Chào mọi người, cảm ơn các bạn đã đến tham gia buổi giới thiệu về câu lạc bộ An Toàn Thông Tin Học Viện Kỹ Thuật Mật Mã. Mình là Hậu, khóa AT18, mình tham gia câu lạc bộ từ năm 2022, hiện tại mình đang là thành viên ban chuyên môn. Hôm nay mình sẽ giới thiệu cho các bạn sơ lược về mảng Web Exploitation.
Nội dung chính của cuộc thảo luận này sẽ gồm có phần Giới thiệu chung, cơ bản về Web Security, Các kỹ năng để bắt đầu chơi CTF với mảng Web, và cuối cùng là cơ hội nghề nghiệp khi theo mảng Web Security.
Khi nhắc đến mảng An Toàn Thông Tin, ai cũng từng muốn sau khi học xong chuyên ngành này có thể trở thành 1 hacker đẳng cấp có thể hack vào hệ thống lớn như trên phim vậy, dùng html đánh cả NASA hoặc như các tin tặc được lên báo như trên hình ảnh sau đây. Vậy có ai đã từng thử lên google và search 'hướng dẫn hack facebook' chưa? Mình đoán rằng chắc cũng phải có rồi chứ nhỉ. Hàng loạt những vụ tấn công vào những trang web thể hiện rằng Web Security là một điều tất yếu khi xây dựng một trang web và bảo đảm rằng trang web đó hoạt động một cách an toàn và ổn định nhất.
Nghe thì có vẻ lớn lao, nhưng ta có thể hiểu đơn giản web security là bảo mật tài nguyên dữ liệu của dự án trước, trong và sau quá trình phát triển sản phẩm. Ví dụ như bảo mật dữ liệu người dùng trong database, bảo mật source code. Bảo mật tài nguyên giữa các team với nhau, giữa người trong và ngoài công ty, phân quyền cho người dùng, người phát triển. Ngăn chặn việc "leo thang đặc quyền" (privilege escalation) của người dùng, bảo vệ dự án trước lỗ hổng bảo mật và các cuộc tấn công,...
Lí do tại sao có nhiều người theo mảng Web Security này do có 3 nguyên nhân chính:Dễ tiếp cận, vì kiến thức nó không quá sâu. Bạn không cần phải rành mạch về Hệ điều hành, Cấu trúc dữ liệu gì cả, mà vẫn có thể làm nó. Chỉ cần biết lập trình. Vì khi bạn biết lập trình, bạn sẽ chính là người mắc vào những lỗi đó, cách học nhanh nhất và dai nhất là tự vấp và sửa sai lầm của chính mình.
Target rất nhiều, nói tới đây không phải cổ súy. Nhưng rõ ràng thế giới www (World-Wide-Web) ngày này cực kì to lớn, ai cũng có thể lập cho mình một website. Chính vì thế mà “bao cát” luyện tập cho mọi người cũng rất nhiều. Nhưng hãy nhớ, xây dựng mới khó, đập phá rất dễ. Hãy là những người trẻ có suy nghĩ và ý thức.
Công cụ/tài liệu rất rất nhiều, vì đây là mảng nhiều người tiếp cận nhất, sinh ra công cụ mà họ làm ra cũng tỉ lệ thuận. Hàng ngàn công cụ được tạo ra chỉ cho việc khai thác một lỗi duy nhất (điển hình: SQL Injection). Cho nên, việc có những người không hề biết tí nguyên lý về nó vẫn có thể khai thác thành công là hoàn toàn có.
Rồi, giờ mình sẽ vào vấn đề chính, các kỹ năng cần có để bắt đầu chơi CTF với mảng Web: