Những trang web có lỗ hổng bảo mật chính là cửa ngõ để hacker tấn công sang các "hàng xóm" khác trên cùng server.
Tối ngày 24/7, một hacker mang biệt danh X_Spider đã tấn công được được vào techcombank.com.vn và để lại thông báo cần phải sửa lỗi mà không gây thiệt hại gì cho website và hoạt động của ngân hàng này. Trao đổi với VnExpress, X_Spider cho biết một trang có tên www.phuthai... đã gặp lỗ hổng bảo mật, khiến anh ta có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập "liên thông" (local attack) là có thể thực hiện được.
"Do nhiều khách hàng khi thiết lập website đã dùng mã nguồn mở sẵn có mà không đầu tư nghiên cứu bảo mật nên rất dễ bị khai thác", ông Lê Minh Hiếu, Trưởng phòng hệ thống Công ty dữ liệu trực tuyến FPT (IDS), nơi Ngân hàng Kỹ thương thuê host cho techcombank.com.vn, giải thích. "Hệ thống đã phải ngừng host cho www.phuthai... và rà soát lỗi của các website khác cùng server để không gây nguy hiểm cho những trang còn lại".
Techcombank.com.vn thuê chung máy chủ với gần 100 trang web khác, được thiết kế theo phiên bản phần mềm nguồn mở PHP 4. Tuy nhiên, PHP 4 từ cuối năm 2007 đã không được hỗ trợ kỹ thuật và bộc lộ nhiều lỗ hổng do thế giới đang theo xu hướng chuyển lên PHP 5 và PHP 6. "Vì một số khách hàng chưa nhận thức được việc cập nhật website lên các chuẩn mới nên việc chuyển đổi rất khó khăn", ông Hiếu cho biết. "PHP 4 đã lỗi thời, dù cấu hình (config) lại kỹ đến đâu cũng không ngăn cản được hacker tấn công, nếu họ muốn".
Trong máy chủ host, mỗi website được quản lý ở một thư mục gốc. Nhưng ở PHP 4, Open_Basedir (chức năng giới hạn website nào chỉ chạy trong thư mục đó) dễ dàng bị vượt qua vì có cơ chế cho phép gọi từ thư mục này sang thư mục kia. Còn từ PHP 5 trở đi, lỗi này đã được khắc phục và khách hàng dùng host chung (hình thức tiết kiệm hơn so với server riêng) có thể yên tâm hơn. Tuy nhiên, họ vẫn cần phải thường xuyên ra soát lỗi (bug) trên trang, nhất là với những website dùng nguồn mở sẵn có tải từ trên mạng.
Ngoài ra, các chuyên gia bảo mật cũng khuyến cáo tổ chức, doanh nghiệp lớn nên đặt website ở máy chủ riêng, vừa đảm bảo băng thông truy cập cho khách hàng, vừa được bảo mật tốt hơn.
Hiểm họa từ website bảo mật kém thuê chung máy chủ
383
Bạn nên đọc
-
Cách thức hoạt động của Hacker
-
5 cách khởi chạy nhanh chương trình trên Windows
-
Team Group ra mắt SSD T-Force Z54E PCIe 5.0 đạt tốc độ đọc kỷ lục 14.900 MB/s, vượt mặt Samsung và Kingston
-
YouTube mở “ân xá”, cho phép nhà sáng tạo bị cấm quay trở lại nền tảng
-
ChatGPT sắp hỗ trợ mua sắm và thanh toán trực tiếp bằng PayPal ngay trong ứng dụng
-
PNY ra mắt dòng SSD NVMe Gen5 nhanh nhất của hãng – CS3250 với dung lượng 4TB, tốc độ lên tới 14.900 MB/s
Xác thực tài khoản!
Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:
Số điện thoại chưa đúng định dạng!
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Cũ vẫn chất
-

Cách view source, xem mã nguồn trang web bằng điện thoại, máy tính
Hôm qua 1 -

44 phím tắt hữu dụng trên tất cả trình duyệt
Hôm qua 2 -

Cách quản lý mật khẩu đã lưu trên Microsoft Edge: Xem, xóa, sửa, xuất
Hôm qua -

Cách tạo sticker tùy chỉnh trên Telegram
Hôm qua -

Khắc phục tình trạng các phím chức năng không hoạt động trong Windows 10
Hôm qua -

Cloudflare WARP là gì? Có nên sử dụng không?
Hôm qua 2 -

Công thức Minecraft để chế tạo đồ cơ bản, thức ăn, công cụ dụng cụ, đồ bảo hộ, len, màu nhuộm
Hôm qua 1 -

Đăng ký Zalo, cách tạo tài khoản Zalo trên máy tính
Hôm qua 4 -

Câu nói hay về người thứ ba, stt về người thứ ba trong tình yêu thâm thúy
Hôm qua -

Tổng hợp phím tắt Đấu Trường Chân Lý
Hôm qua
Học IT
Microsoft Word 2013
Microsoft Word 2007
Microsoft Excel 2019
Microsoft Excel 2016
Microsoft PowerPoint 2019
Google Sheets
Lập trình Scratch
Bootstrap
Hướng dẫn
Ô tô, Xe máy