Bao Mat Web - Dịch vụ bảo mật web, Nâng cấp web, Tối ưu website

Trang chủ Lỗi bảo mật Bảo mật với PHP và Mysql phần 03

Bảo mật với PHP và Mysql phần 03

Hai phần trước chúng ta như cưỡi ngựa xem … hoa . Giờ vấn đề nhức nhối hiện nay về việc bảo mật với PHP và Mysql là … flood .

Dạng flood có 2 loại dạng Flood Form và Flood Process

- Flood form là gì ? Flood form là dạng gởi dữ liệu hàng loạt khiến cho MYSQL xử lý “chới với” , ví dụ bạn thiết kế một form đơn giản chỉ INSERT data vào mysql . Nếu Dữ liệu chỉ là một request thì không sao , còn trong 1 giây mà có cả trăm request thì lập tức … hihì

Hiện tại khá nhiều web site thiết kế form không có mã xác nhận ? thì vấn đề gì sẽ xảy ra ?

Nếu những form như góp ý , đăng ký thành viên : lâu lâu có cả ngàn record do flood là chuyện thường , nếu form xử lý có gởi mail thì … đương nhiên bị lợi dụng để làm Bomb mail , làm đầy CSDL của mình .

Những hậu quả dẫn đến : MYSQL bị treo , server chết , bị đầy space , tốn bandwidth . Chẳng hạn 1 record chừng 30kbytes thì 1000 , hay 10000 cứ như vậy lặp đi lặp lại theo cấp số nhân thì space tốn khá nhiều cho những dữ liệu vô ích , và cpu sẽ load rất nhiều tốn tài nguyên .

- Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có “trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh chứng là các bạn thấy trang http://www.hvaonline.net và http://www.hvanews.net hứng chịu một ngày trên cả trăm đợt tấn công , nhưng tại sao vẫn đứng hiên ngang , là do chế độ bảo mật cao , nếu đối với các site thường là … có vẻ bị “ngủm” .

Cách phòng chống .

- Đối với form nhập liệu cần tạo ra mã xác nhận dạng Hình ảnh ( có thể xem phần đăng ký thành viên tại PHPeasy , Hvanews … và một số những forum khác .
- Cấu hình Mysql chấp nhận nhiều kết nối hơn ( mặc định MYSQL thường là 100)
- Thiết lập hệ thống Firewall lọc những header chứa X-Flash
- Chuyển website sang SSL .
Còn nhiều cách khác , ở đây mình chỉ đưa ra những “nghiên cứu” mang tính chủ quan và sưu tầm từ kinh nghiệm của “cha ông ta” .

 

Tiêu điểm

Bảo mật với PHP & Mysql Phần 1 Bảo mật với PHP & Mysql Phần 1 - Mysql cho phép truy xuất vào cơ sỡ dữ liệu với host chung : localhost
Bảo mật Passwords đã lưu trên Internet Explorer Bảo mật Passwords đã lưu trên Internet Explorer Một trong những điều tiện lợi nhất mà công cụ trình duyệt mang lại đó là
Thể nào là bảo mật các ứng dụng website Thể nào là bảo mật các ứng dụng website Bảo mật ứng dụng website là một phần của Bảo mật Thông tin và cụ thể hơn
SQL Injection: Đó là gì? SQL Injection: Đó là gì? SQL Injection là một trong những cơ chế tấn công nhiều trang web được sử dụng
Cross site Scripting là gì? Cross site Scripting là gì? Tin tặc đang liên tục thử nghiệm với một tiết mục rộng các kỹ thuật
Cách kiểm tra các kết nối không bảo mật Cách kiểm tra các kết nối không bảo mật Là một chuyên gia IT hay thậm chí chỉ là người đam mê sử dụng máy tính, mật

Thống kê truy cập

Hiện có 6 khách Trực tuyến

Copyright © 2011 Bao Mat Web - Dịch vụ bảo mật web, Nâng cấp web, Tối ưu website
Website đang được xây dựng. Chúng tôi chưa cung cấp thông tin, dịch vụ hoặc sản phẩm trên website này. Mong quý vị thông cảm!
Phát triển bởi: Thiet ke website