người dùng là tìm kiếm các từ khóa nguy hiểm trong mục nhập của người dùng và xóa chúng hoặc sử dụng các chuỗi thay thế. Các chuỗi có thể là:

+ Thẻ <script> </ script>

+ Lệnh Javascript

+ Đánh dấu HTML

+ Hoặc một cách khác là sử dụng ký tự Escape

3. LỖI BẢO MẬT TRANG WEB SECURITY MISCONFIGURATION
Máy chủ và các ứng dụng website có thể bị cấu hình sai, nguyên nhân do:

+ Chạy ứng dụng khi chế độ debug đang bật

+ Sử dụng các phần mềm lỗi thời trong wordpress, PHP phiên bản cũ

+ Tích hợp thêm các dịch vụ, phần mềm không cần thiết

+ Không thay đổi default key hoặc mật khẩu



Cách ngăn chặn
+ Xây dựng một quá trình tốt từ khi tạo web cho đến lúc triển khai. Cần phải audit chính xác bảo mật trên máy chủ trước khi triển khai.

+ Cân nhắc tính an toàn và phù hợp của các phần mềm trước khi tích hợp thêm nó vào web.


4. SENSITIVE DATA EXPOSURE (RÒ RỈ DỮ LIỆU NHẠY CẢM)
Lỗi bảo mật này thường về crypto và tài nguyên. Các dữ liệu nhạy cảm như thông tin thẻ tín dụng, mật khẩu người dùng phải được mã hóa cả khi gửi đi và lưu trữ.

Cách ngăn chặn
+ Sử dụng thuật toán mã hóa và hashing để tăng bảo mật

+ Sử dụng tiêu chuẩn an ninh mạng AES và RSA

+ Không sử dụng URL và cookie nhạy cảm để truyền các Session ID và dữ liệu nhạy cảm.

+ Sử dụng HTTPS có chứng chỉ an toàn và PFS, chỉ nhận các dữ liệu HTTPS có gắn cờ an toàn.

+ Hạn chế các dữ liệu nhạy cảm và có khả năng bị lộ. Nếu không cần nên xóa hoặc hủy nó. Không lưu thông tin thẻ tín dụng, hãy đăng ký một bộ xử lý thanh toán như stripe hoặc Braintree.

5. LỖI PHÂN QUYỀN
Lỗi phân quyền là lỗi khi một hàm được gọi trên máy chủ nhưng quá trình phân quyền không chính xác dẫn đến việc khách hàng nghĩ rằng không thể truy cập. Tuy nhiên, các hacker có thể yêu cầu các chức năng ẩn và có thể truy cập các chức năng này. Nếu website của bạn chỉ có bảng điều khiển admin thì thực sự nguy hiểm vì hacker có thể nắm toàn bộ thông tin và quyền kiểm soát website.


Cách ngăn chặn
Phân quyền website từ khâu xây dựng web. Nếu các tài khoản phân quyền nhỏ bị hack thì hacker không thể nắm quyền kiểm soát. Với các tài khoản, cần yêu cầu khách hàng đặt mật khẩu có mức độ khó cao.



6. USING COMPONENT WITH KNOWN VULNERABILITIES
Đây là lỗi bảo mật trang web khi các bộ thư viện đã có lỗ hổng trước đó. Lỗi này xảy ra khi bạn nhận được mã nguồn ngẫu nhiên trên Github hoặc một số diễn đàn. Khi này, website của bạn đứng trước nguy cơ bị lỗ hổng bảo mật nghiêm trọng, tin tặc có thể đọc được cơ sở dữ liệu, tệp tin cấu hình và mật khẩu website.



Cách ngăn chặn
Chú ý kiểm tra các ứng dụng của bên thứ 3 trước khi tích hợp, không nên chỉ copy paste.

Thường xuyên kiểm tra và cập nhật các phiên bản mới nhất của ứng dụng để đảm bảo chúng còn phù hợp với website của bạn trong thời điểm hiện tại.



Trên đây là 6 lỗi bảo mật trang web thường gặp. Các lỗi này sẽ ảnh hưởng rất lớn đến quyền kiểm soát và quản trị website. Bởi vậy, khi làm web, bạn cần cân nhắc lựa chọn các đơn vị uy tín, có tính bảo mật cao và hỗ trợ xử lý web trong những thời điểm quan trọng.

xem chi tiết: https://azsolutions.vn/6-loi-bao-mat...cach-ngan-chan