Những kinh nghiệm cơ bản lập trình ứng dụng web an toàn 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn  !"#$%&'( 1) SQL Injection )*++,-.- !"#$(/01& '23456$77(23456$78 !"#$ 7789:%;<=>!10.0 8?@A!B+1(C>:D78:7E9 F&'+F23456$( CG!"HIHFJ!"88K+L$+L$.$L 'M23456$;D;A;<NO P!Q8K+L$+L$.$LRPLHS2TU!UVWXP83$QY2Z4Z[\]^S_ `$aIZ^Z!QP!YX b':.cdefgS^dQdhi!8K+L$+L$.$L 7.%;<>A>7>%;<+Fj=, +<.+1cdefgS^dQdh(/8+.8:-+@ +.8:k7 !"?F( CG!"FID ++8i9/D78()@ l8LHIH%789(b7188: 9+J!"H$.$!2$8$(>J!"%F!$// !mO P!Q8K+L$+L$.$LRPLHS2TU!UVWXnRoLRP!WW !.+L$L!L$RWXP8QP!pq.$.$RY2$+$\n8`$ aIZ^Z!QrYWXP8pq!H8RdP!WXP8pq$$$RWX sFt+8;@0Bu2H(bZO 2K+H8$$TV8.8Q$#2K+H8$$TdVX.8TeVQ$# 2K+H8$$RYv5!Y.5wWX83$QY2Z4Z[\]^S_`$aIZ^Z 5wQv5!YX I'J!"8H$OnRo5xy(H$R.5w$$WW !.+L$L!L$RWX 4B%M1FB17.8 !"#$ ;@@A!B+1O z{.K7M779[2w4 ? !"#$1Ki[2w4()@F8;{!m @A!B+1|.K2Z4Z[;{!m 75b2Z^`HwuZ( 011+Fj,7G0//%DJ!"H$ LA>9+89/(bF8 9+8,7G0;/[$7F}8%;<[$?8> +8=%@D78!c~XF%;</[$ 7%;<B7G07889;!cQ~D78+F( 2) File Uploaders zFJ!"8;@>]+$`.+!$7K+•78 9FFJ/8?.:1.=/( sFMB1...€='(bD8D/ •+$7{ /•+$9/- ?8?(CG!" F+/•+$$(6.DF/;O P8b#Q!$RY‚p8p!IOOYWXP8Sb8$QPS+]+$b8$XPb$#b8$ Q8!ƒRP8b#„YpppY„P8Sb8$X …{>+;B/•+$@A!B+1+;•+$%-%†/8 %;<F7.M8AB.M8A ;(8.(•+$‡ z{i%;{!ˆ@F+;BB•+$%;<+/(CG !"7Jc7n.+!•+$$$ •+$$$#$$(8‰.+!$!•+$‰$(6.~( 4;B1.8;8"/ˆ/>/ ;`.+!`.+!`$]+$`$`.+!‡[|MF,de7G 0ˆ/;K2y+CwS4Š( z{.‹.0:.;(..(.(6./;8" +/F>NJ!"($u.$ >552( bF%@++;B•+$@A!B+1!F ( 3) Local hoặc Remote File Inclusion Attacks HIH!Œi-;@;7(b78%F !$9}+!$87J!"89+%;<+= ;{!m(CG!"O b$#5!QPLHS2TU!UVX+!$Pb$#5wX'$K$L$RPb$#5wWX )008(:8G'08D+1 /G8??FNF8DHIH!$1. .$+%+<!"%8?+,-]+$5+%%l %F8D=•+$+(C>:F/1J!"8 +!$$K$!B+1%M%%;<%-A;{!m( • C8,•+$8%i|5w//@A!B+1DF %;{!ˆ;O!#+!•+$(..r5wQfg!$?F @A!B+1/•+$5wQfg%lJ+•( • bJ+••+$0.F780•FB7G0 ;c((~c‰~c.~cn.~c.~‡b;.;@..70 09( 4) XSS )&'Ž22HIHJ!"O P`$H8Q.LRP`$H8WX u2H(bZO `$H8Q _n(2$(u +(2•$(…$2n$I8+]8$R`$H8WX bB%%;<G.G/+B1@+:. >#$;M%&'%;<  !"#$( 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn zF8!0;8#$8 !"#$F. *?89K}@%%8;{!m%;<1()& '8FM:.+;<!$F %F+:.>1>19%F7(w; %*|+ƒ7i!+,? ;{+:.>( 1. SQL Injection 23456$++F-(b;{%;<J!"% 7+,-?#$/HIH'u2H([ •81/88D%B234 !"? FKi%M? !"(b.‹. 7•/8'!@A!B+1+i[2w4 ;$8+8:7‘'*;{!m#$(234 56$8#$.:B7 %:@A!B+1'F80%( …JN%&:.R•8/8:7‘W%;<%;0 .%*234K.;@ HS2(_%F!$ i18J+•1%&:.?;{!m!Œ!i- ;@O b8;{!m#$J8?i!8’8"/ ;{!m23401; )>%DrzG0“%;<Aws_2;888$7K !ˆ%10F8.M?234.M 9!m%788:7‘('7%8K Ki!i"( [&'723456$O[1K%9 7++l!B+18;{!m.N 8O8K+L$+L$.$LRW.L$.$LRW‡wB+19.%;< %-A$.$RW.nRW%78L8$RW .$L!RWN8%i!F!B+1G( 2. Stored XSS 78.%;<A'%;<%;@ A!B+1?19i;A()9+:.723456$ 8D%7;A%@A!B+18|;A;{ !m?19(CG!";.M>+:?#$(' 7;{!m8;{!m7{#$%D i+*Œ88D%6.%}../%&:.?;{ !m( CG!"O [&'2$!Ž22 )&'2$!Ž22M8+lG<.!B+1%M( H;@..9+F8#$+7G0%;<.‹.J!" 8"(b#$!Œi-;@;2$!Ž22>m l.S+7$J%.19@;{!m7j 18./;{!m(%9>!11%D& '&}.7$N”2.=;{!m( 3. Bảng mã Unicode 20.?197G0u2[558D!0/Bu .-M(${}%MJ!"B 19B7(wd$7!m%+;B7G0 B8198D8!B% !F%D%;<8}()G+‘`!$(19`!$ 8,7G0%;<+;B+@d$(s8D`]p•+8D `!$%;<J!"D.‹.'–887G 0G!"c((‰~$7(s8D`]p•778G <.+1?7G0%'1;c‰~( CG!"%8DDm$8B%;{+79 %;<198D7O 198D77G0%;<+;BiG 7(w%+l!%$7G0%M/MJ!" 7G0([.€97+%- !B+18%i!F9(2%878 J<.+17+Fj7G07889( 5. PHP Injection bB+:.>8.‹.08D/(HIH %+$K$RW+!$RW$+RW!.$L$.+$m8!•$‰$ $8@+;B,7G0;8HIH!$( CG!"J#$8%7%@!0/:.+ JK.;@ …Z%%;!?8•+$;( b;:.%;<lKA.;@ …Z%;< J!"K8+!$RW()+8+,8i7 A'N7(s7>8Dt%;<0 (CG!"O );{!ˆ%8D%%;<K;889?8(zi %;<0A8??'( [&'HIH56$ [>8?.GF.€7([m l++#L+Ln.$'•+$:.=/8?! 8•+$L$L$n.$+!$$K$([19+ 7.‹.!B+1%M=;{!m80.( s+l,7G0%MF#$+•+$%;<.‹.+%M (b€7;@0t%;<'7 ;O4+]+$5+!$H.S6$56$‡ 5. Account Lockout _l9+*18;{ !m8#$%+(b;{%; 8.‘8(dƒ.;7./%% J8;{!m7;%(;7%7 ;{!m%M/9}9+FK%i9m?8>%D i%&7j!i":%;<7?i7 €xe.7%;<%/8( F19+FJ+G;:r b;{!m %D%;<;{!m%M/%&:.(I} 01+M%&:.7;{!m 8: 7‘(C8"%G&'$pn$19 77;{!m7;<K+M%&:.F(' J!"u4777;{!m7 :.%;<B( [&'u47O>77;{!m7 ;<K9+M%&:.FF/$8‹1/M;{!m —8D[.8,+M%&:..$()1 #$7j7$pn$87=9:.;{!m( _..7+'%i|5H87{%i( b;ˆ';{!mi%i|5H(b ˆ7;{!m7:.7( Kiểm tra bảo mật z8?#$?FB+,-8:+%M ()718{FJ!"89">878+, -0%([Dmx.;@..788:O s+7s$ z8J/s+7|0188 #$7M/ !"(Il78B !B+1%M<.+17K%MG7( u$+8G!".M888s+7s$( a$s$ [...]... Tổng kết Năm kiểu tấn công được lựa chọn không được đề cập đến chuyên sâu, chỉ là một vài kịch bản cơ bản được nêu ra Chắc chắn còn có rất nhiều các cuộc tấn công đe dọa doanh nghiệp của bạn Bất kể lập trình viên, quản lí dự án hay các công ty khởi nghiệp cần nhận thức được tầm quan trọng trong việc bảo vệ ứng dụng của mình Không thực hiện các biện pháp bảo mật đầy đủ có thể khiến bạn bị mất uy tín với... dựa theo quy tắc ngược lại Kiểm thử viên sẽ toàn quyền truy cập vào mã nguồn, các lỗ hổng bảo mật sẽ được phát hiện thông qua việc kiểm tra code RATS là một ví dụ phần mềm White Box Testing tự động Grey Box Testing Đó là sự kết hợp cả 2 phương pháp nêu trên Kĩ thuật này đòi hỏi chúng ta tiếp cận toàn bộ tài liệu tạo ra trong suốt quá trình phát triển ứng dụng nhưng không tiếp cận vào mã nguồn Theo . Những kinh nghiệm cơ bản lập trình ứng dụng web an toàn 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn  . XSS 78.%;<A'%;<%;@ A!B+1?19i;A()9+:.723456$ 8D%7;A%@A!B+18|;A;{ !m?19(CG!";.M>+:?#$(' 7;{!m8;{!m7{#$%D i+*Œ88D%6.%}../%&:.?;{ !m( CG!"O [&'2$!Ž22 )&'2$!Ž22M8+lG<.!B+1%M( H;@..9+F8#$+7G0%;<.‹.J!" 8"(b#$!Œi-;@;2$!Ž22>m l.S+7$J%.19@;{!m7j 18./;{!m(%9>!11%D& '&}.7$N”2.=;{!m( 3. Bảng mã Unicode 20.?197G0u2[558D!0/Bu .-M(${}%MJ!"B 19B7(wd$7!m%+;B7G0 B8198D8!B% !F%D%;<8}()G+‘`!$(19`!$ 8,7G0%;<+;B+@d$(s8D`]p•+8D `!$%;<J!"D.‹.'–887G 0G!"c((‰~$7(s8D`]p•778G <.+1?7G0%'1;c‰~( CG!"%8DDm$8B%;{+79 %;<198D7O 198D77G0%;<+;BiG 7(w%+l!%$7G0%M/MJ!" 7G0([.€97+%- !B+18%i!F9(2%878 J<.+17+Fj7G07889( 5.