Hiện nay các hệ thống phần mềm luôn luôn có lỗi. Lợi dụng các lỗi đó tin tắc có thể tấn công các hệ thống.
Một số kiểu tấn công lỗ hổng
- Zero day: là những lỗ hỏng hoặc lỗi chưa được công bố hoặc chưa khắc phục và thời gian tấn công ngắn chỉ trong vòng 1 ngày.
KẾT LUẬN
Trong khoảng vài năm trở lại đây, số lượng các lỗ hổng bảo mật của các trình ứng dụng Web được công bố tăng lên một cách đáng kể, cùng với sự phát triển mạnh của nền công nghệ thông tin nói chung và ứng dụng Web nói riêng. Những người làm bảo mật thường chỉ quan tâm đến độ bảo mật của mạng và hệ điều hành chứ ít quan tâm nhiều đến bảo mật của chính các ứng dụng chạy trên máy chủ web.
Mặc dù có rất nhiều lỗ hổng bảo mật của các ứng dụng web, nhưng chi phí cho việc bảo mật thông tin không được đưa vào ngân sách hoặc thậm chí không được xem xét trong suốt quá trình phát triển dự án.
Đa số ứng dụng web có thể bị những lỗi mà các phương cách phòng chống mạng thông thường không bảo vệ được. Lỗi và lỗ hổng trong mã nguồn của ứng dụng web có thể gây ra những hậu quả nghiêm trọng như lộ dữ liệu nhạy cảm, gây tổn thương đến toàn hệ thống hạ tầng CNTT. Sự cố bảo mật trong ứng dụng web có thể ảnh hưởng đến danh tiếng của công ty, mất mát về mặt tài chính, ảnh hưởng đến uy tín với khách hàng và các vấn đề liên quan đến ràng buộc pháp lý.
Khi một tổ chức triển khai trực tuyến một ứng dụng web, điều này đồng nghĩa với việc cho phép bất kỳ ai có kết nối Internet truy cập vào ứng dụng qua giao thức HTTP. Những cuộc tấn công nằm trong những truy cập HTTP này có khả năng vượt qua tường lửa, hệ thống lọc tầng mạng, các lớp bảo vệ hệ thống, và cả hệ thống phát hiện xâm nhập. Những thiết bị trên không thể phát hiện được những cuộc tấn công này vì các mã tấn công đều nằm trong các gói giao thức HTTP hợp lệ. Ngay cả những trang Web có mức độ bảo mật cao sử dụng SSL cũng đều cho phép tất cả các dữ liệu đi qua mà không hề kiểm tra tính hợp lệ của những dữ liệu này. Điều này có nghĩa là bảo mật ứng dụng Web là một nhân tố quan trọng nằm trong hệ thống phòng thủ ngọai vi, cùng với tường lửa và các thiết bị bảo mật khác.
TÀI LIỆU THAM KHẢO
1. Sybex - Network Security Foundations. 2. Mạng Internet.