DIỄN ÄÀN GIÃO PHẬN VINH :: Xem chủ đề - MỘT Sá» Lá»–I CẦN TRÃNH KHI LẬP TRÃŒNH WEBSITE
Bạn đang theo dõi chủ đề ở chuyên mục : Internet
Người đăng
Thông điệp
Thà nh viên
Ngày tham gia: 13/08/2007 Bài gửi: 202 Số lần cám ơn: 2 Được cám ơn 23 lần trong 22 bài viết
gửi: 29.01.2009 Tiêu đề: MỘT Sá» Lá»–I CẦN TRÃNH KHI LẬP TRÃŒNH WEBSITE
"Tất cả những kinh nghiệm nà y Ä‘á»u được trải qua và kiểm nghiệm trong thá»±c tế bởi... chÃnh tôi. Những Ä‘iá»u tôi viết, chắc mấy anh hacker có nghá» sẽ cÆ°á»i khẩy mà bảo rằng 'dá»… váºy mà cÅ©ng viết'. Thì cái gì biết rồi Ä‘á»u dá»… mà ! Äây chỉ là những kinh nghiệm mà những bạn quan tâm tá»›i hoặc má»›i láºp trình web nên tham khảo mà thôi". [/b]
"Äầu tiên, má»™t lần tôi lang thang trên Net, ghé và o ngó nghiêng trang http://www.hubm.edu.vn, chợt phát hiện rằng trang web nà y có má»™t forum tá»± viết bằng asp. À há, tinh thần tá»± viết mà không dùng đồ có sẵn trên Net của webmaster trang web nà y rất đáng hoan nghênh. NhÆ°ng tá»± viết thì chắc chắn sẽ có chá»— nà y chá»— ná» chÆ°a hoà n thiện, phải không? Sau khi mò mẫm chá»n kiểm tra các trang web có liên quan đến truy cáºp dữ liệu nhÆ° các trang cáºp nháºt thông tin, gá»i bà i, đổi máºt khẩu… Tôi chợt phát khùng lên vì... sÆ°á»›ng, khi thấy trang thay đổi máºt khẩu được chứng thá»±c bằng ID và chỉ ID mà thôi. Dá»… nhÆ° bóc kẹo, tôi nhẹ nhà ng thay đổi chỉ số ID trên URL String bằng ID của admin, nghiá»…m nhiên tôi có máºt khẩu của admin".
"Theo tôi, đây là má»™t lá»—i vô cùng ngá»› ngẩn và quá nguy hiểm vì nó cho phép má»™t cáºu bé con cÅ©ng có thể xÆ¡i tái cả hệ thống. Theo tôi, các bạn nên chú ý khi láºp trình web, tất cả các trang có tác Ä‘á»™ng đến cÆ¡ sở dữ liệu phải có 2 cách kiểm tra: Hoặc xác nháºn lại máºt khẩu, hoặc sá» dụng biến Session, không được chỉ kiểm tra ID".
"Trang web nà y còn có má»™t lá»—i ngá»› ngẩn và nghiêm trá»ng không kém, đó là cho phép upload file lên mà không cần kiểm tra đó là file gì. Do host há»— trợ .asp nên tôi đã upload cả má»™t chú backdoor to đùng lên (Ä‘uôi .asp) và dùng nó để sục sạo vô tÆ° trong hệ thống. Váºy thêm má»™t kinh nghiệm nữa là bạn phải hạn chế dạng file cho upload lên hệ thống, và tốt nhất là chỉ cho phép các file dạng hình ảnh mà thôi".
"Má»™t lần khác, khi lang thang tìm kiếm lá»—i trên trang http://ttvnol.com, tôi cÅ©ng phát hiện ra má»™t lá»—i ở phần upload file. Forum nà y có má»™t lá»—i quá nghiêm trá»ng: Äó là upload thì kiểm tra Ä‘uôi nhÆ°ng khi chạy cái file Ä‘uôi dạng hình ảnh thì hiển luôn cái ná»™i dung file nếu không phải là file hình ảnh. Có nghÄ©a là nếu tôi viết 1 file HTML và đổi thà nh Ä‘uôi .gif thì Ä‘Æ°a lên gá»i bằng trình duyệt vẫn chạy HTML bình thÆ°á»ng. Tôi đã sá» dụng Ä‘iá»u nà y để sá»a Ä‘iểm trò SNAKE trong ttvnol và là m 1 form lừa lấy hầu hết password của các admin. Tôi còn Ä‘Æ°a lên cả backdoor và điá»u nguy hiểm hÆ¡n là trÆ°á»ng password trong database chẳng được mã hóa gì hết... Có Ä‘Æ°á»ng dẫn rồi, chỉ cần là m 1 file .asp bình thÆ°á»ng là bá»n tôi có thể lôi hết password của các thà nh viên trên diá»…n Ä‘Ã n vá». Forum TTVNOL váºy là bị thu phục hoà n toà n".
"Nhắn thêm vá»›i các bạn má»™t Ä‘iá»u nữa khi là m web, đó là phải thiết láºp cấu hình để máy chủ chỉ cho chạy các file có Ä‘uôi html hoặc .asp hay .php… và phải mã hoá trÆ°á»›c khi lÆ°u thông tin và o trÆ°á»ng máºt khẩu. Tất cả các lá»—i trên tôi đã thông báo cho các admin và hỠđã sá»a hết rồi nên không còn Ä‘Æ°á»ng để các bạn thá»±c hà nh nữa đâu. Bà i viết nà y cÅ©ng không có ý phá hoại chi hết mà chỉ nêu lên những lá»—i thÆ°á»ng gặp để các bạn biết mà chú ý khi là m web thôi".
CHÚC THÀNH CÔNG [/b]
Bạn không có quyền gửi bài viết Bạn không có quyền trả lời bài viết Bạn không có quyền sửa chữa bài viết của bạn Bạn không có quyền xóa bài viết của bạn Bạn không có quyền tham gia bầu chọn Bạn không được phép gởi kèm file trong diễn đàn Bạn có thể download files trong diễn đàn