Trang chủ » Bảo mật » Top 10 kỹ thuật tấn công trên web

Top 10 kỹ thuật tấn công trên web


Các chuyên gia bảo mật đã liệt kê 10 kỹ thuật hàng đầu tấn công trên web và dự báo các giao dịch ngân hàng trực tuyến có nguy cơ bị hacker thâm nhập cao nhất. Phát hiện của Dương Ngọc Thái, chuyên gia bảo mật người Việt Nam đứng hàng đầu.

hacker

Hội đồng các chuyên gia bảo mật đã xếp hạng những kỹ thuật tấn công trên web trong năm 2010 và các chuyên gia cũng đã liệt kê danh sách 10 kỹ thuật tấn công web hàng đầu sau quá trình đánh giá và ghi nhận.
Việc xếp hạng được tài trợ bởi Black Hat, OWASP, White Hat Security và những nội dung mô phỏng các phương thức tấn công sẽ đuợc trình bày trong hội thảo IT-Defense 2011 vào tháng tới tại Đức.
Dưới đây là 10 cách thức tấn công web được các chuyên gia về bảo mật bầu chọn:
1. Kiểu tấn công “padding oracle crypto”, kẻ tấn công (hacker) sẽ khai thác khung tổ chức (framework) ASP.Net, hacker có thể chiếm trọn quyền điều khiển bất kỳ trang web nào sử dụng ASP.NET và thậm chí nghiêm trọng hơn có thể chiếm quyền điều khiển hoàn toàn các máy chủ Windows chứa các trang web này. (Người phát hiện: Dương Ngọc Thái và Juliano Rizzo).
2. Evercookie: có thể dùng Javascript để tạo ra các cookie và giấu cookie ở 8 nơi khác nhau trong trình duyệt, gây khó khăn trong việc muốn xóa sạch chúng. Thông qua Evercookie, hacker có thể đột nhập vào máy tính ngay cả khi cookie đã bị xóa. (Người tạo ra: Samy Kamkar).
3. Tấn công Autocomplete: tính năng này sẽ tự động điền vào mẫu (form) có sẵn trên trang web (tính năng autocomplet tự động bật), lúc đó trang web chứa mã độc có thể “buộc” trình duyệt điền đầy đủ thông tin cá nhân mà dữ liệu được lấy từ các nguồn khác nhau nằm trên máy tính nạn nhân. (Người tạo: Jeremiah Grossman).
4. Tấn công HTTPS bằng cache injection: “tiêm” mã độc vào thư viện Javascript nằm trong cache của trình duyệt, do đó hacker có thể “phá” trang web dù được bảo vệ bởi SSL, và khiến cache bị xóa sạch. Gần một nửa trong 1 triệu trang web hàng đầu sử dụng thư viện mở rộng của Javascript. (Người tạo: Elie Bursztein, Baptiste Gourdin và Dan Boneh).
5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution: cách tấn công này sẽ lừa người dùng để lấy mật khẩu truy cập vào e-mail. Những kẻ tấn công có thể tạo lại mật khẩu mới của nạn nhân và truy cập trực tiếp vào tài khoản của nạn nhân. (Người tạo: Lavakumar Kuppan).
6. Universal XSS trong IE8: Lỗ hổng trong IE8 sẽ giúp hacker “nhả” mã độc vào các trang web và chiếm quyền kiểm soát máy. (Người tạo: David Lindsay và Eduardo Vela).
7. HTTP POST DoS: đây là kỹ thuật tấn công DDoS dựa trên một lỗ hổng về kiến trúc của phương thức POST trong HTTP nhằm kéo dài thời gian kết nối để làm cạn kiệt tài nguyên máy chủ. Một khi quá nhiều dữ liệu được gửi đến máy đích đồng thời thì lúc đó máy chủ trở nên quá tải. (Người tạo: Wong Onn Chee và Tom Brennan).
8. JavaSnoop: Khi dữ liệu truyền đến máy đích, đi kèm theo đó là công cụ JavaSnoop để kiểm tra xem các ứng dụng trên máy đích có bảo đảm an toàn hay không. Hacker có thể “núp bóng” dưới công cụ này (Người tạo: Arshan Dabirsiagh).
9. Tấn công qua CSS History trong Firefox không cần JavaScript cho PortScanning trong mạng nội bộ: cách tấn công này có thể tước đoạt dữ liệu trong history của trình duyệt. Các thông tin trong history có thể giúp hacker tấn công theo dạng lừa đảo trang web (phishing). (Người tạo: Robert “RSnake” Hansen).
10. Java Applet DNS Rebinding: Hacker có thể kiểm soát Java applet, khiến trình duyệt “phớt lờ” cache của DNS, sau đó người dùng có thể “sập bẫy”. Java applet thường là các chương trình nhỏ chạy bên trong trình duyệt Web (Người tạo: Stefano Di Paola).

7 thoughts on “Top 10 kỹ thuật tấn công trên web

  1. Em chào anh ạ!:d
    uhm..trong lúc tìm tài liệu trên google em đã tìm thấy trang web này của anh.
    Em thấy có rất nhìu thông tin bổ ích ạ.:d
    Em đang làm bài tập điều kiện môn an ninh mạng về tìm hiểu kỹ thuật tấn công HTTPS bằng cache injection và cách phòng tránh.
    Nhưng mà,search google mãi không tìm thấy nhiều thông tin về cái này nên chẳng biết tính sao:(
    Vậy anh có thể nói rõ hơn về kỹ thuật này hoặc chỉ thêm cho em một số tài liệu liên quan tới nó được ko ạ.
    Em xin cảm ơn anh ạ!

  2. Em chào anh. em đang tìm hiểu về kỹ thuật tấn công evercookie và cách phòng chống anh có tài liệu về phần này cho em xin với ạ.
    Em xin cảm ơn anh.

  3. It’s perfect time to make some plans for the future and it is time to be happy. I have read this post and if I could I desire to suggest you few interesting things or advice. Maybe you could write next articles referring to this article. I wish to read more things about it!

Bình luận

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s