Symantec: Thiết kế web vẫn mắc lỗi cổ điển
By Công Ty Truyền Thông Số iGO
Hãng bảo mật Symantec cảnh báo giới phát triển hiện vẫn còn mắc những lỗi bảo mật bảo mật cổ điển trong thiết kế website. Thậm chí trong số này có cả những lỗi đã được biết đến từ hơn một thẩm kỷ trước đây.
Con số thống kê của Symantec đã cho thấy chỉ trong có 6 tháng cuối năm 2007 số lượng các website bị phát hiện mắc lỗi cổ điển như thế đã tăng hơn hai lần. Trong khi sáu tháng đầu năm mới chỉ có 6.961 website được xác định mắc lỗi thì hết 6 tháng cuối năm con số này đã lên tới 11.253.
Kevin Hogan – Giám đốc điều hành bộ phận bảo mật của Symantec - những lỗi kiểu như thế này thực sự là hiểm hoạ đối với người dùng Internet. Họ không thể ngờ rằng họ đã bị tấn công hoặc PC của họ bị nhiễm mã độc ngay cả khi họ truy cập vào website của một đơn vị tổ chức đáng tin cậy.
“Tình thế này đã thay đổi hoàn toàn “lý thuyết” mà chúng ta đưa ra trước đây. Đó là chỉ có những website phát tán nội dung khiêu dâm hoặc đánh bạc trực tuyến mới chứa mã độc. Giời đây bất kỳ website nào có mắc lỗi đều có thể chứa chấp mã độc”.
Kiểu tấn công lợi dụng lỗi website như trên thường được biết đến bằng cái tên XSS (cross-site scripting). Lỗi này phát sinh do khâu kiểm soát dữ liệu trao đổi giữa máy chủ và trình duyệt web không được thực hiện tốt. Ngoài ra lỗi này còn có thể bị tin tặc lợi dụng để ăn cắp dữ liệu của người dùng Internet.
Ông Hogan cho biết sở dĩ tin tặc ưa thích lỗi XSS bởi lỗi này không cần phải mất nhiều thời gian nghiên cứu và phát triển mã khai thác. Và đặc biệt lỗi này không cần bất kỳ sự tương tác nào từ phía người dùng.
Symantec cho biết con số thống kê trên chưa hoàn toàn chính xác. Số lượng website mắc lỗi thực tế còn có thể cao hơn rất nhiều. Trong khi đó, các nhà quản trị website hiện vẫn còn rất yếu trong công tác khắc phục lỗi.
Chris Wysopal – Giám đốc công nghệ của Veracode – cũng nhận định tình thế đang ngày một trở nên tồi tệ hơn.
“Tôi không thấy dấu hiệu nào cho thấy tình thế những website mắc lỗi XSS giảm đi. Đặc biệt khi ngày nay ngày càng có nhiều website muốn viết những mã nguồn riêng của mình nhằm giúp người dùng có thể tận dụng tốt nhất nguồn tài nguyên trên website”.
(Theo BBC)
Con số thống kê của Symantec đã cho thấy chỉ trong có 6 tháng cuối năm 2007 số lượng các website bị phát hiện mắc lỗi cổ điển như thế đã tăng hơn hai lần. Trong khi sáu tháng đầu năm mới chỉ có 6.961 website được xác định mắc lỗi thì hết 6 tháng cuối năm con số này đã lên tới 11.253.
Kevin Hogan – Giám đốc điều hành bộ phận bảo mật của Symantec - những lỗi kiểu như thế này thực sự là hiểm hoạ đối với người dùng Internet. Họ không thể ngờ rằng họ đã bị tấn công hoặc PC của họ bị nhiễm mã độc ngay cả khi họ truy cập vào website của một đơn vị tổ chức đáng tin cậy.
“Tình thế này đã thay đổi hoàn toàn “lý thuyết” mà chúng ta đưa ra trước đây. Đó là chỉ có những website phát tán nội dung khiêu dâm hoặc đánh bạc trực tuyến mới chứa mã độc. Giời đây bất kỳ website nào có mắc lỗi đều có thể chứa chấp mã độc”.
Kiểu tấn công lợi dụng lỗi website như trên thường được biết đến bằng cái tên XSS (cross-site scripting). Lỗi này phát sinh do khâu kiểm soát dữ liệu trao đổi giữa máy chủ và trình duyệt web không được thực hiện tốt. Ngoài ra lỗi này còn có thể bị tin tặc lợi dụng để ăn cắp dữ liệu của người dùng Internet.
Ông Hogan cho biết sở dĩ tin tặc ưa thích lỗi XSS bởi lỗi này không cần phải mất nhiều thời gian nghiên cứu và phát triển mã khai thác. Và đặc biệt lỗi này không cần bất kỳ sự tương tác nào từ phía người dùng.
Symantec cho biết con số thống kê trên chưa hoàn toàn chính xác. Số lượng website mắc lỗi thực tế còn có thể cao hơn rất nhiều. Trong khi đó, các nhà quản trị website hiện vẫn còn rất yếu trong công tác khắc phục lỗi.
Chris Wysopal – Giám đốc công nghệ của Veracode – cũng nhận định tình thế đang ngày một trở nên tồi tệ hơn.
“Tôi không thấy dấu hiệu nào cho thấy tình thế những website mắc lỗi XSS giảm đi. Đặc biệt khi ngày nay ngày càng có nhiều website muốn viết những mã nguồn riêng của mình nhằm giúp người dùng có thể tận dụng tốt nhất nguồn tài nguyên trên website”.
(Theo BBC)