2coffee.dev

  • Một số phương pháp bảo mật dành cho webhook
    • webhook
    • security

    Một số phương pháp bảo mật dành cho webhook

    Mấy hôm vừa rồi tôi có công việc nghiên cứu tích hợp App Store Server Notifications là một dạng webhook để nhận thông báo từ Apple về máy chủ của mình. Trong quá trình tích hợp có một vài chi tiết thú vị mà tôi nghĩ nếu kể ra ở đây hẳn sẽ giúp ích được cho bạn đọc. Nếu chưa biết webhook là gì, bạn đọc có thể tham khảo bài viết Webhook là gì? Sử dụng webhook trong những trường hợp nào. Chắc hẳn chúng ta ai cũng biết việc mua hàng trong ứng dụng. Khi mua thành công một đơn hàng, Apple sẽ gửi thông báo về máy chủ của chúng ta, trong thông báo có chứa...

    10 tháng trước

  • Tôi đang bị DDoS
    • other
    • ddos

    Tôi đang bị DDoS

    Từ lúc bắt tay vào xây dựng trang web, tôi đã nghĩ đến khả năng nó bị phá hoại sau này. Có nhiều hình thức tấn công như DDoS, spam hay các cuộc tấn công nhằm vào lỗ hổng bảo mật nào đó... Bạn nghĩ là tôi gây thù chuốc oán với ai nên lo sợ chăng? Thực ra là không đâu, trước đến nay tôi chưa bao giờ gây chiến với ai cả, nhưng không thể nào "thoát khỏi ánh mắt đen tối" của những kẻ táy máy trên mạng ngoài kia được. Đây không phải là trang web đầu tiên tôi dựng lên, thế nên việc lưu ý đến hành vi không mấy thân thiện này không phải là lần đầu tiên...

    1 năm trước

  • Cao cấp
    Hello

    Tôi & khao khát "chơi chữ"

    Bạn đã thử viết? Và rồi thất bại hoặc chưa ưng ý? Tại 2coffee.dev chúng tôi đã có quãng thời gian chật vật với công việc viết. Đừng nản chí, vì giờ đây chúng tôi đã có cách giúp bạn. Hãy bấm vào để trở thành hội viên ngay!

    Bạn đã thử viết? Và rồi thất bại hoặc chưa ưng ý? Tại 2coffee.dev chúng tôi đã có quãng thời gian chật vật với công việc viết. Đừng nản chí, vì giờ đây chúng tôi đã có cách giúp bạn. Hãy bấm vào để trở thành hội viên ngay!

    Xem tất cả
  • Backdoor trong ứng dụng viết bằng Javascript cực kì tinh vi thông qua hai hình thức "Invisible Character Attacks" và "Homoglyph Attacks"
    • javascript

    Backdoor trong ứng dụng viết bằng Javascript cực kì tinh vi thông qua hai hình thức "Invisible Character Attacks" và "Homoglyph Attacks"

    Backdoor là phương pháp vượt qua khả năng xác thực thông thường hoặc nhằm mục đích tạo một "cửa hậu" nhằm truy nhập từ xa tới hệ thống phần mềm mà không cần xác thực thông tin theo cách thông thường. Chúng cố gắng để không bị phát hiện bởi việc giám sát thông thường như review code, logging... Hãy thử tưởng tượng, bạn phụ trách phát triển một hệ thống API nhưng lại khéo léo tạo một endpoint mà không một ai biết ngoài bạn, qua đó để đánh cắp thông tin người dùng trong hệ thống một cách dễ dàng. Vì lẽ đó, backdoor sẽ tàn phá hoặc gây thiệt hại nghiêm trọng đến hệ thống bởi khả năng "tiềm ẩn" và rất khó bị phát hiện của nó. Đâu ai biết backdoor liệu có trong hệ thống của mình không, liệu nó có đánh cắp hay sửa đổi dữ liệu hay không. Nói tóm lại không dễ dàng để tạo ra backdoor mà không bị phát hiện nhưng một khi bị qua mặt thì thiệt hại là không thể tưởng tượng...

    1 năm trước

  • MIME Sniffing là gì? Cách để bảo vệ website khỏi cuộc tấn công "dò tìm" MIME
    • other

    MIME Sniffing là gì? Cách để bảo vệ website khỏi cuộc tấn công "dò tìm" MIME

    Có thể bạn đã biết, song song với việc bảo mật website ở máy chủ để đảm bảo không ai có thể truy cập được để thực hiện hành vi trái phép, thì bảo mật phía máy khách (client) cũng không hề được xem nhẹ. Mỗi năm, các trình duyệt web phổ biến luôn được cập nhật thêm các bản vá lỗ hổng bảo mật kèm với việc bổ sung các đặc tả kĩ thuật nhằm tăng tính bảo mật hơn cho trình duyệt của họ. Một trình duyệt có thể bảo vệ người dùng tối đa thì ai mà chẳng muốn sử dụng...

    2 năm trước

  • HSTS và cách bảo vệ Website khỏi cuộc tấn công Man-In-The-Middle
    • security
    • other

    HSTS và cách bảo vệ Website khỏi cuộc tấn công Man-In-The-Middle

    Bảo vệ trang web cũng như bảo vệ người dùng trang web của bạn khỏi những mối nguy hiểm trên mạng internet luôn là nhiệm vụ quan trọng. Bởi không ai muốn trang web của mình bị phá hoại hay thậm chí gây ra những thiệt hại nghiêm trọng cho người dùng. Đặc tả kỹ thuật liên tục được cập nhật những quy tắc mới nhằm tìm ra giải pháp ngăn chặn hoặc chí ít giảm thiểu những mối lo ngại tiềm tàng cho trang web và cả người dùng của bạn...

    2 năm trước

  • Ngăn chặn tấn công XSS bằng Content Security Policy (CSP)
    • browser
    • xss

    Ngăn chặn tấn công XSS bằng Content Security Policy (CSP)

    Content Security Policy (CSP) là một lớp bảo mật bổ sung giúp phát hiện và giảm thiểu một số loại tấn công nhất định, bao gồm cả tấn công Cross-Site Scripting (XSS) và dữ liệu. Các cuộc tấn công này được sử dụng cho mọi thứ, từ đánh cắp dữ liệu, làm mất mặt trang web, đến phân phối phần mềm độc hại...

    2 năm trước

  • Giải pháp nào để vô hiệu hoá mã thông báo jwt (jwt access token) khi người dùng đăng xuất?
    • jwt
    • authentication

    Giải pháp nào để vô hiệu hoá mã thông báo jwt (jwt access token) khi người dùng đăng xuất?

    Xác thực người dùng bằng mã token đang ngày càng phổ biến do mô hình client - server được sử dụng rộng rãi. Nếu như trước kia chúng ta thường dùng session hay cookie để xác định phiên người dùng thì giờ đây có thêm một lựa chọn khác là thông qua mã token, đặc biệt là jwt. Jwt là một chuỗi đùng để định danh, thường là phiên đăng nhập của người dùng. Jwt hoạt động bằng cách...

    2 năm trước