8/10 website mắc những lỗi chết người
- Cập nhật: Thứ ba, 24/4/2007 | 12:00:00 AM
Cứ 10 website thì có tới 8 trang mắc những lỗi bảo mật thông thường có thể bị tin tặc lợi dụng để ăn cắp dữ liệu khách hàng hoặc tổ chức tấn công lừa đảo trực tuyến ...
|
Jeremiah Grossman - người sáng lập nên hãng bảo mật WhiteHat Security - cho biết hãng của ông đã tiến hành quét dữ liệu di chuyển qua lại các trang web phổ biến và phát hiện thấy có tới 30% những trang web này chứa những lỗi bảo mật cực kỳ nguy hiểm.
Phổ biến nhất là lỗi cơ sở dữ liệu có thể bị tin tặc lợi dụng để ăn cắp dữ liệu của khách hàng.
Cứ trong 3 trang web được WhiteHat quét thì có tới 2 trang chứa một hoặc hơn một lỗi tấn công liên trang XSS (cross-site scripting). Đây là một lỗi tương đối nguy hiểm vì nó có thể bị lợi dụng để tổ chức các vụ tấn công lừa đảo trực tuyến (phishing).
Trang web đấu giá trực tuyến nổi tiếng eBay là nạn nhân mới nhất của trò tấn công lừa đảo trực tuyến như thế. Tin tặc lợi dụng lỗi XSS của website để dẫn khách hàng đến một trang web lừa đảo để ăn cắp thông tin tài chính cá nhân của họ.
Nguy cơ tiềm ẩn
Có khoảng 1/3 số trang web được WhiteHat quét qua đều mang trong mình nguy cơ tiềm ẩn bị mất cắp thông tin. Thông thường ngôn ngữ lập trình dữ liệu ở những trang web này không kiểm tra cẩn thận dẫn đến nguy cơ bị lợi dụng để khai thác thông tin.
Và cứ trong 4 trang web thì lại có một trang có nguy cơ trở thành nạn nhân của những trò lừa đảo phishing.
Lỗi lập trình ngôn ngữ cơ sở dữ liệu SQL Injection giờ đây không còn phổ biến như trước đây nữa, ông Grossman cho biết. Chỉ có 1 trong số 5 trang web được quét là có mắc lỗi này. Tuy nhiên, đây lại là lỗi cực kỳ nguy hiểm vì lỗi này rất dễ bị khai thác và có thể cho phép tin tặc lấy được gần như mọi dữ liệu.
Những gì mà WhiteHat phát hiện được cũng giống những gì mà giới bảo mật này nhận thấy. Ông Ken Dunham - Giám đốc đội phản ứng nhanh với các tình huống bảo mật máy tính của iDefense - cho biết: "Tấn công web giờ đây đã trở thành hình thức tấn công phổ biến nhất".
Web 2.0 còn nguy cấp hơn
Cũng giống như các loại phần mềm khác, ngôn ngữ lập trình web cũng phát triển và ngày một trở nên phức tạp hơn cho phép các nhà lập trình web sáng tạo ra các ứng dụng web 2.0 có chức năng giống với ứng dụng trên PC để bàn hơn. Nhưng cũng chính vì thế mà những ứng dụng kiểu này rất dễ bị tấn công.
Nhưng tin vui ở đây là lỗi ứng dụng web chỉ cần nhà cung cấp dịch vụ khắc phục là xong chứ không giống như ứng dụng trên PC để bàn. Nó yêu cầu mọi người dùng phải cài đặt bản nâng cấp sửa lỗi. Nhưng không phải ai cũng biết và cũng cài đặt.
(Theo VnMedia)
Các tin khác
Bởi ngoài ý nghĩa tôn vinh các cá nhân hoạt động trong lĩnh vực CNTT, các sản phẩm phần mềm, giải Sao Khuê còn là một phương tiện để “đánh bóng thương hiệu” cho chính các doanh nghiệp. Và ngày 22/4, tại Hà Nội, lễ trao giải thưởng Sao Khuê 2007 đã được Hiệp hội doanh nghiệp phần mềm Việt Nam (Vinasa) tổ chức.
Trong phiên họp ngày 18-4, Ủy ban Thường vụ Quốc hội đã thống nhất nâng dự án Pháp lệnh Công nghệ cao thành Luật và giao Chính phủ là cơ quan soạn thảo.
Tối 18/4, tại khách sạn Hilton (Hà Nội), 17 dự án, sản phẩm tham gia cuộc thi sáng tạo CNTT cho người khuyết tật đã được vinh danh. Hai giải nhất, trị giá 50 triệu đồng/giải, thuộc về Cổng thông tin của người khuyết tật và Giáo trình hỗ trợ trẻ khiếm thính luyện âm, tập nói.
Intel vừa đưa ra trình diễn tại Diễn đàn các nhà phát triển Intel (IDF) đang được tổ chức tại Bắc Kinh (Trung Quốc) mẫu thử nghiệm đầu tiên thế hệ chip vi xử lý 80 nhân.