Xuyên suốt quá trình pentest thì có không ít lần mình đụng phải những hệ thống của một số admin quản lý cả chục, cả trăm website cùng một lúc, đây thường là của những bạn, cty làm về các mảng sau:
- Thiết kế website.
- Dịch vụ SEO cho khách hàng.
- Dựng hệ thống site để kiếm tiền quảng cáo.
- ...
1. Thường thì với những tình huống này đa phần các bạn admin sử dụng chung thông tin đăng nhập cho toàn bộ các website của họ và đối với tình huống này sẽ có một số tiện dụng và bất cập như sau:
- Dùng chung mật khẩu cho toàn bộ website thì sẽ không phải tốn công nhớ, quản trị mật khẩu mà chỉ cần nhớ một username, một password là sài được hết.
- Bất cập là nếu như vì lý do nào đó bị lộ mật khẩu đó thì coi như toàn bộ website thuộc hệ thống sẽ lên đường đi thỉnh kinh, nếu gặp bad guy.
2. Trường hợp tiếp theo là sử dụng cùng tên đăng nhập nhưng có thay đổi mật khẩu khác nhau ở số ít.
- Cách này cũng có lợi ở việc dễ nhớ và quản lý của các admin với số lượng lớn website phải quản trị và cũng hạn chế được phần nào mức độ ảnh hưởng khi bị lộ mật khẩu nào đó.
- Với hướng này thì cũng tồn tại bất cập ở việc quản lý ở số lượng website lớn, nếu không gom nhóm hay tổ chức bài bản thì sẽ rất rối và tốn thời gian vì có thể phải đăng nhập sai password vài lần.
3. Với tình huống cuối mà mình cũng từng gặp đó là sử dụng một công cụ để quản lý chung cho một số website theo nhóm.
- Cái này nó cũng giống như ở phần 1. nhưng nó được đầu tư có bài bản và được gom nhóm lại rất tiện cho người quản lý, chỉ cần đăng nhập vào tài khoản quản trị chính thì có quyền quản lý một số website nhất định.
- Cách này cũng tương tự như hai phần trên là nếu lộ thì cũng chết, nhưng hạn chế được rủi ro ít hơn và dễ khoanh vùng, khắc phục hơn phần 1 và phần 2.
4. Kết luận: Để hạn chế rủi ro và tiện cho việc khắc phục hậu quả thì mình có vài lời khuyên chung như sau:
- Nên dùng công cụ, hệ thống để quản lý tập trung các website mà các bạn đang quản trị lại.
- Mỗi tài khoản chỉ được quản lý tầm 10 website thôi cho an toàn và rất dễ khoanh vùng, khắc phục khi bị tấn công hàng loạt.
- Khi đã áp dụng công cụ quản lý tập trung và rõ ràng thế thì nên áp dụng luôn cách ở phần 2 đó là sài riêng tên đăng nhập và mật khẩu cho các tài khoản quản trị đó.
- Đó chỉ là một vài hướng gợi ý để giúp các bạn quản lý và lên kế hoạch phát triển với dễ khắc phục khi bị tấn công.
P/s: Quan trọng nhất đó là hàng tháng nên thắp nhang cúng đều đặn để cầu mong sự bình an nha các admin. =]]
Không có nhận xét nào:
Đăng nhận xét