Top 10 nguy hiểm trên internet năm 2022

[TNO] Hãng bảo mật CyberDefender [Mỹ] vừa đưa ra danh sách 10 điều nguy hiểm nhất mà người dùng có thể gặp phải khi làm việc trên mạng. Dưới đây là những điều nguy hiểm và các biện pháp phòng tránh do trang công nghệ Gizmodo ghi nhận lại.

1. Sử dụng tính năng “Keep me signed in” trên các máy tính công cộng

Người dùng tuyệt đối không nên sử dụng chức năng này trên các máy tính công cộng, vì sẽ làm tăng nguy cơ rò rỉ các thông tin cá nhân quan trọng cho các tin tặc. Nếu cần phải sử dụng tính năng này, chỉ nên sử dụng trên máy tính cá nhân của mình.

Và nếu sử dụng tính năng này để đăng nhập vào các trang web như: Google, eBay, Amazon... tại các máy tính công cộng, thì phải chắc chắn rằng mình đã thoát ra hoàn toàn tài khoản của mình khi rời khỏi máy, nhằm bảo vệ sự riêng tư của cho bản thân.

2. Không cập nhật các bản vá lỗi của Windows, Java, Adobe Reader và Adobe Flash

Các phần mềm như Windows, Java, Adobe Reader và Adobe Flash luôn là những "món ăn" rất "béo bở" để các tin tặc khai thác. Cách tốt nhất để bảo vệ chính mình khi truy cập internet là thường xuyên theo dõi các bán lỗi và khắc phục ngay khi có thể.

3. Tìm kiếm những thông tin riêng tư của các nhân vật nổi tiếng, hoặc những nội dung không lành mạnh

Đây là một trong các vấn đề rất được người dùng quan tâm khi truy cập internet, chính vì thế phải thực sự thận trọng khi truy cập các tài liệu dạng này vì đa phần chúng đều chứa các Malware [mã độc] để tấn công người dùng.

Nếu cần phải kiếm những thông tin về những nhân vật nổi tiếng, chỉ nên truy cập vào các trang báo điện tử uy tín. Khi cần tìm những thông tin trên google, thay vì chỉ nhập địa chỉ tìm kiếm là www.google.com thì người dùng nên truy cập vào địa chỉ: //www.google.com/ để được an toàn hơn, vì cách thức tìm kiếm này đã được thông qua một giao thức kết nối SSL được mã hóa.

4. Sử dụng BitTorrent để tải các phần mềm, phim ảnh và nhạc

Việc truy cập và tải các phần mềm, nhạc, phim ảnh từ các trang web chính hãng, sẽ giúp người dùng nâng cao được nhận thức của việc sử dụng phần mềm có bản quyền tốt như thế nào. Trong khi đó, nếu sử dụng giao thức torrent để tải chúng [thậm chí một số trang web cung cấp torrent hoàn toàn không mã độc] thì nguy cơ nhiễm mã độc của người dùng vẫn có khả năng xảy ra, vì bên trong một số tập tin torrent đã được tin tặc "cấy" sẵn mã độc vào bên trong.

5. Tìm kiếm phim ảnh "tươi mát"

Đa số các phim ảnh "tươi mát" có trên internet đều là miễn phí, tuy nhiên nếu người dùng chỉ sử dụng "dịch vụ" này để giải trí thì rất nguy hiểm. Nhất là những ai đang sử dụng internet trong giờ làm việc, chưa kể đến nguy cơ nhiễm phải mã độc rất cao khi truy cập vào các trang web "tươi mát".

\n

6. Chơi game online từ các mạng xã hội ảo

CyberDefender đã ghi nhận được rất nhiều trường hợp, một số trò chơi yêu cầu người dùng khai báo các thông tin cá nhân quan trọng mới có thể chơi được, và như thế chỉ cần tin tặc nhúng một trojan vào trò chơi và dẫn dụ họ chơi cùng, thì toàn bộ các thông tin quan trọng của người dùng sẽ bị lọt vào tay tin tặc.

7. Chia sẻ quá nhiều thông tin cá nhân lên Facebook

Một số người có thói quen "chia sẻ" quá nhiều thông tin về bản thân mình lên Facebook, chẳng hạn như: ngày sinh nhật, họ tên đầy đủ, số điện thoại di động, địa chỉ nhà... Điều này thực sự rất nguy hiểm, vì các tin tặc có thể lợi dụng các thông tin này để dò mật khẩu của bạn, hoặc làm giả thẻ tín dụng từ các thông tin cá nhân do người dùng cung cấp.

8. Kết nối vào những mạng không dây không rõ nguồn gốc

Ở những nơi công cộng như: sân bay, khách sạn, nhà hàng... người dùng phải hết sức cẩn thận khi kết nối máy tính cá nhân của mình vào các mạng không dây này. Lý do là, tin tặc có thể lợi dụng việc kết nối này để lấy trộm các dữ liệu trên máy [nếu trong máy tính đang để sẵn những dữ liệu ở dạng chia sẻ].

9. Sử dụng một mật khẩu cho tất cả các tài khoản online

Một số cá nhân vì muốn "thuận tiện", nên đã đặt chung một mật khẩu cho tất các tài khoản online của mình. Điều này sẽ giúp cho người dùng không quên mật khẩu, nhưng sẽ vô cùng nguy hiểm nếu mật khẩu bị rò rỉ ra, vì tin tặc có thể nắm giữ được dữ liệu quan trọng của người dùng chỉ với một lần tấn công duy nhất.

10. Thử vận may vào các trò chơi trúng thưởng trực tuyến

Một số trang web thường đưa ra các hình thức bốc thăm trúng thưởng, tham dự trò chơi trực tuyến với những phần quà hấp dẫn như: iPad, iPhone, PlayStation 3,... Tuy nhiên, nếu không cảnh giác người dùng sẽ bị "tiền mất, tật mang" khi lỡ đưa trước một số tiền để tham dự, hoặc cung cấp cả các thông tin cá nhân của mình vào.

Thành Luân

[+84] 247 109 9656

• Ứng cứu sự cố an ninh mạng
• Đăng nhập
• Hỗ trợ

Trang chủ   •   Blog   •   Top 10 lỗ hổng bảo mật web phổ biến theo chuẩn OWASP – OWASP TOP 10

CyStack Editor

28 Th02 2018

Lỗ hổng bảo mật luôn là vấn đề đau đầu của các quản trị viên website. Những lỗ hổng này cho phép tin tặc khai thác – tấn công – xâm nhập – vi phạm dữ liệu của website doanh nghiệp. Dưới đây là TOP 10 lỗ hổng bảo mật web phổ biến nhất theo tiêu chuẩn OWASP, hay còn được biết đến với cái tên OWASP TOP 10.

OWASP là một tiêu chuẩn toàn cầu để phục vụ việc kiểm thử xâm nhập – Penetration Testing [Pentest] được dễ dàng hơn. Tiêu chuẩn này được đề xuất bởi một tổ chức phi lợi nhuận: Open Web Application Security Project [OWASP].

Tiêu chuẩn OWASP giúp cho các chuyên gia kiểm thử [pentester] kiểm tra bảo mật cho website một cách chi tiết, hiệu quả.

Liên kết hữu ích:

• Kiến thức bảo mật website A-Z
• Dịch vụ đánh giá an ninh website Pentest
• Tìm hiểu về Bug bounty: giải pháp hiệu quả và tiết kiệm để phát hiện lỗ hổng dành cho startup

Top 10 lỗ hổng bảo mật website phổ biến theo chuẩn OWASP

1. Lỗ hổng Injection [Lỗi chèn mã độc]

Injection là lỗ hổng xảy ra do sự thiếu sót trong việc lọc các dữ liệu đầu vào không đáng tin cậy. Khi bạn truyền các dữ liệu chưa được lọc tới Database [Ví dụ như lỗ hổng SQL injection], tới trình duyệt [lỗ hổng XSS], tới máy chủ LDAP [lỗ hổng LDAP Injection] hoặc tới bất cứ vị trí nào khác. Vấn đề là kẻ tấn công có thể chèn các đoạn mã độc để gây ra lộ lọt dữ liệu và chiếm quyền kiểm soát trình duyệt của khách hàng.

Mọi thông tin mà ứng dụng của bạn nhận được đều phải được lọc theo Whitelist. Bởi nếu bạn sử dụng Blacklist việc lọc thông tin sẽ rất dễ bị vượt qua [Bypass]. Tính năng Pattern matching sẽ không hoạt động nếu thiết lập Blacklist.

Cách ngăn chặn lỗ hổng:

Để chống lại lỗ hổng này chỉ “đơn giản” là vấn đề bạn đã lọc đầu vào đúng cách chưa hay việc bạn cân nhắc  liệu một đầu vào có thể được tin cậy hay không. Về căn bản, tất cả các đầu vào đều phải được lọc và kiểm tra trừ trường hợp đầu vào đó chắc chắn đáng tin cậy.[Tuy nhiên việc cẩn thận kiểm tra tất cả các đầu vào là luôn luôn cần thiết].

Ví dụ, trong một hệ thống với 1000 đầu vào, lọc thành công 999 đầu vào là không đủ vì điều này vẫn để lại một phần giống như “gót chân Asin”, có thể phá hoại hệ thống của bạn bất cứ lúc nào. Bạn có thể cho rằng đưa kết quả truy vấn SQL vào truy vấn khác là một ý tưởng hay vì cơ sở dữ liệu là đáng tin cậy. Nhưng thật không may vì đầu vào có thể gián tiếp đến từ những kẻ có ý đồ xấu. Đây được gọi là lỗi Second Order SQL Injection.

Việc lọc dữ liệu khá khó vì thế các bạn nên sử dụng các chức năng lọc có sẵn trong framework của mình. Các tính năng này đã được chứng minh sẽ thực hiện việc kiểm tra một cách kỹ lưỡng. Bạn nên cân nhắc sử dụng các framework vì đây là một trong các cách hiệu quả để bảo vệ máy chủ của bạn.

2. Broken Authentication

Đây là nhóm các vấn đề có thể xảy ra trong quá trình xác thực. Có một lời khuyên là không nên tự phát triển các giải pháp mã hóa vì rất khó có thể làm được chính xác.

Có rất nhiều rủi ro có thể gặp phải trong quá trình xác thực:

• URL có thể chứa Session ID và rò rỉ nó trong Referer Header của người dùng khác.
• Mật khẩu không được mã hóa hoặc dễ giải mã trong khi lưu trữ.
• Lỗ hổng Session Fixation.
• Tấn công Session Hijacking có thể xảy ra khi thời gian hét hạn của session không được triển khai đúng hoặc sử dụng HTTP [không bảo mật SSL]…
• …

Cách ngăn chặn lỗ hổng:

Cách đơn giản nhất để tránh lỗ hổng bảo mật web này là sử dụng một framework. Trong trường hợp bạn muốn tự tạo ra bộ xác thực hoặc mã hóa cho riêng mình, hãy nghĩ đến những rủi ro mà bạn sẽ gặp phải và tự cân nhắc kĩ trước khi thực hiện.

3. Lỗ hổng XSS [Cross Site Scripting]

Lỗ hổng XSS [Cross-scite Scripting] là một lỗ hổng rất phổ biến. Kẻ tấn công chèn các đoạn mã JavaScript vào ứng dụng web. Khi đầu vào này không được lọc, chúng sẽ được thực thi mã độc trên trình duyệt của người dùng. Kẻ tấn công có thể lấy được cookie của người dùng trên hệ thông hoặc lừa người dùng đến các trang web độc hại.

Cách ngăn chặn lỗ hổng:
Có một cách bảo mật web đơn giản đó là không trả lại thẻ HTML cho người dùng. Điều này còn giúp chống lại HTML Injection – Một cuộc tấn công tương tự mà hacker tấn công vào nội dung HTML – không gây ảnh hưởng nghiêm trọng nhưng khá rắc rối cho người dùng. Thông thường cách giải quyết đơn giản chỉ là Encode [chuyển đổi vê dạng dữ liệu khác] tất cả các thẻ HTML. Ví dụ thẻ  được trả về dưới dạng > ICTnews: Hơn 400 lỗ hổng được phát hiện thông qua nền tảng WhiteHub Bug Bounty

6. Sensitive data exposure [Rò rỉ dữ liệu nhạy cảm]

Lỗ hổng này thuộc về khía cạnh crypto và tài nguyên. Dữ liệu nhạy cảm phải được mã hóa mọi lúc, bao gồm cả khi gửi đi và khi lưu trữ – không được phép có ngoại lệ. Thông tin thẻ tín dụng và mật khẩu người dùng không bao giờ được gửi đi hoặc được lưu trữ không được mã hóa. Rõ ràng thuật toán mã hóa và hashing không phải là một cách bảo mật yếu. Ngoài ra, các tiêu chuẩn an ninh web đề nghị sử dụng AES [256 bit trở lên] và RSA [2048 bit trở lên].

Cần phải nói rằng các Session ID và dữ liệu nhạy cảm không nên được truyền trong các URL và cookie nhạy cảm nên có cờ an toàn.

 Đăng ký để cập nhật hàng tuần 

 Bài viết liên quan