Viblo Security

CSRF (Cross-Site Request Forgery) là một lỗ hổng bảo mật phổ biến trên các trang web. Khi một trang web bị mắc lỗi CSRF, kẻ tấn công có thể tạo các yêu cầu giả mạo từ một trang web độc hại, nhằm lừa đảo người dùng (đã đăng nhập vào trang web mắc lỗi) nhằm thực hiện các hành động không mong muốn. Bắt đầu hành trình khám phá lỗ hổng CSRF cùng Viblo nhé!

SSTI (Server-Side Template Injection) là một lỗ hổng bảo mật phổ biến trong các ứng dụng web sử dụng hệ thống template trên máy chủ. Khi một trang web bị mắc lỗi SSTI, kẻ tấn công có thể chèn mã độc vào các trường được xử lý bằng template bởi máy chủ, thường dẫn đến hậu quả nghiêm trọng là thực thi mã từ xa (RCE). Bắt đầu hành trình khám phá lỗ hổng SSTI cùng Viblo nhé!

XSS (Cross-Site Scripting) là một trong những lỗ hổng bảo mật phổ biến trên các trang web. Nó cho phép kẻ tấn công chèn mã độc, thông thường là JavaScript, vào trang web và lợi dụng sự tin tưởng của người dùng để thực thi mã độc này trên trình duyệt của họ. Bắt đầu hành trình khám phá lỗ hổng XSS cùng Viblo nhé!

XML External Entity (XXE) là một loại lỗ hổng bảo mật trong các ứng dụng sử dụng XML. Nó cho phép người tấn công thực hiện các tác vụ không mong muốn như đọc hoặc ghi dữ liệu từ file hệ thống, truy cập vào các dịch vụ mạng hoặc thực hiện tấn công từ xa. Chuỗi bài viết này sẽ giới thiệu các khía cạnh cơ bản của XXE và cách phòng tránh nó để bảo vệ dữ liệu và hệ thống của bạn. Bắt đầu hành trình khám phá cùng Viblo nhé!

Server-side request forgery (SSRF) là một loại tấn công web trong đó kẻ tấn công thực hiện các yêu cầu từ máy chủ đến các dịch vụ hoặc máy chủ khác mà không cần sự cho phép của người dùng. Lỗ hổng này có thể dẫn đến việc mất dữ liệu, nguy cơ tấn công từ xa hoặc gây thiệt hại thông tin bảo mật. Chuỗi bài viết này sẽ giới thiệu các khía cạnh cơ bản của SSRF và cách phòng tránh. Bắt đầu hành trình khám phá cùng Viblo nhé!

SQL injection là một loại tấn công web được sử dụng để tìm cách thực hiện các lệnh SQL không mong muốn nhắm tới cơ sở dữ liệu. Điều này có thể dẫn đến các hậu quả như mất mát dữ liệu, gây lỗi cho trang web hoặc mất quyền truy cập. Chuỗi bài viết này sẽ giới thiệu các khía cạnh cơ bản của SQL injection và cách phòng tránh. Bắt đầu hành trình khám phá cùng Viblo nhé!

Chắc hẳn các bạn đều đã quen thuộc với các tính năng thay đổi ảnh đại diện, ảnh bìa trong quá trình hoàn thành hồ sơ cá nhân. Quá trình tải lên một ảnh đại diện chính là đang thực hiện hành động upload file, cụ thể tệp tải lên ở đây là tệp tin dạng hình ảnh. Giống với các chức năng khác, hành động upload file cũng ẩn chứa những mối nguy tới hệ thống. Dạng lỗ hổng này thường được gọi là File upload vulnerabilities. Bắt đầu hành trình khám phá cùng Viblo nhé!

OS command injection vulnerabilities chỉ loại lỗ hổng cho phép kẻ tấn công "inject" và thực thi tùy ý các câu lệnh tương ứng với hệ điều hành (OS) đang vận hành của hệ thống. Bởi vậy kiểu tấn công này còn có một tên gọi khác là Shell injection. Đây là một trong những lỗ hổng nguy hiểm nhất, thường được đánh giá trong khoảng $9.0 - 10.0$ trong điểm CVSS. Vì khi kẻ tấn công thực thi các lệnh shell tại hệ thống sẽ có thể trực tiếp xâm nhập máy chủ, chuyển cuộc tấn công tới các hệ thống khác trong tổ chức. Hãy cùng Viblo khám phá về dạng lỗ hổng này nhé!

Đối với từng người dùng trong một ứng dụng / hệ thống luôn giữ một vai trò nhất định. Ví dụ: administrator, normal user, guest, ... Đối với mỗi vai trò sẽ có quyền truy cập các tính năng của hệ thống ở mức độ khác nhau. Trong bài viết này Viblo muốn giới thiếu tới các bạn về Lỗ hổng kiểm soát truy cập - Access control vulnerability. Chúng ta sẽ cùng nhau tìm hiểu về các khái niệm truy cập, kiểm soát truy cập. Cùng bắt đầu cuộc khám phá nhé!

Chắc hẳn ai ai trong số chúng ta đều đã quá quen thuộc với những cái tên như Shopee, Lazada, Tiki, ... - các trang web bán hàng, kinh doanh online. Tiếp nối sự phát triển của thời đại, những hành động mang tính "trực tiếp" như giao dịch, mua sắm, thanh toán, ... đều được thực hiện trên mạng internet. Chỉ cần ngồi tại nhà chúng ta cũng có thể lựa chọn, đặt hàng cho mình những món đồ trên khắp miền đất nước, thậm chí là toàn thế giới. Để xây dựng nên từng trang web kinh doanh, mua sắm với đa dạng các tính năng như: lựa chọn sản phẩm, sử dụng các loại voucher, thanh toán giỏ hàng, ... sẽ khó tránh khỏi những sai sót về mặt logic, dẫn tới sự sai sót trong giao dịch. Chúng ta thường gọi dạng lỗ hổng này là Business logic vulnerabilities. Hãy cùng Viblo khám phá về dạng lỗ hổng này nhé!

Chúng ta đã biết về các lỗ hổng information disclosure - khiến trang web tiết lộ một số thông tin nhạy cảm. Ở bài viết này tôi muốn giới thiệu tới các bạn một dạng lỗ hổng có thể nói là nâng cao của Information disclosure vulnerabilities - Lỗ hổng Directory traversal (một số tài liệu còn gọi là Path traversal vulnerabilities). Vì sao lại là nâng cao ư? Vì nó cũng có điểm chung là khiến kẻ tấn công có thể đọc nội dung các tệp tin ngoài quyền hạn truy cập. Trong lỗ hổng này kẻ tấn công thường có thể thao tác để đọc nội dung tệp tin tại các thư mục theo ý muốn, phạm vi tiết lộ thông tin lớn hơn, thậm chí là toàn bộ tệp tin trong server. Với lượng lớn thông tin thu thập được như vậy sẽ là một bước "khởi đầu" vô cùng suôn sẻ cho kẻ xấu. Hãy cùng Viblo khám phá về dạng lỗ hổng này nhé!

Chúng ta hiện đang sống trong một thời đại với công nghệ thông tin vô cùng phát triển. Các thông tin cá nhân, sở thích, thói quen sinh hoạt của mỗi con người, hay xa hơn nữa có thể kể đến như các dữ liệu trường học, y tế, doanh nghiệp, chính phủ, ... đã trở thành một loại "tài sản" vô cùng giá trị và nhạy cảm. Đối với mỗi ứng dụng web cũng vậy, chúng cũng chứa những thông tin "nhạy cảm" mà một khi bị tiết lộ cho kẻ xấu, có thể gây nên những tổn hại không thể lường trước. Hãy cùng Viblo khám phá về các lỗ hổng Information disclosure nhé!

Xác thực (authentication) là quá trình xác định, chứng minh một đối tượng (con người, sự vật, ...). Với các ứng dụng web, chúng ta thường thấy chức năng đăng nhập (login) cũng như đăng ký tài khoản (register) dành cho người dùng (user). Đăng ký một tài khoản với các thông tin cần thiết sẽ giúp bạn trở thành một người dùng / khách hàng của ứng dụng. Sau đó, mỗi khi bạn sử dụng dịch vụ, bạn cần đăng nhập tài khoản - cũng chính là bước xác thực danh tính (Authentication) của bạn. Sẽ thật nguy hiểm nếu một kẻ tấn công có thể mạo danh và truy cập vào tài khoản của bạn thông qua các lỗ hổng xác thực (Authentication vilnerability). Hãy cùng Viblo khám phá nhé!