Owasp Là Gì

     

Open web Application Security Project (OWASP) là một tổ chức bao hàm các chuyên viên bảo mật hàng đầu thế giới, chuyên hỗ trợ các thông tin về những ứng dụng và không may ro đề ra một biện pháp trực tiếp, khả quan và thực tiễn nhất. Từ thời điểm năm 2013 đến nay, cứ 4 năm 1 lần, OWASP lại công bố danh sách top 10 những rủi ro bảo mật thông tin ứng dụng béo nhất, được gọi là OWASP vị trí cao nhất 10.

Bạn đang xem: Owasp là gì

Danh sách này được coi là chuẩn AppSec cùng được cộng đồng an ninh mạng tin tưởng. Danh sách bao hàm thông tin tiên tiến nhất về các lỗ hổng, các tai hại và cuộc tấn công cũng tương tự những thủ thuật để phát hiện với khắc phục. Các thành viên dự án công trình lập ra list này dựa trên việc so với tỉ lệ mở ra và nấc độ rất lớn của từng mối doạ dọa.

OWASP top 10 năm 2017 được xây dừng công khai, dựa trên cuộc thăm dò, đánh giá hơn 2,3 triệu lỗ hổng tác động ảnh hưởng đến 50000 ứng dụng, bao hàm 2 bạn dạng cập nhật lỗ hổng quy mô phệ và cập nhật các kịch phiên bản tấn công mới.

Có thể các bạn quan tâm:

Và sau đấy là danh sách vị trí cao nhất 10 của năm 2017.


Tóm tắt nội dung


Lỗ hổng Injection (Lỗi chèn mã độc)

Lỗi tiêm cho phép kẻ tấn công chuyển tiếp mã độc thông sang 1 ứng dụng mang đến một khối hệ thống khác. Những cuộc tấn công này bao gồm các cuộc hotline đến hệ điều hành thông qua các lệnh điện thoại tư vấn hệ thống, sử dụng các chương trình phía bên ngoài thông qua các lệnh shell, cũng như các lệnh điện thoại tư vấn đến cơ sở dữ liệu phụ trợ thông qua SQL (tức là SQL injection).

Toàn cỗ tập lệnh được viết bằng Perl, Python và các ngôn ngữ khác hoàn toàn có thể được đưa vào các ứng dụng được thiết kế theo phong cách kém và thực thi. Bất cứ khi nào một ứng dụng thực hiện trình thông dịch thuộc ngẫu nhiên loại nào đều phải có nguy cơ tạo thành một lỗ hổng bảo mật.Nhiều vận dụng web sử dụng những tính năng của hệ điều hành quản lý và những chương trình bên ngoài để triển khai các tác dụng của chúng. Sendmail có lẽ rằng là chương trình bên ngoài được gọi tiếp tục nhất, nhưng nhiều chương trình khác cũng rất được sử dụng.

Khi một vận dụng web chuyển thông tin từ 1 yêu ước HTTP qua như một trong những phần của yêu thương cầu mặt ngoài, nó nên được khám nghiệm cẩn thận. Nếu như không, kẻ tấn công hoàn toàn có thể đưa những ký trường đoản cú (meta) đặc biệt, lệnh ô nhiễm hoặc phương tiện sửa đổi lệnh vào thông tin và vận dụng web sẽ gửi một giải pháp mù quáng những vấn đề này cho hệ thống phía bên ngoài để thực thi.

SQL injection là 1 trong những dạng tiêm nguy khốn và phổ cập đặc biệt. Để khai quật lỗ hổng SQL injection, kẻ tiến công phải kiếm tìm một thông số mà vận dụng web chuyển hẳn qua cơ sở dữ liệu. Bằng cách cẩn thận nhúng các lệnh SQL ô nhiễm và độc hại vào câu chữ của tham số, kẻ tấn công có thể lừa vận dụng web sự chuyển tiếp giữa một tróc nã vấn độc hại đến cơ sở dữ liệu.

Các cuộc tiến công này không khó khăn để triển khai và ngày càng có không ít công thế quét các lỗ hổng này. Hậu quả là đặc biệt nghiêm trọng, vày kẻ tấn công có thể lấy, làm hỏng hoặc hủy hoại nội dung cơ sở dữ liệu.Các lỗ hổng tiêm rất có thể rất dễ phát hiện với khai thác, nhưng bọn chúng cũng có thể cực kỳ cạnh tranh hiểu. Hậu quả của một cuộc tấn công tiêm thành công xuất sắc cũng rất có thể kéo theo toàn thể phạm vi cường độ nghiêm trọng, trường đoản cú mức độ nhỏ dại đến sự xâm phạm hoặc phá hủy khối hệ thống hoàn toàn.

*

Broken Authentication

Tác nhân đe dọa / Vectơ tấn công

Những kẻ tiến công có quyền truy vấn vào hàng ngàn triệu tổ hợp tên người tiêu dùng và mật khẩu hợp lệ để nhồi nhét tin tức xác thực, danh sách thông tin tài khoản quản trị mặc định, vũ phu tự động hóa và các công cụ tấn công từ điển. Những cuộc tấn công làm chủ phiên được hiểu rõ, nhất là liên quan mang lại mã thông báo phiên không hết hạn.

Điểm yếu hèn về bảo mật

Sự phổ cập của xác xắn bị lỗi là phổ biến do thiết kế và triển khai đa số các kiểm soát nhận dạng và truy cập. Quản lý phiên là nền tảng gốc rễ của chính xác và kiểm soát và điều hành truy cập, và có mặt trong tất cả các ứng dụng trạng thái.Những kẻ tấn công rất có thể phát hiện chuẩn xác bị hỏng bằng phương pháp sử dụng các phương tiện bằng tay và khai thác chúng bằng các công cụ tự động với danh sách mật khẩu và tiến công từ điển.

Tác động

Những kẻ tấn công chỉ tất cả quyền truy vấn vào một vài thông tin tài khoản hoặc chỉ một tài khoản quản trị nhằm xâm nhập hệ thống. Tùy thuộc vào miền của ứng dụng, điều này có thể chất nhận được rửa tiền, gian lận an sinh xã hội và đánh tráo danh tính hoặc tiết lộ thông tin mẫn cảm cao được đảm bảo hợp pháp.

Các tình huống tấn công mẫu

Tình huống # 1: Nhồi nhét tin tức xác thực, sử dụng danh sách những mật khẩu vẫn biết, là 1 cuộc tấn công phổ biến. Nếu áp dụng không triển khai các biện pháp bảo vệ tự động đe dọa hoặc nhồi nhét tin tức xác thực, ứng dụng rất có thể được sử dụng như một tiên tri mật khẩu đăng nhập để khẳng định xem tin tức xác thực gồm hợp lệ hay không.

Tình huống # 2: hầu như các cuộc tiến công xác thực xảy ra do việc tiếp tục sử dụng mật khẩu đăng nhập như một yếu tố duy nhất. Từng được xem là cách thức hay nhất, các yêu mong về độ phức tạp và luân chuyển vòng mật khẩu được xem là khuyến khích người tiêu dùng sử dụng và thực hiện lại các mật khẩu yếu. Theo NIST 800-63, những tổ chức bắt buộc dừng các phương thức này và áp dụng xác thực đa yếu tố.

Tình huống # 3: thời gian chờ của phiên ứng dụng không được đặt đúng cách. Người tiêu dùng sử dụng laptop công cùng để truy cập ứng dụng. Thay vày chọn “đăng xuất”, người dùng chỉ việc đóng tab trình thông qua và vứt đi. Một giờ sau kẻ tiến công sử dụng cùng một trình duyệt y và người dùng vẫn được xác thực.

*

Lỗ hổng XSS (Cross Site Scripting)

Nó được xem là khá phổ cập trong các dạng nó lỗi thường chạm chán hiện nay. Những người có ý định tấn công sẽ thêm vào hầu hết đoạn code JavaScript thông qua các ứng dụng website. Khi chúng đã lọt qua với tiến hành tiến hành các vai trò của chính mình kích hoạt đầy đủ đoạn Mã vẫn ngay trên chủ yếu trình chăm bẵm website. Họ sẽ thuận tiện Đánh Cắp cookies trên khối hệ thống và chuyển hướng phần đa người tới những website chứa những đoạn Mã độc hại

Nguy cơ tiềm ẩn các mối nguy hại:

Ứng dụng của họ trao đổi tin tức dưới dạng bản rõ (Plain text)Cơ chế sinh khoá yếu, không đủ an toàn. Vấn đề lựa chọn size khoá tương tự như thuật toán sinh tương xứng là điều hết sức quan trọngỨng dụng phía người tiêu dùng không xác thực những chứng chỉ khi trao đổi tin tức với ServerPhương pháp ngừa lỗ hỏngĐịnh mức nhạy cảm những dữ liệu được lưu lại trữ phụ thuộc vào các tính chất luật pháp& pháp luật. Từ kia lựa chọn vẻ ngoài kiểm soát tương xứng cho từng nút độLọc và vứt bỏ những tin tức nhạy cảm không phải thiết, hạn chế rủi ro khủng hoảng mất mát hoàn toàn có thể xảy raĐảm bảo thực hiện những thuật toán mã hoá, sinh khoá tiêu chuẩn, an toàn ở thời khắc hiện tạiKhông giữ những tin tức nhạy cảm trên Cache
*

Broken Access Control

Tác nhân đe dọa / Vectơ tấn công

Khai thác quyền kiểm soát điều hành truy cập là một kỹ năng cốt lõi của không ít kẻ tấn công. Các công nắm SAST cùng DAST có thể phát hiện sự vắng khía cạnh của kiểm soát truy cập nhưng không thể xác minh coi nó có vận động hay không khi nó gồm mặt. Kiểm soát và điều hành truy cập rất có thể được phạt hiện bằng phương pháp sử dụng các phương tiện bằng tay hoặc có thể thông qua tự động hóa nếu không có kiểm soát truy cập trong một trong những khuôn khổ nhất định.

Điểm yếu hèn về bảo mật

Các điểm yếu kém của điều hành và kiểm soát truy cập là thịnh hành do thiếu kĩ năng phát hiện auto và thiếu kiểm tra chức năng hiệu quả bởi các nhà cải tiến và phát triển ứng dụng.Tính năng phát hiện kiểm soát và điều hành truy cập thường không thích hợp với kiểm tra rượu cồn hoặc tĩnh tự động. Kiểm tra bằng tay thủ công là cách tốt nhất có thể để phân phát hiện kiểm soát truy cập bị thiếu hụt hoặc ko hiệu quả, bao hàm phương pháp HTTP (GET vs PUT, v.v.), bộ điều khiển, tham chiếu đối tượng người sử dụng trực tiếp, v.v.

Tác động

Tác đụng kỹ thuật là gần như kẻ tấn công đóng phương châm là người tiêu dùng hoặc quản lí trị viên, hoặc người tiêu dùng sử dụng các chức năng đặc quyền, hoặc tạo, tróc nã cập, update hoặc xóa mọi bạn dạng ghi.Tác cồn kinh doanh phụ thuộc vào nhu cầu đảm bảo của ứng dụng và dữ liệu.

Các tình huống tấn công mẫu

Tình huống # 1: Ứng dụng thực hiện dữ liệu chưa được xác minh vào lệnh gọi SQL đang truy vấn thông tin tài khoản:pstmt.setString (1, request.getParameter (“acct”));Kết quả ResultSet = pstmt.executeQuery ();Kẻ tấn công chỉ việc sửa thay đổi tham số ‘acct’ vào trình thông qua để gửi ngẫu nhiên số thông tin tài khoản nào chúng muốn. Còn nếu như không được xác minh đúng cách, kẻ tấn công hoàn toàn có thể truy cập vào tài khoản của ngẫu nhiên người sử dụng nào.

Tình huống # 2: Kẻ tấn công chỉ việc buộc duyệt những URL mục tiêu. Quyền quản trị được yêu ước để truy cập vào trang quản trị.http://example.com/app/getappInfohttp://example.com/app/admin_getappInfoNếu người dùng chưa được xác thực hoàn toàn có thể truy cập vào một trong hai trang, đó là một trong lỗ hổng. Trường hợp một người không hẳn quản trị viên rất có thể truy cập vào trang quản ngại trị, đó là một thiếu sót.

*

Sensitive Data Exposure (Rò rỉ dữ liệu)

Tác nhân đe dọa / Vectơ tấn công

Thay vì tấn công trực tiếp vào tiền năng lượng điện tử, phần lớn kẻ tấn công ăn cắp khóa, triển khai các cuộc tiến công trung gian hoặc rước cắp tài liệu văn phiên bản rõ ràng khỏi lắp thêm chủ, lúc đang chuyến qua hoặc từ sản phẩm công nghệ khách của người dùng, ví dụ: trình duyệt. Một cuộc tấn công thủ công thường được yêu thương cầu. Cơ sở tài liệu mật khẩu sẽ truy xuất trước đây hoàn toàn có thể bị cưỡng bức vị Đơn vị xử lý hình ảnh (GPU).

Điểm yếu đuối về bảo mật

Trong vài ba năm qua, đây là cuộc tấn công có tác động thịnh hành nhất. Lỗ hổng thịnh hành nhất chỉ dễ dàng và đơn giản là ko mã hóa dữ liệu nhạy cảm. Khi tiền năng lượng điện tử được sử dụng, bài toán tạo và thống trị khóa yếu cũng như thuật toán yếu, việc thực hiện giao thức cùng mật mã là phổ biến, nhất là đối với những kỹ thuật lưu trữ băm password yếu. Đối với tài liệu đang truyền, các điểm yếu kém phía sever chủ yếu là dễ phát hiện, dẫu vậy lại cực nhọc cho dữ liệu ở tâm lý nghỉ.

Xem thêm: Kgf/Cm2 Là Gì? Đơn Vị Kgf/Cm2 Là Gì ? Đơn Vị Kgf Là Gì? Kgf/Cm2 Là Gì

Tác động

Lỗi liên tiếp làm ảnh hưởng đến tất cả dữ liệu đáng lẽ phải được bảo vệ. Thông thường, thông tin này bao hàm dữ liệu thông tin cá thể nhạy cảm (PII) như hồ sơ sức khỏe, tin tức đăng nhập, dữ liệu cá nhân và thẻ tín dụng, hay yêu cầu đảm bảo an toàn theo lý lẽ của quy định hoặc chính sách như GDPR của EU hoặc phương pháp về quyền riêng tứ của địa phương.

Các tình huống tấn công mẫu

Tình huống 1: Một áp dụng mã hóa số thẻ tín dụng thanh toán trong cửa hàng dữ liệu bằng phương pháp sử dụng mã hóa cơ sở dữ liệu tự động. Tuy nhiên, dữ liệu này sẽ tự động được giải thuật khi được truy vấn xuất, chất nhận được một lỗ hổng SQL injection truy vấn xuất số thẻ tín dụng thanh toán ở dạng văn bạn dạng rõ ràng.

Tình huống 2: Một website không thực hiện hoặc thực hiện TLS cho toàn bộ các trang hoặc cung ứng mã hóa yếu. Kẻ tấn công giám sát lưu lượng mạng (ví dụ: tại một mạng không dây ko an toàn), hạ cấp những kết nối trường đoản cú HTTPS xuống HTTP, chặn các yêu cầu và đánh tráo cookie phiên của bạn dùng. Sau đó, kẻ tiến công phát lại cookie này và chiếm quyền tinh chỉnh và điều khiển phiên (đã xác thực) của fan dùng, truy cập hoặc sửa đổi dữ liệu riêng bốn của tín đồ dùng. Thay do những điều trên, chúng bao gồm thể chuyển đổi tất cả dữ liệu được vận chuyển, ví dụ: bạn nhận đưa tiền.

Tình huống 3: Cơ sở tài liệu mật khẩu sử dụng hàm băm dễ dàng và đơn giản hoặc dễ dàng để tàng trữ mật khẩu của hầu như người. Một lỗ hổng cài lên tệp cho phép kẻ tiến công lấy cơ sở dữ liệu mật khẩu. Toàn bộ các hàm băm không ướp muối rất có thể được hiển thị với một bảng mong vồng được thống kê giám sát trướcbăm. Các hàm băm được tạo ra bởi những hàm băm đơn giản hoặc nhanh hoàn toàn có thể bị giải mã bởi GPU, ngay cả khi chúng đã được ướp muối.

*

XML External Entities (XXE)

XML External Entities ( có cách gọi khác là XXE) là lỗ hổng bảo mật chất nhận được kẻ tiến công can thiệp vào quy trình xử lý dữ liệu XML của ứng dụng. Nó thường được cho phép kẻ tiến công xem các tệp trên khối hệ thống tệp của dòng sản phẩm chủ vận dụng và thúc đẩy với bất kỳ hệ thống back-end hoặc phía bên ngoài thứ bố nào cơ mà ứng dụng hoàn toàn có thể truy cập được.

Trong một số trong những tình huống, kẻ tấn công rất có thể leo thang cuộc tấn công XXE để xâm nhập sản phẩm công nghệ chủ dưới hoặc cơ sở hạ tầng phụ trợ khác, bằng phương pháp tận dụng lỗ hổng XXE để tiến hành các cuộc tấn công giả mạo yêu cầu phía sever (SSRF).

*

Security Misconfiguration

Thông thường, chú đã được cấu hình không chính xác. Vài ngôi trường hợp thông số kỹ thuật sai như sau :

Ứng dụng được mở và quản lý và vận hành khi sẽ trong cơ chế debug.Directory listingSử dụng ứng dụng lỗi thời (WordPress plugin, PhpMyAdmin cũ)Cài đặt những dịch vụ không buộc phải thiết.Không chuyển đổi default keyhoặc mật khẩuTrả về lỗi xử lý tin tức cho kẻ tấn công lợi dụng nhằm tấn công, ví dụ như stack traces.

Phương pháp dự phòng lỗ hỏng:

Có một quá trình “xây dựng với triển khai” xuất sắc (tốt độc nhất là trường đoản cú động). Trước lúc khi thực hiện triển khai, cần có một bước chuẩn bị cho quá trình Audit nhưng bảo mật thông tin trên server.

Insecure Deserialization

Deserialization là quá trình khôi phục luồng bytes này để tạo nên thành một phiên bản copy với không thiếu thốn các chức năng, ngơi nghỉ trong trạng thái chính xác quá trình này được tuần tự hóa. Sau đó, xúc tích và ngắn gọn của trang web rất có thể tương tác trực tiếp với trang web này, như bao đối tượng người dùng khác.

Serialization (tuần từ hoá) là quá trình biến hóa cấu trúc một bí quyết phức tạp, chẳng chẳng hạng như nằm trong tính với phương thức, thành một dạng tài liệu “phẳng hơn” có thể gởi qua dữ liệu byte tuần tự. Và rất có thể sắp xếp lại:

Ghi dữ liệu kết cấu phức tạp, vào tập tin hoặc cửa hàng dữ liệu.Gửi dữ liệu cấu trúc phức tạp, qua mạng internet, giữa những thành phần nằm trong ứng dụng.Điều quan tiền trọng, thự hiện nay tuần tự đối tượng, tâm lý của đối tượng cũng khá được duy trì. Tức là các nằm trong tính và cách thức của đối tượng người dùng được không thay đổi giá trị, thuộc với các giá trị của chúng.
*

Using Components with Known Vulnerabilities (Sử dụng những thành phần gồm lỗ hổng vẫn biết)

Tác nhân rình rập đe dọa / Vectơ tấn công

Mặc dù có thể dễ dàng tra cứu thấy các khai quật đã được viết sẵn cho các lỗ hổng đang biết, nhưng các lỗ hổng khác yên cầu nỗ lực triệu tập để cải tiến và phát triển một khai thác tùy chỉnh.

Điểm yếu hèn về bảo mật

Sự thịnh hành của vấn đề này là rất rộng lớn rãi. Các mô hình phát triển nặng nề về thành phần rất có thể dẫn mang lại việc những nhóm cải tiến và phát triển thậm chí không hiểu họ sử dụng thành phần nào trong áp dụng hoặc API của mình, khiến cho chúng ko được update nhiều hơn.Một số trang bị quét chẳng hạn như reti.js giúp phát hiện, nhưng việc xác định năng lực khai thác đòi hỏi nỗ lực té sung.

Tác động

Trong khi một vài lỗ hổng đã biết hướng dẫn đến các tác động nhỏ, một số lỗ hổng to nhất cho tới thời điểm bây giờ đã phụ thuộc việc khai thác các lỗ hổng vẫn biết trong các thành phần. Tùy nằm trong vào gia sản bạn đã bảo vệ, chắc rằng rủi ro này nên đứng đầu danh sách.

Các tình huống tấn công mẫu

Tình huống số 1: các thành phần hay chạy với các đặc quyền giống như chính ứng dụng đó, vì chưng vậy sai sót trong ngẫu nhiên thành phần nào rất có thể dẫn đến ảnh hưởng tác động nghiêm trọng. Những sai sót như vậy rất có thể là tình cờ (ví dụ: lỗi mã hóa) hoặc cố gắng ý (ví dụ: cửa ngõ hậu vào thành phần). Một vài ví dụ về lỗ hổng thành phần hoàn toàn có thể khai thác được phát hiện là:* CVE-2017-5638, một lỗ hổng triển khai mã tự xa Struts 2 chất nhận được thực thi mã tùy ý trên máy chủ, đã trở nên đổ lỗi cho những vi phạm xứng đáng kể.* tuy vậy Internet vạn trang bị (IoT) thường khó hoặc chẳng thể vá, tuy thế tầm đặc biệt quan trọng của bài toán vá chúng rất có thể rất bự (ví dụ: máy y sinh).Có các công cụ tự động để giúp đông đảo kẻ tấn công tìm thấy các hệ thống chưa được vá hoặc thông số kỹ thuật sai. Ví dụ: lao lý tìm tìm Shodan IoT rất có thể giúp bạn tìm những thiết bị vẫn tồn tại mắc bắt buộc lỗ hổng Heartbleed đã có vá hồi tháng 4 năm 2014.

*

Insufficient Logging và Monitoring (Ghi nhật cam kết và đo lường và tính toán không đầy đủ)

Tác nhân rình rập đe dọa / Vectơ tấn công

Khai thác không được ghi chép và đo lường và tính toán là căn nguyên của số đông các sự thế lớn.Những kẻ tấn công phụ thuộc việc thiếu đo lường và tính toán và bội phản ứng kịp thời để đạt được mục tiêu của bọn chúng mà không biến thành phát hiện.

Điểm yếu đuối về bảo mật

Vấn đề này được đưa vào vị trí cao nhất 10 dựa trên một cuộc khảo sát trong ngành.Một chiến lược để xác định xem các bạn có đủ đo lường và tính toán hay ko là đánh giá các bản ghi sau khi kiểm tra thâm nhập. Các hành động của bạn thử nghiệm đề nghị được đánh dấu đầy đủ nhằm hiểu họ có thể đã gây nên những thiệt hại nào.

Tác động

Hầu hết những cuộc tấn công thành công đều ban đầu bằng việc thăm dò lỗ hổng. Việc được cho phép tiếp tục các đầu dò như vậy bao gồm thể nâng cao khả năng khai quật thành công lên nhanh đạt gần 100%.Trong năm 2016, việc xác định một phạm luật mất mức độ vừa phải 191 ngày – khoảng thời hạn khá nhiều năm để hoàn toàn có thể gây ra thiệt hại.

Các tình huống tiến công mẫu

Tình huống 1: một trong những phần mềm diễn bầy dự án mã mối cung cấp mở vì chưng một nhóm nhỏ điều hành đã trở nên tấn công bằng phương pháp sử dụng một lỗ hổng trong ứng dụng của nó. Phần nhiều kẻ tiến công đã thống trị để xóa sạch kho mã nguồn nội bộ tất cả chứa phiên phiên bản tiếp theo và toàn bộ nội dung diễn đàn. Mặc dù nguồn hoàn toàn có thể được khôi phục, nhưng vấn đề thiếu theo dõi, ghi nhật cam kết hoặc chú ý đã dẫn mang lại một vụ vi phạm luật tồi tệ hơn nhiều. Dự án ứng dụng diễn đàn không còn chuyển động do sự vậy này.

Tình huống 2: Kẻ tiến công sử dụng giải pháp quét người tiêu dùng sử dụng password chung. Họ rất có thể tiếp quản tất cả các tài khoản bằng mật khẩu này. Đối với toàn bộ những người dùng khác, quá trình quét này chỉ giữ lại một lần đăng nhập sai. Sau một vài ngày, điều này hoàn toàn có thể được tái diễn với một mật khẩu khác.

Tình huống 3: Một nhà kinh doanh nhỏ lớn của Hoa Kỳ được report có một hộp cat phân tích phần mềm ô nhiễm nội bộ phân tích những tệp gắn kèm. Phần mềm hộp cat đã phát hiện nay ra ứng dụng không ước muốn tiềm ẩn, nhưng không một ai phản hồi với phát hiện này. Hộp mèo đã gửi ra chú ý một thời gian trước lúc phát hiện vi phạm do ăn lận thẻ giao dịch của một ngân hàng bên ngoài.

Xem thêm: Truyện Sát Thủ Máu Lạnh Và Đệ Nhất Ma Nữ 20, Review Truyện Nữ Sát Thủ!!! Máu Lạnh!!!

*

Kết luận

Chắc chắn các website sẽ không còn thể nào thoát khỏi những lỗ hổng bảo mật, thường thì các lập trình viên mới vào nghề, kinh nghiệm tay nghề còn non kém vẫn mắc những lỗi này và để sở hữu một cách hợp lí để phòng đề phòng nó thì cần được có một sự đồng lòng cũng như là thống nhất trong quy trình kiểm tra giỏi lập trình. Chúng ta đừng lo ngại Chúng tôi sẽ cập nhật bài viết sau để khắc phục tình huống này.