Báo cáo An toàn thông tin 2017

  1. 6 weeks ago

    Năm 2017 vừa qua, VSEC đã cung cấp dịch vụ đến một số lượng lớn khách hàng trong và ngoài nước, bảo đảm được sự an toàn cho nhiều hệ thống. Các khách hàng hầu hết đều là doanh nghiệp có tiếng nên tổng số người sử dụng dịch vụ của khách hàng cũng rất khổng lồ, lên đến hàng chục triệu người. Điều này cũng đồng nghĩa rằng VSEC đã giúp bảo vệ trực tiếp và gián tiếp hàng loạt người dùng khỏi các cuộc tấn công.

    Trong quá trình hợp tác, VSEC nhận thấy có một số lỗi và lỗ hổng giống nhau trong các hệ thống của khách hàng. Những lỗi này đều có mức độ nguy hiểm cao và dễ mang lại rủi ro. Vì vậy, VSEC tổng hợp các lỗ hổng phổ biến đó lại để mọi người chủ động nhận thức và đưa ra các hành động hợp lý, bảo đảm tính tự vệ cho hệ thống của mình. Những lỗi này xuất hiện chủ yếu trên máy chủ và ứng dụng web.

    Bao-cao-ATTT-2017-VIE-7-2-01-2.jpg

    Cách khắc phục các lỗ hổng:

    1. ETERNALBLUE (MS-17-010)

    Cập nhật bản vá từ Microsoft https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

    2.HTTP.sys Remote Code Execution Vulnerability (MS-15-034)

    Cập nhật bản vá: https://technet.microsoft.com/library/security/ms15-034

    3.Weblogic Server RCE (CVE-2015-4852), IBM WebSphere RCE (CVE-2015-7450)

    Cập nhật bản vá từ nhà phát hành.

    4.SQL injection và XSS:

    Để khắc phục 2 lỗ hổng trên lập trình viên cần tuân thủ các quy tắc trong việc kiểm tra các dữ liệu đầu vào:

    -Đối với SQLi khuyến nghị sử dụng parameterized, stored procedures.
    Trong trường hợp không sử dụng được thì nên tạo white list các giá trị đầu vào
    Tham khảo https://www.owasp.org/index.php/Top_10-2017_A1-Injection
    -Đối với XSS cần sử dụng html encoding khi trả dữ liệu cho phía client
    Tham khảo https://www.owasp.org/index.php/Top_10-2017_A7-Cross-Site_Scripting_(XSS)

    5.Broken Access Control:

    Đối với mỗi truy vấn cần kiểm tra quyền truy cập tài nguyên và quyền sử dụng chức năng của người dùng trước khi thực hiện (kiểm tra session hiện tại của người dùng nào, người dùng đó có những quyền nào.

    Tham khảo https://www.owasp.org/index.php/Top_10-2017_A5 Broken_Access_Control

    6.Apache Struts Remote Code Execution (CVE-2017-5638)

    Đây là lỗ hổng cực kỳ nghiêm trọng, khuyến cáo các lập trình viên cần cập nhật phiên bản mới nhất cho framework apache struts2.

 

or Sign Up to reply!