TechLila

Chảy máu mép, luôn luôn

Chia sẻ
Tweet
Chia sẻ
Pin
4 cổ phiếu
Tin nhắn gián điệp
Tiếp theo

Làm thế nào bạn có thể kín đáo đọc tất cả tin nhắn văn bản của bạn trai trên điện thoại của bạn

TechLila Bảo vệ

Tấn công ứng dụng web: Nó là gì và làm thế nào để chống lại nó?

Hình đại diện của John Hannah
Cập nhật lần cuối vào:

Các cuộc tấn công ứng dụng web là một mối đe dọa an ninh mạng ngày càng tăng trong vài năm qua. Có hàng tỷ cuộc tấn công ứng dụng web được ghi lại trong năm 2018 và 2019 và ước tính rằng 46% các trang web có lỗ hổng bảo mật ở cấp ứng dụng. 

Vì vậy, có nhiều khả năng trang web của bạn có thể dễ bị tấn công kiểu này và đây là lý do tại sao bạn phải tìm hiểu về các cuộc tấn công ứng dụng web và những gì bạn có thể làm để ngăn chặn nó. 

Tại đây, chúng tôi sẽ tìm hiểu tất cả những gì bạn cần biết về một cuộc tấn công ứng dụng web và cách bảo vệ chống lại nó. Tuy nhiên, chúng ta hãy bắt đầu bằng cách thảo luận về khái niệm cơ bản của tấn công ứng dụng web. 

Tấn công ứng dụng web là gì

Để thực sự hiểu khái niệm về tấn công ứng dụng web, chúng ta phải hiểu “ứng dụng web” thực sự có nghĩa là gì. 

Theo thuật ngữ của giáo dân, ứng dụng web hoặc ứng dụng web là một chương trình / phần mềm chạy trên máy chủ web và được truy cập giống như truy cập một trang web. Hầu hết các trang web hiện đại ngày nay bao gồm hai khía cạnh khác nhau: một trình duyệt web và ít nhất một ứng dụng web. 

Trình duyệt web, như chúng ta biết, là một ứng dụng cho phép người dùng tương tác với các trang web và xem nội dung. Mặt khác, các ứng dụng web là các chương trình máy tính cho phép khách truy cập trang web gửi và truy xuất dữ liệu thông qua trình duyệt web này. 

Trang web có thể sử dụng ứng dụng web hoàn toàn mới được tạo từ đầu hoặc có thể được mua từ nhà cung cấp bên thứ ba. Điều quan trọng là trong một cuộc tấn công ứng dụng web, mối đe dọa an ninh mạng nhắm mục tiêu cụ thể vào ứng dụng web này. 

Tấn công ứng dụng web

Một cuộc tấn công ứng dụng web, như đã thảo luận, nhắm mục tiêu cụ thể vào ứng dụng web. Ứng dụng web thường là cầu giữa máy chủ web và máy chủ cơ sở dữ liệu. Vì vậy, khi một ứng dụng web bị xâm phạm, cả máy chủ web và máy chủ cơ sở dữ liệu cũng có thể bị xâm phạm. 

Thường xuyên hơn không, một cuộc tấn công ứng dụng web được đưa ra nhằm vào các máy chủ cơ sở dữ liệu, máy chủ này có thể chứa thông tin có giá trị (thông tin ngân hàng và dữ liệu cá nhân của người dùng). 

Một cuộc tấn công ứng dụng web điển hình có thể được mô tả như sau: 

  • Thủ phạm tìm thấy lỗ hổng trong ứng dụng web và gửi cuộc tấn công đến máy chủ web thông qua cổng 80 (HTTP) và 443 (HTTPS)
  • Máy chủ web nhận được gói độc hại nhưng không phát hiện được là một cuộc tấn công, vì vậy máy chủ chuyển gói đến máy chủ ứng dụng web
  • Máy chủ ứng dụng web nhận mã độc hại từ máy chủ web và một lần nữa, không phát hiện ra nó là một cuộc tấn công độc hại và gửi nó đến máy chủ cơ sở dữ liệu
  • Cuối cùng, mã độc được thực thi khi nó đến máy chủ cơ sở dữ liệu. Ví dụ, đoạn mã hướng dẫn cơ sở dữ liệu trả về dữ liệu chứa thông tin tài chính của người dùng
  • Máy chủ ứng dụng web tuân theo hướng dẫn của máy chủ cơ sở dữ liệu và tạo một trang chứa thông tin ngân hàng từ cơ sở dữ liệu
  • Sau đó, máy chủ web hiển thị trang này chứa thông tin ngân hàng cho kẻ tấn công

Tuy nhiên, các cuộc tấn công ứng dụng web có thể ở nhiều dạng khác nhau và mỗi dạng có thể yêu cầu các phương pháp ngăn chặn khác nhau. 

Các kiểu tấn công ứng dụng web phổ biến và cách ngăn chặn chúng

1. Tập lệnh trên nhiều trang web (XSS)

Cross-site scripting hay XSS là một trong những kiểu tấn công ứng dụng web phổ biến nhất. Trong một cuộc tấn công XSS, kẻ tấn công ẩn JavaScript độc hại trong mã phía máy khách. Bất cứ khi nào trang web được tải, đoạn mã JavaScript này sẽ được tải. 

Ngăn chặn XSS: 

  • Xác thực đầu vào: xác thực đầu vào đến từ ứng dụng web để loại bỏ các đoạn mã không đáng tin cậy. Chúng tôi có thể đưa vào danh sách đen các nguồn tấn công đã biết và chỉ cho phép các trang web hoặc nguồn đáng tin cậy. 
  • Vệ sinh và thoát đầu vào của người dùng: sanitizing đang sửa đổi đầu vào từ một ứng dụng web để đảm bảo nó hợp lệ trong khi thoát đang bảo mật dữ liệu trước khi chuyển nó đến máy chủ cơ sở dữ liệu hoặc máy chủ web. 

2. Bao gồm tệp cục bộ (LFI)

Bao gồm tệp là một kỹ thuật để bao gồm các tập lệnh trong mã phía máy chủ. Do đó, LFI được kẻ tấn công sử dụng để lừa ứng dụng web để lộ các tệp nhạy cảm trên máy chủ web. Một LFI thành công có thể được theo sau bởi một kịch bản chéo trang web và các cuộc tấn công ứng dụng web khác. 

LFI khai thác thực tế rằng khi một ứng dụng web sử dụng đường dẫn tệp làm đầu vào, nó luôn được coi là đáng tin cậy. Sau đó, LFI có thể được đưa vào thông qua đường dẫn tệp này khi mã có lỗ hổng. 

Ngăn ngừa LFI: 

  • Chỉ định ID: đảm bảo lưu đường dẫn tệp của bạn trong cơ sở dữ liệu an toàn và ID mọi đường dẫn tệp. Vì vậy, người dùng (và những kẻ tấn công) chỉ có thể thấy ID và không thể xem đường dẫn
  • Hướng dẫn tối ưu hóa máy chủ: đảm bảo máy chủ có thể tự động gửi các tiêu đề tải xuống thay vì tự động thực thi các tệp trong một thư mục được chỉ định
  • Danh sách trắng: chỉ sử dụng các tệp đã được xác minh và có trong danh sách cho phép 

3. Truyền tải thư mục

Truyền qua thư mục hoặc truyền qua đường dẫn là khi kẻ tấn công có thể truy cập vào các thư mục bị hạn chế trên web ngoài thư mục gốc của web. Sau đó, kẻ tấn công có thể khởi động các cuộc tấn công ứng dụng web khác bằng cách truy cập các tệp hệ thống, chạy các lệnh hệ điều hành, v.v. 

Ngăn chặn việc duyệt qua thư mục: 

  • Ứng dụng web phải luôn xác thực thông tin đầu vào của người dùng trước khi xử lý bất kỳ hướng dẫn nào
  • Sau khi xác thực đầu vào, ứng dụng web sẽ thêm đầu vào vào thư mục cơ sở và kiểm tra đường dẫn tệp. API phải xác minh rằng đường dẫn tệp bắt đầu bằng thư mục cơ sở bên phải

DDoS cấp ứng dụng tự động

Cuộc tấn công DDoS (Từ chối dịch vụ phân tán) có thể được thực hiện ở cấp ứng dụng web và chủ yếu được thực hiện bằng cách gửi các hướng dẫn lặp đi lặp lại với sự trợ giúp của bot và botnet. 

Phòng ngừa:

  • Tường lửa ứng dụng web thích hợp, cũng như CAPTCHA, có thể giúp bảo vệ khỏi các hoạt động cơ bản của bot. Tuy nhiên, các chương trình phức tạp, cũng như sự tồn tại của các dịch vụ trang trại CAPTCHA có thể khiến các phương pháp này trở nên vô dụng 
  • Bạn có thể kiểm tra các giải pháp và dịch vụ bảo mật ứng dụng web của DataDome điều đó cũng cung cấp các giải pháp phát hiện bot thời gian thực với khả năng phát hiện hành vi.

Lời kết thúc

Trong các cuộc tấn công ứng dụng web không ngừng phát triển ngày nay, việc xem xét và áp dụng một chiến lược bảo vệ rõ ràng ngày càng quan trọng đối với mọi doanh nghiệp và tổ chức trực tuyến. Hãy chủ động tìm ra cách tiếp cận tốt nhất để bảo vệ phía ứng dụng web của bạn và đảm bảo luôn xác thực các đầu vào đến từ máy chủ ứng dụng web.

 Giải pháp phát hiện bot theo thời gian thực có thể giúp ích đáng kể trong việc bảo vệ chống lại các cuộc tấn công ứng dụng web tinh vi hiện nay và là một khoản đầu tư xứng đáng nếu bạn đang tìm cách bảo vệ hệ thống của mình khỏi các mối đe dọa an ninh mạng sắp tới. 

Tiết lộ: Nội dung được xuất bản trên TechLila hỗ trợ người đọc. Chúng tôi có thể nhận được hoa hồng cho các giao dịch mua được thực hiện thông qua các liên kết liên kết của chúng tôi mà bạn không phải trả thêm phí. Đọc của chúng tôi Trang tuyên bố từ chối trách nhiệm để biết thêm về tài trợ, chính sách biên tập và cách hỗ trợ chúng tôi.

Hình đại diện của John Hannah

John hannah

John Hannah là một blogger bán thời gian. Anh ấy thích đi du lịch rất nhiều nơi.

Phân loại

Tương tác người đọc

Không có biểu trưng bình luận

Để lại một bình luận

có gì để nói về chủ đề này không? Thêm bình luận của bạn và bắt đầu cuộc thảo luận.

Thêm nhận xét của bạn

Chúng tôi sẽ không công khai email của bạn. Các ô đánh dấu * là bắt buộc *