Sập web là gì
X Show
This site uses cookies. By continuing, you agree to their use. Learn more, including how to control cookies. Đã bao giờ bạn thắc mắc làm sao hacker có thể hack sập 1 website chưa? Hack gồm những bước nào, tìm hiểu trang web ra sao? Làm sao để không bị phát hiện v..v. Trong bài viết này, mình sẽ chia sẻ kĩ hơn về qui trình, về những biện pháp mà hacker sử dụng để truy cập và … hack sập một trang web nhé. Mặc dù không cool ngầu như trong phim đâu, nhưng cũng rất hay ho thú vị đấy! Anh em làm dev không quan tâm về hack cũng nên đọc, đề biết cách phòng chống website mình không bị hacker tấn công nhé! Note: Bài này do là vlog nên sẽ đi sâu hơn về kĩ thuật một chút so với vlog nhé. Bạn nào đã xem vlog cũng nên đọc, vì mình sẽ nói kĩ hơn về các tool hay dùng! Đôi lời cảnh báo trước khi hack
Ok viết vậy để rũ bỏ trách nhiệm thôi, chứ mình nghĩ bạn đọc của Code Dạo toàn là những con người sống có đạo đức, không đi hack lung tung đâu nà. Đa phần những tool giới thiệu trong bài viết đều có trên Kali Linux. Các bạn có thể tải máy ảo về cài rồi nghịch nhé. Bước 1 – Tìm hiểu đối tượng cần tấn côngĐể hack thành công một trang web, bước đầu tiên cần làm cũng giống như tán gái vậy: tìm hiểu đối tượng cần tấn công. Với việc tán gái, bạn phải tìm hiểu tên tuổi, trường học, sở thích … của người ta mới tán được. Với việc hack 1 trang web, bạn cũng nên tìm hiểu những điều sau:
Trong quá trình tìm hiểu này, bạn nên viết lại những thứ thú vị mà mình tìm hiểu được để sau này tra cho dễ. Một số tool thường được dùng ở giai đoạn này là:
Sau khi đã tìm hiểu được đối tượng muốn tấn công, bạn có thể áp dụng 1 hay nhiều cách dưới đây để bắt đầu tấn công nhé. Cách 1 – Report trang webCách này khá đơn giản: Report trực tiếp trang web cho nhà cung cấp hosting, cung cấp service, yêu cầu họ gỡ bỏ trang web. (Làm sao để biết web đó nằm ở hosting nào thì bạn xem lại bước trên). Ưu điểm của cách này là khá dễ dàng, không cần nhiều kiến thức kĩ thuật. Xác suất thành công lại khá cao nếu như web của bạn report là web spam, vi phạm bản quyền, lừa đảo, chứa nội dung phạm pháp, bạo lực v…v Nhược điểm là đôi khi cách này hơi lâu, vì phải chờ bên cung cấp họ duyệt, và cũng chưa chắc thành công nếu nội dung web là hợp pháp. Chưa kể, chủ web có thể dùng Cloudflare để ẩn IP thật, chuyển trang web qua nhà cung cấp khác an toàn hơn, hoặc tự host. Cách này cũng chỉ có thể đánh sập chứ không thể nào lấy dữ liệu, làm hư web hoặc tra ra chủ trang web được. Cách 2 – Tấn công lỗ hỗng của webCách này tức là lợi dung lỗ hổng của trang web để chiếm quyền truy cập, upload shell, chạy script để phá hoại, chôm dữ liệu. Cách này đòi hỏi các bạn phải có kiến thức về lập trình và bảo mật, biết cách 1 trang web hoạt động, biết những lỗ hỗng bảo mật hay gặp (XSS, SQL Injection ….) mới có hướng tấn công. Nếu quan tâm, bạn có thể đọc cuốn Bảo Mật Nhập Môn của Code Dạo, tìm hiểu thêm về OWASP nhé! Ưu điểm của cách này là… rất hiệu quả. Nếu thành công, các bạn có thể truy cập được toàn bộ dữ liệu, chiếm quyền trên web server, muốn xoá sạch dữ liệu hay sập web cũng hoàn toàn có thể. Nhược điểm của cách này là … kha khó, đòi hỏi nhiều kiến thức bảo mật, và mất nhiều thời gian mò mẫm. Chưa kể, không phải web nào cũng có lỗ hổng bảo mật, có khi tìm hoài cũng không ra. Các tool hay dùng và kiến thức cần biết:
Tạm kếtBan đầu mình định viết hết trong 1 bài mà có vẻ dài quá rồi nên tách làm 2 phần vậy. Ở phần sau, mình sẽ giới thiệu tiếp một số cách hack sập 1 web site, những việc nên làm sau khi hack, nhiều channel/tài nguyên về bảo mật nhé! |