The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Bảng thuật ngữ về trang web bị tấn công

Bảng thuật ngữ bao gồm tập hợp các thuật ngữ kỹ thuật được tham chiếu trong tài liệu bảo mật của chúng tôi. Danh sách được sắp xếp theo thứ tự bảng chữ cái trong đó mỗi thuật ngữ được in đậm và kèm theo định nghĩa của thuật ngữ đó.

Đặc quyền quản trị viên
Đặc quyền quản trị viên là cấp cao nhất trong cài đặt tài khoản về quyền trên một hệ thống. Những loại đặc quyền này cho phép thực hiện hành động như xóa toàn bộ trang web, đặt lại mật khẩu hoặc tải tệp lên.

Cửa sau
Cửa sau là một chương trình được cài đặt trên một hệ thống để vượt qua các kiểm soát xác thực và duy trì truy cập.

Kỹ thuật che giấu
Kỹ thuật che giấu là việc hiển thị nội dung hay URL khác nhau cho người dùng và công cụ tìm kiếm.

Ví dụ: các tập lệnh động và .htaccess có thể trả về mã trạng thái dựa trên yêu cầu được xử lý. Bằng cách sử dụng thủ thuật này, tin tặc sẽ ẩn đường đi của chúng bằng cách trả lại mã lỗi 404 hoặc 500 tới các địa chỉ IP hoặc trình duyệt nhất định, đồng thời gửi spam đến các địa chỉ IP hoặc trình duyệt khác.

Tệp cấu hình
Các tệp cấu hình được sử dụng để lưu trữ thông tin như vị trí cơ sở dữ liệu và thông tin xác thực cho các trang web động.

Hệ thống quản lý nội dung (CMS)
Hệ thống quản lý nội dung là các gói phần mềm giúp người dùng dễ dàng tạo và chỉnh sửa trang web. Ví dụ bao gồm WordPress, Drupal và Joomla!, mặc dù có nhiều người hệ thống khác, bao gồm một số hệ thống tùy chỉnh.

Chuyên gia điều tra kỹ thuật số
Các chuyên gia điều tra kỹ thuật số là những người hoặc nhóm người có thể giúp bạn làm sạch trang web và xác định cách trang web của bạn bị xâm nhập.

Trang tĩnh
Một trang tĩnh có một tệp cố định duy nhất hiển thị nội dung cho một trang web.

Trang động
Một trang động sử dụng các tập lệnh để tạo nội dung trên trang web. Một trang động sử dụng phần mềm để tạo các trang mỗi lần có yêu cầu bằng cách sử dụng tập hợp các tập lệnh và mẫu để đặt nội dung.

eval()
Trong PHP và JavaScript, eval() là một hàm đánh giá một chuỗi và trả về kết quả. Bạn không nên dùng các hàm Eval khi một trang web xử lý dữ liệu người dùng nhập vào bởi vì các hàm này mở ra một lỗ hổng cho phép kẻ tấn công đưa vào mã độc hại (ví dụ: đưa vào các lệnh PHP có hại).

FTP
Giao thức truyền tệp (FTP) là một giao thức được sử dụng để truyền tệp từ máy này sang máy khác.

Tệp ẩn
Các tệp ẩn là tệp không hiển thị trong một thư mục theo mặc định. Thông thường, các tệp như .htaccess được ẩn để bảo vệ thông tin quan trọng không bị vô tình sửa đổi. Bạn cần định cấu hình hệ thống tệp để cho phép bạn xem và chỉnh sửa các tệp ẩn.

Mã trạng thái HTTP
Mã trạng thái HTTP là phản hồi tiêu chuẩn mà các máy chủ web trả về cùng với nội dung khi người dùng cố gắng tương tác với một trang, ví dụ như tải trang hoặc gửi nhận xét. Các mã này giúp người dùng hiểu cách trang web phản hồi hoặc xác định lỗi. Hãy tham khảo trang Mã trạng thái của World Wide Web Consortium để biết danh sách đầy đủ các mã trạng thái và ý nghĩa của từng mã.

iFrame
Một iFrame cho phép trang web hiển thị nội dung từ một trang lồng vào một trang khác. Các iframe ẩn là một thủ thuật phổ biến mà tin tặc sử dụng để chuyển hướng người dùng đến trang web của họ.

Tệp nhật ký
Các tệp nhật ký là tệp mà máy chủ web sử dụng để ghi lại yêu cầu của người dùng nhằm theo dõi tất cả các hoạt động được thực hiện trên máy chủ. Bạn có thể xác định nỗ lực tấn công hoặc lưu lượng truy cập đáng ngờ đến trang web của mình bằng cách xem qua tệp nhật ký.

Phần mềm độc hại
Phần mềm độc hại là bất kỳ phần mềm nào được thiết kế đặc biệt để gây hại máy tính, phần mềm mà máy tính đang chạy hoặc người dùng máy tính. Tìm hiểu thêm về phần mềm độc hại.

Xáo trộn
Xáo trộn là một thủ thuật được sử dụng để gây nhầm lẫn cho những người phân tích mã bằng cách làm cho mã khó đọc hơn. Các phương pháp làm xáo trộn thường gặp của tin tặc bao gồm việc thay thế ký tự, cố ý thay đổi làm phức tạp tên biến, sử dụng mã hóa như base64, rot13, gzip, mã hóa url, mã hóa hex hoặc kết hợp các cách mã hóa này. Đôi khi các phương pháp này, chẳng hạn như base64 và gzip, cũng được sử dụng để nén và ẩn lượng một số lượng lớn mã, như toàn bộ web shell.

Lừa đảo
Lừa đảo là một hình thức kỹ nghệ xã hội nhằm lừa người dùng cung cấp thông tin nhạy cảm (ví dụ như tên người dùng hoặc mật khẩu) bằng cách giả mạo một nguồn đáng tin cậy. Ví dụ: một kẻ lừa đảo sẽ gửi email cho một nạn nhân tiềm năng, giả mạo ngân hàng của họ và yêu cầu cung cấp thông tin đăng nhập vào tài khoản ngân hàng của họ. Tìm hiểu thêm về lừa đảo.

Search Console
Google Search Console là một dịch vụ miễn phí được Google cung cấp để giúp bạn theo dõi và duy trì sự hiện diện của trang web của bạn trong kết quả tìm kiếm của Google. Google cũng sử dụng Search Console để liên lạc với quản trị viên web về các vấn đề trên trang web. Tìm hiểu thêm về Search Console.

Sơ đồ trang web
Sơ đồ trang web là tệp chứa danh sách các trang trên một trang web nhằm thông báo cho các công cụ tìm kiếm về cách tổ chức nội dung của trang web. Tìm hiểu thêm về sơ đồ trang web.

Kỹ nghệ xã hội
Kỹ nghệ xã hội là một thủ thuật nhằm đạt được quyền truy cập hoặc kiểm soát thông tin nhạy cảm bằng cách cố lừa người khác cung cấp quyền truy cập thay vì tấn công mã trực tiếp. Một trong những hình thức phổ biến nhất của kỹ nghệ xã hội là lừa đảo. Tìm hiểu thêm về kỹ nghệ xã hội.

Mức tăng lưu lượng đột biến
Mức tăng đột biến là mức tăng bất ngờ trong lưu lượng truy cập trang web.

Xác thực hai yếu tố (2FA)
Xác thực hai yếu tố là một cơ chế bảo mật bảo vệ thông tin đăng nhập tài khoản bằng cách yêu cầu ít nhất hai mã chứng minh. Ví dụ: một người dùng sử dụng xác thực hai yếu tố sẽ cần cả mật khẩu và mã bảo mật nhận được qua SMS để truy cập vào tài khoản của họ.

Dịch vụ lưu trữ web
Dịch vụ lưu trữ web cung cấp cho người dùng không gian để lưu trữ trang web của mình trên một máy chủ web, ví dụ như Google Sites. Có thể có thêm tính năng hoặc công cụ bổ sung tùy thuộc vào dịch vụ.

Ngôn ngữ kịch bản web
Ngôn ngữ kịch bản web thường được sử dụng kết hợp với HTML để thêm các tính năng bổ sung vào một trang web. Ví dụ: ngôn ngữ kịch bản được sử dụng để xử lý biểu mẫu, kiểm duyệt nhận xét hoặc hiệu ứng hình ảnh đặc biệt. Trong ngữ cảnh này, hướng dẫn khôi phục khi bị tấn công sử dụng thuật ngữ ngôn ngữ kịch bản để chỉ PHP hoặc JavaScript.

PHP là một ngôn ngữ kịch bản phía máy chủ, có nghĩa là máy chủ web phân tích và thực hiện các lệnh của mình.

Javascript chủ yếu là ngôn ngữ phía máy khách, có nghĩa là trình duyệt của người dùng phân tích và thực hiện các lệnh của trình duyệt.

Máy chủ web
Máy chủ web là máy và phần mềm lưu trữ và kiểm soát các trang web và các tệp khác có liên quan đến một trang web.

Web shell
Web shell là một tập lệnh cửa sau cho phép kẻ tấn công duy trì quyền truy cập trên một máy chủ.

Webspam
Webspam là thủ thuật tối ưu hóa công cụ tìm kiếm (SEO) mũ đen hoặc nội dung spam nhằm tăng xếp hạng hoặc độ phổ biến của một trang web bằng cách lừa đảo và thao túng các công cụ tìm kiếm.