Mình nghĩ là chúng ta biết được những cách tấn công của Hacker mũ đen để tự mình có thể bảo vệ mình tốt hơn , các bạn đồng ý với mình chứ .
1. Thao tác vùng ẩn
Các phần bị giấu đi trong trang Web thường được dùng để lưu thông tin về phiên làm việc của client, phiên làm việc này được ghi nhớ ở máy khách (client) chứ không cần phải tổ chức CSDL phức tạp trên máy chủ. Tuy vậy, phần bị giấu đi này không "ẩn" thực sự, chức năng "View Source" (xem mã nguồn) của trình duyệt cho phép đọc được mã nguồn của phần bị giấu của trang Web. Dựa vào mã nguồn này hacker có thể giả lập phiên làm việc để truy cập thông tin trên máy chủ.
2. Can thiệp tham số
Đây là cách thức tấn công bằng cách đưa tham số trực tiếp vào địa chỉ URL để truy cập thông tin không dành cho người dùng (người dùng thao tác qua giao diện trên trình duyệt không thể thấy được các thông tin này). Câu lệnh SQL truy cập CSDL nền của ứng dụng trên Web thường được thể hiện trên địa chỉ URL. Người dùng tọc mạch có thể thao rác trên đoạn mã SQL này để truy cập thông tin trong CSDL.
3. Cửa hậu và bẫy lỗi
Khi viết chương trình các thảo chương viên thường tạo các cửa hậu cũng như các tính năng bẫy lỗi để tiện cho việc kiểm tra và phát hiện lỗi. Việc này rất có ích trong quá trình phát triển sản phẩm ứng dụng. Tuy nhiên, các tính năng bẫy lỗi này lại thường không được bỏ đi khi hoàn tất sản phẩm và chúng trở thành lỗ hổng bảo mật dành cho hacker.
4. Giả mạo Cookie
Nhiều ứng dụng trên Web sử dụng cookie để lưu thông tin trên máy khách (như user ID, thời gian kết nối ....). Do cookie không phải luôn luôn được mã hóa nên hacker có thể sửa đổi cookie để đánh lừa chương trình ứng dụng truy cập bất hợp pháp thông tin trong CSDL. Hacker cũng có thể ăn cắp cookie của một người dùng nào đó để truy cập thông tin của người này mà không cần phải biết mã số đăng nhập (ID) và mật khẩu (password).
See you next times
VnVista I-Shine
© http://vnvista.com