Vài thuật ngữ trong bảo mật trang web

Nói chung, chúng ta không nên chỉ tập trung vào các bài viết trên web, các trang web, các mối đe dọa, tin tặc… Tất cả chúng ta đều đã nghe những từ này, nhưng chúng ta có thực sự biết điều gì đằng sau chúng không? Người đọc blog luôn quan tâm đến các chủ đề bảo mật và đặt rất nhiều câu hỏi.
Để hiểu rõ hơn, chúng tôi quyết định thảo luận về thuật ngữ cơ bản được sử dụng để mô tả mối đe dọa, nguyên nhân và hậu quả của việc hack và hành vi độc hại đối với các trang web. Quản trị viên web và nhà phát triển có thể sử dụng

Vài thuật ngữ thường được sử dụng:

1. Hacker

Dịch ra được gọi là tin tặc, chúng ta hình dung ra một thanh niên ngồi trước máy tính, nhanh chóng phá vỡ sự bảo mật chặt chẽ của một hệ thống không xác định. Với sự trợ giúp của phương tiện truyền thông và phim ảnh, khái niệm về tin tặc đã phát triển qua nhiều năm: Tội phạm mạng tạo ra vi-rút và tấn công các chương trình cũng như máy tính, và những tên trộm kỹ thuật số có thể lẻn vào máy tính của chúng ta để lấy dữ liệu nhạy cảm.

Tuy nhiên, khái niệm này chỉ mô tả một loại tin tặc. Dưới đây là một vài định nghĩa khác:

Hacker là người có kiến ​​thức và am hiểu khá sâu các hoạt động của một ứng dụng, hệ thống, máy tính hay mạng. Sử dụng chuyên môn của mình với mục đích tốt đẹp, anh ấy có thể đưa ra các phương pháp tiếp cận khôn khéo và lệch chuẩn khi xử lý vấn đề (như bảo mật, ứng dụng, hệ thống. ..) .

Loại hacker này được coi là hacker có tổ chức hay hacker mũ trắng. Chẳng hạn, đó là những chuyên viên bảo mật CNTT giám sát và xâm nhập vào hệ thống nhằm tìm ra lỗi và sửa chúng ngay lập tức (trước khi kẻ xấu đến) .

The bad guys ( Những kẻ xấu )

Khi một hacker hành động để gây hại hoặc đạt được bất kỳ lợi ích nào, thì các thuật ngữ phù hợp hơn dành cho anh ta là hacker, hacker mũ đen hoặc hacker độc hại. Định nghĩa này gần nhất với nhận thức phổ biến về hacker. Ngoài ra còn có một định nghĩa về một cái gì đó ở giữa một hacker nhân từ và một hacker độc hại – hacker mũ xám. Anh ta vừa cho bạn biết anh ta đã hack bạn như thế nào và chỉ ra những điểm yếu trong hệ thống, nhưng trước đó anh ta chưa hỏi bạn xem bạn có cần kiểm tra bảo mật hay không.

Ví dụ: họ có thể tấn công một trang web và sau đó viết thư cho quản trị viên, cho biết (có tính phí) lỗ hổng bảo mật là gì và có thể bảo vệ lỗ hổng đó như thế nào.

1. Những thuật ngữ khác liên quan đến hacker:

Thuật ngữ “Hack”

Hacking có nghĩa là việc sử dụng mã độc hoặc sự tấn công của tin tặc và thông qua cuộc tấn công, tin tặc nhằm mục đích giành quyền truy cập vào máy tính, đánh cắp thông tin, cài đặt phần mềm độc hại, v.v.

2. Thuật ngữ “Website malware”

Mã độc là một phần của tệp hoặc có thể là toàn bộ tệp (mã độc) nằm trên trang web có chức năng thực hiện các hành động độc hại. Các tập lệnh độc hại trên trang web là công cụ của tin tặc mà chúng đạt được các mục tiêu nhất định.

Ví dụ về hành động độc hại và hậu quả của việc thêm tệp độc hại vào trang web:

• Backdoor là mã hoặc tập lệnh độc hại mở ra một cửa hậu để các bên thứ ba truy cập trái phép vào các tệp và dữ liệu trên trang web.
• Defacing là thêm các trang độc hại vào trang web bắt chước một trang web khác. Một trang độc hại là một bản sao của một trang từ một trang web hợp pháp. Trang thường có một hình thức đăng nhập trong đó các nạn nhân bị lừa nhập dữ liệu truy cập của họ mà không nghi ngờ rằng đó là một trang lừa đảo. Ví dụ: trang đăng nhập trong ngân hàng trực tuyến, webmail và các loại dịch vụ và tài khoản khác.
• Defaces Depersonalization là sự thay đổi giao diện của trang web, bao gồm hình ảnh và thông báo trên trang chủ (do hacker để lại, nhằm truyền tải thông điệp hoặc chứng tỏ với cộng đồng hacker).
• Drive-by-Downloads Gửi phần mềm độc hại (vi rút, trojan, cửa sau, v.v.) đến thiết bị của khách truy cập và cài đặt phần mềm đó.
• Malicious Redirects Hướng khách truy cập đến các trang web độc hại và lừa đảo.
• SPAM  Ví dụ: trang web có thể có một tập lệnh (thư tín) gửi email thay mặt cho miền của bạn. Một loại khác là thư rác SEO, trong đó các từ, liên kết, quảng cáo và những thứ khác được thêm vào nội dung của trang.
• Data retrieval Rút dữ liệu từ cơ sở dữ liệu để tống tiền và bán chúng trên thị trường chợ đen. Bị ảnh hưởng bởi điều này là các cửa hàng trực tuyến và các trang web khác lưu trữ dữ liệu nhạy cảm về khách hàng của họ trong cơ sở dữ liệu.

3. Thuật ngữ “Malware”

Malware có nghĩa là phần mềm độc hại . Thuật ngữ này được sử dụng trong lĩnh vực bảo mật máy tính. Đây là một thuật ngữ chung cho bất kỳ loại phần mềm độc hại nào được thiết kế để gây hại hoặc khai thác thiết bị hoặc máy tính của chúng tôi.

Phần mềm máy tính độc hại được thiết kế để xâm nhập các thiết bị và máy tính, không phải các trang web. Kết nối với bảo mật trang web là các trang web bị tấn công có thể phân phối phần mềm độc hại đó.

Thí dụ về những phần mềm độc hại:

Virus phần mềm độc hại được gắn vào một chương trình. Khi chương trình đó khởi động, vi-rút sẽ nhân lên,gây lây nhiễm các chương trình trên máy tính. Vi-rút có thể gây rất nhiều thiệt hại – làm hỏng hoặc đánh cắp tệp và thông tin, làm hỏng hệ thống, mất tài nguyên máy tính, v.v.

Trojan Horse là một chương trình nguy hiểm giả dạng hợp pháp và hữu ích. Mở một tệp thực thi đáng ngờ (.exe, .bat) giống như việc mời giặc vào nhà. Khi một chương trình khởi động trên máy tính, nó sẽ tiếp quản từ bên trong và không được chú ý. Không giống như virus, nó không tự sao chép bằng cách lây nhiễm các chương trình khác. Sau khi chiếm quyền kiểm soát hệ thống, chạy ngầm để người dùng không thể nhìn thấy, nó có thể thay đổi các tệp và cài đặt, tham gia vào các cuộc tấn công có tổ chức vào các máy tính khác, mở cổng cho những kẻ độc hại và những điều đáng sợ khác. Vậy nên đừng bao giờ mở các tệp thu được từ các nguồn không đáng tin cậy.

Backdoor là phương thức truy cập từ xa vào hệ thống mà không cần thông qua nhận dạng thông thường (có dữ liệu truy cập). Quyền truy cập này cho phép bạn kiểm soát hệ thống. Phần mềm độc hại có thể là một phần của chương trình khác hoặc một chương trình độc lập. Và Virus và Trojan là một trong cài đặt các chương trình backdoor.

4. Thuật ngữ “Vulnerability”

Vulnerability ( Lỗ hổng bảo mật ) là một kẽ hở hoặc kẽ hở trong mã gây rủi ro bảo mật tiềm ẩn cho trang web. Nó có thể nằm trong chính mã của ứng dụng hoặc trong mã plugin/theme code.

Các lỗ hổng trong mã ứng dụng là một trong những phương pháp được sử dụng phổ biến nhất để hack các trang web. Cách khác được sử dụng nhiều nhất, dẫn đến vi phạm và xâm phạm trang web, là thông qua truy cập trái phép (vào tài khoản, quản trị và những người khác).

Các lỗ hổng trong mã mở ra cơ hội cho các hành động độc hại khác nhau trên trang web, chẳng hạn như:

• Remote / Local File Inclusion Một cuộc tấn công thông qua các trường điền dữ liệu trên trang web, cho phép kẻ độc hại thực thi mã trên trang web, nằm trong tệp độc hại. Tệp từ xa được đặt trên một máy chủ từ xa và tệp cục bộ được đặt trên cùng một máy chủ với trang web.
• Privilege Escalation Một cuộc tấn công mà theo đó kẻ ác ý có được quyền truy cập mở rộng vào hệ thống, chẳng hạn như quyền quản trị.
• SQL injection Một cuộc tấn công trong đó tin tặc gửi truy vấn SQL (Ngôn ngữ truy vấn có cấu trúc) thông qua một trường để điền vào trang web, chẳng hạn như công cụ tìm kiếm, liên hệ hoặc biểu mẫu khác. Từ việc thực hiện các yêu cầu, tin tặc có thể tải xuống nội dung từ cơ sở dữ liệu, đưa nội dung SPAM và các nội dung khác.
• Remote Code ExecutionMột cuộc tấn công trong đó kẻ độc hại thực thi các lệnh trên trang web từ xa. Một cuộc tấn công như vậy cung cấp cho bạn toàn quyền truy cập và kiểm soát trang web.
• Cross-Site Request Forgery (CSRF) Một cuộc tấn công trong đó người dùng đã đăng nhập nhấp vào một thông báo độc hại thực thi các lệnh trái phép trên trang web.

Thí dụ về vài điều khoản gây mất mát:

Bug: Lỗi có nghĩa là lỗi hoặc lỗ hổng trong quá trình phát triển mã ứng dụng. Lỗi có thể gây ra hành vi không mong muốn trong ứng dụng hoặc gây ra lỗ hổng.

Zero-Day: Đề cập đến một lỗ hổng được phát hiện gần đây mà không có bản vá nào để bảo vệ nó. Cho đến khi lỗ hổng được bảo vệ, tin tặc có thể sử dụng nó để xâm nhập các trang web. Việc sử dụng một lỗ hổng như vậy được gọi là khai thác zero-day hoặc tấn công zero-day.

5. Thuật ngữ “Unauthorized access”

Unauthorized access (Tiếp cận trái phép) có nghĩa là tin tặc đã đăng nhập bằng xác thực bằng tên người dùng và mật khẩu, nhưng anh ta không có quyền truy cập tài nguyên và chức năng của nó.

Truy cập trái phép vào hệ thống là phương pháp phổ biến nhất khác để xâm phạm các trang web.

Điều khoản bảo mật máy tính liên quan đến kiểm soát truy cập:

Truy cập Hành động truy cập không chỉ liên quan đến việc đăng nhập vào hệ thống mà còn liên quan đến việc sử dụng hoặc sử dụng các tài nguyên và chức năng của hệ thống.

Xác thực Được sử dụng để xác minh danh tính của người dùng. Quá trình mà bạn chứng minh rằng bạn là người dùng đáng tin cậy của hệ thống. Ví dụ: để truy cập bảng quản trị của trang web, xác thực được thực hiện bằng tên người dùng và mật khẩu.

Ủy quyền Ủy quyền được sử dụng để kiểm soát quyền truy cập vào các tài nguyên và chức năng của hệ thống. Ví dụ: quản trị viên trang có toàn quyền và quyền truy cập không giới hạn vào tất cả các chức năng, trong khi người dùng bình thường có các quyền hạn chế, chẳng hạn như không được phép chỉnh sửa bài viết và không thể thay đổi cài đặt trang. Khi hack thông qua truy cập trái phép, người ta cho rằng tin tặc đã xác định chính mình với dữ liệu truy cập, nhưng không có quyền và sự cho phép để truy cập và sử dụng toàn bộ hệ thống.

Trang web không phải là một thành phần biệt lập và để tồn tại và hoạt động, nhiều thành phần khác (công nghệ, ứng dụng, dịch vụ, v.v.) được kết nối với nó và cũng cần có quyền truy cập.

Làm thế nào truy xuất hoặc chặn dữ liệu truy cập:

Cross Site Scripting (XSS) Cuộc tấn công sử dụng hầu hết các vị trí trống để chèn nội dung trên trang web. Một liên kết có mã độc hại (thông thường là JavaScript) được sử dụng trên một trang web khác sẽ được chèn vào trong trường. Mã độc hại được thêm trực tiếp vào mã khi trang web hoạt động, do đó dễ dàng thay đổi giao diện và đánh lừa khách dùng đã nhấn vào liên kết và lấy thông tin đăng nhập. Các thuật ngữ liên quan đến đăng nhập:

Đăng nhập cũng có nghĩa là đăng nhập sau khi nhận diện được thông tin cá nhân (người sử dụng và mật khẩu) . Quá trình này được gọi là đăng nhập.

Bảo vệ trang web có nghĩa là thực hiện các biện pháp và hành động phòng ngừa để hạn chế các vi phạm an ninh có thể xảy ra.

Các phần mềm bảo vệ chống lại các sơ hở (lỗ hổng) trong mã:

Encryption: Là một hệ thống theo dõi và chặn lưu lượng độc hại đến một trang web. Các hệ thống này hoạt động như một lá chắn và kiểm tra lưu lượng truy cập để tìm hành vi nguy hiểm tiềm tàng. Họ chặn các cuộc tấn công trước khi chúng đến được trang web.

SSL / TLS certificate: Được dùng để mã hoá dữ liệu được truyền giữa máy chủ web và trình duyệt web. Ngoài chức năng mã hoá dữ liệu, chứng chỉ cũng là chứng chỉ cho rằng máy khách đã kết nối với đúng máy chủ.

Two-Factor Authentication: Là một yếu tố khác xác định danh tính của người dùng, bao gồm tên người dùng và mật khẩu. Nó được sử dụng trong bảo vệ trước truy cập bất hợp pháp – tin tặc, thông qua việc tiếp cận dữ liệu và sẽ phải tìm kiếm mã bí mật, tuy nhiên, mã có thể được mở vào thời điểm thiết bị di động của người dùng.

Phần kết luận

Bài viết đã cho thấy những  thuật ngữ cơ bản nhất của bảo vệ trang web, cũng như đưa ra thông tin và hiểu biết các vấn đề liên quan.

Nói chung: Hacker (tin tặc)  là kẻ có thể xâm nhập trang web của bạn – thông qua lỗ hổng trong mã của trang web hay thông qua truy cập bất hợp pháp đến những tệp của trang web. Và hậu quả là mã độc được đưa vào trang web, thì những hành vi phá hoại khác sẽ được thực hiện nhằm cung cấp thông tin độc hại đến khách hàng truy cập.