Sai lầm của admin trong công cuộc bảo mật thiết kế web

Trong khi hacker ngày càng tinh vi thì admin – người đóng vai trò quản trị website lại còn khá mơ hồ và lơ là trong công cuộc thiết kế bảo mật web. Ngay bây giờ, các admin hãy thức tỉnh và nhận thức được trách nhiệm của mình trong công cuộc bảo mật thiết kế web. 
Hiện nay trường hợp website bị đánh cắp hầu như xảy ra rất phổ biến. Một phần là do hacker quá tinh vi, nhưng một phần cũng nằm ở trách nhiệm của admin. Có thể một chút lơ là, không cẩn thận, admin có thể đẩy website vào tình trạng báo động đỏ.

Dưới đây 6 sai lầm mà admin hay mắc phải trong việc bảo mật thiết kế web. Hy vọng các admin sẽ thức tỉnh và nhận thấy được vai trò của mình trong việc bảo mật web.

1. Đặt password khá đơn giản

Cách đặt password của các admin khá đơn giản, hacker có thể lợi dụng để đột nhập vào lấy cắp thông tin dữ liệu. Các password thường gặp có thể là: admin, 123456, là domain của site, username, phone, pass db, ngày tháng năm sinh, v.v…

thiet ke web bao mat
Mật khẩu đơn giản, hiểm họa khôn lường
 

Ở đây gọi là kỹ thuật đoán password, một kỹ thuật tưởng là khó thành công nhưng đôi lúc cũng khá tốt. Nếu các bạn có kinh nghiệm hacking khi xem username + password database thì chắc có lẽ sẽ bất ngờ vì password.

Cách giải quyết là các admin hãy đặt các mật khẩu có ký tự đặc biệt, nếu việc nhớ những mật khẩu này khó khăn, hãy sử dụng các ứng dụng quản lý password chẳng hạn như Lastpass.
2. Không xóa các file nhạy cảm có chứa thông tin liên quan đến password

Các admin thường sơ xuất không xóa đi một số file nhạy cảm như: mysqldumper, bigdump,zip, databackup.php, unzip.php, caidat.php, zipcode.php hay có thể là tên của của chính website. Hacker có thể đoán và thử xem các file đó có tồn tại hay không?.

Dựa vào các file đó, hacker có thể xâm nhập vào trang quản trị, Cpanel hoặc ftp của bạn là điều không gì dễ hơn thế nữa.

3. Sử dụng cùng 1 username + password cho tất cả dịch vụ

Việc này do admin thiếu kinh nghiệm đặt password diễn đàn trùng với password mail, hay password login vào cpanel dẫn đến việc dễ bị hack.

Đây là 1 kỹ thuật khá hay, trước khi hack 1 site nào đó, hacker có thể tìm kiếm những thông tin về admin của victim, tìm xem admin này thường hay ra vào forum, blog nào, cố gắng hack 1 trong các site mà admin đó thường lui tới để có được password của admin, việc cuối cùng là crack password, thử xem admin có thiếu kinh nghiệm đến mức đặt password chung không.

Nói ra thì dài dòng, nhưng các hacker có mặt trên các khắp diễn đàn, nên bạn an tâm việc hacker có vui lòng hack website của bạn hay không mà thôi (đừng để mình thành nạn nhân vì những việc này).

4. Phishing:

Hacker thường làm là send cho victim (nạn nhân ) 1 con keylogger (thường là gởi qua mail hay send link qua Y!M), rồi ngồi chờ thôi. Tất nhiên có nhiều biến tướng từ Phishing: fake login…, nhớ là phòng hơn chống.

Xem thêm: Cẩn thận hình thức tấn công giả mạo ăn cắp mật khẩu Gmail

thiet ke web bao mat
Hình thức phishing
 

5. Social engineer

Nhắc đến social thì mọi người thường nhắc đến Kevin Mitnick. Thực ra cái này cũng không phải là kỹ thuật cao siêu gì, vấn đề là tạo được lòng tin từ victim để từ đó khai thác.

Có thể ví dụ như sau: thường thông qua lỗi sql injection được username + password, nhưng công việc khó khăn nhất là tìm link login, một cách social là contact nhân viên support cung cấp site đó, bảo site đó bị hack, login vào trang quản lý nhưng không được, “username + password của tôi nè, please help me!!!!!!”

6. Sử dụng open source, source share trên mạng

Chúng ta vì sợ tốn tiền, chọn đại một open source nào đó đẹp đẹp trên mạng về sử dụng, nhưng họ đâu biết rằng chính source đó là mồi nhử của các hacker, thế là thêm 01 con mồi bị sập bẫy.

Do vậy, nếu bạn sử dụng mã nguồn mở hãy đọc bài này: Tổng hợp 10 lưu ý bảo mật đối với website sử dụng shared hosting linux
thiet ke web bao mat
Sử dụng mã nguồn mở không an toàn trong thiết kế website
 
Chắc chắn công việc bảo mật web là không hề dễ dàng. Nó đòi hỏi một thiết kế bảo mật web, các công cụ phòng chống hack, và cũng cần trách nhiệm, vai trò của cả admin. Dù sao đi nữa, các admin nên cẩn thận hơn, các bạn đừng để những lỗi ngớ ngẩn như trên làm chết website của mình nhé.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d bloggers like this: