Bảng thuật ngữ về trang web bị tấn công

Bảng thuật ngữ bao gồm tập hợp các thuật ngữ kỹ thuật được tham chiếu trong tài liệu bảo mật của chúng tôi.

Đặc quyền quản trị viên
Cấp độ cài đặt tài khoản cao nhất về quyền trên hệ thống. Các đặc quyền này cho phép thực hiện các thao tác như xoá toàn bộ trang web, đặt lại mật khẩu hoặc tải tệp lên.
Cửa sau
Một chương trình được cài đặt trên một hệ thống để né tránh các biện pháp kiểm soát xác thực và duy trì quyền truy cập của tin tặc vào hệ thống đó.
Kỹ thuật che giấu

Việc hiển thị nhiều nội dung hoặc URL cho người dùng và công cụ tìm kiếm.

Ví dụ: các tập lệnh động và quy tắc .htaccess có thể trả về mã trạng thái dựa trên các yêu cầu đang được xử lý. Tin tặc dùng kỹ thuật che giấu để ẩn chúng bằng cách trả về mã lỗi 404 hoặc 500 cho một số địa chỉ IP hoặc trình duyệt nhất định, đồng thời gửi thư rác đến các địa chỉ IP hoặc trình duyệt khác.

Tệp cấu hình

Các tệp lưu trữ thông tin như vị trí cơ sở dữ liệu và thông tin xác thực cho các trang web động.

Hệ thống quản lý nội dung (CMS)

Các gói phần mềm giúp người dùng tạo và chỉnh sửa trang web. Ví dụ bao gồm WordPress, Drupal và Joomla!, mặc dù vẫn còn nhiều ví dụ khác, trong đó có một số ví dụ được tạo tuỳ chỉnh.

Chuyên gia điều tra kỹ thuật số

Những người hoặc nhóm có thể giúp bạn làm sạch trang web và xác định cách trang web bị xâm phạm.

Trang tĩnh

Trang web tạo thành một tệp duy nhất, không thay đổi, hiển thị nội dung của trang web.

Trang động

Một trang web sử dụng tập lệnh và mẫu để tạo nội dung trên trang web. Hàm này sẽ tạo lại từng trang mỗi khi có trang đó được yêu cầu.

eval()

Hàm PHP và JavaScript đánh giá một chuỗi và trả về kết quả. Bạn không nên sử dụng các hàm Eval khi trang web xử lý hoạt động đầu vào của người dùng, vì các hàm này mở ra một lỗ hổng cho phép kẻ tấn công thâm nhập vào mã độc hại (ví dụ: bằng cách chèn các lệnh PHP có hại).

Giao thức truyền tệp (FTP)

Một giao thức dùng để chuyển các tệp từ máy này sang máy khác.

Tệp ẩn

Các tệp không xuất hiện trong một thư mục theo mặc định. Thông thường, các tệp như .htaccess sẽ được ẩn để bảo vệ thông tin quan trọng không bị vô tình sửa đổi. Bạn cần định cấu hình hệ thống tệp để cho phép bạn xem và chỉnh sửa các tệp ẩn.

Mã trạng thái HTTP

Phản hồi được chuẩn hoá mà máy chủ web trả về cùng với nội dung khi người dùng cố gắng tương tác với một trang, chẳng hạn như khi tải trang hoặc gửi nhận xét. Các mã này giúp người dùng hiểu cách trang web phản hồi hoặc xác định lỗi. Hãy tham khảo trang Mã trạng thái của World Wide Web Consortium để biết danh sách đầy đủ các mã trạng thái và ý nghĩa của chúng.

iFrame

Mã cho phép một trang web hiển thị nội dung từ một trang trong một trang khác. Các iframe ẩn là một thủ thuật phổ biến mà tin tặc dùng để chuyển hướng người dùng đến trang web của họ.

Tệp nhật ký

Các tệp mà máy chủ web ghi lại yêu cầu của người dùng để theo dõi tất cả các hoạt động đã thực hiện trên máy chủ. Bạn có thể xác định nỗ lực tấn công hoặc lưu lượng truy cập đáng ngờ vào trang web của mình bằng cách xem qua các tệp nhật ký.

Phần mềm độc hại

Bất kỳ phần mềm nào được thiết kế riêng nhằm gây hại cho máy tính, phần mềm mà máy tính đang chạy hoặc người dùng máy tính. Để tìm hiểu thêm, hãy tham khảo bài viết Phần mềm độc hại và phần mềm không mong muốn.

Xáo trộn

Một thủ thuật mà tin tặc dùng để gây nhầm lẫn cho việc diễn giải mã của họ bằng cách làm cho mã khó đọc hơn. Các phương thức làm rối mã nguồn phổ biến của tin tặc bao gồm thay thế ký tự, cố ý gây nhầm lẫn tên biến, sử dụng các phương thức mã hoá như base64, rot13, gzip, mã hoá URL, mã hoá hex hoặc kết hợp các phương thức này. Một số phương thức làm rối mã nguồn, chẳng hạn như base64gzip, cũng được dùng để nén và ẩn một lượng lớn mã, chẳng hạn như toàn bộ web shell.

Hành vi lừa đảo

Một hình thức tấn công phi kỹ thuật lừa người dùng cung cấp thông tin nhạy cảm như tên người dùng hoặc mật khẩu bằng cách giả vờ là một nguồn đáng tin cậy. Ví dụ: một kẻ lừa đảo có thể gửi email cho một nạn nhân tiềm năng, giả vờ là ngân hàng của họ và yêu cầu thông tin đăng nhập tài khoản ngân hàng của họ. Để tìm hiểu thêm, hãy tham khảo bài viết Ngăn chặn và báo cáo các cuộc tấn công giả mạo.

Search Console

Một dịch vụ miễn phí do Google cung cấp giúp bạn theo dõi và duy trì sự hiện diện của trang web trong kết quả của Google Tìm kiếm. Google cũng sử dụng Search Console để thông báo với chủ sở hữu trang web về các vấn đề trên trang web. Để tìm hiểu thêm, hãy tham khảo bài viết Giới thiệu về Search Console.

Sơ đồ trang web

Tệp chứa danh sách các trang trên một trang web nhằm thông báo cho công cụ tìm kiếm về cách tổ chức nội dung của trang web. Để tìm hiểu thêm, hãy tham khảo bài viết Tìm hiểu về sơ đồ trang web.

Kỹ nghệ xã hội

Một kỹ thuật nhằm giành quyền truy cập hoặc kiểm soát thông tin nhạy cảm bằng cách cố gắng lừa mọi người cung cấp quyền truy cập thay vì tấn công trực tiếp vào mã. Lừa đảo là một trong những hình thức tấn công phi kỹ thuật phổ biến nhất. Để tìm hiểu thêm, hãy tham khảo bài viết Tấn công phi kỹ thuật (trang web lừa đảo và lừa đảo).

Mức tăng lưu lượng đột biến

Lưu lượng truy cập trang web tăng đột biến hoặc ngoài dự kiến.

Xác thực hai yếu tố (2FA)

Một cơ chế bảo mật để bảo vệ hoạt động đăng nhập vào tài khoản bằng cách yêu cầu ít nhất hai mã thông báo làm bằng chứng. Ví dụ: một người dùng sử dụng tính năng xác thực hai yếu tố có thể cần cả mật khẩu và mã bảo mật mà SMS nhận được để truy cập vào tài khoản của họ.

Dịch vụ lưu trữ web

Dịch vụ cung cấp cho người dùng không gian để lưu trữ trang web của họ trên một máy chủ web, ví dụ: Google Sites. Có thể có thêm các tính năng hoặc công cụ bổ sung tuỳ theo dịch vụ.

Ngôn ngữ kịch bản web

Các ngôn ngữ lập trình thường được dùng cùng với HTML để thêm các tính năng bổ sung vào một trang web, bao gồm cả việc xử lý biểu mẫu, kiểm duyệt bình luận hoặc hiệu ứng hình ảnh đặc biệt. Hướng dẫn khôi phục sử dụng ngôn ngữ tập lệnh để tham chiếu đến PHP hoặc JavaScript.

PHP là một ngôn ngữ tập lệnh phía máy chủ, có nghĩa là máy chủ web sẽ diễn giải và thực thi các lệnh của mình. JavaScript chủ yếu là ngôn ngữ phía máy khách, nghĩa là trình duyệt của người dùng diễn giải và thực thi các lệnh của mình.

Máy chủ web

Máy và phần mềm lưu trữ và kiểm soát các trang web cũng như các tệp khác liên quan đến một trang web.

Web shell

Một tập lệnh cửa hậu cho phép kẻ tấn công duy trì quyền truy cập vào máy chủ.

Mánh khóe tăng thứ hạng cho trang web

Thủ thuật tối ưu hoá công cụ tìm kiếm lừa đảo (SEO) hoặc nội dung rác tìm cách tăng thứ hạng hoặc mức độ phổ biến của một trang web bằng cách lừa dối và thao túng các công cụ tìm kiếm.