[You must be registered and logged in to see this image.]

Lỗi SQL Injection đã được cảnh báo từ những năm 2002 nhưng cho đến nay các trang web vẫn thờ ơ với công tác đảm bảo an ninh mạng.

ICTnews - Một giảng viên của BachKhoa-Npower đã trình
diễn một vụ tấn công website chiếm đoạt server chạy hệ điều hành Linux
và Windows server bằng thủ thuật SQL Injection, trong vòng chưa đầy 10
phút
Tại buổi hội thảo “An ninh mạng và các giải pháp
bảo mật - hacker mũ trắng” do BachKhoa-Npower tổ chức ngày 27-6, ông
Nguyễn Hoài Duy – Chuyên gia bảo mật CCIE, Giảng viên cao cấp của hệ
thống Back khoa-Npower đã trình diễn một vụ tấn công website chiếm đoạt
server chạy hệ điều hành Linux và Windows server bằng thủ thuật SQL
Injection. Điều đáng nói việc tấn công chiếm đoạt quyền điều khiển máy
chủ của ông Duy chỉ thực hiện trong vòng chưa đầy 10 phút.



Vụ tấn công vào server Linux:







Vụ tấn công vào server Windows:




Ông Duy cho biết, sau khi trình diễn xong, ông
và các cộng sự sẽ thông báo lại cho đơn vị quản lý những trang web này
để sửa lỗi. Đến ngày hôm nay (29/6), khi phóng viên ICTnews truy cập vào
trang web qute.vn đã nhận được thông báo đóng cửa website để bảo trì.

Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh
mạng BKAV cho biết, để tránh lỗi chiếm đoạt server từ lỗi của 1 website,
các doanh nghiệp cung cấp dịch vụ cần thực hiện ngay các biện pháp PHÂN
QUYỀN, mục tiêu là để mỗi website là một thư mục độc lập với các
website khác, tránh hiện tượng hacker kiểm soát được 1 website (1 thư
mục) sau đó leo thang chiếm quyền kiểm soát (quyền đọc, quyền ghi) vào
các thư mục khác (website khác).

"Cụ thể phân quyền thế nào thì sẽ tuỳ theo từng hệ điều hành mà có các biện pháp tương ứng", ông Đức cho biết thêm.