 |
| Ảnh: Cl.cam. |
Theo một nghiên cứu mới đây, kiểu tấn công XSS
(cross-site scripting) đã trở thành mục tiêu hấp dẫn nhất của giới tin
tặc, vượt qua cả phương pháp làm tràn bộ đệm "khét tiếng" một thời.
Theo tổ chức nghiên cứu Mitre của Mỹ, lỗi tràn bộ đệm
từ lâu đã là hình thức khai thác ưa chuộng nhất của hacker. Cả Intel và
AMD đã phải cung cấp giải pháp bảo vệ NX (No Execute) và XD (Execution
Disable).
Mô hình trên ảnh hưởng đến các file thực thi viết
bằng ngôn ngữ C, nhưng sự tăng lên của XSS (hacker có thể chèn đoạn
script trong tham số đầu vào của một trang web để thực thi script đó)
cho thấy tin tặc đang chú ý hơn đến những ngôn ngữ lập trình được dùng
trong các ứng dụng web như Java, .NET và PHP.
Trong số hơn 20.000 lỗi được Mitre ghi nhận năm nay,
21,5% thuộc về XSS còn 14% là SQL injection. SQL injection tạo điều
kiện cho hacker xử lý các khai báo SQL chứa mã nguy hiểm trong một cơ
sở dữ liệu.
Kiểu tấn công phổ biến thứ ba là PHP include - xử lý
lệnh giả trên một máy chủ bằng cách cài chúng vào trong một script có
sẵn - với tỷ lệ 9,5%. Trong khi đó, lỗi tràn bộ đệm chỉ chiếm 7,9% và
đứng thứ 4.
T.N. (theo TechWorld)
(Theo VNExpress)