Thay đổi AdminCP mặc định trong Xenforo

Một trong những biện pháp cơ bản để bảo mật cho Xenforo là việc thay đổi AdminCP - mặc định là admin.php

Nếu như trong vBulletin bạn chỉ cần đổi tên thư mục AdminCP và sửa lại trong config.php thì bên Xenforo lại rắc rối hơn một chút. Bài viết này sẽ hướng dẫn cụ thể.

READ MORE »

Phân tích mã độc tự động Like, Follow, Share và Spam trên Facebook

Trước đây mình đã từng viết một bài về vấn đề “Nhạc nền trên Facebook”. Tuy nhiên tới hiện tại thì các kiểu lừa đảo người dùng trên Facebook vẫn xảy ra hằng ngày và vẫn rất nhiều bạn bị mắc bẫy khi tin vào những thứ như “Thay đổi giao diện trên Facebook”, “Thêm nhạc nền vào Facebook”, “Đổi tên Facebook lần thứ 6″, “Vẽ chibi chỉ với vài thao tác đơn giản”,…

READ MORE »

Facebook sử dụng lịch sử trình duyệt của bạn cho mục tiêu Quảng cáo

Giám đốc điều hành Facebook - Mark Zuckerberg đang theo dõi từng hoạt động của bạn trên web, và giờ đây còn nhiều hơn thế.

Không ngạc nhiên khi Facebook thu thập dữ liệu của 1,3 tỉ người dùng. Họ nói chỉ giữ dữ liệu của bạn cho mục đích an ninh và quảng cáo. Tuy nhiên, đây sẽ là lần đầu tiên khi một vài công ty đang sử dụng lịch sử duyệt Web của mọi người để cung cấp "Mục tiêu quảng cáo" trên dịch vụ của mình.

Mạng xã hội lớn nhất hành tinh gần đây đang tuyên bố có kế hoạch sử dụng thông tin từ trình duyệt Web và lịch sử ứng dụng của chúng ta để cung cấp nhiều mục tiêu quảng cáo hơn.

READ MORE »

Xuất hiện lỗ hổng bảo mật trong Plugin “All in One SEO Pack” của WordPress

Nhiều lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Plugin nổi tiếng "All in One SEO Pack" cho WordPress đặt hàng triệu trang Web sử dụng WordPress có nguy cơ bị ảnh hưởng.

WordPress là một mã nguồn mở dễ dàng cài đặt và sử dụng, do đó rất nhiều người ưa thích sử dụng nó. Nhưng nếu bạn hay công ty của bạn đang sử dụng Plugin "All in One SEO Pack" để tối ưu hóa xếp hạng trang Web trên các bộ máy tìm kiếm thì bạn nên cập nhật ngay lập tức phiên bản mới nhất All in One SEO Pack 2.1.6.

READ MORE »

Cấu hình tự động quét Virus sau khi tải tệp tin cho IDM

Xin lưu ý rằng một số phần mềm chống Virus có chế độ bảo vệ thời gian thực (realtime protection) do đó bạn không cần thêm bất kì thiết lập nào trong IDM. Chúng sẽ tự động quét tất cả những tệp tin đã tải về. Nhưng mặt khác, phần mềm chống virus sẽ cố gắng kiểm soát tất cả các dữ liệu trên ổ cứng của bạn và lưu lượng mạng và có thể làm hỏng các tệp tin tạm của IDM và làm hỏng tiến trình tải về.

READ MORE »

Thủ thuật để có thể tiếp tục cập nhật bảo mật cho Windows XP

Microsoft đã chính thức ngừng hỗ trợ cho Windows XP trước ngày 08/04/2014. Điều này để buộc một số lượng lớn người sử dụng chuyển sang phiên bản mới nhất của Windows, nhưng vẫn còn một phần lớn người dùng đang sử dụng hệ điều hành Microsoft lâu đời và phổ biến nhất mặc dù không được cập nhật bảo mật.

Trong khi một số công ty và các tổ chức không thể chuyển hệ điều hành đang chạy Windows XP sang một hệ điều hành khác trước khi giai đoạn hỗ trợ kết thúc vẫn nhận được cập nhật bằng cách trả phí Microsoft cho các bản vá bảo mật và cập nhật.

READ MORE »

Bảo mật Facebook – Làm sao để giữ tài khoản của bạn an toàn?

Dưới đây là một vài lời khuyên từ Facebook mà bạn có thể làm để giữ tài khoản của bạn an toàn:

Hãy suy nghĩ trước khi bạn nhấn chuột

Không bao giờ nhấn vào những liên kết đáng ngờ ngay cả khi các liên kết này đến từ một người bạn hoặc một công ty mà bạn biết. Điều này bao gồm các liên kết được gửi trên Facebook (ví dụ: trong một khung Chat hoặc trên News Feed) hoặc trong Email. Nếu một người bạn của bạn nhấn vào một liên kết rác (spam), họ có thể vô tình gửi cho bạn hoặc đánh dấu (tag) bạn trong những bài viết spam. Bạn cũng không nên tải bất cứ thứ gì (ví dụ: một tệp .exe) nếu bạn không chắc chắn chúng là gì.

READ MORE »

Chia sẻ kinh nghiệm tìm kiếm Shell trong mã nguồn

 Vào một ngày đẹp trời, bất ngờ trang Web của bạn xuất hiện dòng chữ “Checked by…” hay “Hacked by…” tại trang chủ và bạn không biết lý do từ đâu?

Ngày nay, việc xây dựng một Website, Diễn đàn hay Blog cá nhân là rất dễ dàng vì có nhiều mã nguồn mở được xây dựng sẵn như WordPress, Blogger, vBulletin, Xenforo,… Hay những Framework mạnh mẽ như CodeIgneter, Laravel, YI giúp việc tạo ra một trang Web trở nên đơn giản hơn rất nhiều. Nếu như bạn lựa chọn việc sẽ sử dụng mã nguồn mở hay Framework để tự tay làm ra trang web của mình từ lúc bắt đầu cấu hình, xây dựng cơ sở dữ liệu rồi phát triển thì không nói làm gì, trong trường hợp bạn lấy những mã nguồn diễn đàn, blog cá nhân đã được tùy chỉnh, thiết kế giao diện và xây dựng sẵn cơ sở dữ liệu thì sẽ có một điều mà bạn cần quan tâm đó là “Liệu những bộ mã nguồn mở được chia sẻ công khai đó có an toàn?”.

READ MORE »

XSS có nguy hiểm hay không?

Xin chào, mình là Juno_okyo.

Như các bạn đã biết thì Cross Site Scripting (hay còn gọi là XSS) là một lỗi bảo mật cho phép người tấn công (Attacker, Hacker, Pen-tester,…) chèn và thực thi những đoạn mã nguy hiểm vào trong trang web bị dính lỗi. Những đoạn mã được chèn vào có thể là HTML, JavaScript hay thậm chí là những đoạn Text – văn bản thuần, nhưng đa phần sẽ là JavaScript.

Nhưng có một sự thật là nhiều người thường nghĩ XSSkhông hề nguy hiểm (so với các lỗi bảo mật khác như SQL Injection, CSRF,…), có lẽ vì họ nghĩ XSS đơn giản chỉ là tạo ra một hộp thoại thông báo hay chỉ là ghi vài dòng chữ vào trong trang web. Cũng vì lý do đó mà nhiều Web-masterthường chủ quan khi không lọc dữ liệu vào – ra (input – output). Hãy nhớ rằng, XSS luôn là một trong những lỗi bảo mật phổ biến thường gặp nhất và luôn nằm trong Top những lỗi bảo mật nguy hiểm xếp ngang hàng với SQL Injection và XSS còn có thể là một trong những tiền đề dẫn tới một cuộc tấn công CSRF. Nếu bạn nghĩ XSS không hề nguy hiểm thì chứng tỏ bạn chưa biết về DOM (Document Object Model), XSS sẽ thực sự nguy hiểm khi nó trở thành DOM-Base XSS.

READ MORE »

Malaysian Security Researcher Found XSS Vulnerability In Google

How much Google is secure we will tell you today, One Malaysian security researcher named Ahmad Ashraff talk to us and shared tutorial with us that, how he found XSS Vulnerability in Google and Youtube. 

"On 9th January 2014, posted below image on twitter

https://twitter.com/yappare/status/421470672330571777/photo/1

So is this post related to that? Will get to it soon or probably next month.haha..
In this post I'm going to share to you a bug that manage me to be inside  Google Vulnerability Reward Program G+ Community here

READ MORE »

Tự động tag trên Facebook và cách ngăn chặn

Tham khảo thêm: Hướng dẫn bảo mật tài khoản Facebook

(GenK.vn) - Những hình thức như đổi tên Facebook không giới hạn, vẽ chibi miễn phí, hay là một hình thức quảng cáo nào đó tương tự,... đều là những trò lừa đảo thường gặp hiện nay. Nếu bạn không cảnh giác, bạn sẽ gặp rất nhiều phiền toái nếu bị "sập bẫy" vào những trò này.

Bạn đang sử dụng Facebook, bỗng nhiên bạn không hiểu từ đâu mà nhiều Fanpage lạ hoắc, nhiều status của người lạ xuất hiện trên trang News Feed của bạn. Vậy đâu là nguyên nhân? Và giải quyết như thế nào?

Đây là vấn đề rất phổ biến hiện nay. Để đánh giá mức độ nổi tiếng của một trang cá nhân, hay một trang nào đó, “Like” và “Follower” được xem như thước đo để đánh giá mức độ này. Do đó, để tăng lượt Like, tăng View, tăng Subscriber (hay follower),… kẻ xấu đã dùng nhiều chiêu thức khiến người dùng tự biến mình thành nạn nhân để bị lợi dụng.  Bên cạnh những cá nhân chân chính cũng có những cá nhân “bất chính” bày ra không ít mánh khóe lừa gạt người sử dụng.

READ MORE »

Kloxo dính lỗi bảo mật SQL injection và cách khắc phục

Với lỗi bảo mật này, Hacker có thể truy cập trái phép vào Kloxo cPanel dưới quyền Admin. Vì vấn đề khá nguy hiểm nên mình ko muốn post tool và phân tích bug mà sẽ post cách khắc phục thôi nhé. Bác nào hiểu thì tự tìm hiểu tiếp, nếu biết rồi cũng ko nên public ra làm gì vì hiện giờ rất nhiều hệ thống đang sử dụng Kloxo.

* Hiểm họa: Hacker sẽ có thể đăng nhập dưới quyền Admin Kloxo và... sẽ ko làm gì hết?

Lỗi SQL Injection này giúp attacker login dưới quyền admin

Thôi kệ nó, giờ đi khắc phục nhé!

READ MORE »

Clickjacking: Quá khứ, hiện tại và tương lai

Clickjacking là một loại hình tấn công liên quan trực tiếp với người dùng và không thể diễn ra nếu không có sự tham gia của người dùng. Theo nghĩa nào đó, Clickjacking một kỹ thuật nhằm đánh cắp các “cú click” của người dùng.

READ MORE »

DDoS và nguyên tắc hành động cụ thể

Sau hai notes:
- DDoS và nguyên tắc chống chọi.
- DDoS và nguyên tắc phân tích gói tin.


Một số bạn hỏi tôi "hành động cụ thể" ra làm sao? Đây là câu hỏi khó vì mitigate DDoS là công việc cực kỳ khó khăn. Việc này chẳng những đòi hỏi phải am hiểu giao thức mạng một cách tinh tế để xác định mình đang bị tấn công như thế nào mà còn đòi hỏi thấu đáo mô hình, cấu trúc, công nghệ và cách quản lý của hệ thống đang bị lâm nạn. Không có một thiết bị kỳ diệu nào có thể tự động nhận diện và khắc phục DDoS một cách dễ dàng cả.

Như tôi đã đề cập trong bài đầu tiên: "Cản lọc không dừng lại ở MỖI TẦNG mà ở trên TẤT CẢ CÁC TẦNG GIAO THỨC bất cứ nơi đâu có thể được, thậm chí phối hợp giữa các tầng." và việc này chỉ có thể do NGƯỜI THẬT thực hiện. Hãy bàn đến mô hình để nắm rõ hơn tại sao việc thấu đáo nó là tối quan trọng.
READ MORE »

DDoS và nguyên tắc phân tích gói tin

Như đã đề cập ở bài trước (xem tại đây)

Giảm thiểu tác hại của DDoS có hai hướng chính:
1) Giảm thiểu bằng cách cản lọc những đặc điểm cụ thể.
2) Giảm thiểu bằng cách cản lọc theo ấn định số lần truy cập trong một khoản thời gian (nếu không tìm ra được đặc điểm cụ thể).

Từ những thông tin nào có thể giúp mình thực hiện việc giảm thiểu ấy? Cách khó nhất, tỉ mỉ nhất nhưng cũng chính xác nhất là lấy thông tin từ những gói tin bắt được trong lúc chúng tràn vào mục tiêu (để thực hiện việc DDoS).
READ MORE »

DDoS và nguyên tắc chống chọi

Tóm tắt những điểm tối quan trọng trong việc chống chọi với DDoS (distributed denial of service attack) cho những ai quan tâm.

- DDoS có nhiều dạng, nhiều biến thái tấn công nhưng tựu trung có một mục đích: làm người dùng không thể sử dụng được dịch vụ.

- DDoS có hai dạng chính:
1) làm ngập băng thông khiến cho người dùng không thể truy cập dịch vụ.
2) làm cho dịch vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thể truy cập dịch vụ.

Chống đỡ hai dạng trên đều đòi hỏi gia tăng tài nguyên (băng thông, CPU, diskspace, memory). Tài nguyên càng phát tán rộng ra nhiều network càng tốt.

READ MORE »

Bảo mật cá nhân - Sử dụng máy công cộng - Phần 2

Trong bài trước (xem tại đây), ba thủ thuật đơn giản đã được giới thiệu nhằm giảm thiểu hiểm hoạ "mất mật khẩu" khi dùng máy công cộng. Phần thứ nhì đi sâu vào việc chuẩn bị một biện pháp khác có khả năng giảm thiểu hiểm hoạ bị mất mật khẩu ở mức độ tốt hơn. Tuy nhiên, nó đòi hỏi một quy trình chuẩn bị khá tỉ mỉ.


Tạo và sử dụng USB key có chứa phần mềm quản lý mật khẩu:
Đây có lẽ là biện pháp an toàn nhất khi sử dụng máy tính công cộng để đăng nhập nếu máy tính công cộng ấy cho phép gắn USB key vào máy. USB key là một thiết bị nhỏ gọn, khá rẻ tiền và thông dụng:

Bạn có thể mua một USB key ở bất cứ một tiệm bán đồ máy tính nào với dung lượng nhỏ (vì không cần dung lượng lớn). Một USB key chừng 64Mb là thừa để dùng rồi. Quy trình chuẩn bị này cần thực hiện trên một máy SẠCH, có nghĩa là bạn tin tưởng máy ấy không có mã độc.

READ MORE »

Bảo mật cá nhân - Sử dụng máy công cộng - Phần 1

Vài năm gần đây, Internet và máy tính trở thành một phần của mọi sinh hoạt hàng ngày, từ chuyên gia cho đến các cháu học sinh từ các bà nội trợ đến các ông bà cụ. Không may, tình trạng "mất mật khẩu", "bị đánh cắp mật khẩu", "mất tài khoản" trở thành chuyện bình thường đến mức đáng sợ. Tuy vậy, nếu trang bị một số kiến thức căn bản và sự cẩn thận đúng mức thì có thể giảm thiểu phần lớn tình trạng "bị mất cắp". Bài viết này tập trung vào tình trạng bảo mật của máy tính và người dùng Internet ở Việt Nam cho người dùng sử dụng máy trên hệ điều hành Windows.

READ MORE »

Hướng dẫn bảo mật tài khoản Facebook

Thực ra thì mình thấy có khá nhiều bài viết về bảo mật tài khoản trên mạng xã hội rồi (đặc biệt là Facebook), nên bài viết này Juno_okyo sẽ viết và chia sẻ theo kinh nghiệm cá nhân.

1. Sử dụng Mật khẩu mạnh

Một mật khẩu mạnh:

• Có ít nhất 15 kí tự;
• Có chữ hoa;
• Có chữ thường;
• Có chữ số;
• Có kí tự như: ` ! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? /
• Không giống như mật khẩu trước đó của bạn (trường hợp đổi mật khẩu).
• Không phải là tên của bạn.
• Không phải là tên đăng nhập.
• Không phải là tên bạn bè của bạn.
• Không phải là tên thành viên trong gia đình bạn.
• Không phải là một từ trong từ điển.
• Không phải là một tên chung.
• Không phải là một mẫu trên bàn phím kiểu như: qwerty, asdfghjkl, or 12345678.

Nếu "quá khó" để nghĩ ra một mật khẩu đủ mạnh và tuân theo các quy tắc an toàn trên, bạn có thể sử dụng các công cụ tạo mật khẩu mạnh ngẫu nhiên như strongpasswordgenerator.com

READ MORE »

Một số cấu hình trên file .htaccess

1. .htaccess là gì?

1.1. .htaccess là gì

.htaccess là một file cấu hình sử dụng cho các web server chạy Apache. .htaccess dùng để thiết lập các tùy chọn: thực thi hay loại bỏ các chức năng, tính năng của Apache

READ MORE »