Giải Trí & Công Nghệ

Tấn công ứng dụng web là gì và cách bảo vệ

  • Người bắt đầu bài viết itmapasia
  • Ngày bắt đầu
itmapasia

itmapasia

Thành viên cống hiến
Member
Tấn công ứng dụng web là gì và cách bảo vệ

Ứng dụng Web hoạt động như thế nào?
Hình bên dưới mô tả chi tiết mô hình ứng dụng web ba lớp. Lớp đầu tiên thường là trình duyệt web hoặc giao diện người dùng; lớp thứ hai là công cụ công nghệ tạo nội dung động như Java servlet (JSP) hoặc Active Server Pages (ASP) và lớp thứ ba là cơ sở dữ liệu chứa nội dung (ví dụ: tin tức) và dữ liệu khách hàng (ví dụ: tên người dùng và mật khẩu, mạng xã hội số bảo mật và chi tiết thẻ tín dụng).



Hình bên trái cho thấy cách người dùng kích hoạt yêu cầu ban đầu thông qua trình duyệt qua Internet đến máy chủ ứng dụng web. Ứng dụng web truy cập vào máy chủ cơ sở dữ liệu để thực hiện tác vụ được yêu cầu cập nhật và truy xuất thông tin nằm trong cơ sở dữ liệu. Sau đó, ứng dụng web trình bày thông tin cho người dùng thông qua trình duyệt.

Tấn công ứng dụng web
Bây giờ chúng ta hãy xem xét các kiểu tấn công vào các ứng dụng web. Bất chấp những ưu điểm của chúng, các ứng dụng web gây ra một số lo ngại về bảo mật bắt nguồn từ việc mã hóa không đúng cách. Các điểm yếu hoặc lỗ hổng nghiêm trọng cho phép bọn tội phạm truy cập trực tiếp và công khai vào cơ sở dữ liệu để đánh cắp dữ liệu nhạy cảm - đây được gọi là một cuộc tấn công ứng dụng web. Nhiều cơ sở dữ liệu trong số này chứa thông tin có giá trị (ví dụ: dữ liệu cá nhân và chi tiết tài chính) khiến chúng trở thành mục tiêu tấn công thường xuyên. Mặc dù những hành động phá hoại như vậy (thường được thực hiện bởi những kẻ được gọi là kẻ lừa đảo tập lệnh) như làm xấu các trang web của công ty vẫn diễn ra phổ biến, nhưng ngày nay những kẻ tấn công thích giành quyền truy cập vào dữ liệu nhạy cảm nằm trên máy chủ cơ sở dữ liệu vì lợi nhuận lớn khi bán kết quả của vi phạm dữ liệu. Trong khuôn khổ mô tả ở trên, có thể dễ dàng thấy tội phạm có thể nhanh chóng truy cập dữ liệu nằm trên cơ sở dữ liệu thông qua một liều lượng sáng tạo và cùng với sự may rủi, sơ suất hoặc lỗi của con người, dẫn đến lỗ hổng trong các ứng dụng web.

Như đã nêu, các trang web phụ thuộc vào cơ sở dữ liệu để cung cấp thông tin cần thiết cho khách truy cập. Nếu các ứng dụng web không an toàn, tức là dễ bị tấn công bởi ít nhất một trong các hình thức kỹ thuật tấn công khác nhau, thì toàn bộ cơ sở dữ liệu thông tin nhạy cảm của bạn có nguy cơ bị tấn công ứng dụng web. Các kiểu tấn công SQL Injection, nhắm mục tiêu trực tiếp vào cơ sở dữ liệu, vẫn là loại lỗ hổng phổ biến nhất và nguy hiểm nhất. Những kẻ tấn công khác có thể tiêm mã độc hại bằng cách sử dụng đầu vào của người dùng của các ứng dụng web dễ bị tấn công để lừa người dùng và chuyển hướng họ đến các trang lừa đảo. Loại tấn công này được gọi là Cross-Site Scripting (tấn công XSS) và có thể được sử dụng ngay cả khi bản thân các máy chủ web và công cụ cơ sở dữ liệu không chứa lỗ hổng bảo mật. Nó thường được sử dụng kết hợp với các vectơ tấn công khác như các cuộc tấn công kỹ thuật xã hội. Có nhiều kiểu tấn công phổ biến khác như duyệt qua thư mục, bao gồm tệp cục bộ, v.v.

Nghiên cứu gần đây cho thấy 75% các cuộc tấn công mạng được thực hiện ở cấp độ ứng dụng web.


  • Trang web và các ứng dụng web liên quan phải hoạt động 24 giờ một ngày, 7 ngày một tuần, để cung cấp dịch vụ cần thiết cho khách hàng, nhân viên, nhà cung cấp và các bên liên quan khác.
  • Tường lửa và SSL không cung cấp khả năng bảo vệ chống lại cuộc tấn công ứng dụng web, đơn giản vì quyền truy cập vào trang web phải được công khai. Tất cả các hệ thống cơ sở dữ liệu hiện đại (ví dụ: Microsoft SQL Server, Oracle và MySQL) có thể được truy cập thông qua các cổng cụ thể (ví dụ: cổng 80 và 443) và bất kỳ ai cũng có thể cố gắng kết nối trực tiếp đến cơ sở dữ liệu một cách hiệu quả bỏ qua các cơ chế bảo mật được sử dụng bởi hệ điều hành. Các cổng này vẫn mở để cho phép giao tiếp với lưu lượng truy cập hợp pháp và do đó tạo thành một lỗ hổng lớn.
  • Các ứng dụng web thường có quyền truy cập trực tiếp vào dữ liệu phụ trợ như cơ sở dữ liệu khách hàng và do đó, kiểm soát dữ liệu có giá trị và khó bảo mật hơn nhiều. Những người không có quyền truy cập sẽ có một số dạng tập lệnh cho phép thu thập và truyền dữ liệu. Nếu kẻ tấn công nhận ra điểm yếu trong một tập lệnh như vậy, chúng có thể dễ dàng định tuyến lại lưu lượng truy cập không chủ ý đến một vị trí khác và cung cấp thông tin cá nhân một cách bất hợp pháp.
  • Hầu hết các ứng dụng web được tạo tùy chỉnh và do đó, đòi hỏi mức độ thử nghiệm thấp hơn so với phần mềm bán sẵn. Do đó, các ứng dụng tùy chỉnh dễ bị tấn công hơn.
Do đó, các ứng dụng web là một cổng vào cơ sở dữ liệu, đặc biệt là các ứng dụng tùy chỉnh không được phát triển với các phương pháp bảo mật tốt nhất và không trải qua các cuộc kiểm tra bảo mật thường xuyên. Nói chung, bạn cần trả lời câu hỏi: "Phần nào của trang web mà chúng tôi cho là an toàn, đang mở ra cho một cuộc tấn công ứng dụng web?" và “chúng ta có thể ném dữ liệu nào vào một ứng dụng để khiến nó thực hiện những điều mà nó không nên làm?”.

Đây là công việc của một máy quét lỗ hổng web.

WAPPLES, Bảo vệ Ứng dụng Web Tốt nhất
Bằng chứng về việc khai thác như vậy có sẵn trên Internet và là chủ đề thảo luận trong một số thông cáo báo chí của Penta Security, nhà cung cấp hàng đầu về các sản phẩm bảo mật ứng dụng web. Để kiểm tra xem trang web của bạn có dễ bị tấn công ứng dụng web hay không, hãy tải bản trình diễn WAPPLES.

Xem video thú vị này để tìm hiểu thêm về các tính năng và lợi ích tuyệt vời của WAPPLES.



Đọc thêm để tìm hiểu về các lý do kỹ thuật tại sao bạn cần WAF và WAPPLES, một WAF có thể tùy chỉnh dựa trên quy tắc, tại đây ngay hôm nay.



ITMAP ASIA - Đối tác của hãng Penta Security tại Việt Nam

555 Trần Hưng Đạo, P. Cầu Kho, quận 1, HCM

028 5404 0717 - 5404 0799

[email protected]
 
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bên trên