vừa mới qua, những chuyên viên bảo mật thông tin vừa công bố lỗ hổng khá nguy nan mang tên File Inclusion cho phép các tin tặc lợi dụng tấn công vào những tập tin quan trọng trên các khối hệ thống server trang web qua việc triển khai các đoạn mã độc nằm trong số gói tập tin bằng chức năng include. Đây là một luận điểm thực sự quan trọng mà những công ty thuê máy chủ cần biết để giữ tin cậy cho khối hệ thống website của khách hàng.

>>> dõi theo thêm: bán máy chủ HPE ML10 Gen9

phương thức tấn công File Inclusion

giống như những bạn đã biết, hàm Include() là một hàm có chức năng gọi toàn bộ những file có chứa dữ liệu được sao chép sang một file khác để không nên code bị trùng lặp và có thể gọi để sử dụng bất ngờ cần thiết trong lập trình website code back end. Những lập trình viê thời nay thường rất hay được dùng hàm lệnh này để thêm dữ liệu, mã nguồn và sử dụng chúng cho các hàm cần thiết. Các nơi mà các lập trình viên hay được dùng hàm đó thường là ở menu files, footers.

Tuy đó là một tiện ích khi lập trình trang web mặc dù thế nếu đặt những tin tặc lợi dụng và khai quật triệt để thì chúng sẽ có thể trở nên vô cùng nguy hại lúc các Hacker dùng RFI (Remote File Inclusion) cho phép chính các Hacker này còn có thể truy vấn từ xa một file trên sever bị tiến công và thao tác nó từ xa hay khởi tạo một đoạn mã độc ngầm chạy trên cả sever lẫn người tiêu dùng và điều đó sẽ giúp các Hacker có khả năng đơn giản dễ dàng đánh tráo những session token hặc ngay đến những dữ liệu mà tất cả chúng ta tiến hành và phải duyệt qua để tãi lên webshell có khả năng gây hại nghiêm trọng đến toàn bộ khối hệ thống máy chủ và máy vi tính người dùng chưa tính đến các loại tài liệu giao dịch thanh toán có mức giá trị cao.

>>> đọc thêm: Ổ cứng SM863A

PHP là một trong những loại ngôn từ lập trình có nguy cơ bị tiến công kinh khủng nhất do chúng liên tục dùng hàm include cho toàn bộ hệ thống code của chính bản thân và này sẽ là một không gian rất thuận tiện để những Hacker này triển khai và quan trọng hơn, theo thông kê thì có đến 70% những trang web bán sản phẩm, trang web dòng sản phẩm của những doanh nghiệp hiện đang sử dụng những loại mã nguồn mở để làm web như wordpress,… và chúng đều được lập trình bằng PHP.

phương thức giải quyết và khắc phục cho vấn đề đó cũng chưa phải quá khó khăn. Tất cả chúng ta cần được chú tâm quan trọng hơn đến việc rà soát đầu vào và có hạn tối đa đặt tên các loại biến quá dễ đoán, như user_id, hoặc password… một điều mà lập trình viên rất thú vị mắc lỗi vì chúng quá thân thuộc và dễ nhớ khi lập trình vì đó có khả năng là một trong biến trước tiên mà Hacker sẽ đoán ra để include. Các tên file bạn cũng phải thay đổi tên ví dụ như file để cấu hình trang admin, bạn đừng nên chỉ để tên là admin mà phải đổi mới chúng đi để tin tặc không còn dự đoán ra tên file mà truy cập vào.

>>> theo dõi thêm: máy chủ Lenovo SR530