Các lỗ hổng thường được chia thành hai loại như sau:
Lỗ hổng phần mềm.Cấu hình sai.Bạn đang xem: Lỗ hỏng hay lỗ hổng
Do đó, những kẻ tấn công có xu hướng tìm kiếm các cấu hình người dùng không chính xác mà chúng đã biết cách khai thác. Sau đó chỉ cần quét các hệ thống có những lỗ hổng bảo mật đã biết.
Để ngăn chặn Google hacking, ta cần đảm bảo mọi dịch vụ cloud đều được cấu hình chính xác. Một khi có bất kỳ thông tin nào bị rò rỉ trên Google, nó sẽ bị công khai nhanh chóng.
Cơ sở dữ liệu lỗ hổng bảo mật
Cơ sở dữ liệu (CSDL) lỗ hổng bảo mật là một nền tảng có nhiệm vụ thu thập, duy trì và chia sẻ thông tin về các lỗ hổng đã được phát hiện. MITRE hiện đang điều hành CVE và sử dụng điểm CVSS (Common Vulnerability Scroring System) để phản ánh nguy cơ tiềm ẩn mà lỗ hổng bảo mật có thể gây hại cho tổ chức. Danh sách các CVE này chính là nền tảng vững chắc cho nhiều vulnerability scanner.
Lợi ích của lỗ hổng trong Cơ sở dữ liệu là nó cho phép các tổ chức phát triển, ưu tiên và thực hiện các bản vá cũng như nhiều biện pháp khác để giảm thiểu và khắc phục những lỗ hổng nghiêm trọng.
Một số lỗ hổng phổ biến trong cơ sở dữ liệu:
Lỗi triển khai: Nếu Cơ sở dữ liệu không được kiểm soát nghiêm ngặt, các lỗ hổng của nó có thể giúp cho các hacker xâm nhập được vào hệ thống. Đồng thời, việc kiểm soát bảo mật kém, mật khẩu yếu hay không thay đổi cài đặt bảo mật mặc định có thể làm lộ những dữ liệu nhạy cảm.SQL injection: Những cuộc tấn công vào cơ sở dữ liệu thường xảy ra ở những CSDL có nhiều lỗ hổng bảo mật.Audit không đầy đủ: Nếu không thực hiện audit, việc kiểm tra xem dữ liệu có bị sửa đổi hay truy cập hay không là rất khó. Các cơ sở dữ liệu lỗ hổng bảo mật cũng đã quyết định rằng việc audit tracking là một biện pháp ngăn chặn cyber attack.Một số ví dụ của lỗ hổng bảo mật
Các lỗ hổng bảo mật có thể được phần thành 6 loại chính như sau:
1. Phần cứng
Phần cứng nhạy cảm với độ ẩm, bụi, mã hóa kém hoặc do lỗ hổng ở trong firmware.
2. Phần mềm
Kiểm tra không đầy đủ, thiếu adit, lỗi thiết kế, vi phạm an toàn bộ nhớ (buffer overflow, over-read, dangling pointer), lỗi xác thực input (code injection, XSS, directory traversal, email injection, format string attack, HTTP header injection, HTTP response splitting, SQL injection), sai đặc quyền (clickjacking, cross-site request forgery, FTP bounce attack), race condition – điều kiện thực hiện (symlink races, time-of-check-to-time-of-use bug), side channel attack, timing attack hay lỗi user interface.
3. Mạng
Thường do đường truyền không được bảo đảm, tấn công man-in-the-middle, kiến trúc mạng không an toàn, thiếu xác thực hoặc không chỉnh sửa xác thực mặc định.
Xem thêm: Top 17 Bài Phân Tích Hai Câu Luận Bài Thương Vợ Của Tú Xương
4. Nhân sự
Chính sách tuyển dụng kém, thiếu nhận thức vào đào tạo về bảo mật, tuân thủ bảo mật kém, quản lý mật khẩu không tốt hay do tải phần mềm độc hại qua các file đính kèm trong email.