Mục 'liên hệ' trên website là cánh cửa ngỏ cho hacker

Theo hãng tư vấn bảo mật SecureTest (Anh), tính năng "contact us", giúp người ngoài gửi thông tin tới nhà điều hành trang web, không an toàn và khiến hacker dễ dàng tấn công từ chối dịch vụ (DDoS) vào máy chủ quản lý mail.

Mức độ nghiêm trọng của các cuộc tấn công này không giống nhau vì nó tuỳ thuộc vào việc công ty đặt chỗ máy chủ ở đâu. Nếu họ thuê host ở nhà cung cấp dịch vụ khác thì nguy cơ sẽ thấp hơn so với việc tự đặt host.

Trong trường hợp công ty tự đặt máy chủ cho website của mình, server thường nằm trong DMZ (cấu hình tường lửa cho mạng LAN) giữa các tường lửa bên trong và bên ngoài. Hình thức "contact us" chỉ đơn thuần tạo ra một e-mail theo yêu cầu và gửi nội dung của nó tới server bên trong để chuyển tiếp tới một địa chỉ trong mạng LAN.

Thường thì các hệ thống lọc thư sẽ coi máy chủ web như là một máy khách quản lý thư trong nội bộ. Nếu có chủ ý tấn công, hacker sẽ gửi đến lượng e-mail chứa mã độc cực lớn, làm máy chủ tê liệt. Viết mã để thay đổi nội dung các message hay tấn công qua mạng máy tính liên kết từ địa chỉ IP giả càng làm cho tình hình nghiêm trọng hơn. Nếu trang web còn đặt chế độ trả lời tự động (cho cả địa chỉ đúng và không đúng - thường là địa chỉ hacker bịa ra), máy chủ sẽ dễ dàng bị "ngập" trong e-mail báo kết quả về (không gửi được).

Ken Munro, Giám đốc SecureTest, cho biết nhiều tổ chức không quan tâm lỗ hổng này. Có nhiều cách chống đỡ loại tấn công DDoS qua mục "liên hệ" như yêu cầu người gửi phải nhập một vài chữ từ tấm ảnh nào đó mà máy tính không đọc được (giống như cách Yahoo yêu cầu khi người dùng tạo lập hòm thư).

T.H. (theo The Register)