- 4 -
Cookie là những phần dữ liệu nhỏ có cấu trúc được chia sẻ giữa
trình chủ và trình duyệt của người dùng chứa thông tin về người
dùng đã ghé thăm trang web và những vùng mà họ đã đi
qua trong
trang web và lưu trên đĩa cứng của máy tính. Những người biết tận
dụng những thông tin này có thể gây nên những hậu quả nghiêm
trọng.
1.3.4. Các lỗ hổng bảo mật
Hiện nay các lỗ hổng được phát hiện ra ngày càng nhiều về hệ
điều hành, máy chủ web, và các phần mềm của các hãng khác... Tuy
khi phát hiện ra được và có bổ sung các bảng path nhưng các khách
hàng không cập nhật thường xuyên nên là cơ hội cho các hacker tấn
công.
1.3.5. Cấu hình không an toàn
Các phần mềm và hệ điều hành trên máy chủ không được cập
nhật với bản vá lỗi bảo mật mới nhất, không phân đúng quyền cho
các thư mục và tập tin trong trang web, những chức năng quản lý và
debug được triển khai không cần thiết, phần mềm web server đăng
quá nhiều thông tin trong trang báo lỗi, cấu hình SSL và các hàm mã
hóa không đúng.
1.3.6. Tràn bộ đệm
Tin tặc gửi một đoạn mã được thiết kế đặc biệt đến ứng dụng,
tin tặc có thể làm cho ứng dụng web thi hành bất kỳ đoạn mã nào,
điều này tương đương với việc chiếm quyền làm chủ máy server.
1.3.7. Tấn công từ chối dịch vụ DoS (Denial of Service)
Là các cuộc tấn công trên hệ thống mạng nhằm ngăn cản những
truy xuất tới các dịch vụ, làm cho các dịch vụ mạng bị tê liệt, không
còn khả năng đáp ứng được yêu cầu bằng cách làm tràn ngập số
lượng kết nối, quá tải server hoặc ứng dụng chạy trên server.
1.4. Các vấn đề bảo mật ứng dụng web
1.4.1. Giao thức IPSec
IPSec là một tiêu chuẩn nhằm bổ sung an toàn
cho Internet,
- 5 -
được xác định trong RFC 1825, so với giao thức IP, IPSec thêm vào
hai trường mào đầu IP để cung cấp tính năng xác thực và bảo mật tại
lớp IP.
IPSec có hai cơ chế mã hoá là Tunnel Mode và
Transport
Mode, sử dụng thuật toán mã hoá đối xứng để mã hoá truyền thông.
Các thực thể tham gia truyền thông sử dụng các khoá chia sẻ được
tạo ra bằng thuật toán Diffie-Hellman kèm với việc xác thực để đảm
bảo khoá đối xứng được thiết lập giữa những bên truyền thông một
cách chính xác.
Trước khi IPSec trao đổi dữ liệu đã xác thực hoặc mã hoá, cả
bên gửi và bên nhận phải thống nhất với nhau về thuật toán mã hoá
và khoá (hoặc các khoá) sử dụng.
Chia sẻ với bạn bè của bạn: