Chuyển đến nội dung chính

Bài đăng

Đang hiển thị bài đăng từ Tháng 7, 2017

14 công cụ mã nguồn mở giúp tìm kiếm lỗ hổng ứng dụng web

Trong quá khứ nhiều website nổi tiếng đã bị hacker tấn công và gây ra những hậu quả nghiêm trọng gây mất uy tín cho doanh nghiệp. Việc kiểm tra an ninh cho website vô cùng quan trọng nhằm tránh những tổn thất trong tương lai. Việc đánh giá an ninh cho website cần có những chuyên gia có tay nghề với chi phí lớn ngoài ra cần phối hợp sử dụng các công cụ Application Security Scanner để nhanh chóng tìm và đưa ra các bản vá kịp thời đảm bảo an ninh cho các website. Application Security Scanner là chương trình phần mềm cho phép kiểm tra các lỗ hổng an ninh trên website. Application Security Scanner với các bản thương mại mang lại hiệu quả khá cao như web Acunetix, bên cạnh đó còn nhiều chương trình webscan mã nguồn mở mang lại hiệu quả khá cao giúp các chuyên gia hay lập trình viên nhanh chóng, đỡ mất thời gian tìm ra các lỗi an ninh trên hệ thống website. Các bạn không nên nhầm lẫn giữa các chương trình mã nguồn mở với các chương trình miễn phí chúng hoàn toàn khác nhau. Mã nguồn mở là

Phát hiện 2 nền tảng “Dịch vụ cho thuê tin tặc”

Tin tặc không gian mạng đang ngày càng phát triển và tồn tại cơ cấu tổ chức chặt chẽ. Tin tặc đang gia tăng thương mại hóa bằng cách cho thuê các công cụ hacking và công nghệ, từ công cụ khai thác đến mã độc tống tiền; nhằm giúp bất cứ a cũng có thể tạo ra các mối đe dọa và thực hiện tấn công. Trong một vài năm qua, chúng ta đã chứng kiến sự gia tăng của mã độc cho thuê dưới dạng dịch vụ (malware-as-a-service MaaS) và sự ra đời của hàng loạt dịch vụ trong chợ đen bao gồm cho thuê mã độc tốn tiền, cho thuê tấn công DDoS, tấ công lừa đảo ,…   Bài viết sẽ mô tả hai dịch vụ của tin tặc mới được các nhà nghiên cứu phát hiện gần đây. Ovidiy Stealer – Mã độc đánh cắp mật khẩu giá 7 USD Một mã độc đánh cắp mật khẩu mới tấn công hầu hết các trình duyêt web đang được quảng bá tại các diễn đàn tiếng Nga với giá chỉ 7 USD. Bất cứ ai chỉ cần có một chút kiến thức về kĩ thuật đều có thể sử dụng để tấn công máy tính mà họ muốn. Mã đôc Ovidiy Stealer xuất hiện vào cuối tháng trước, nó thường

Google tìm ra giải pháp bảo mật 2 bước đơn giản, không cần đến mã OTP

Bảo mật 2 bước là phương pháp khá hiệu quả giúp tài khoản của bạn an toàn trước sự tấn công của các hacker. Hiện nay, chúng ta có thể thấy các phương pháp bảo mật 2 bước bằng cách gửi mã OTP thông qua tin nhắn SMS hoặc email. Tuy nhiên Google nghĩ ra một cách đơn giản hơn. Google sử dụng một hệ thống thông báo đơn giản trên smartphone, để hiển thị lời nhắc khi tài khoản của bạn đăng nhập trên một thiết bị mới. Thông báo này sẽ có tùy chọn cho phép đăng nhập vào thiết bị mới, nếu đó đúng là bạn. Hoặc bạn có thể ngăn chặn không cho phép đăng nhập, nếu nghi ngờ có ai đó đánh cắp mật khẩu của mình. Sau khi đăng nhập, bạn có thể lựa chọn lưu lại thiết lập này. Những lần đăng nhập sau đó vào thiết bị sẽ không cần bạn chấp nhận nữa. Tuy nhiên cách thức bảo mật của Google bắt buộc thiết bị của bạn phải có kết nối internet. Mặc dù vậy nó vẫn an toàn hơn so với bảo mật 2 bước bằng SMS, bởi các hacker hoàn toàn có thể đánh cắp tin nhắn SMS gửi đến điện thoại của bạn. Đối với người dùng i

Hacker sử dụng thông tin cá nhân đánh cắp để làm gì?

Chúng ta thường thấy những cảnh báo phải cẩn thận với thông tin cá nhân, tuy nhiên thông tin cá nhân bị đánh cắp thường được sử dụng vào việc gì có thể là điều ít người biết. Thông tin bị đánh cắp như thế nào? Nhiều người nghĩ rằng hacker là nguyên nhân chính gây ra việc mất dữ liệu, tuy nhiên nghiên cứu của hãng bảo mật Trend Micro (Nhật Bản) cho thấy nguyên nhân chủ yếu của việc bị mất dữ liệu là do người dùng làm mất hoặc bị đánh cắp thiết bị. Tất nhiên hacker và phần mềm độc hại cũng chiếm tỷ lệ cao trong việc làm mất mát thông tin người dùng. Việc tiết lộ thông tin ngoài ý muốn và rò rỉ thông tin nội bộ cũng được xếp hạng cao trong các rủi ro bị mất thông tin. Xác suất thông tin bị đánh cắp. ​ Điều gì xảy ra với thông tin bị đánh cắp? Thông thường, thông tin bị đánh cắp sẽ bị bán trong các thị trường ngầm. Dưới đây là một số ví dụ cụ thể về những gì xảy ra với dữ liệu bị đánh cắp. Các tình huống có thể xảy ra đối với thông tin bị đánh cắp. Thông tin cá nhân Th

Project Zero: đội đặc nhiệm an ninh mạng của Google

Project Zero của Google có thể coi như những người lính mạnh mẽ và tinh nhuệ trong cuộc chiến chống lại các mối đe dọa an ninh mạng đang gia tăng trên toàn cầu. Họ đang bảo vệ Internet theo cách riêng của mình. Liệu đây có phải là vấn đề gây tranh cãi? Vào một chiều thứ Sáu của tháng Hai, Tavis Ormandy, một chuyên gia an ninh tài năng có mái tóc nâu gọn gàng và nụ cười ưu tư, như thường lệ đang ngồi "fuzzing" tại bàn làm việc trong trụ sở Google, Mountain View, California. Fuzzing là một kỹ thuật kiểm tra mã phổ biến thông qua các dữ liệu ngẫu nhiên để tấn công phần mềm và tìm ra lỗi. Mọi thứ diễn ra như mong đợi cho đến khi Ormandy phát hiện có điều gì đó không hợp lý trong bộ dữ liệu. Thật kỳ lạ, Ormandy nghĩ. Đây không phải là lỗi dữ liệu điển hình. Thay vì kết quả như dự kiến, Ormandy nhìn thấy những dị thường về cấu hình – các khối bộ nhớ lạ nằm rải rác. Ormandy quyết định tìm hiểu sâu hơn. Sau khi tập hợp đủ thông tin, Ormandy đã họp với các đồng nghiệp, những chuyê