Ở phần trước, mình đã giới thiệu với mọi người về qui trình hack 1 website, 1 số cách hack đơn giản.
Ở phần này, mình sẽ chia sẻ thêm 1 số cách hack khác, cũng như những điều bạn cần lưu ý sau khi hack xong nhé! Cuối bài mình cũng sẽ share một số tài liệu cho những bạn muốn nhập môn, tìm hiểu về bảo mật và hacking luôn nhé.
Continue reading Dăm ba cách hack sập 1 website nào đó – Phần 2
Đã bao giờ bạn thắc mắc làm sao hacker có thể hack sập 1 website chưa? Hack gồm những bước nào, tìm hiểu trang web ra sao? Làm sao để không bị phát hiện v..v.
Trong bài viết này, mình sẽ chia sẻ kĩ hơn về qui trình, về những biện pháp mà hacker sử dụng để truy cập và … hack sập một trang web nhé. Mặc dù không cool ngầu như trong phim đâu, nhưng cũng rất hay ho thú vị đấy!
Anh em làm dev không quan tâm về hack cũng nên đọc, đề biết cách phòng chống website mình không bị hacker tấn công nhé!
Note: Bài này do là vlog nên sẽ đi sâu hơn về kĩ thuật một chút so với vlog nhé. Bạn nào đã xem vlog cũng nên đọc, vì mình sẽ nói kĩ hơn về các tool hay dùng!
Continue reading Dăm ba cách hack sập 1 website nào đó – Phần 1
Ở kì trước, chúng ta đã deploy một ứng dụng đơn giản trên máy ảo rồi.
Trong phần 4 này, chúng ta sẽ tìm hiểu về Azure App Service, cũng như thực hành deploy ứng dụng lên Azure App Service một cách nhanh hơn, tiện hơn, nhẹ nhành hơn nha!
Continue reading Cùng học Cờ Lao – Azure Phần 4.1: Azure App Service là gì? Nó có gì hay ho?
Cách đây vài hôm, giang hồ rộ lên vụ Facebook lưu trữ mật khẩu người dùng dưới dạng plain text, nhân viên cũng có thể đọc được.
Vốn tò mò, mình tự hỏi: Tại sao một công ty lớn như Facebook lại có thể phạm phải một lỗi sơ đẳng như vậy được? Tìm hiểu sâu hơn, mình lại tìm hiểu thêm được 2 điều khá hay:
Tò mò chưa nào, các bạn đọc bài viết sẽ biết nhé!
Gần đây, sau vài vụ lùm xùm về dữ liệu người dùng, về chuyện lộ thông tin trên mạng, dân tình mới bắt đầu quan tâm tới chuyện thông tin cá nhân của mình có bị thu thập/bị lộ hay không.
Hồi trước, mình đã có một bài viết về bàn tay vô hình của Facebook, Google dõi theo mọi dấu chân của bạn! Hôm nay, mình sẽ giới thiệu một cuốn sách khá hay mang tên The Art Of Invisitility – Nghệ Thuật Tàng Hình trong thời đại Big Data.
Trong tưởng tượng của chúng ta, hacker thường là những thanh niên áo đen mắt cận, ù lì trầm mặc, ngại giao tiếp. Đầu óc bên trong hẳn phải chứa đầt những kiến thức cao siêu về công nghệ, về bảo mật.
Tuy nhiên, các bạn có biết là trên thế giới này có một thể loại hacker khác: áo quần bảnh bao, mày râu nhẵn nhụi, ăn nói bạo dạn tự tin, có thể thực hiện những phi vụ hack “thần thánh” mà không cần kiến thức về công nghệ chưa?
Hãy cùng mình tìm hiểu về những kẻ này qua cuốn sách No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing nhé. (Kì trước, mình cũng có reivew một cuốn sách khá hay về hacking mang tên The Art of Intrusion, các bạn có thể tìm đọc).
Continue reading Review sách: No Tech Hacking – Làm “Nắc Cơ” không cần biết công nghệ!
Website được tạo ra là để phục vụ người dùng. Có người sử dụng thì website và doanh nghiệp mới có thu nhập. Một trong những việc rắc rối nhất chính là quản lý và bảo mật thông tin người dùng.
Trong bài này, mình chia sẻ những điều cần lưu ý khi thực hiện tính năng này. Khá nhiều khê và phức tạp đấy, các bạn chịu khó đọc kĩ nhé!
Không như bạn tưởng tượng, việc đăng kí/đăng nhập và quản lý người dùng thật ra không hề đơn giản. Nó có thể trở nên khá loằng ngoằng với những tính năng sau:
Khi tính năng này hoạt động ổn định, không ai khen nó lấy một câu. Tuy nhiên, chỉ cần nó gặp phải chút vấn đề, cam đoan bạn sẽ hứng chịu vô số cơn thịnh nộ từ khách hàng.
Continue reading Series Bảo Mật Nhập Môn – Quản lý người dùng – Tưởng dễ ăn mà không đơn giản
Trong quá trình viết series Bảo mật nhập môn, mình vẫn hay đi nghịch dạo, tìm lỗi bảo mật dạo theo tinh thần “code dạo” của blog. Lẽ tất nhiên, đã tìm lỗi thì phải tìm các trang to to, nhiều người dùng một tí, chứ trang nho nhỏ thì ai quan tâm.
Là developer, mình không đủ giỏi về mạng hay hạ tầng để có thể tấn công server hay DDOS gì gì đó. Vì vậy, mình quyết định chỉ kiểm tra web và app, hai thứ mình rành nhất. Việt Nam nói là làm, mình bắt đầu truy cập website của app của 1 số ông lớn như tiki, lazada, foody….
Việc dò lỗi cũng giống như câu cá vậy, đôi khi câu được cá bự, đôi khi câu cả buổi không được con nào. Kì này, mình câu được một con cá nho nhỏ mà… nguy hiểm của lozi.vn.
Continue reading Lozi.vn đã “vô ý” để lộ dữ liệu 2 triệu người dùng như thế nào
Trong Tam Quốc, các bậc quân sư tài năng có tài điều binh khiển tưởng, ngồi trong trướng bồng quyết thắng cách đó hàng ngàn dặm.
Trong Tu Chân, các cao thủ có chiêu “Cách Không Thủ Vật” điều khiển đồ vật từ xa, hoặc “Ngự Kiếm Phi Hành”, dùng chân khí để điều động phi kiếm hay pháp bảo.
Ngày nay, hacker cũng có “chiêu thức” tương tự gọi là CRSF. Hacker có thể ngồi tại website A mà dụ dỗ người dùng tấn công site B và site C khác.
Bài viết này sẽ giải thích cách hacker tấn công, đồng thời hướng dẫn cách phòng chống cho các bạn lập trình viên nhé.
Continue reading Series Bảo Mật Nhập Môn – CSRF – Những cú lừa ngoạn mục
Kì này, mình sẽ giới thiệu một lỗ hổng bảo mật khá “lạ” mang cái tên dài loằng ngoằng khó đọc: Insecure Direct Object References.
Lỗi này “lạ” ở chỗ nó nằm trong top 4 OWASP nhưng lại có rất ít tài liệu về nó. Nó cũng không nổi tiếng như XSS hay CSRF hay SQL Injection (Dù rank OWASP của nó cao hơn XSS hay CSRF nhiều).
Bản thân mình trước đây cũng chưa hề nghe báo chí hay tin tức gì nhắc tới lỗi này. Có thể là do chưa có vụ án nổi tiếng nào liên quan đến nó, hoặc do lỗi này có nhiều biến thể phức tạp chăng?
Nguyên nhân chính gây ra lỗ hổng này là sự bất cẩn của developer hoặc sysadmin (Gặp lỗi này là phải lôi thằng dev ra chém trước, sau đó chém tester).
Lỗ hổng này xảy ra khi chương trình cho phép người dùng truy cập tài nguyên (dữ liệu, file, thư mục, database) một cách bất hợp pháp, thông qua dữ liệu do người dùng cung cấp. Để dễ hiểu hơn, hãy đọc ví dụ phía dưới nhé.
Continue reading Series Bảo Mật Nhập Môn – Insecure Direct Object References – Giấu đầu lòi đuôi
Từ coder đến developer - Tôi đi code dạo 
