Mọi tổ chức, doanh nghiệp và cả chính phủ đều sử dụng website để quảng bá thương hiệu, và cung cấp cho người dùng thông tin về mình. Do đó nó thường là đối tượng tấn công của nhiều hacker, nhằm mục đích khai thác thông tin cho những hoạt động trái phép. Bài viết sẽ đưa ra những vấn đề cơ bản để bảo mật cho website.
Một số hình thức tấn công website:
- Khai thác lỗ hổng của những phần mềm có trên web server.
- Tấn công DDOS
- Khai tác dữ liệu từ backend thông qua một số kiểu tấn công injection như SQL injection(SQLi), Light Directory Acess -Protocol(LDAP), Cross site sripting(XSS).
- Thay đổi(deface) giao diện website.
- Dùng web server đã bị tấn công để phát tán malware.
- …
Một số cách đơn giản để bảo mật cho website
1. Nguyên tắc bảo mật cho website với webserver
- Chỉ cài những ứng dụng cần thiết trên webserver.
- Thiết kế webserver chặt chẽ với dữ liệu ở back-end.
2. Đối với cơ sở dữ liệu SQL
- Thực hiện việc phân quyền rõ ràng khi thao tác trên các CSDL có trong webserver
- Kiểm soát kĩ đầu vào như: kiểu dữ liệu, chiều dài, định dạng…
- Lập danh sách hạn chế (black list) những ký tự đặc biệt những tham số đầu vào nguy hiểm, và chặn toàn bộ request chứa dữ liệu có trong black list.
- Hạn chế sử dụng những câu lệnh truy vấn (SQL) trực tiếp, nên sử dụng tham số và kiểm soát đầu vào như lưu ý ở trên hoặc sử dụng store produce.
3. Với hệ điều hành
- Những tài khoản được phép đăng nhập vào webserver cần phải được phân quyền truy cập vào tài nguyên của hệ thống.
- Việc đăng nhập vào webserver cũng nên sử dụng cơ chế xác thực hai lần (chữ ký số, 2FA) để bảo mật cho website.
4. Đối với mật khẩu nên
- Sử dụng độ dài đủ lớn trên 15 ký tự và không bao gồm thông tin cá nhân.
- Sử dụng kết hơp giữa số , chữ cái hoa, thường và các ký tự đặc biệt.
- Mật khẩu nên được thay đổi định kỳ trong khoảng 2-3 tháng.
- Giới hạn việc ghi nhớ mật khẩu và sử dụng lại mật khẩu cũ.
- Thay đổi tất cả các tài khoản mặc định.
- Xóa toàn bộ tài khoản không sử dụng và các tài khoản guest.
- Liên tục update, những bản vá mới của hê điều hành từ nhà phân phối.
- Hạn chế xây dựng website trên những host “công cộng” có đặt nhiều website khác nhau trên đó.
- Sử dụng những giao thức bảo mật như: SSL/TLS.
Tham khảo: Dịch vụ bảo mật website chuyên nghiệp