Khi tôi mới vào làm thiết kế web, mấy anh chị đi trước bảo "Coi chừng nhiễm virus" web nha em, tôi cứ tần người ra. Giờ thì nó bị thiệt rồi, đây là website bị nhiễm với danh sách các đoạn mã độc sau: Anh em nào quét = tool nay sẽ thấy liền : http://www.unmaskparasites.com/security-report/
Các chuyên gia bảo mật vừa phát hiện một chiến dịch tấn công SQL mới, khiến cho hơn nửa triệu trang web bị hạ gục. "Chúng đã tấn công hàng loạt website thương mại, website của thành phố và thậm chí là của các chính phủ nữa", nhà nghiên cứu Donald Smith của SANS cho biết.
Đôi khi vào các trang hacker , bạn hay thấy các lỗi bảo mật mà hacker
đã dùng những cách thức hết sức đơn giản để lấy username và password
vào root của host như ../../../../../ ect/passwd. Đó chính là một phần
của lỗi include. Nói một cách tổng quát, lỗi include là một loại lỗi do
sự bất cẩn khi lập trình gây ra và lỗi này có thể khắc phục một cách dễ
dàng.
Hầu hết các lỗi SQL Injection đều
là do câu lệnh SQL sai hoặc do User làm cho câu lệnh SQL sai , không
thực hiện đúng chức năng của nó . Ví dụ như chúng ta có một Script kiểm
tra đăng nhập như sau :
Khi site của bạn có số lượng truy cập tương đối lớn thì việc quá tải (overload) của server hoàn toàn có thể xảy ra,
ví dụ: giả sử server của bạn chỉ có thể xử lý được 1000 truy cập tại
cùng 1 thời điểm, thì khi người thứ 1001 truy cập sẽ làm cho server bị
overload (không truy cập được) để hạn chế tình trạng này ta có thể qui
định giới hạn truy cập ví dụ n<1000 thì khi người truy cập thứ n+1
sẽ hiện ra câu thông báo: "server busy, xin quay lại sau"
Cách thực hiện: Copy đọan code sau va`o đầu trang chính cua website (VD: index.php)
Flood hiểu nôm na có nghĩa là tràn ngập - Khi bạn thiết kế một FORM để
nhập dữ liệu, thì bất kỳ ai cũng áo thể view sources để xem cấu trúc
HTML của FORM bạn thiết kế, vì vậy nếu site bạn không chống flood,
hackers có thể dễ dàng flood site bạn, làm DB của bạn có thể bị tràn
ngập và xuất hiện nhiều dữ liệu dư thừa.
SQL Injection Là một trong những kiểu hack web phổ biến vào những năm
trước đây, nhưng mãi cho đến hiện nay vẫn có khá nhiều trang web vẫn
mắc lỗi này vì thế trong bài viết này sẽ mô tả về SQL injection và bạn
sẽ cảm thấy an tâm hơn khi hiểu rõ về nó.
Trong đó: getenv("REMOTE_ADDR") là để lấy địa chỉ IP của khách, Hàm in_array() sẽ kiểm tra dữ liệu trong mảng $banned_ip, nếu tìm thấy (địa chỉ IP nào khớp với địa chỉ IP của khách) thì sẽ dùng hàm die() để kết thúc và thông báo lỗi.
md5U là chuỗi username đã được mã hóa .
md5P là chuỗi password đã được mã hóa
thongtin là chuỗi show tiêu đề
thongtin_sai là chuỗi echo khi nhập không chính xác .
Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó
gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có
“trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh
chứng là các bạn thấy trang http://www.hvaonline.net và http://www.hvanews.net
hứng chịu một ngày trên cả trăm đợt tấn công , nhưng tại sao vẫn đứng
hiên ngang , là do chế độ bảo mật cao , nếu đối với các site thường là
… có vẻ bị “ngủm”
Như ta thường biết , để đưa bất cứ dữ liệu từ người sử dụng
vào CSDL ta đều thông qua dạng truyền biến form HTML , gồm nhiều dạng
và nhiều cách khác nhau . Vì thế lỗi cũng rất nhiều nếu ta không kịp ngăn chặn , có thể dẫn đến những hậu quả khó lường. Dù
truyền biến dạng POST , GET thì lỗi vẫn có . Và lỗi nghiêm trọng là
dùng các biến ẩn để so sánh hoặc thực thi một mệnh đề logic nào đó
PHP , một ngôn ngữ lập trình mã nguồn mở , đáp ứng cho sự phát
triển web và sử dụng song song với mã HTML. Ngôn ngữ lập trình PHP cách
thức viết gẫn gũi với C và PERL , tuy nhiên PHP viết dễ dàng và không
cầu kỳ như C hoặc PERL với cách đặt biến dễ chịu. PHP có thể chạy
trên nhiều hệ điều hành như Linux , Unix , Windows , MAC OSX ,
OpenBSD... , nhưng phổ biến rộng rãi hiện nay là Linux . Tích hợp với
các dạng server như Apache , IIS . Và PHP hổ trợ được nhiều loại cơ sở
dữ liệu như : Mysql, Oracle (OCI7 and OCI8) MySQL , ODBC ... và những
loại khác . Hiện nay Mysql thì phổ biến nhất
Chắc hẳn nhiều người quản lý website thường bắt gặp
file có tên .htaccess. Để giúp các bạn hiểu rõ hơn về chức năng của
file này, tôi xin mạo muội phân tích, đánh giá và đưa ra kinh nghiệm
của mình trong bài viết dưới đây.
Trong khoảng vài năm trở lại đây, số lượng các lỗ hổng bảo mật của các trình ứng
dụng Web được công bố tăng lên một cách đáng kể. Những người làm bảo mật thường
chỉ quan tâm đến độ bảo mật của mạng và hệ điều hành chứ ít quan tâm nhiều đến
bảo mật của chính các ứng dụng chạy trên máy chủ web.
Zoom: 800 x 600 - 1024 x 768
Muoihv: 84 908 134 772 - Email: info@1yt.net Copyright 2002 - 2008 by iCMS
Thông tin liên quan ( lỗi website, liên hệ, giải đáp, hỗ trợ kỹ thuật,... ) vui lòng gửi về contact@giaiphaptructuyen.net
Đôi khi vào các trang hacker , bạn hay thấy các lỗi bảo mật mà hacker
đã dùng những cách thức hết sức đơn giản để lấy username và password
vào root của host như ../../../../../ ect/passwd. Đó chính là một phần
của lỗi include. Nói một cách tổng quát, lỗi include là một loại lỗi do
sự bất cẩn khi lập trình gây ra và lỗi này có thể khắc phục một cách dễ
dàng. 
Hầu hết các lỗi SQL Injection đều
là do câu lệnh SQL sai hoặc do User làm cho câu lệnh SQL sai , không
thực hiện đúng chức năng của nó . Ví dụ như chúng ta có một Script kiểm
tra đăng nhập như sau : 
Khi site của bạn có số lượng truy cập tương đối lớn thì việc quá tải (overload) của server hoàn toàn có thể xảy ra, 
Flood hiểu nôm na có nghĩa là tràn ngập - Khi bạn thiết kế một FORM để
nhập dữ liệu, thì bất kỳ ai cũng áo thể view sources để xem cấu trúc
HTML của FORM bạn thiết kế, vì vậy nếu site bạn không chống flood,
hackers có thể dễ dàng flood site bạn, làm DB của bạn có thể bị tràn
ngập và xuất hiện nhiều dữ liệu dư thừa. 
SQL Injection Là một trong những kiểu hack web phổ biến vào những năm
trước đây, nhưng mãi cho đến hiện nay vẫn có khá nhiều trang web vẫn
mắc lỗi này vì thế trong bài viết này sẽ mô tả về SQL injection và bạn
sẽ cảm thấy an tâm hơn khi hiểu rõ về nó. 
Trong đó: getenv("REMOTE_ADDR") là để lấy địa chỉ IP của khách, Hàm in_array() sẽ kiểm tra dữ liệu trong mảng $banned_ip, nếu tìm thấy (địa chỉ IP nào khớp với địa chỉ IP của khách) thì sẽ dùng hàm die() để kết thúc và thông báo lỗi. 
md5U là chuỗi username đã được mã hóa .
Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó
gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có
“trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh
chứng là các bạn thấy trang 
PHP , một ngôn ngữ lập trình mã nguồn mở , đáp ứng cho sự phát
triển web và sử dụng song song với mã HTML. Ngôn ngữ lập trình PHP cách
thức viết gẫn gũi với C và PERL , tuy nhiên PHP viết dễ dàng và không
cầu kỳ như C hoặc PERL với cách đặt biến dễ chịu. 
Chắc hẳn nhiều người quản lý website thường bắt gặp
file có tên .htaccess. Để giúp các bạn hiểu rõ hơn về chức năng của
file này, tôi xin mạo muội phân tích, đánh giá và đưa ra kinh nghiệm
của mình trong bài viết dưới đây. 
Trong khoảng vài năm trở lại đây, số lượng các lỗ hổng bảo mật của các trình ứng
dụng Web được công bố tăng lên một cách đáng kể. Những người làm bảo mật thường
chỉ quan tâm đến độ bảo mật của mạng và hệ điều hành chứ ít quan tâm nhiều đến
bảo mật của chính các ứng dụng chạy trên máy chủ web. 