8/10 website mắc những lỗi chết người

Cứ 10 website thì có tới 8 trang mắc những lỗi bảo mật thông thường có thể bị tin tặc lợi dụng để ăn cắp dữ liệu khách hàng hoặc tổ chức tấn công lừa đảo trực tuyến...

Jeremiah Grossman - người sáng lập nên hãng bảo mật WhiteHat Security - cho biết hãng của ông đã tiến hành quét dữ liệu di chuyển qua lại các trang web phổ biến và phát hiện thấy có tới 30% những trang web này chứa những lỗi bảo mật cực kỳ nguy hiểm.

Phổ biến nhất là lỗi cơ sở dữ liệu có thể bị tin tặc lợi dụng để ăn cắp dữ liệu của khách hàng.

Cứ trong 3 trang web được WhiteHat quét thì có tới 2 trang chứa một hoặc hơn một lỗi tấn công liên trang XSS (cross-site scripting). Đây là một lỗi tương đối nguy hiểm vì nó có thể bị lợi dụng để tổ chức các vụ tấn công lừa đảo trực tuyến (phishing).

Trang web đấu giá trực tuyến nổi tiếng eBay là nạn nhân mới nhất của trò tấn công lừa đảo trực tuyến như thế. Tin tặc lợi dụng lỗi XSS của website để dẫn khách hàng đến một trang web lừa đảo để ăn cắp thông tin tài chính cá nhân của họ.

Nguy cơ tiềm ẩn

Có khoảng 1/3 số trang web được WhiteHat quét qua đều mang trong mình nguy cơ tiềm ẩn bị mất cắp thông tin. Thông thường ngôn ngữ lập trình dữ liệu ở những trang web này không kiểm tra cẩn thận dẫn đến nguy cơ bị lợi dụng để khai thác thông tin.

Và cứ trong 4 trang web thì lại có một trang có nguy cơ trở thành nạn nhân của những trò lừa đảo phishing.

Lỗi lập trình ngôn ngữ cơ sở dữ liệu SQL Injection giờ đây không còn phổ biến như trước đây nữa, ông Grossman cho biết. Chỉ có 1 trong số 5 trang web được quét là có mắc lỗi này. Tuy nhiên, đây lại là lỗi cực kỳ nguy hiểm vì lỗi này rất dễ bị khai thác và có thể cho phép tin tặc lấy được gần như mọi dữ liệu.

Những gì mà WhiteHat phát hiện được cũng giống những gì mà giới bảo mật này nhận thấy. Ông Ken Dunham - Giám đốc đội phản ứng nhanh với các tình huống bảo mật máy tính của iDefense - cho biết: "Tấn công web giờ đây đã trở thành hình thức tấn công phổ biến nhất".

Web 2.0 còn nguy cấp hơn

Cũng giống như các loại phần mềm khác, ngôn ngữ lập trình web cũng phát triển và ngày một trở nên phức tạp hơn cho phép các nhà lập trình web sáng tạo ra các ứng dụng web 2.0 có chức năng giống với ứng dụng trên PC để bàn hơn. Nhưng cũng chính vì thế mà những ứng dụng kiểu này rất dễ bị tấn công.

Nhưng tin vui ở đây là lỗi ứng dụng web chỉ cần nhà cung cấp dịch vụ khắc phục là xong chứ không giống như ứng dụng trên PC để bàn. Nó yêu cầu mọi người dùng phải cài đặt bản nâng cấp sửa lỗi. Nhưng không phải ai cũng biết và cũng cài đặt.

Hoàng Dũng