Chiếm đoạt server bằng SQL Injection chỉ trong 10 phút

Lỗi SQL Injection đã được cảnh báo từ những năm 2002 nhưng cho đến nay các trang web vẫn thờ ơ với công tác đảm bảo an ninh mạng.

Tại buổi hội thảo “An ninh mạng và các giải pháp bảo mật - hacker mũ trắng” do BachKhoa-Npower  tổ chức ngày 27-6, ông Nguyễn Hoài Duy – Chuyên gia bảo mật CCIE, Giảng viên cao cấp của hệ thống Back khoa-Npower đã trình diễn một vụ tấn công website chiếm đoạt server chạy hệ điều hành Linux và Windows server bằng thủ thuật SQL Injection. Điều đáng nói việc tấn công chiếm đoạt quyền điều khiển máy chủ của ông Duy chỉ thực hiện trong vòng chưa đầy 10 phút.

Vụ tấn công vào server Linux:

 Vụ tấn công vào server Windows: 

Ông Duy cho biết, sau khi trình diễn xong, ông và các cộng sự sẽ thông báo lại cho đơn vị quản lý những trang web này để sửa lỗi. Đến ngày hôm nay (29/6), khi phóng viên ICTnews truy cập vào trang web qute.vn đã nhận được thông báo đóng cửa website để bảo trì.

Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng BKAV cho biết, để tránh lỗi chiếm đoạt server từ lỗi của 1 website, các doanh nghiệp cung cấp dịch vụ cần thực hiện ngay các biện pháp PHÂN QUYỀN, mục tiêu là để mỗi website là một thư mục độc lập với các website khác, tránh hiện tượng hacker kiểm soát được 1 website (1 thư mục) sau đó leo thang chiếm quyền kiểm soát (quyền đọc, quyền ghi) vào các thư mục khác (website khác).

"Cụ thể phân quyền thế nào thì sẽ tuỳ theo từng hệ điều hành mà có các biện pháp tương ứng", ông Đức cho biết thêm.