Xin ông cho biết những l�� hổng thường gặp trong các website của DN Việt Nam hiện nay và đâu là nguyên nhân?

Các l�� hổng bảo mật nghiêm trọng trên các website trong nước t�� lâu đã được cảnh báo. Tuy nhiên, chưa có cá nhân, t�� chức nào đứng ra thực hiện những nghiên cứu, báo cáo c�� th�� và thường xuyên đ�� giúp các DN khắc phục. Tại trung tâm Đào Tạo Công Ngh�� Mạng Việt Chuyên, song song với việc đào tạo các khóa học v�� xây dựng website DN, chúng tôi còn triển khai nghiên cứu v�� bảo mật website DN. Có nhiều nguyên nhân dẫn đến các l�� hổng này, c�� th�� là các l�� hổng dưới đây:

D�� liệu đầu vào không được kiểm tra tính hợp l��
Trước tiên, hacker s�� thiết lập một proxy đứng giữa trình duyệt và máy ch�� ứng dụng web. Proxy này có kh�� năng chặn các gói d�� liệu trước khi chuyển đến máy ch��, do đó cho phép hacker sửa đổi d�� liệu truy cập và chèn các mã tấn công trước khi gửi đến ứng dụng web. Những cuộc tấn công dạng này đang có xu hướng ngày càng ph�� biến hơn do s�� lượng các công c�� h�� tr�� các chức năng tạo tham s�� bất k��, tạo mã tấn công, tấn công lập trình máy (brute force) đang ngày càng tăng. Hậu qu�� của việc s�� dụng các tham s�� không được kiểm tra s�� gây khó khăn cho nhà lập trình web nếu h�� không có một h�� thống tập trung kiểm tra tính hợp l�� của tất c�� các truy xuất HTTP.

Lỗi kiểm soát truy cập nguồn tài nguyên
Những lập trình viên thường không đánh giá được mức đ�� khó khăn trong việc xây dựng một cơ ch�� quản lý kiểm soát truy cập d�� liệu. Đa s�� những chức năng này không đựơc thiết k�� t�� lúc đầu mà được xây dựng kèm theo tùy tính năng của ứng dụng. Vì vậy, các chức năng kiểm soát được xây dựng �� khắp các module khác nhau trong mã nguồn. Khi ứng dụng được phát triển xong và đưa vào triển khai, các mã kiểm soát này tr�� nên không thống nhất và gây ra nhiều l�� hổng nghiêm trọng khó phát hiện được.

Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập

Một s�� lượng lớn lỗi ứng dụng trong các hàm quản lý tài khoản và phiên truy cập có th�� dẫn đến mối nguy cơ l�� tài khoản người s�� dụng và thậm chí tài khoản của người quản tr��. Ứng dụng web thường phải theo dõi và duy trì phiên truy cập của người dùng nhằm phân biệt các truy cập t�� người dùng khác nhau. Giao thức HTTP không cung cấp kh�� năng trên do đó ứng dụng web phải t�� tạo cơ ch�� này. Thông thường, môi trường phát triển ứng dụng cung cấp cơ ch�� quản lý phiên truy cập (thường là dưới hình thức mã hóa bằng những đoạn video hấp dẫn). Tuy nhiên, đa s�� các nhà lập trình nghiêng v�� phát triển cơ ch�� riêng của h��. Trong c�� hai trường hợp, nếu token quản lý phiên truy cập không được bảo v��, tin tặc có th�� ăn cắp token truy cập tài khoản của người khác.

Lỗi tràn b�� đệm
Tin tặc s�� dụng lỗi tràn b�� đệm nhằm ảnh hưởng đến dòng lệnh thực thi của ứng dụng web. Bằng cách gửi một đoạn mã được thiết k�� đặc biệt đến ứng dụng, tin tặc có th�� làm cho ứng dụng web thi hành bất k�� đoạn mã nào, điều này tương đương với việc chiếm quyền làm ch�� máy server. Mặc dù là một lỗi ph�� biến, lỗi tràn b�� đệm là loại lỗi rất khó phát hiện và ngay c�� khi đã được phát hiện, lỗi này rất khó b�� lợi dụng do tin tặc cần một trình đ�� rất cao đ�� có th�� viết đoạn mã khai thác.

Lưu tr�� thiếu an toàn
Đa s�� các ứng dụng web cần lưu tr�� d�� liệu nhạy cảm, trong cơ s�� d�� liệu hoặc trong một tập tin nào đó trong h�� thống. Thông tin nhạy cảm bao gồm: mật khẩu, s�� th�� tín dụng, thông tin tài khoản, hoặc các thông tin cần bảo v�� khác. Các cơ ch�� mã hóa thường được s�� dụng đ�� bảo v�� những thông tin này. Mặc dù, s�� dụng các hàm mã hóa không khó cho các lập trình viên. Tuy nhiên, lập trình viên vẫn thường mắc những lỗi cơ bản khi áp dụng vào ứng dụng web do không hiểu rõ hết các đặc điểm mã hóa. Những lỗi thông thường bao gồm: không mã hóa d�� liệu quan trọng như khóa, certificates và mật khẩu, lưu tr�� các khóa bảo mật trong b�� nh�� bằng các cơ ch�� không an toàn, cơ ch�� tạo s�� ngẫu nhiên không đảm bảo, s�� dụng sai thuật toán...

T�� chối dịch v��
Một dạng tấn công DoS đó là, ứng dụng web dựa trên các lỗi trong chức năng của ứng dụng. Ví d�� một ứng dụng s�� dụng cơ ch�� khóa tài khoản trong một tiếng hoặc hơn nếu nhận được quá 3 lần mật khẩu sai. Hacker có th�� lợi dụng điểm yếu này, gửi đến quá 3 lần sai mật khẩu của một tài khoản hợp l��, hậu qu�� là người dùng của tài khoản này không th�� truy cập được trong một tiếng hoặc hơn. Trong một cuộc tấn công t�� chối dịch v�� điển hình vào ứng dụng web, hackers s�� tìm cách chiếm gần hết nguồn tài nguyên h�� thống trên máy ch�� hoặc ứng dụng khiến người s�� dụng hợp l�� không th�� truy cập vào ứng dụng.

Quản lý cấu hình thiếu an toàn
Theo các thống kê hiện nay, thông thường các phần mềm và h�� điều hành trên máy ch�� không được cập nhật kịp thời với bản vá lỗi bảo mật mới nhất. Lỗi trên phần mềm web hosting máy ch�� cho phép liệt kê bất k�� thư mục (hoặc tập tin) nào trong h�� thống như những tập tin mặc định, tập tin tạo ra đ�� test như script, tập tin cấu hình không được xóa đi trong thư mục của trang web... Những tập tin này, thường có đ�� bảo mật yếu và có th�� chứa những thông tin quan trọng.

Quy trình x�� lý báo lỗi
Quy trình x�� lý báo lỗi có th�� gây ra nhiều vấn đ�� bảo mật cho một trang web. Vấn đ�� thông thường nhất là khi các thông báo lỗi có chứa các thông tin nhạy cảm như stack traces, thông tin cơ s�� d�� liệu và các mã lỗi được thông báo cho người dùng. Những lỗi này cung cấp các thông tin v�� h�� thống, ứng dụng �� mức đ�� thấp và thông tin này phải được bảo mật. S�� dụng những thông tin này, hacker có th�� dò tìm ra những lỗi khác của ứng dụng.

Với việc tìm ra hàng chục lỗi bảo mật trên các website DN, d�� án bảo mật ứng dụng web đưa ra giải pháp nào đ�� phòng chống, thưa ông ?

Vấn đ�� bảo mật ứng dụng web không phải là câu chuyện mới. Thực t�� là phần lớn các vấn đ�� trên đã được hiểu rõ trong nhiều thập k�� qua. Tuy nhiên, đến nay vẫn có khá nhiều d�� án phát triển phần mềm còn mắc phải những l�� hổng này và đe dọa không ch�� đến an toàn cho h�� thống của khách hàng mà còn ảnh hưởng chung đến an toàn của h�� thống Internet. Do tính chất phức tạp của ứng dụng, hiện nay chưa có một giải pháp tuyệt đối cho vấn đ�� này. Tuy nhiên các giải pháp sau được đ�� ngh�� đ�� giảm thiểu các rủi ro liên quan đến bảo mật của ứng dụng web: Các tiêu chí v�� bảo mật phải được đặt ra ngay t�� lúc thiết k�� ứng dụng nhằm phát triển các module bảo v�� ngay t�� giai đoạn đầu, ban hành một chuẩn tối thiểu v�� bảo mật cho toàn ứng dụng; thường xuyên cập nhật kiến thức bảo mật cho lập trình viên; s�� dụng dịch v�� đánh giá bảo mật của một công ty ngoài đ�� kiểm tra tính bảo mật của ứng dụng; s�� dụng các công c�� dò và phát hiện lỗi của ứng dụng; cập nhật các phần mềm máy ch�� web với các phiên bản vá lỗi bảo mật mới nhất; s�� dụng các thiết b�� tường lửa ứng dụng web đ�� bảo v�� ứng dụng �� mức ngoại vi...

Trân trọng cảm ơn ông!