Lỗ hổng trong ứng dụng

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu một số lỗ hổng thiếu an ninh trong ứng dụng công nghệ thông tin, phương pháp và công cụ kiểm soát, xử lý lỗ hổng (Trang 34 - 36)

Chương 1 CÁC HIỂM HỌA VỀ AN NINH HỆ THỐNG THÔNG TIN

1.2 TỔNG QUAN VỀ CÁC LỖ HỔNG THIẾU AN NINH

1.2.2.4. Lỗ hổng trong ứng dụng

a. Lỗ hổng ứng dụng Web

Ngày nay, các ứng dụng web ngày càng đóng một vai trò quan trọng đối với mọi tổ chức. Điều này trở nên rõ ràng khi các ứng dụng web bị tấn công sẽ làm ảnh hưởng nghiêm trọng đến các chức năng hoạt động của tổ chức. Một loạt các cuộc tấn công nhằm vào các hệ thống website với các kỹ thuật rất tinh vi và khác nhau. Có thể kể đến các cuộc tấn công:

+ DDoS gây ảnh hưởng nghiêm trọng đến việc cung cấp dịch vụ web cho người dùng và thiệt hại nặng nề cho đươn vị chủ quản web. Một số cuộc tấn như: tấn công DDoS làm hàng loạt website thuộc hệ thống của Công ty Cổ phần truyền thông Việt Nam (VCCorp) và các website được hỗ trợ vận hành bởi đơn vị này đồng loạt gặp sự cố gây thiệt hại hàng chục tỷ đồng, hay các cuộc tấn công vào các website thương mại điện tử như Én bạc, Rồng bay...

+ Tấn công dạng SQL Injection nhằm truy cập website bất hợp pháp đánh cắp chỉnh sửa cơ sở dữ liệu, phá hoại trang web.

Ngoài ra còn rất nhiều các loại tấn công khác nhằm vào các website có thể kể đến như XSS, deface...

Có thể nói website luôn luôn là mảnh đất màu mỡ mà các tin tặc nhằm đến, và tìm cách khi thác lỗ hổng..

b. Lỗ hổng bảo mật heartbleed trong ứng dụng OpenSSL

Lỗi Heartbleed là cực kỳ nghiêm trọng, nó làm lộ một lượng lớn các khóa mã cá nhân và các thông tin bí mật khác lên Internet do để lộ nội dung trên bộ nhớ của máy chủ, nơi lưu trữ các thông tin nhạy cảm nhất, bao gồm thông tin cá nhân như tên truy cập, mật khẩu, số thẻ tín dụng. Điều này cho phép những kẻ tấn công có thể lấy được mã cá nhân và giải mã các thông tin đã được mã hóa trên máy chủ, thậm chí giả mạo máy chủ.

OpenSSL là một công nghệ mã hóa được sử dụng rất phổ biến trên hàng triệu website để mã hóa việc truyền tin và bảo vệ các dữ liệu nhạy cảm như email, mật khẩu ngân hàng…. Nhưng một kẽ hở nghiêm trọng gọi là “Heartbleed” (Trái tim rỉ máu) trong OpenSSL đã tạo lỗ hổng để tội phạm mạng có thể lấy được những thông tin nhạy cảm từ bộ nhớ của hệ thống.

Chương 2. MỘT SỐ LỖ HỔNG THIẾU AN NINH TRONG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu một số lỗ hổng thiếu an ninh trong ứng dụng công nghệ thông tin, phương pháp và công cụ kiểm soát, xử lý lỗ hổng (Trang 34 - 36)

Tải bản đầy đủ (PDF)

(91 trang)