VỚI NHỮNG NHÀ THIẾT KẾ ỨNG DỤNG WEB

Một phần của tài liệu CÁC LOẠI TẤN CÔNG BUFFER OVERFLOW, SQL INJECTION, CROSSSITE SCRIPTING, URL ATTACK, HIJACKING (Trang 29 - 31)

•Đảm bảo được những dữ liệu được cung cấp từ người dùng hợp lệ :

- Tất cả những dữ liệu được đưa vào ứng dụng phải đảm bảo được kiểm tra kỹ, loại bỏ hoặc từ chối những kí tự đặc biệt như <>’/…

- Tuy nhiên, không nên dùng ngôn ngữ trình khách (như JavaScript, VBScript..) để kiểm tra dữ liệu nhập hợp lệ vì hacker vẩn có thể lợi dụng để tấn công như trong kỹ thuật mã hóa URL hay vượt đường dẫn…Cách tốt nhất vẫn là kiểm tra ngay trên ứng dụng.

- Nếu không thể từ chối cũng như loại bỏ những kí tự, ứng dụng cần kiểm tra dữ liệu xuất để đảm bảo rằng dữ liệu xuất đến trình duyệt là an toàn.

•Chứng thực người dùng :

- Nhiều ứng dụng hiện nay quản lí một phiên làm việc của người dùng bằng sessionID nhưng sự yếu kém trong cách quản lí một phiên làm việc khiến cho hacker có thể dể dàng kiểm soát được một phiên là việc của người dùng. Vì vậy đối với phiên làm việc, ứng dụng sẽ bị hủy ngay sau khi trình duyệt đóng kết nối.

•Mã hóa dữ liệu quan trọng:

- Những thông tin quan trọng như tên/mật khẩu, credit card….cần được mã hóa để tránh hacker có thể lấy được nội dung và sử dụng chúng như trong kỹ thuật XSS, SQL Injection..Ngoài ra, trong quá trình truyền, kết hợp phương pháp SSL để tránh trường hợp mất mát thông tin trên đường truyền.

- Hiện nay trong lĩnh vực mã hóa dữ liệu, có rất nhiều phương pháp mã hóa như mã hóa khóa bí mật, mã hóa công khai…nên tùy vào mức độ sử dụng cũng như tầm quan trọng mà ứng dụng có thể chọn một trong những phương pháp mã hóa để đảm bảo dữ liệu được bảo mật.

- Tuy nhiên, hiện nay nhiều nhà ứng dụng lại mã hóa dữ liệu kết hợp với vài thông tin như ngày giờ, địa chỉ IP…khiến cho hacker có thể dể dàng dự đoán, hoặc nội dung dữ liệu mã hóa quá ngắn khiến cho hacker có thể sử dụng những công cụ sẳn có để vét cạn những khả năng có thể xảy ra như trong kĩ thuật tấn công sessionID. Hoặc phương pháp mã hóa đã quá củ khiến cho hacker có thể dể dàng dùng những công cụ giải mã như ”John and Ripper”.

- Do đó, cần chọn thuật toán mã hóa cùng với khóa để mã hóa sao cho dữ liệu không để dự đoán và bị vét cạn.

- Ngoài ra, việc dùng SSL là cần thiết để tránh trường hợp dữ liệu bị đánh cắp trên đường truyền.

•Dùng phần mềm có sẵn :

- Hiện nay trên thị trường xuất hiện những phần mềm như Appshield hoạt động như một proxy, nghĩa là trung gian giũa máy khách và máy chủ, mọi yêu cầu từ máy khách đều bị qua phần mềm này, nếu phát hiện trong yêu cầu có ẩn chứa khả năng tấn công lên hệ thống, nó sẽ từ chối yêu cầu, không gửi lên máy chủ nữa mà sẽ tự động hủy yêu cầu.

- Với những ứng dụng, hệ thống chỉ nên cung cấp những quyền hạn nhất định sao cho ứng dụng đủ thực hiện các chức năng của mình. Không nên đưa quyền cao nhất, như root vì hacker có thể lợi dụng quyền root này để có thể t hực thi những câu lệnh của hệ thống, như trong kĩ thuật tấn công SQL Injectio..

Một phần của tài liệu CÁC LOẠI TẤN CÔNG BUFFER OVERFLOW, SQL INJECTION, CROSSSITE SCRIPTING, URL ATTACK, HIJACKING (Trang 29 - 31)

Tải bản đầy đủ (DOC)

(34 trang)
w