Tag Archives: hacker

Series Bảo Mật Nhập Môn – Giao thức HTTP “bảo mật” đến mức nào?

04/10/2016 Phạm Huy Hoàng 20 Comments

Sau một khoảng thời gian vật vã thì mình cũng hoàn thành bài đầu tiên trong series Bảo Mật Nhập Môn. Bài viết này sẽ bàn về sự “bảo mật” của giao thức HTTP.

Website của Lazada và Ngân hàng ACB sẽ bị lôi ra làm ví dụ. Vì bài viết khá dài nên các bạn cứ từ từ đọc nhé.

Ôn lại về HTTP

HTTP là một giao thức dùng để truyền nhận dữ liệu (Xem thêm ở đây). Hiện tại, phần lớn dữ liệu trên Internet đều được truyền thông qua giao thức HTTP. Các ứng dụng Web hoặc Mobile cũng gọi Restful API thông qua giao thức HTTP.

Tuy nhiên, nhược điểm của HTTP là dữ liệu được truyền dưới dạng plain text, không hề được mã hoá hay bảo mật. Điều này dẫn đến việc hacker có thể dễ dàng nghe lén, chôm chỉa và chỉnh sửa dữ liệu. Người ta gọi kiểu tấn công này là Man-in-the-middle attack, viết tắt là MITM.

Continue reading Series Bảo Mật Nhập Môn – Giao thức HTTP “bảo mật” đến mức nào? →

Chuyện coding, Chuyện nghề nghiệp

Series Bảo Mật Nhập Môn – Bảo mật cơ bản cho developer

13/09/2016 Phạm Huy Hoàng 9 Comments

Giới thiệu

Bảo mật là một vấn đề rất tốn kém và phức tạp. Gần như hệ thống nào cũng có lỗ hổng (cả phần mềm lẫn phần cứng), các hacker có thể thông qua các lỗ hổng này để tấn công hệ thống.

Việc đảm bảo hệ thống bảo mật là trách nhiệm của rất nhiều bên: Sys admin, network, manager và developer. Do mình không chuyên về bảo mật nên mình không rành về việc config hệ thống mạng, setup tường lửa v…v, do đó mình sẽ không chém gió lung tung về mảng này. Thay vào đó, mình sẽ cùng các bạn tiếp cận khía cạnh bảo mật dưới góc nhìn của một developer.

Những kiến thức trong series này rất cơ bản, dễ học, nhưng chúng sẽ vô cùng hữu ích, giúp bạn tránh phải những sai lầm bảo mật “ngớ ngẩn, cơ bản” khi code. Dù cho bạn code C hay C++, Java C# hay PHP, bạn cũng sẽ học được vài điều bổ ích qua series này.

Continue reading Series Bảo Mật Nhập Môn – Bảo mật cơ bản cho developer →

Chuyện linh tinh, Chuyện nghề nghiệp

Review sách: The Art of Intrusion – Khơi lại đam mê hacker thuở bé

01/09/2016 Phạm Huy Hoàng 4 Comments

Đa phần những bạn học IT đều là những người có đam mê với máy tính. Thuở nhỏ, mình thích máy tính là do mê chơi game, muốn sau này học IT để làm game. Lớn hơn một chút, xem phim về hacker, mình lại muốn học IT để sau này trở thành hacker.

Đến lúc vào đại học, mình cắm đầu học đến tận lúc gần ra trường mới biết ngành mình học là Software Engineering – viết phần mềm chứ không phải hack hay bảo mật. Mà thôi kệ, theo ngành này cũng vui, chẳng có gì phải phàn nàn.

Tuy vậy, mình vẫn có hứng thú với hack và hacker. Hẳn là các bạn dân IT cũng thế. Do hôm trước mình đọc được một cuốn sách khá hay về giới hacker nên hôm nay mình viết review để chia sẻ với các bạn. Cuốn sách có tên là The Art of Intrusion – Nghệ thuật xâm nhập.

Continue reading Review sách: The Art of Intrusion – Khơi lại đam mê hacker thuở bé →

Chuyện coding, Chuyện linh tinh

Tôi đã hack “tơi tả” Web Site của Lotte Cinema như thế nào?

30/08/2016 Phạm Huy Hoàng 58 Comments

Làm một developer “có tâm”, chúng ta không chỉ phải đảm bảo code chạy được, mà còn phải bảo đảm về bảo mật (với các hệ thống quan trọng). Có nhiều lúc, lỗi bảo mật đến từ chính sự ẩu tả của developer. Hôm nay mình sẽ lôi trang web của Lotte Cinema ra làm mẫu để giải thích cho các bạn.

Lưu ý: Bài viết mang tính chất học thuật, bình luận về kĩ thuật. Mình không ủng hộ, cũng không chịu trách nhiệm nếu bạn mang kiến thức đề cập trong bài ra làm chuyện trái pháp luật! Thân.

Giới thiệu

Tại sao mình lại chọn Lotte Cinema? Đơn giản là cách đây mấy tháng, khi nhắc đến mật khẩu, mình đã nêu ra một lỗ hổng bảo mật khủng khiếp của Lotte Cinema: Lưu mật khẩu dưới dạng text.

Đến nay, lỗ hổng này vẫn chưa được sửa, điều này chứng tỏ hai chuyện: Đội ngũ lập trình web lotte cinema thiếu kiến thức cơ bản về lập trình và cũng không thèm quan tâm gì đến việc bảo trì sửa lỗi. Điều này đồng nghĩa với việc website sẽ có nhiều lỗ hổng để khai thác.

Với logic đó, mình bắt đầu tìm lỗ hỗng của lotte với tâm thế học hỏi. Thật không ngờ, mình tìm được không chỉ một, mà đến tận vài lỗ hổng… cực kì chết người, có thể làm toàn bộ hệ thống ngừng hoạt động.

Continue reading Tôi đã hack “tơi tả” Web Site của Lotte Cinema như thế nào? →

Chuyện coding

Lỗ hổng bảo mật khủng khiếp của Lotte Cinema (Lưu trữ mật khẩu người dùng – Tưởng dễ mà không đơn giản)

22/12/2015 Phạm Huy Hoàng 35 Comments

Đăng nhập là một chức năng đơn giản nhất mà hơn 90% các ứng dụng web cần phải có. Tuy nhiên, đôi khi ta lại không được hướng dẫn cách thực hiện chức năng “Đăng nhập” một cách đúng đắn, bài bản, dẫn đến những lỗi dở khóc dở cười, hoặc những lỗ hổng bảo mật khủng khiếp. Đến cả Lotte Cinema, một trang web được khá nhiều người dùng còn mắc lỗi sơ đẳng này.