Thứ Năm, 17 tháng 11, 2011

Bảo mật với PHP và Mysql phần 03

Standard
Bảo mật với PHP và Mysql phần 03

Hai phần trước chúng ta như cưỡi ngựa xem … hoa . Giờ vấn đề nhức nhối hiện nay về việc bảo mật với PHP và Mysql là … flood .
Dạng flood có 2 loại dạng Flood Form và Flood Process

- Flood form là gì ? Flood form là dạng gởi dữ liệu hàng loạt khiến cho MYSQL xử lý “chới với” , ví dụ bạn thiết kế một form đơn giản chỉ INSERT data vào mysql . Nếu Dữ liệu chỉ là một request thì không sao , còn trong 1 giây mà có cả trăm request thì lập tức … hihì

Hiện tại khá nhiều web site thiết kế form không có mã xác nhận ? thì vấn đề gì sẽ xảy ra ?

Nếu những form như góp ý , đăng ký thành viên : lâu lâu có cả ngàn record do flood là chuyện thường , nếu form xử lý có gởi mail thì … đương nhiên bị lợi dụng để làm Bomb mail , làm đầy CSDL của mình .

Những hậu quả dẫn đến : MYSQL bị treo , server chết , bị đầy space , tốn bandwidth . Chẳng hạn 1 record chừng 30kbytes thì 1000 , hay 10000 cứ như vậy lặp đi lặp lại theo cấp số nhân thì space tốn khá nhiều cho những dữ liệu vô ích , và cpu sẽ load rất nhiều tốn tài nguyên .

- Flood process là gì ? Là dạng flood không tạo ra dữ liệu mới mà nó gởi những request khiến PHP và Mysql xử lý khá vất vả . Hiện đang có “trào lưu” flood PHP mà MYSQL bằng X-flash ( Macro Media Flash ) . Minh chứng là các bạn thấy trang http://www.hvaonline.net và http://www.hvanews.net hứng chịu một ngày trên cả trăm đợt tấn công , nhưng tại sao vẫn đứng hiên ngang , là do chế độ bảo mật cao , nếu đối với các site thường là … có vẻ bị “ngủm” .

Cách phòng chống .

- Đối với form nhập liệu cần tạo ra mã xác nhận dạng Hình ảnh ( có thể xem phần đăng ký thành viên tại PHPeasy , Hvanews … và một số những forum khác .
- Cấu hình Mysql chấp nhận nhiều kết nối hơn ( mặc định MYSQL thường là 100)
- Thiết lập hệ thống Firewall lọc những header chứa X-Flash
- Chuyển website sang SSL .
Còn nhiều cách khác , ở đây mình chỉ đưa ra những “nghiên cứu” mang tính chủ quan và sưu tầm từ kinh nghiệm của “cha ông ta” .



NHÀ CUNG CẤP DỊCH VỤ CHUYÊN NGHIỆP
PHÁT TRIỂN
WEBDESIGN - HOSTING - DOMAIN

0 nhận xét:

Đăng nhận xét