Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Discussion in 'Thông tin công nghệ' started by mrpaint, 24/7/16. Replies: 180. Views: 63,944.

mrpaint
Theo dõi

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi mrpaint, 24/7/16. Trả lời: 180, Xem: 63944.

Chia sẻ

  1. shootgun29

    Tham gia:
    20/1/08
    Được thích:
    50
    Best Answers:
    0
    shootgun29
    ĐẠI BÀNG
    Share cho các bác, anh chị em việc cấu hình cho SSL LAB lên A với apache, nginx:
    1.
    Chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, vô hiệu hóa SSL 2.0 và SSL 3.0
    Bạn cần phải nâng cấp phiên bản OpenSSL lên phiên bản mới nhất không bị vướng lỗ hổng bảo mật và hỗ trợ TLS 1.2 và TLS 1.2. Ví dụ: các phiên bản 0.9.x và 1.0.0 trở về trước không hỗ trợ TLS 1.2.
    Sau khi nâng cấp OpenSSL, bạn cần phải build lại hoặc nâng cấp Apache lên phiên bản mới nhất. Kể từ phiên bản 2.2.x trở lên, Apache đã hỗ trợ TLS 1.2.
    Để vô hiệu hóa SSL 2.0, SSL 3.0 và chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, bạn cần chỉnh lại tham số sau:
    SSLProtocol All -SSLv2 -SSLv3

    2.
    Poodle and TLS-FALLBACK-SCSV
    SSL 3.0 là nguyên nhân quan trọng nhất gây ra lỗ hổng Poodle. Bằng cách vô hiệu hóa SSL 3.0, bạn đã khắc phục lỗ hổng Poodle cho máy chủ.
    Để vô hiệu hóa lỗ hổng “protocol downgrade attack”, extension TLS FALLBACK SCSV phải được kích hoạt trong OpenSSL. Các phiên bản sau đây đã bao gồm extension này:
    Nâng cấp lên phiên bản mới nhất của openssl

    3.
    Heartbleed
    Lỗ hổng Heartbleed là một lỗ hổng khá nghiêm trọng, có thể ảnh hưởng đến mọi máy chủ sử dụng thư viện OpenSSL. Để khắc phục lỗi này, cách duy nhất là bạn phải kiểm tra phiên bản OpenSSL đang sử dụng và nâng cấp nếu nằm trong danh sách sau đây:
    Nâng cấp lên phiên bản mới nhất của openssl

    4.
    Cipher suites
    Luôn luôn áp dụng các cipher suites an toàn nhất và yêu cầu server lựa chọn ưu tiên theo thứ tự mà bạn đã thiết lập. (Cập nhật theo thời gian)

    5.
    Strong DH (Diffie-Hellman)
    Bạn cần nâng cấp Apache lên 2.4.8 và OpenSSL 1.0.2 để hỗ trợ tính năng này.
    Chạy lệnh:
    openssl dhparam –out /usr/local/ssl/dhparams.pem 2048
    Bổ sung dòng sau đây vào file cấu hình:
    SSLOpenSSLConfCmd DHParameters “/usr/local/ssl/dhparams.pem”
     
    1. mrpaint

      Tham gia:
      13/12/08
      Được thích:
      508
      Best Answers:
      0
      mrpaint
      TÍCH CỰC
      mrpaint @shootgun29 Toàn dùng cái này cho nhanh bác ơi https://mozilla.github.io/server-side-tls/ssl-config-generator/ :p
       
  2. hoangpt2000

    hoangpt2000 Thành viên

    Tham gia:
    26/7/16
    Được thích:
    3
    Best Answers:
    0
    hoangpt2000
    Mình thấy link này từ DNH.

    Nhiều bạn lầm tưởng TLS khó bị tấn công MITM. Rất nhiều vụ cert injection rồi nhé (kể cả không bị lộ key CA). Có thể kể tới vài vụ như Lenovo cài Superfish SSL vào thành SSL chứng thực của Laptop, hay thằng Symantec bán SSL cert cho mấy công ty hardware mạng của Trung Quốc, hoặc vụ ngân hàng tại Bangladesk mất số tiền rất lớn do dùng đồ mạng rẻ tiền.

    Cá nhân thì mình nghĩ không nên đưa kết luận chủ quan do mới test bảo mật ở mức cơ bản. Tuy nhiên, bài viết không phải là không có ý nghĩa về bảo mật. Và, cái yếu nhất trong hệ thống bảo mật chính là ý thức của bản thân người dùng. Nếu được, bài viết nên thêm 1 chút về một vài kỹ thuật gỉa định danh và cách phòng chống.
     
    quanqw, Airblade14lotterite thích nội dung này.
    1. tin_truc22

      Tham gia:
      11/6/09
      Được thích:
      397
      Best Answers:
      0
      tin_truc22
      TÍCH CỰC
      tin_truc22 @hoangpt2000 đi dùng máy Lenovo thì coi như cho bọn TQ nó xem hết dữ liệu mình rồi. 1 ví dụ đơn giản là trình duyệt cốc cốc, bao nhiêu anh tin tưởng vào nó nếu nó có quyền override lại tất cả các CA trên máy tính? Và nói như lúc đầu nếu không tin được trình duyệt hay client thì thôi khỏi làm bảo mật luôn gì cho nó mệt. Ví dụ Citibank có ứng dụng Mobile rất tốt, nhưng OTP cũng sinh ra trên chính ứng dụng ấy, nên mình sợ chẳng bao giờ bật. Tiền thì cứ bỏ HSBC với token lúc nào cũng bên mình cho chắc ăn.
       
  3. rosekiller

    Tham gia:
    23/1/09
    Được thích:
    78
    Best Answers:
    0
    rosekiller
    ĐẠI BÀNG
    #164 rosekiller, 26/7/16
    Sửa lần cuối: 26/7/16
    dự là tinh tế sẽ điên đầu vì vụ này. dám chơi với mấy anh ngân hàng ah, chỉ 0.1% chi phí quảng quảng cáo cũng đủ cho tinhte ăn hành rồi nhé.
    chưa gì mà dự bị và mới đăng ký hôm qua đã nhảy vào anti rồi kakaka
     
    #164 rosekiller, 26/7/16
    Sửa lần cuối: 26/7/16
  4. thaiph85

    thaiph85 Dự bị

    Tham gia:
    11/12/08
    Được thích:
    1
    Best Answers:
    0
    thaiph85
    Trứng
    Bài viết có một ưu điểm là đưa ra một cái nhìn (dù chỉ thoáng qua) về bảo mật trong chuyển tiền online (web/app) cho các anh em Non-IT tham khảo. Tuy nhiên theo mình không nên đưa Kết Luận vào, vì kết luận nó sẽ mang tính định hướng người sử dụng, trong khi đó bài viết thì lại hơi sơ sài để đánh giá chính xác.
    Hiện tại ngoài Web/App riêng của các ngân hàng, thì Viettel cũng có ứng dụng Bankplus khá ổn (trả tiền điện thoại, điện, nước, chuyển tiền online, chuyển tiền mặt...).
    Ngoài ra các bạn cũng yên tâm là App chuyển tiền online được đánh giá là giải pháp an toàn nhất rồi, tiền của mình không đến nỗi dễ bị thịt vậy đâu. :)
    Tham khảo thêm : http://lifehacker.com/which-online-money-transfer-service-is-the-most-secure-1688912343/1688958375
     
  5. toilaxuan

    toilaxuan Dự bị

    Tham gia:
    26/7/16
    Được thích:
    0
    Best Answers:
    0
    toilaxuan
    Trứng
    Haizz mấy bạn cả tin qua đấy, mình thấy tự dưng đâu đâu xuất hiện người tự xưng Hacker rồi tự nhận mình đã xâm nhập để kiểm tra độ bảo mật của các Ngân hàng, nếu việc đó đơn giản như vậy thì từ lâu đã bị hack rồi chứ ko đợi đến bây giờ đâu :))
     
  6. manman009

    manman009 Dự bị

    Tham gia:
    26/7/16
    Được thích:
    0
    Best Answers:
    0
    manman009
    Trứng
    Ồ anh hacker hay nhỉ, cơ mà còn các bank khác thì sao? không nhắc đến có chắc là an toàn hả? Mình nghĩ là chủ thớt quơ đại mấy bank nổi nổi rồi chém thôi :))
     
  7. macnguyen123

    macnguyen123 Dự bị

    Tham gia:
    26/7/16
    Được thích:
    0
    Best Answers:
    0
    macnguyen123
    Trứng
    Ôi còn lạ gì kiểu " anh hùng bàn phím ", theo mình nghĩ mấy cá nhân gọi là "hacker" đúng nghĩa thường thì không lên đây viết lộn xộn đâu. Chủ thớt coi chừng lại bị pháp luật "sờ gáy" vì ghi bậy bạ đấy :))
     
  8. x10man

    Tham gia:
    21/6/10
    Được thích:
    71
    Best Answers:
    0
    x10man
    ĐẠI BÀNG
    Kết một câu là: Nếu ngồi quét vậy mà ra đúng hiện trạng của bảo mật các trang web, ứng dụng thì các công ty chuyên về bảo mật phá sản hết.
     
    thansau_239 thích nội dung này.
  9. prjnce007

    Tham gia:
    25/4/09
    Được thích:
    1,420
    Best Answers:
    0
    prjnce007
    TÍCH CỰC
    K nói lên được điều gì :) Mình nghỉ nên tránh các bài ntn vì k phải ai cũng biết.
     
  10. ngoducquyet

    ngoducquyet Dự bị

    Tham gia:
    8/5/09
    Được thích:
    1
    Best Answers:
    0
    ngoducquyet
    Trứng
    Hồi học vỡ lòng an ninh mạng nhớ là làm mũ trắng, test phải có trao đổi với họ trước đó.
    Mà mũ trắng thì không được công khai thông tin sau khi pentest ;)
     
  11. pnha1720

    Tham gia:
    22/10/08
    Được thích:
    78
    Best Answers:
    0
  12. Mr Lonely^_^

    Tham gia:
    8/3/09
    Được thích:
    12
    Best Answers:
    0
    Mr Lonely^_^
    ĐẠI BÀNG
    Bác này chỉ check mỗi phần SSL/TLS/Cert mà đặt cái tiêu đề nghe to tát và kết luận dễ gây hoang mang quá. Làm ơn sửa lại tiêu đề và đính chính lại nội dung cho dân tình không chuyên bảo mật đỡ hiểu lầm đi ạ. SSL/TLS/Cert này chỉ là hạng mục liên quan đến máy chủ web, bác đã kiểm tra bên trong website hay ứng dụng có lỗ hổng gì chưa mà kêu là "thử nghiệm bảo mật của web và ứng dụng" :(
     
  13. cuti7x

    Tham gia:
    20/2/11
    Được thích:
    193
    Best Answers:
    0
    cuti7x
    TÍCH CỰC
    Vụ mất 500tr vừa rồi thằng Ngân hàng đưa ra cái lý do vớ vẩn vậy mà không chú IT khủng nào đứng ra bênh người ta,mặc cho chúng nó khua môi múa mép. Ở nước ngoài cái loại giao dịch bất minh kiểu đó bị chặn ngay,trong khi ở VN phải đến lúc người ta báo ngaan hàng mới kiểm tra,tn báo giao dịchhangf tuần sau mới đến thì mất cha nó tiền từ đời nào rồi. Nói chung thiệt thôi người dân luôn phải chịu,ngân hàng kiếm mọi cớ phủi tay.
     

Chia sẻ

Đang tải...