Diễn đànCafe Tinh tế

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

mrpaint
24/7/2016 12:42Phản hồi: 184
184 bình luận
Chia sẻ

Bài nổi bật

Xu hướng

shootgun29
ĐẠI BÀNG
8 năm
Share cho các bác, anh chị em việc cấu hình cho SSL LAB lên A với apache, nginx:
1.
Chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, vô hiệu hóa SSL 2.0 và SSL 3.0
Bạn cần phải nâng cấp phiên bản OpenSSL lên phiên bản mới nhất không bị vướng lỗ hổng bảo mật và hỗ trợ TLS 1.2 và TLS 1.2. Ví dụ: các phiên bản 0.9.x và 1.0.0 trở về trước không hỗ trợ TLS 1.2.
Sau khi nâng cấp OpenSSL, bạn cần phải build lại hoặc nâng cấp Apache lên phiên bản mới nhất. Kể từ phiên bản 2.2.x trở lên, Apache đã hỗ trợ TLS 1.2.
Để vô hiệu hóa SSL 2.0, SSL 3.0 và chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, bạn cần chỉnh lại tham số sau:
SSLProtocol All -SSLv2 -SSLv3

2.
Poodle and TLS-FALLBACK-SCSV
SSL 3.0 là nguyên nhân quan trọng nhất gây ra lỗ hổng Poodle. Bằng cách vô hiệu hóa SSL 3.0, bạn đã khắc phục lỗ hổng Poodle cho máy chủ.
Để vô hiệu hóa lỗ hổng “protocol downgrade attack”, extension TLS FALLBACK SCSV phải được kích hoạt trong OpenSSL. Các phiên bản sau đây đã bao gồm extension này:
Nâng cấp lên phiên bản mới nhất của openssl

3.
Heartbleed
Lỗ hổng Heartbleed là một lỗ hổng khá nghiêm trọng, có thể ảnh hưởng đến mọi máy chủ sử dụng thư viện OpenSSL. Để khắc phục lỗi này, cách duy nhất là bạn phải kiểm tra phiên bản OpenSSL đang sử dụng và nâng cấp nếu nằm trong danh sách sau đây:
Nâng cấp lên phiên bản mới nhất của openssl

4.
Cipher suites
Luôn luôn áp dụng các cipher suites an toàn nhất và yêu cầu server lựa chọn ưu tiên theo thứ tự mà bạn đã thiết lập. (Cập nhật theo thời gian)

5.
Strong DH (Diffie-Hellman)
Bạn cần nâng cấp Apache lên 2.4.8 và OpenSSL 1.0.2 để hỗ trợ tính năng này.
Chạy lệnh:
openssl dhparam –out /usr/local/ssl/dhparams.pem 2048
Bổ sung dòng sau đây vào file cấu hình:
SSLOpenSSLConfCmd DHParameters “/usr/local/ssl/dhparams.pem”
mrpaint
TÍCH CỰC
8 năm
@shootgun29 Toàn dùng cái này cho nhanh bác ơi https://mozilla.github.io/server-side-tls/ssl-config-generator/ :p
hoangpt2000
8 năm
Mình thấy link này từ DNH.

Nhiều bạn lầm tưởng TLS khó bị tấn công MITM. Rất nhiều vụ cert injection rồi nhé (kể cả không bị lộ key CA). Có thể kể tới vài vụ như Lenovo cài Superfish SSL vào thành SSL chứng thực của Laptop, hay thằng Symantec bán SSL cert cho mấy công ty hardware mạng của Trung Quốc, hoặc vụ ngân hàng tại Bangladesk mất số tiền rất lớn do dùng đồ mạng rẻ tiền.

Cá nhân thì mình nghĩ không nên đưa kết luận chủ quan do mới test bảo mật ở mức cơ bản. Tuy nhiên, bài viết không phải là không có ý nghĩa về bảo mật. Và, cái yếu nhất trong hệ thống bảo mật chính là ý thức của bản thân người dùng. Nếu được, bài viết nên thêm 1 chút về một vài kỹ thuật gỉa định danh và cách phòng chống.
tin_truc22
CAO CẤP
8 năm
@hoangpt2000 đi dùng máy Lenovo thì coi như cho bọn TQ nó xem hết dữ liệu mình rồi. 1 ví dụ đơn giản là trình duyệt cốc cốc, bao nhiêu anh tin tưởng vào nó nếu nó có quyền override lại tất cả các CA trên máy tính? Và nói như lúc đầu nếu không tin được trình duyệt hay client thì thôi khỏi làm bảo mật luôn gì cho nó mệt. Ví dụ Citibank có ứng dụng Mobile rất tốt, nhưng OTP cũng sinh ra trên chính ứng dụng ấy, nên mình sợ chẳng bao giờ bật. Tiền thì cứ bỏ HSBC với token lúc nào cũng bên mình cho chắc ăn.
rosekiller
ĐẠI BÀNG
8 năm
dự là tinh tế sẽ điên đầu vì vụ này. dám chơi với mấy anh ngân hàng ah, chỉ 0.1% chi phí quảng quảng cáo cũng đủ cho tinhte ăn hành rồi nhé.
chưa gì mà dự bị và mới đăng ký hôm qua đã nhảy vào anti rồi kakaka
thaiph85
Trứng
8 năm
Bài viết có một ưu điểm là đưa ra một cái nhìn (dù chỉ thoáng qua) về bảo mật trong chuyển tiền online (web/app) cho các anh em Non-IT tham khảo. Tuy nhiên theo mình không nên đưa Kết Luận vào, vì kết luận nó sẽ mang tính định hướng người sử dụng, trong khi đó bài viết thì lại hơi sơ sài để đánh giá chính xác.
Hiện tại ngoài Web/App riêng của các ngân hàng, thì Viettel cũng có ứng dụng Bankplus khá ổn (trả tiền điện thoại, điện, nước, chuyển tiền online, chuyển tiền mặt...).
Ngoài ra các bạn cũng yên tâm là App chuyển tiền online được đánh giá là giải pháp an toàn nhất rồi, tiền của mình không đến nỗi dễ bị thịt vậy đâu. 😃
Tham khảo thêm : http://lifehacker.com/which-online-money-transfer-service-is-the-most-secure-1688912343/1688958375
toilaxuan
Trứng
8 năm
Haizz mấy bạn cả tin qua đấy, mình thấy tự dưng đâu đâu xuất hiện người tự xưng Hacker rồi tự nhận mình đã xâm nhập để kiểm tra độ bảo mật của các Ngân hàng, nếu việc đó đơn giản như vậy thì từ lâu đã bị hack rồi chứ ko đợi đến bây giờ đâu 😆
manman009
Trứng
8 năm
Ồ anh hacker hay nhỉ, cơ mà còn các bank khác thì sao? không nhắc đến có chắc là an toàn hả? Mình nghĩ là chủ thớt quơ đại mấy bank nổi nổi rồi chém thôi 😆
macnguyen123
Trứng
8 năm
Ôi còn lạ gì kiểu " anh hùng bàn phím ", theo mình nghĩ mấy cá nhân gọi là "hacker" đúng nghĩa thường thì không lên đây viết lộn xộn đâu. Chủ thớt coi chừng lại bị pháp luật "sờ gáy" vì ghi bậy bạ đấy 😆
x10man
ĐẠI BÀNG
8 năm
Kết một câu là: Nếu ngồi quét vậy mà ra đúng hiện trạng của bảo mật các trang web, ứng dụng thì các công ty chuyên về bảo mật phá sản hết.
prjnce007
TÍCH CỰC
8 năm
K nói lên được điều gì 😃 Mình nghỉ nên tránh các bài ntn vì k phải ai cũng biết.
ngoducquyet
Trứng
8 năm
Hồi học vỡ lòng an ninh mạng nhớ là làm mũ trắng, test phải có trao đổi với họ trước đó.
Mà mũ trắng thì không được công khai thông tin sau khi pentest ;)
pnha1720
ĐẠI BÀNG
8 năm
Đông Á thì sao ?
Mr Lonely^_^
ĐẠI BÀNG
8 năm
Bác này chỉ check mỗi phần SSL/TLS/Cert mà đặt cái tiêu đề nghe to tát và kết luận dễ gây hoang mang quá. Làm ơn sửa lại tiêu đề và đính chính lại nội dung cho dân tình không chuyên bảo mật đỡ hiểu lầm đi ạ. SSL/TLS/Cert này chỉ là hạng mục liên quan đến máy chủ web, bác đã kiểm tra bên trong website hay ứng dụng có lỗ hổng gì chưa mà kêu là "thử nghiệm bảo mật của web và ứng dụng" 😔
cuti7x
TÍCH CỰC
8 năm
Vụ mất 500tr vừa rồi thằng Ngân hàng đưa ra cái lý do vớ vẩn vậy mà không chú IT khủng nào đứng ra bênh người ta,mặc cho chúng nó khua môi múa mép. Ở nước ngoài cái loại giao dịch bất minh kiểu đó bị chặn ngay,trong khi ở VN phải đến lúc người ta báo ngaan hàng mới kiểm tra,tn báo giao dịchhangf tuần sau mới đến thì mất cha nó tiền từ đời nào rồi. Nói chung thiệt thôi người dân luôn phải chịu,ngân hàng kiếm mọi cớ phủi tay.
.CyberSec
ĐẠI BÀNG
3 năm
"hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập" - phần này em thấy không có tác dụng lắm bác nhỉ?

CHỦ ĐỀ TƯƠNG TỰ

Văn Phát.

Tencent thúc đẩy khách nước ngoài sử dụng Wechat Pay để chi tiêu khi đến Trung Quốc

Pnghuy

Một số tính năng nâng cao bảo mật trên trình duyệt Microsoft Edge

P.W

Microsoft "để quên" máy chủ chứa dữ liệu nhân viên cả tháng trời, không có password

cadilackid

Cần sự giúp đỡ từ AE tinh tế

Xu hướng

Bài mới









    1. Tin mới
    2. Sản phẩm công nghệ mới
    3. Khuyến mãi
    4. Sự kiện
    5. Video

    1. Tinh tế

      1. Nội quy diễn đàn
      2. Thỏa thuận sử dụng dịch vụ
      3. Góp ý
      4. Hỗ trợ, hướng dẫn
      5. Liên hệ quảng cáo
      6. Tinh tế RSS

    2. Cộng đồng

      1. Điện thoại
      2. Máy tính
      3. Camera
      4. Xe
      5. Khoa học công nghệ

    3. Nhật Tảo

      1. Mua bán điện thoại
      2. Mua bán máy tính
      3. Mua bán máy tính bảng
      4. Mua bán camera
      5. Mua bán đồng hồ thông minh
      6. Mua bán xe
      7. Mua bán điện máy
      8. Mua bán sim, sim 3G

    4. Theo dõi chúng tôi

      1. Facebook
      2. Youtube
      3. Flickr
      4. Twitter
    • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
    • © 2024 Công ty Cổ phần MXH Tinh Tế
    • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
    • Số điện thoại: 02822460095
    • MST: 0313255119
    • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019