Trang chủ Tản mạn Nhiều website của Bình Định mắc lỗi bảo mật nghiêm trọng

Nhiều website của Bình Định mắc lỗi bảo mật nghiêm trọng

Hiện nay nhiều cơ quan, tổ chức doanh nghiệp trên địa bàn tỉnh Bình Định đã có cho mình những website để quảng cáo về đơn vị lên môi trường internet. Đây là tính hiệu vui khi các doanh nghiệp đã hiểu rõ tầm quan trọng của internet trong việc phát triển của mình. Tuy nhiên đi cùng với sự phát triển ấy vẫn còn nhiều vấn đề tồn tại. Một trong những vấn đề quan trong là vấn đề liên quan đến bảo mật.

Người viết bài đã thực hiện việc kiểm tra trên một số website của Bình Định và phát hiện ra có rất nhiều website của Bình Định mắc lỗi bảo mật nghiêm trọng và có thể bị tin tặc tấn công bất cứ lúc nào.

Một trong những lỗi bảo mật có rất nhiều trang gặp phải là lỗi SQL Injection. Đây là một lỗi rất cơ bản nhưng có thể dẫn tới hậu quả nghiêm trọng. SQL Injection là một kỹ thuật cho phép kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để tiêm vào và thi hành các câu lệnh SQL bất hợp pháp.

Điểm mặt một số trang web đang mắc phải lỗi này gồm có:

Khai thác lỗi trên trang web Công ty TNHH xổ số kiến thiết Bình Định làm lộ tài khoản quản trị
Khai thác lỗi trên trang web Công ty TNHH xổ số kiến thiết Bình Định làm lộ tài khoản quản trị

Chỉ với một vài thao tác đơn giản tài khoản quản trị trang web lộ ra. Hacker có thể kết hợp với một số công cụ giải mã để lấy được mật khẩu và với thông tin có được hacker có thể đăng nhập vào trang quản trị là coi như nắm toàn quyền trang web.

Lại có một số trang web khác người lập trình quên xét quyền cho các tập tin quản lý hoặc tải dữ liệu lên máy chủ nên ai cũng có thể truy xuất vào hosting lưu trữ.

Trang quản lý các tập tin của một trang web không được xét quyền nên ai cũng có thể truy xuất và thao tác

Trong khi đó có một số trang web sử dụng các mã nguồn mở như Joomla, WordPress để tạo trang web tuy nhiên nó thiếu đi sự cập nhật cần thiết nên nhiều trang web vẫn sử dụng những phiên bản cũ chứa lỗi bảo mật nghiêm trọng đã được công bố trước đó nên ai cũng dễ dàng khai thác.

Theo thống kê trên trang web Zone-H thì có rất nhiều trang web của tỉnh Bình Định bị tấn công trong thời gian vừa qua. Và rất nhiều trong số đó bị khai thác từ chính những lỗi bảo mật đã nêu ra ở trên. Không chỉ riêng gì các trang web của các tổ chức, cá nhân mà còn có cả các cơ quan công quyền.

Một số trang web của tỉnh Bình Định bị hacker tấn công được liệt kê trên Zone-H

Theo nhận xét khách quan thì dường như các cá nhân hay tổ chức có website đều chưa có kiến thức về bảo mật và họ giao phó toàn bộ trang website của mình cho các công ty thiết kế mà họ chọn thuê dịch vụ. Khi phát hiện ra trang web của mình bị tấn công thì họ sẽ báo để bên thiết kế sửa lại và sửa lại ở đây chỉ đơn giản là xóa bỏ các tập tin do hacker tải lên chứ không sửa lỗi hoàn toàn là chỉnh sửa lại mã nguồn để loại bỏ các lỗ hổng. Chính vì lẽ đó mà có nhiều trang web bị tấn công đi tấn công lại nhiều lần mà vẫn chưa có giải pháp khắc phục. Có một số công ty thiết kế web chọn giải pháp tự xây dựng một mã nguồn riêng rồi từ đó sử dụng cho tất cả các khách hàng. Và với những mã nguồn riêng tự xây dựng như vậy thì thường gặp phải các lỗi như SQL Injection, xét quyền các tập tin quan trọng. Vì nhiều trang web sử dụng chung một mã nguồn nên khi một trang web bị phát hiện lỗ hổng thì rất nhiều trang web khác cùng dùng chung mã nguồn cũng bị rơi vào tình trạng nguy hiểm.

Trên đây chỉ là những lỗi bảo mật phát sinh từ chính trang web ngoài ra còn có những lỗi bảo mật phát sinh từ hệ thống máy chủ lưu trữ hoặc từ website khác nằm cùng hệ thống. Từ đây các website cũng có thể bị tấn công thông qua các lỗi nằm ngoài kiểm soát này. Ngoài những lỗi bảo mật thì các website cũng có khả năng bị tấn công từ chối dịch vụ (DDoS).

Ngày nay internet đang trở thành một môi trường kinh doanh đầy hứa hẹn. Rất nhiều doanh nghiệp của Bình Định đã biết được sự quan trọng trong việc xây dựng thương hiệu của mình trên internet thông qua các website. Sự phát triển đó kéo theo nhiều vấn đề bảo mật mà các tổ chức, doanh nghiệp phải chú ý. Các tổ chức doanh nghiệp nên nâng cao sự hiểu biết của mình về vấn đề bảo mật. Ngay từ lúc bắt tay vào xây dựng hệ thống website nên lựa chọn các đơn vị thiết kế web cũng như nhà cung cấp dịch vụ uy tín và có đủ trình độ để hỗ trợ khách hàng các vấn đề phát sinh.

Huỳnh Mai Anh Kiệt

- Advertisement -
Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng dẫn tra cứu vi phạm giao thông của tỉnh Bình Định trên Zalo

Bắt đầu từ ngày 14.6, Sở Thông tin và Truyền thông tỉnh Bình Định cung cấp dịch vụ tra cứu vi phạm giao thông...

Hướng dẫn tích hợp cửa sổ Zalo chat vào trang web

Zalo là mạng xã hội mà nhiều người Việt đang sử dụng trên mobile. Và xu hướng người dùng sử dụng mobile để lướt...

Google xóa bỏ lệnh cấm năm 2018 đối với Ví tiền Điện tử và Trao đổi Quảng cáo

Mới đây, Google đã dỡ bỏ một chính sách kéo dài gần ba năm của mình đó là lệnh cấm các sàn giao dịch...

Hướng dẫn thêm tính năng cuộn vô hạn cho cửa hàng Shopify

Nếu cửa hàng của bạn có nhiều sản phẩm trong một bộ sưu tập trên cửa hàng Shopify của bạn, thay vì khiến khách...

Dùng hàm alert() cho một mảng trong JavaScript

Thường khi code mình hay debug trong JavaScript bằng hàm alert() hoặc console.log(). Trong đó console.log() được dùng nhiều hơn cả vì nói chung...

BẠN XEM CHƯA

Microsoft sẽ sử dụng công nghệ DNA để lưu trữ dữ liệu trong tương lai

Microsoft đang có kế hoạch có thể sẽ làm thay đổi công nghệ lưu trữ dữ liệu trong tương lai khi họ dự định...

Kiểm ra link thật của các link đã rút ngắn

Link rút ngắn giúp người dùng internet có thể dễ dàng thu gọn 1 link dài loằng ngoằng thành 1 link đơn giản hơn,...

Mạng Bình Định bị tấn công từ chối dịch vụ

Sáng hôm qua (06/03/2016) Mạng Bình Định bị một đợt tấn công từ chối dịch vụ. Theo quan sát của các quản trị viên...

Hướng dẫn đăng ký nhận key bản quyền AVG Internet Security 2015 miễn phí

AVG là một trong những thương hiệu nổi tiếng với các sản phẩm phần mềm bảo mật như: AVG Internet Security, AVG Antivirus, AVG...

Lịch thi đấu World Cup 2018

Như vậy là chỉ còn vài tháng nữa thì sự kiện mong chờ của hàng triệu tín đồ túc cầu giáo sẽ chính thức...