• Đảmbảodữliệuđượccungcấptừngườidùnglàhợplệ:
Tấtcả nhữngdữliệu đượcđưavàoứngdụngphảiđảmbảo đượckiểmtrakĩ, loại bỏhoặctừchốinhữngkítựđặcbiệtnhư<>‘/…
Tuy nhiên, không nên dùng ngôn ngữ trình khách (như JavaScript, VBScript…) để kiểm tra dữ liệu nhập hợp lệ vì hacker vẫn có thể lợi dụng để tấn công như trong kĩ thuật mã hoá URL hay vượt đường dẫn…Cách tốt nhất vẫn là kiểm tra ngaytrênứngdụng.
Nếu không thể từ chối cũng như lọai bỏ những kí tự, ứngdụng cần kiểm tra dữ liệuxuấtđểđảmbảorằngdữliệuxuấtđếntrìnhduyệtlàantoàn.
Vídụ 12.II-1:
Với SQL Injection, ứng dụng cần xuất một trang báo lỗi do chính ứng dụng qui địnhđểphòngtránhtrườnghợp hackerlợidụngnộidungbáolỗicúphápSQLđể lấythôngtin.
Ngoàira, ứngdụngcầnkếthợp vớiHTTPHeader,đặcbiệtlàthànhphầnReferer để đảm bảo trang yêu cầu không xuất phát từ máy hacker như trong kĩ thuật Buffer Overflow,thaotáctrênbiếnẩnform,…
• Chứngthựcngườidùng:
-Trang136- KhoaCNTT
Chương 12: Tổng kết các biện pháp phòng chống
Nhiều ứng dụng hiện nay quản lí một phiên làm việc của người dùng bằng sessionID nhưng sự yếu kém trong cách quản lí một phiên làm việc khiến cho hacker có thể dễ dàng kiểm soát được một phiên làm việc của người dùng như trong kĩ thuật “quản lí phiên làm việc”. Vì thế, đối với một phiên làm việc, ứng dụngcầnhủyngaysaukhitrìnhduyệtđóngkếtnối.
• Mãhóadữliệuquantrọng:
Nhữngthôngtinquantrongnhưtên/mậtkhẩu,creditcard,…cầnđượcmãhóađể tránh hackercó thểlấy đượcnội dung vàsửdụng chúngnhư trongkĩ thuậtXSS, SQL Injection...Ngoài ra, trong quá trình truyền, kết hợp phương pháp SSL để tránhtrườnghợpmấtmátthôngtintrênđườngtruyền.
Hiệnnaytronglĩnhvựcmãhóadữliệu,córấtnhiềuphươngphápmãhóanhưmã hóakhóabímật,mãhóakhóacôngkhai,…nêntùyvàomứcđộsửdụngcũngnhư tầm quan trọng màứng dụng cóthể chọn một trong nhữngphương pháp mãhóa đểđảmbảodữliệuđượcbảomật.
Tuy nhiên,hiện naynhiềunhàứngdụnglại mãhóadữliệukếthợp vớivàithông tin nhưngày giờ,địa chỉIP…khiến chohacker cóthể dễdàng dựđoán, hoặc nội dung dữ liệu mã hóa quá ngắn khiến cho hacker có thể sử dụng nhưng công cụ sẵn có để vét cạn những khả năng có thể xảy ra như trong kĩ thuật tấn công sessionID. Hoặcphương phápmãhóa đãquácũkhiến chohackercó thểdễdàng dùngnhữngcôngcụgiảimãnhư“JohnandRipper”.
Do đó, cần chọn thuật toán mã hóa cùng với khóa để mã hóa sao cho dữ liệu khôngdễdựđoánvàbịvétcạn.
-Trang137- KhoaCNTT
Chương 12: Tổng kết các biện pháp phòng chống
Ngoài ra,việc dùngSSLlàcần thiếtđểtránhtrường hợp dữliệubịđánh cắptrên đườngtruyền.
• Dùngphầnmềmcósẵn:
Hiện nay trên thị trường xuất hiện những phần mểm như Appshield hoạt động như một proxy, nghĩa là trung giangiữa máy khách và máychủ, mọi yêu cầu từ máykháchđềuđiquaphầnmềmnày,nếupháthiệntrongyêucầucóẩnchứakhả năngtấncônglênhệthống, nósẽtừchốiyêucầu,khônggửilênmáychủnữamà sẽtựđộnghủyyêucầu.
• Thiếtlậpquyền:
Với nhữngứng dụng,hệ thốngchỉ nên cungcấp những quyềnhạn nhất địnhsao cho ứng dụng đủ thực hiện các chức năng của mình. Không nên đưa quyền cao nhất, nhưroot vìhacker có thểlợidụng quyền rootnày để có thểthực thinhững
câu lệnh của hệ thống, như trong kĩ thuật tấn công SQL Injection, Buffer Overflow…