1. Sử dụng mật khẩu dễ cho người quản trị.Còn rất nhiều nhưng tôi chỉ liệt kê những sai lầm mà tôi thấy có rất nhiều quản trị mắc phải trong suốt những năm mà tôi đi hack, đi kiểm thử, những sai lầm này thường dẫn đến những hậu quả mà không ai mong muốn và sau đây tôi sẽ đi vào chi tiết các mục đó.
2. Sử dụng chung mật khẩu cho tất cả.
3. Sử dụng mã nguồn tổng hợp, dựng sẵn được chia sẻ rộng rãi trên mạng.
4. Sử dụng những công cụ sao lưu dữ liệu.
5. Để lại tập tin sao lưu mã nguồn.
6. Không thường xuyên update mã nguồn và hệ thống.
1. Sử dụng mật khẩu dễ cho người quản trị.
Đây thật sự là vấn đề nhức nhối vì đã từ rất lâu rồi việc cảnh báo sử dụng mật khẩu yếu, mật khẩu dễ đoán cho người quản trị đã tràn ngập trên mạng, những vụ tấn công lớn cũng có nhiều vụ xuất phát từ việc quản trị sử dụng mật khẩu hớ hênh và bị khai thác.Với tôi thì đây là điều khó có thể chấp nhận với một người quản trị web mà họ quản lý, rất nhiều quản trị sử dụng mật khẩu 123456, admin, 12345678, 123456789,...Và nếu thật sự bạn đang sử dụng những mật khẩu dạng quá phổ biến như vậy thì hãy mau chóng đổi lại những mật khẩu đó theo chuẩn an toàn gồm ( ký tự chữ thường, ký tự viết hoa, ký tự số, ký tự đặc biệt, với độ dài ít nhất là 8 ký tự ).
2. Sử dụng chung mật khẩu cho tất cả.
Vấn đề này cũng tương đương với mục thứ nhất tôi đưa ra về mức độ nguy hiểm mà nó mang lại cho các quản trị, không ít bạn sử dụng một mật khẩu cho toàn bộ tài khoản của các bạn và sử dụng chúng một cách phổ biến, rộng rãi, nghĩa là chỗ nào các bạn cũng dùng mật khẩu đó cho tài khoản của các bạn.Và điều này sẽ đem lại sự dễ dãi, thoải mái cho những ai đang muốn triệt hạ bạn vì chỉ cần khai thác được một điểm yếu ở những nơi bạn có thông tin thì mọi thứ với bạn sẽ chấm hết.
Cách đây không lâu tôi có một người bạn trong lúc rảnh rỗi đã viết một cái công cụ nhỏ để kiểm thử những trang web của một cty thiết kế web có tiếng ở VN và sự thật không thể phũ phàng hơn khi cậu ấy tìm kiếm và lưu danh sách của những website thuộc cty đó và chạy công cụ đó với kết quả hơn 80% sử dụng chung username và password cho người quản trị cao nhất, thật tệ hại.
Nếu bạn đang có thói quen này, bạn nên chấm dứt nó ngay lập tức và tiến hành đổi mới mật khẩu của mình ở những tài khoản trọng yếu (mail, ngân hàng,...) để không gặp sự cố đáng tiếc xảy ra.
3. Sử dụng mã nguồn tổng hợp, dựng sẵn được chia sẻ rộng rãi trên mạng.
"Không ai cho không ai thứ gì"
Đây là câu nói từ ngàn xưa ông bà, cha mẹ chúng ta vẫn hay nhắc nhở nhưng đôi khi chỉ vì chút lười biếng và thói quen thích hàng làm sẵn mà các bạn nhắm mắt làm liều để rồi hệ thống bị tấn công ồ ạt và tan nát.Mã nguồn dựng sẵn (download về sửa vài thứ là có nguyên một trang web hoàn chỉnh sử dụng.) thường đi kèm với nhiều mối nguy hiểm, nhiều mã độc được đính kèm để tận dụng khi bạn sử dụng mã nguồn đó, rất nhiều bạn hay đi zip source của nạn nhân nào đó rồi về chia sẻ lên mạng kèm theo cả những thứ mà bạn không hề muốn, cuối cùng chỉ những người dễ dãi, sử dụng là sập bẫy và bị lợi dụng lại.
Hãy tự mình xây dựng cho mình một trang web, dù nó không được thẩm mỹ như những thứ bạn được share nhưng chí ít nó cũng an toàn với bạn ở mức độ nào đó.
4. Sử dụng những công cụ sao lưu dữ liệu.
Sai lầm này đôi khi chỉ là do ý thức của mỗi người vì sự tiện lợi nên các bạn hay sử dụng để sao lưu nhưng lại quên hay vô tình cố ý để lại, dẫn đến việc bị lộ cơ sở dữ liệu của trang web, hệ thống, tôi thấy có khá nhiều tình huống này trong quá trình tấn công.Một số công cụ mà các bạn hay sử dụng như mysqlDumper, phpMyAdmin, sypex, các công cụ backup mì ăn liền của VN.Một số công cụ có thể giúp các hacker truy cập thẳng vào CSDL mà các bạn đang sử dụng và toàn quyền quyết định nó (mysqldumper), một số thì bắt xác thực, nhưng vẫn tồn tại những nguy hiểm khi các bạn để nó trên hệ thống của các bạn.Và nếu kết hợp các công cụ sao lưu này với mục sai lầm số 5 thì chúng ta sẽ có được một sự kết hợp kinh hoàng.
5. Để lại tập tin sao lưu mã nguồn.
Đây cũng là những sai lầm rất phổ biến của các webmaster khi quản lý trang web của mình, vì một lý do nào đó các bạn sao lưu lại toàn bộ hệ thống và để luôn trên đó với toàn bộ thông tin nhạy cảm và ai cũng có thể download được thì thật là một điều kinh khủng, bạn đã tự mình phơi mình ra cho người khác hành xử tùy ý rồi.
Kết hợp những thông tin có được khi tải về và các công cụ đang có sẵn trên website của các bạn thì việc chiếm lấy quyền quản trị cao nhất cũng không còn là vấn đề to tát.
6. Không thường xuyên update mã nguồn và hệ thống.
Một trong những sai lầm rất phổ biến của người quản trị là họ rất ít update hệ thống đang chạy vì họ nghĩ nó vẫn còn tốt mà, update làm gì, chính vì tư tưởng này dẫn đến việc website họ quản lý tồn tại những lỗ hổng đã được công bố từ rất lâu và ai cũng có thể dễ dàng khai thác hệ thống của họ.Có khá nhiều trường đại học và các cơ quan vẫn đang sử dụng những công nghệ rất cũ (2009) tồn tại rất nhiều lỗ hổng nguy hiểm nhưng họ vẫn không cập nhật dù đã được thông báo, tôi đã không ít lần gởi những cảnh báo lỗ hổng đến những người quản trị và có một số hồi đáp cảm ơn nhưng một thời gian sau tôi quay lại thì hệ thống vẫn như cũ, chỉ rất ít quản trị tiến hành vá lỗi.Còn đa phần họ im lặng không hồi đáp.Và như thế khi hệ thống của họ bị những thành phần xấu tấn công thì hậu quả không thể nào đong đếm được.
Qua đó nếu bạn thấy mình mắc phải những điểm yếu ở trên thì hãy nhanh chóng cải thiện, để hệ thống được an toàn và không phải hối tiếc về sau.
Concobe
Không có nhận xét nào:
Đăng nhận xét