2.1. Một số phương pháp đảm bảo an ninh Website
2.1.4. Bảo đảm an ninh nội dung Web
Hai thành phần chính của đảm bảo an ninh Web là đảm bảo an ninh ứng dụng máy chủ bên dưới và HĐH, và đảm bảo an ninh nội dung thật sự của Web. Trong số này, bảo đảm an ninh nội dung Web thường bị bỏ qua.
2.1.4.1. Công bố thông tin trên Website cơng khai
Nhiều tổ chức khơng có một quy trình hoặc chính sách cơng khai nội dung web nhằm xác định loại thông tin nào công bố công khai, thông tin nào công bố với truy cập bị giới hạn, và thông tin nào nên được bỏ đi từ bất kỳ kho lưu trữ nào có thể truy cập cơng khai. Đây là rắc rối bởi vì các website là một trong những nơi đầu tiên mà các thực thể độc hại tìm kiếm thơng tin có giá trị.
Một Website công khai không nên chứa các thông tin sau:
Các bản ghi phân loại (classified records).
Các luật và thủ tục cá nhân nội bộ.
Thơng tin nhạy cảm và riêng tư (có sở hữu).
Thông tin cá nhân về nhân sự hoặc người dùng của một cơ quan tổ chức.
Số điện thoại, địa chỉ e-mail, hoặc các danh sách chung của nhân viên trừ khi cần thiết để hoàn thành yêu cầu cơ quan.
Và các thông tin riêng của tổ chức và cá nhân.
2.1.4.2. Theo dõi các quy định về thu thập thông tin cá nhân
Nhiều cơ quan chính phủ đã ban hành các luật và quy định về việc thu thập thông tin về người dùng truy cập vào các Website cơng khai. Các tổ chức chính phủ và cơ quan nên nhận thức các luật, các quy định, và các hướng dẫn thích hợp
có thể áp dụng này cũng như nắm bắt được sự thay đổi các yêu cầu pháp lý, quy định, và hợp đồng.
2.1.4.3. Giảm nhẹ các cuộc tấn công gián tiếp trên nội dung
Các tấn công nội dung gián tiếp là không trực tiếp tấn công vào Webserver hoặc nội dung của nó. Chúng can dự qua các phương tiện trung gian nhằm có được thơng tin người dùng, đó là những người thường hay truy cập vào trang Web mà được bảo vệ và duy trì trên webserver đó. Các đề tài phổ biến của các tấn công này là ép buộc người dùng truy cập vào một website độc hại do kẻ tấn công thiết lập và tiết lộ thông tin cá nhân trong niềm tin rằng họ đã truy cập vào trang web hợp pháp. Hai loại tấn công gián tiếp phổ biến được mô tả là phishing và pharming.
+ Phishing:
Kẻ tấn công phishing sử dụng công nghệ kỹ năng xã hội để đánh lừa người dùng truy cập vào một website giả mạo và tiết lộ thông tin cá nhân. Trong một số cuộc tấn công phishing, những kẻ tấn cơng gửi một e-mail trơng có vẻ hợp pháp yêu cần người dùng cập nhật thơng tin của mình trên Website cơng ty, nhưng thực ra các URL trong e-mail này lại trỏ tới một website giả.
+ Pharming:
Kẻ tấn pharming sử dụng phương tiện kỹ thuật, thay vì kỹ năng xã hội, nhằm để chuyển hướng người dùng truy cập vào một website giả mạo như là một trang web hợp pháp và tiết lộ thông tin cá nhân. Pharming thường được hoàn thành hoặc bằng cách khai thác lỗ hổng trong phần mềm DNS (phân giải tên miền Internet vào trong địa chỉ IP), hoặc bằng cách thay đổi các tập tin host được lưu trữ trên máy khách (client) để phân giải tên miền Internet một cách cục bộ.
Trong cả hai trường hợp, hệ thống bị tác động phân giải khơng chính xác các tên miền hợp pháp hướng đến địa chỉ của website độc hại.