Những ngày tập đi – Kì II

J từng gặp, từng chat với nhiều bạn trẻ (tất nhiên trẻ bồng bột) tự xưng hacker và tuyên bố là sẽ hack các website mà J chịu trách nhiệm an ninh (website trường cấp 3 thui). Qua cách dùng từ, sự ngộ nhận trong lời nói của bạn ấy thể hiện một sự khiếm khuyết rất lớn về các khái niệm lẫn nhận thức.

Song dựa trên những nhận thức đó, nếu giả như những cái bạn ấy nghĩ là đúng thì phương hướng triển khai tấn công là khá hợp lí, song để họ nhận ra họ đang ngộ nhận là không dễ.

Trong tin học, máy học, chỉ có đúng sai, và trong bảo mật, hack chuyện đúng sai lại có một ý nghĩa rất quan trọng, không phải tôi nghĩ thế mà nó thế, thực tế nó lại khác, khác xa lắm lận !

Vậy bước J muốn đề cập đầu tiên trong những bước tập đi đó là những khái niệm, ta nên nắm rõ những khái niệm, điều này hoàn toàn đơn giản bởi khái niệm là một quy ước ta dùng để chỉ, phan biệt một sự vật hiện tượng với các sự vật hiện tượng khác. Cũng như bạn học khái niệm vi phân, đạo hàm, tích phân vậy, nó chỉ là quy ước và ai cũng có thể nắm (tuy có khó khăn để học về nó).

Các khái niệm sẽ đi theo kiểu đệ quy, nghĩa là khi tìm hiểu về vấn đề A nảy sinh các khái niệm mới T, U, V .. và khi tìm hiểu khái niệm T lại sinh ra các khái niệm con là X, Y, Z .. thì hãy cố gắng đi đến ngọn X, Y, Z và sau sau khi đi xong ta sẽ đi tiếp khái niệm U và cứ thế … đừng đốt cháy giai đoạn, nếu đốt quen tay sẽ thành script kid đấy !

VD đơn cử: “Làm thế nào để khai thác lỗi SQL Injection” sẽ dẫn ta đến các khái niệm sau:
– SQL là ngôn ngữ truy vấn có cấu trúc
-> Những hệ quản trị cơ sở dữ liệu, HQT CSDL hỗ trợ SQL (thông dụng, cách cài đặt một trong số những HQT CSDL đó để thực hành cho hiểu thực tế).
-> Vì sao có lỗi SQL Injection -> Lỗi lập trình -> Cần tư duy lập trình để có thể hiểu được logic của truy vấn.

Khi đã hiểu được những khái niệm SQL, CSDL, HQT CSDL … và cách vận hành rồi thì vận dụng và đi vào thực hành !

Vì vậy khái niệm rất quan trọng, nó làm chúng ta nhận thức đúng đắn về thực tế của vấn đề, không ảo tưởng, và khi tham gia thảo luận về vấn đề đó ta cũng có thể thảo luận sôi nổi chứ không câm nín nghe anh em … chém :P!

Biết người biết ta, trăm trận trăm thắng ! >:D<

Nguồn: enhack.net

About securityforall

it, smile, share for people,...

Posted on July 3, 2012, in Bảo Mật (Security). Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: