Báo giá thiết kế website trọn gói

Báo giá thiết kế website trọn gói
GÓI TÙY CHỌN
2.500.000VNĐ
Giao diện: Chọn sẵn tại khoChỉ làm việc online
Đổi màu giao diện theo yêu cầu: lần đầu
1 Logo web: Thiết kế lần đầu
2 Banner: Thiết kế lần đầu
50 Đơn vị + menu: Nhập liệu lần đầu
Băng thông & Dung lượng: Không giới hạn
Sản phẩm & Tin tức: Không giới hạn
Miễn phí thiết kế: Có
Phí VPS từ năm thứ 2: 1.500.000 VNĐ
GÓI TÙY CHỈNH
3.500.000VNĐ
Giao diện: Tùy chỉnh & Thiết kế theo yêu cầu
Đổi màu giao diện theo yêu cầu: 2 lần
1 Logo web: Thiết kế lần đầu
3 Banner: Thiết kế lần đầu
80 Đơn vị + menu: Nhập liệu lần đầu
Băng thông & Dung lượng: Không giới hạn
Sản phẩm & Tin tức: Không giới hạn
Miển phí thiết kế: Không
Phí VPS từ năm thứ 2: 1.500.000 VNĐ
GÓI ĐỘC QUYỀN
12.500.000VNĐ
Giao diện: Thiết kế & Tùy chỉnh theo yêu cầu
Đổi màu giao diện theo yêu cầu: 2 lần
1 Logo web: Thiết kế lần đầu
5 Banner: Thiết kế lần đầu
120 Đơn vị + menu: Nhập liệu lần đầu
Sản phẩm & Tin tức: Không giới hạn
Hỗ trợ cài đặt lần đầu, hỗ trợ đổi tên miền
Bàn giao code & data độc quyền cho 1 tên miền
Phí VPS từ năm thứ 2: từ 2,5tr trở lên
BÁO GIÁ DỊCH VỤ KHÁC CHI PHÍ
Thiết kế banner tĩnh & up lên website theo yêu cầu 100.000đ/ 1 banner
Nhập sản phẩm theo yêu cầu (khách hàng cung cấp thông tin) 100,000đ/ 15 sản phẩm.
Tùy chỉnh, thiết kế hoặc chỉnh sửa lại giao diện theo yêu cầu Từ 300,000đ => 3,000,000đ
Viết bài quảng cáo (Langding Page) chuẩn SEO 550,000đ/ 1 bài

Báo giá tên miền

BẢNG GIÁ TÊN MIỀN QUỐC TẾ PHÍ KHỞI TẠO (VNĐ) PHÍ DUY TRÌ HÀNG NĂM (VNĐ)
.com | .net | .org | .info | .us | .biz | .link | .pw Miễn phí 250.000
.co.uk | .eu | .name Miễn phí 260.000
.mobi | .ninja | .in | .com.co | .net.co | .nom.co | .ca Miễn phí 452.000
.bz | .ws | .tv Miễn phí 666.000
.co Miễn phí 726.000
.me Miễn phí 645.000
BẢNG GIÁ TÊN MIỀN VIỆT NAM PHÍ KHỞI TẠO (VNĐ) PHÍ DUY TRÌ HÀNG NĂM (VNĐ)
.vn 350.000 480.000
.com.vn | .net.vn | .biz.vn 350.000 350.000
.org.vn | .gov.vn | .edu.vn | .pro.vn | .info.vn | .int.vn 200.000 200.000
.name.vn 30.000 30.000
Tên miền địa giới hành chính 200.000 200.000

Báo giá dịch vụ SEO website

SEO tổng thể & Chăn sóc website

GÓI 1: 500.000/ tháng GÓI 2: 1.500.000/ tháng GÓI 3: 3,000,000/ tháng GÓI 4: 8,000,000/ tháng
SEO tổng thể + 2 từ khóa top (1-5) SEO tổng thể + 3 từ khóa top (1-5) SEO tổng thể + 6 từ khóa top (1-5) SEO tổng thể + 15 từ khóa top (1-5)
Cụm từ khóa >= 6 chữ Cụm từ khóa >= 5 chữ Cụm từ khóa >= 3 chữ Cụm từ khóa >= 3 chữ
—–x—–
Miễn phí website cơ bản Miễn phí website cơ bản Miễn phí website theo yêu cầu
Gửi báo cáo theo quý 4 tháng Gửi báo cáo hàng tháng Gửi báo cáo hàng tháng Gửi báo cáo hàng tháng
Quản trị và chăm sóc nội dung (đăng từ 5 đến 15 bài chuẩn SEO/ 1 tháng) Quản trị và chăm sóc nội dung (đăng từ 5 đến 30 bài chuẩn SEO/ 1 tháng) Quản trị và chăm sóc nội dung (đăng từ 10 đến 30 bài chuẩn SEO/ 1 tháng) Quản trị và chăm sóc nội dung (đăng từ 10 đến 50 bài chuẩn SEO/ 1 tháng)
—–x—–
—–x—–
Quản lý bình luận Quản lý bình luận + Liên hệ + hỗ trợ Online
Thanh toán tối thiểu 3 tháng/ lần Thanh toán tối thiểu 3 tháng/ lần Thanh toán tối thiểu 2 tháng/ lần Thanh toán tối thiểu 2 tháng/ lần

SEO tổng thể là gì?

Seo tổng thể là sự kết hợp hoàn hảo giữa seo Onpage và seo Offpage, bao gồm việc tối ưu cấu trúc chuẩn SEO cho toàn website và xây dựng nội dung có giá trị với người đọc. Từ đó website của bạn sẽ có hàng trăm từ khóa liên quan, có thứ hạng cao trong kết quả tìm kiếm của google.

Dịch vụ SMS Marketing tại Công ty CMT

Dịch vụ SMS Marketing là gì?

– Dịch vụ SMS Marketing : là dịch vụ quảng cáo, tiếp thị bằng tin nhắn cho phép các nhà cung cấp sản phẩm, dịch vụ sử dụng kênh thông tin di động để quảng bá cho nhãn hàng, sản phẩm hoặc dịch vụ của mình đến các thuê bao di động VinaPhone.

– Dịch vụ SMS Marketing gửi dưới hình thức tin nhắn có gắn tên thương hiệu của các doanh nghiệp (Brandname).

Lợi ích của dịch vụ:

– Là hình thức marketing hiệu quả nhất, chi phí thấp nhất;

– Tăng mức độ tin cậy của khách hàng đối với thương hiệu của doanh nghiệp quảng cáo;

– Thông điệp được truyền tải nhanh nhất, tập trung nhất đến khách hàng mục tiêu;

– Nâng cao tính chuyên nghiệp trong dịch vụ hỗ trợ và chăm sóc khách hàng.

Nội dung dịch vụ:

Nội dung SMS Marketing được trình bày dưới dạng ký tự (text) bằng tiếng Việt không dấu, bao gồm các thông tin sau:

– Thông tin giới thiệu sản phẩm, dịch vụ mới

– Thông tin khuyến mại sản phẩm, dịch vụ

– Thông tin chăm sóc khách hàng

– Thông tin bình chọn, trúng thưởng

– Thông tin khác

980x41010

Công ty CMT tuyển dụng các vị trí kinh doanh sản phẩm và dịch vụ của công ty:

1: Trưởng/Phó Phòng kinh doanh: Số lượng 2

Yêu cầu: Nam/nữ  tuổi từ 25 trở lên

  • Tốt nghiệp đại học trở lên chuyên ngành kinh tế, CNTT hoặc liên quan, ưu tiên đã làm việc trong lĩnh vực truyền thông – quảng cáo;
  • Có ít nhất 01 năm kinh nghiệm ở vị trí quản lý;
  • Có khả năng phân tích và nhạy bén với những cơ hội thị trường; có mối quan hệ rộng;
  • Am hiểu về kinh doanh và marketing;
  • Có kinh nghiệm sales và tiếp thị;
  • Có khả năng tổ chức, quản lý, điều hành;
  • Có khả năng giao tiếp tốt, năng động và sáng tạo;
  • Có khả năng làm việc độc lập và làm việc theo nhóm;
  • Có khả năng làm việc ở cường độ cao và chịu áp lực tốt;
  • Đạo đức/ Uy tín cá nhân/ Tính gắn kết lâu dài/ Có quan điểm làm việc hoặc định hướng công việc rõ ràng.

Mô tả công việc:

  • Lập kế hoạch và tổ chức thực hiện kế hoạch kinh doanh
  • Đề xuất các giải pháp nhằm duy trì và thúc đẩy hoạt động kinh doanh
  • Quản lý và điều hành, giám sát công việc của nhân viên thuộc phòng kinh doanh.
  • Phối hợp với phòng nhân sự trong công tác tuyển dụng và đào tạo nhân viên phòng kinh doanh
  • Tìm kiếm và phát triển quan hệ với các khách hàng và đối tác tiềm năng.
  • Đàm phán, ký kết các hợp đồng. Đảm bảo chỉ tiêu doanh số đề ra.
  • Chịu trách nhiệm báo cáo trước trưởng phòng kinh doanh và ban giám đốc về hoạt động và hiệu quả của phòng kinh doanh

Chính sách/Phúc lợi:

  • Mức lương: Lương cứng + % Hoa hồng + Thưởng (tháng, quý, năm), (tùy theo năng lực, kinh nghiệm, không giới hạn).
  • Được đào tạo thêm những kỹ năng để phục vụ cho công việc;
  • Được hưởng đầy đủ các chế độ đãi ngộ theo Luật Lao động Việt Nam (BHXH, BHYT…);
  • Môi trường làm việc chuyên nghiệp, năng động, thân thiện,
  • Cơ hội làm việc và gắn bó lâu dài trong công ty đầu tư công nghệ và truyền thông internet hàng đầu Việt Nam để phát huy tối đa năng lực bản thân và phát triển nghề nghiệp.
  1. Nhân viên kinh doanh: Số lượng 10 người.

Yêu cầu: Nam/nữ tốt nghiệp Trung học trở lên.

  • Có khả năng lập kế hoạch kinh doanh.
  • Có khả năng làm việc độc lập và làm việc nhóm tốt.
  • Nhanh nhẹn, giao tiếp giỏi, kiên trì, biết đàm phán.
  • Yêu thích và đam mê Internet Marketing , thích online ,thương mại điện tử
  • Giọng nói dễ nghe, không nói ngọng.
  • Có khả năng giao tiếp qua điện thoại.
  • Có tính cẩn thận trong công việc, luôn cố gắng học hỏi.
  • Kỹ năng sales online tốt.
  • Trung thực, năng động, nhiệt tình,siêng năng, nhiệt huyết trong công việc.
  • Có sự cầu tiến và đam mê trong công viêc, chịu được áp lực doanh số.

Mô tả công việc:

  • Tìm kiếm và khai thác khách hàng tiềm năng. (Công ty hỗ trợ các nguồn khai thác hiệu quả)
  • Sales Online, quảng bá ký kết, liên kết, với các đối tác qua INTERNET. Xây dưng mối quan hệ phát triển bền vững với các đối tác.
  • Gọi điện, giới thiệu dịch vụ, xử lý các cuộc gọi của khách hàng liên quan đến, sản phẩm, dịch vụ công ty.
  • Giới thiệu, tư vấn, đàm phán, thương thuyết, ký kết hợp đồng khách hàng về các sản phẩm, dịch vụ của công ty (Thiết Kế Website; Tên Miền; Hosting; Phần Mềm; Marketing Online SMS, Email…)
  • Phối hợp với các bộ phận chức năng đảm bảo chất lượng dịch vụ cao nhất, mang lại hiệu quả tốt nhất cho khách hàng.
  • Duy trì và chăm sóc mối quan hệ lâu dài với khách hàng, mở rộng khách hàng tiềm năng nhằm thúc đẩy doanh số bán hàng
  • Hỗ trợ khách hàng khi được yêu cầu

Chính sách/Phúc lợi:

  • Mức lương: Lương cứng + % Hoa hồng + Thưởng (tháng, quý, năm), (tùy theo năng lực, kinh nghiệm, không giới hạn).
  • Được đào tạo thêm những kỹ năng để phục vụ cho công việc;
  • Được hưởng đầy đủ các chế độ đãi ngộ theo Luật Lao động Việt Nam (BHXH, BHYT…);
  • Môi trường làm việc chuyên nghiệp, năng động, thân thiện,
  • Cơ hội làm việc và gắn bó lâu dài trong công ty đầu tư công nghệ và truyền thông internet hàng đầu Việt Nam để phát huy tối đa năng lực bản thân và phát triển nghề nghiệp.

Ứng viên vui lòng nộp hồ sơ trực tiếp hoặc qua email: info@cmt.com.vn

Công ty TNHH DV & TT CMT

Số 2, Ngõ Simco, Phạm Hùng, Nam Từ Liêm, Hà Nội

ĐT: 04 6658 4041 – Hotline: 0902 83 00 68

Dịch vụ kế toán trọn gói

Kế toán là một phần quan trọng không thể thiếu trong mọi hoạt động của doanh nghiệp. Dù là doanh nghiệp mới thành lập hay là doanh nghiệp hoạt động lâu năm thì luôn cần một hệ thống kế toán đầy đủ, chính xác, an toàn và bảo mật. Để có được hệ thống kế toán như vậy cần đòi hỏi cao về nhân sự và kinh phí, và hệ thống kế toán hoàn thiện để có thể thích ứng với sự thay đổi nhanh chóng của luật pháp. Tuy nhiên yêu cầu này là bài toán khó cho các doanh nghiệp vừa và nhỏ hiện nay

20160621214294219421

Hiện nay, việc sử dụng Dịch vụ kế toán trọn gói đang là sự lựa chọn phù hợp với xu hướng hiện đại. Các doanh nghiệp tìm đến dịch vụ kế toán trọn gói vì tính nhanh nhẹn trong việc cập nhật kịp thời những thay đổi của văn bản pháp luật, sự chuyên nghiệp và hiệu quả mà dịch vụ kế toán trọn gói mang lại. Ngoài ra, phí dịch vụ kế toán trọn gói thấp hơn nhiều so với việc doanh nghiệp phải tự tuyển dụng nhân viên kế toán cũng là điểm nổi trội của loại hình dịch vụ này.

Ketoanaz.com là một đơn vị chuyên cung cấp Dịch vụ kế toán trọn gói cho các doanh nghiệp tại Hà Nội, TP.HCM và những tỉnh lân cận. Chúng tôi luôn đặt trách nhiệm bảo vệ lợi ích tối đa của doanh nghiệp làm phương châm hoạt động. Trải qua hơn 10 năm trưởng thành và phát triển, với phong cách làm việc chuyên nghiệp, hiệu quả, Ketoanaz.com đã và đang khẳng định được uy tín của mình, ngày càng được nhiều doanh nghiệp khách hàng đón nhận.

Đối tượng :
– Các doanh nghiệp mới thành lập.

– Các doanh nghiệp đã và đang hoạt động.

Khó khăn hiện tại của doanh nghiệp:
Có thể tuyển kế toán vào nhưng không hiệu quả. Lý do:
Chính sách thuế thay đổi thường xuyên, dẫn đến cá nhân mà đơn vị thuê làm kế toán không cập nhật kịp thời thông tin thay đổi Chính sách thuế.
Chi phí thuê nhân viên kế toán cao: từ 3 triệu đồng trở lên (đối với các nhân viên kế toán trình độ cao, chi phí tiền lương có thể tăng lên cao hơn nữa).
Nhân sự thường xuyên thay đổi, làm ảnh hưởng đến sản xuất kinh doanh của DN.
Lợi ích mang lại cho doanh nghiệp:
Chủ doanh nghiệp có thể cập nhật những thay đổi từ cơ quan nhà nước (thông báo doanh nghiệp khi có thay đổi).
Giảm chi phí (từ 4 triệu đồng lương + chi phí liên quan (chỗ ngồi, BHYT, BHXH…) còn lại 1 triệu đồng).
Thực hiện các báo cáo gửi cơ quan nhà nước luôn chính xác, kịp thời.
Có nhiều kinh nghiệm, có thể đại diện cho doanh nghiệp để làm việc với các cơ quan nhà nước.

Nội dung thực hiện:
1. Làm hồ sơ pháp nhân với cơ quan thuế.
2. Làm thủ tục đăng ký hoá đơn, tư vấn in hoá đơn.
3. Cung cấp phần mềm kế toán theo chuẩn của Bộ Tài chính quy định.
4. Lập và nộp báo cáo gửi cơ quan thuế đúng thời gian quy định: tháng, quý, năm, quyết toán các loại thuế. Các báo cáo phải thực hiện bao gồm:
– Báo cáo thuế GTGT hàng tháng, hàng quý
– Báo cáo thuế thu nhập cá nhân hàng tháng, hàng quý
– Báo cáo tạm tính thuế TNDN hàng quý
– Báo cáo tình hình sử dụng hoá đơn hàng tháng, hàng quý
– Báo cáo tài chính và quyết toán thuế hàng năm
5. Lập và in sổ kế toán theo quy định của Bộ tài chính.
6. Tổ chức lưu trữ hồ sơ kế toán.
7. Hoàn thiện hồ sơ hoàn thuế GTGT.
8. Thay mặt DN làm việc với cơ quan thuế, cơ quan thống kê,…
9. Hỗ trợ DN làm hồ sơ vay vốn ngân hàng.
10. Đứng chức danh kế toán trưởng Doanh nghiệp.
11. Tư vấn chi phí tiền lương, chi phí bảo hiểm.

Ưu nhược điểm của dịch vụ kế toán trọn gói:

1.Ưu điểm:
Doanh nghiệp không phải tốn các chi phí cơ sở vật chất cho nhân viên kế toán như: Bàn ghế làm việc, văn phòng, máy tính, điện nước, và chi phí xây dựng phần mềm kế toán nội bộ.
Không phải chi phí lương, thưởng, bảo hiểm xã hội hay trợ cấp khác cho nhân viên kế toán tại đơn vị.
Hoàn toàn yên tâm về sổ sách kế toán, được phục vụ một cách chuyên nghiệp bởi đội ngủ chăm sóc khách hàng của chúng tôi. Bạn có thể yêu cầu truy xuất dữ liệu bất kỳ khi nào cân.
Làm việc với đội ngủ chuyên gia, nhân viên giỏi, giàu kinh nghiệm trong việc giải quyết các vấn đề phát sinh với cơ quan thuế và cơ quan ban ngành khác. Ngoài ra chúng tôi còn hỗ trợ các dịch vụ liên quan khác như hồ sơ vay vốn ngân hàng….

Và hơn hết doanh nghiệp sẽ tiếp cận một giải pháp tổng thể nhằm tối ưu hóa thuế, và nâng cao năng lực cạnh tranh của doanh nghiệp.

20160621214394119411

Bảng giá Dịch vụ kế toán trọn gói tại ketoanaz.com:

SỐ LƯỢNG CHỨNG TỪ THƯƠNG MẠI – DỊCH VỤ XÂY DỰNG SẢN XUẤT
Không phát sinh chứng từ 500.000 500.000 500.000
Dưới 10 chứng từ/tháng 600.000 700.000 900.000
Từ 11 – 20 chứng từ/tháng 800.000 1.000.000 1.400.000
Từ 21 – 30 chứng từ/tháng 1.000.000 1.400.000 1.900.000
Từ 31 – 50 chứng từ/tháng 1.400.000 1.800.000 2.400.000
Từ 51 – 70 chứng từ/tháng 1.900.000 2.400.000 3.000.000
Từ 71 – 100 chứng từ/tháng 2.500.000 3.000.000 4.000.000
Trên 100 chứng từ/tháng Thỏa thuận Thỏa thuận Thỏa thuận

Mọi chi tiết xin liên hệ:

Địa chỉ VPGD: Số 74 X4, Phú Đô, Nam Từ Liêm, Hà Nội

Email: info@ketoanaz.com

Điện thoại: 04 6658 4041

Di Động: 0962 807 047 – 0902 83 00 68

Phải chăng gần 700.000 người thành vật thí nghiệm cho Facebook

Facebook lợi dụng những status, cập nhập New Feeds của 689.000 người sử dụng để tìm ra hướng “thao túng” cảm xúc người dùng.

Theo báo cáo nghiên cứu phát hành bởi tạp chí Kỉ yếu của Viện hàn lâm Khoa học (PNAS – Proceedings of the National Academy of Science), Facebook tiến hành nghiên cứu bí mật trên gần 700.000 người sử dụng của họ từ năm 2012 (khi Facebook chưa thiết lập chặt quyền riêng tư), lợi dụng những status, cập nhập của người dùng để thao túng cảm xúc của họ.

Theo đó, 689.000 người sử dụng bị theo dõi cảm xúc thông qua các tin tức mới từ New Feeds. Facebook sử dụng phần mềm để xác định tính tích cực và tiêu cực trong cập nhật trạng thái và tách bài viết của người dùng thành hai loại. Sau đó, Facebook thay đổi nguồn tin của người sử dụng để làm nổi bật bài viết nhìn thấy trên News Feed của đối tượng được theo dõi theo hướng tích cực hay tiêu cực, theo dõi “phản ứng“, để xem họ có bị tác động từ các New Feeds đó hay không, tìm ra bằng chứng chứng minh rằng cảm xúc có thể lây lan ngay cả khi người dùng không tiếp xúc trực tiếp trên mạng xã hội, và ảnh hưởng của những thông điệp ảo đối với người dùng.

Kết quả thí nghiệm cho thấy những người nhận được cập nhật trạng thái tích cực thường đăng những thông điệp hạnh phúc và ngược lại, nhưng cảm xúc này chỉ duy trì khoảng chừng vài ngày. Đây là bằng chứng quan trọng cho thấy phương tiện truyền thông xã hội có thể tác động mạnh mẽ vào trạng thái tinh thần của người dùng.

Facebook tuyên bố họ sử dụng máy móc cho toàn bộ quá trình thí nghiệm, và không có nhà nghiên cứu nào thực sự nhìn thấy các bài viết trên mạng xã hội của người dùng, nhưng dấu hỏi về quyền riêng tư của người dùng vẫn bỏ ngỏ?

Nguồn: kienthuc.net.vn

5 mẹo hữu ích cho lập trình website bằng ngôn ngữ PHP

PHP là một trong những ngôn ngữ lập trình phổ biến nhất cho lập trình web. Đôi khi một ngôn ngữ với tính năng thân thiện có thể giúp lập trình viên rất nhiều nhưng cũng có rất nhiều lỗ hổng tạo ra rào cản trong việc phát triển. Trong bài hướng dẫn sau, chúng ta hãy cùng xem 5 mẹo giúp bạn tránh một vài lỗi trong việc lập trình PHP.

1. Sử dụng hợp lí Error Reporting

Trong quá trình phát triển, cảnh báo lỗi là công cụ tốt nhất của bạn. Các cảnh báo lỗi này giúp bạn tìm ra những lỗi chính tả trong biến, phát hiện hàm sử dụng sai và nhiều hơn thế. Tuy nhiên, khi trang web của bạn đã được trực tuyến thì các thông báo lỗi lại trở thành “kẻ thù” vì nó có thể cho người dùng biết rất nhiều thông tin về trang web (phần mềm bạn sử dụng, cấu trúc folder…).

Khi trang web đã đi vào hoạt động, bạn nên đảm bảo rằng đã ẩn tất cả các thông báo lỗi. Điều đó có thể thực hiện bằng cách sử dụng hàm đơn giản sau:

1
error_reporting(0);

Nếu chức năng nào đó hoạt động không đúng, bạn vẫn muốn và cần biết về nó. Vì vậy bạn nên luôn đảm bảo rằng bạn đã log lại lỗi xảy ra vào một file được bảo vệ với hàm set_error_handler.

errorlog

2. Vô hiệu hóa những “tính năng yếu” của PHP

Từ những ngày đầu tiên, nhà thiết kế PHP luôn thêm vào những tính năng giúp việc phát triển dễ dàng hơn. Một vài tính năng hữu ích có thể gây ra các hệ quả không lường trước được. Những tính năng này cho phép kiểm duyệt dữ liệu trở nên khó khăn và tạo ra những lỗi hệ thống. Một trong những điều đầu tiên bạn nên làm khi bắt đầu phát triển là vô hiệu hóa những tính năng này.

Lưu ý: Việc vô hiệu hóa “tính năng yếu” hay không phụ thuộc vào host của bạn. Nếu bạn phát triển trên máy tính riêng hay các những môi trường cục bộ tương tự, chúng có thể bắt buộc phải bật. Một vài tính năng sẽ được loại bỏ trong bản PHP6.

Register Globals (register_globals)

register_globals giúp tăng tốc việc phát triển ứng dụng. Lấy ví dụ URL: http://yoursite.tld/index.php?var=1 bao gồm một truy vấn string. register_globals cho phép chúng ta truy cập vào giá trị với $var thay vì $_GET[‘var’] một cách tự động. Điều này nghe có vẻ hữu ích với bạn nhưng không may tất cả các biến trong code đều có thuộc tính này và chúng ta có thể dễ dàng truy cập vào ứng dụng PHP không có bảo vệ. Đoạn code dưới đây là một ví dụ mà bạn thường thấy trong PHP script:

if( !empty( $_POST['username'] ) && $_POST['username'] == 'test' && !empty( $_POST['password'] ) && $_POST['password'] == "test123" )
{
    $access = true;
}

Thật không may chúng ta không thể vô hiệu hóa register_globals từ phía script nhưng chúng ta có thể sử dụng tệp tin .htaccess để làm điều này. Một vài host cho phép bạn chứa file php.ini trên máy chủ. Nếu ứng dụng sử dụng register_globals, người dùng sẽ có thể đặt access=1 vào một truy vấn string và sẽ có thể truy cập vào bất cứ script nào đang chạy.

Vô hiệu hóa với .htaccess

php_flag register_globals 0

Vô hiệu hóa với php.ini

register_globals = Off

Lưu ý: Nếu bạn sử dụng file php.ini không phù hợp với toàn bộ máy chủ, bạn cần bổ sung khai báo ở mỗi thư mục phụ có PHP.

var

Magic Quotes (magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase)

Magic Quotes là một tính năng giúp lập trình viên tránh rắc rối khi sử dụng addslashes() và những tính năng bảo mật tương tự trong code. Có ít nhất 3 vấn đề với Magic Quotes. Một vấn đề xảy ra khi cả Magic Quotes và addslashes() đều được sử dụng. Trong trường hợp này, nếu bạn có thể kết thúc chuỗi với nhiều dấu sổ/ có thể sẽ gây ra lỗi. Vấn đề thứ hai là nếu bạn bật Magic Quotes nhưng nó không hoạt động. Điều này khiến tất cả dữ liệu đầu vào đều không được kiểm tra. Vấn đề thứ ba là Magic Quotes sử dụng dấu sổ đơn hoặc kép nhưng nếu bạn sử dụng một database engine, có rất nhiều kí tự đặc biệt cần được sử dụng. Vì vậy bạn nên vô hiệu hóa tính năng này và sử dụng một biến phù hợp.

Vô hiệu hóa với .htaccess

php_flag magic_quotes_gpc 0 php_flag magic_quotes_runtime 0

Vô hiệu hóa với php.ini

magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

Lưu ý: Nếu bạn sử dụng file php.ini không phù hợp với toàn bộ máy chủ, bạn cần bổ sung khai báo ở mỗi thư mục phụ có PHP.

3. Kiểm tra đầu vào

Với một ứng dụng, bạn phải chắc chắn loại dữ liệu nào sẽ được đưa vào xử lý. Vì vậy cách tốt nhất để bảo vệ là đảm bảo người dùng chỉ có thể nhập vào dữ liệu phù hợp. Ví dụ, bạn muốn tạo ra một ứng dụng liệt kê danh sách sinh nhật người dùng và cho phép người dùng thêm vào sinh nhật mới. Bạn muốn chấp nhận dữ liệu tháng là một số từ 1 đến 12, ngày là 1 đến 31 và năm có định dạng YYYY. Hãy xem ví dụ dưới đây:

if ( ! preg_match( "/^[0-9]{1,2}$/", $_GET['month'] ) )
{
    // handle error
}
if ( ! preg_match( "/^[0-9]{1,2}$/", $_GET['day'] ) )
{
    // handle error
}
if ( ! preg_match( "/^[0-9]{4}$/", $_GET['year'] ) )
{
    // handle error
}
Trong ví dụ này, chúng ta có thể kiểm tra đơn giản các số nguyên dương [0-9] với một độ dài 1 hoặc 2 chữ số {1,2}. Nếu dữ liệu không đúng như đầu vào, chúng ta sẽ trả về một thông báo lỗi. Kiểu kiểm tra này ít để lại lỗ hổng cho các tấn công SQL.

PHP có một số công cụ giúp bạn kiểm tra đầu vào. Cơ sở dữ liệu PEAR cũng có một vài package giúp kiểm tra email, ngày tháng và URL.

4. Chú ý tấn công Cross Site Scripting (XSS) trong dữ liệu đầu vào người dùng.

Một ứng dụng web luôn chấp nhận đầu vào từ người dùng và hiển thị chúng. Có rất nhiều mẫu sử dụng bao gồm bình luận, bài viết, bài đăng blog sử dụng HTML. Khi chấp nhận kiểu đầu vào vào HTML rất nguy hiểm bởi nó cho phép JavaScript khởi chạy trong một vài trường hợp không lường trước được. JavaScript được thực thi và cookie có thể bị đánh cắp. Dữ liệu cookie có thể bị giả mạo một tài khoản và cấp quyền truy cập hợp pháp vào dữ liệu trang web.

Có một vài cách bảo vệ chống lại những tấn công như thế này. Một trong số đó là không sử dụng HTML một cách toàn diện. Tuy nhiên đây không phải là cách hay đối với ứng dụng diễn đàn hay blog.

Nếu bạn muốn vô hiệu hóa HTML nhưng vẫn cho phép một vài chuẩn đơn giản. Bạn có thể cho phép những tag HTML như hoặc . Hoặc “BBCode” và “BB Tags”, sử dụng phổ biến trên các diễn đàn là [b]test[/b]. Đây là cách hữu hiệu với các định dạng cùng với việc vô hiệu hóa những thứ nguy hiểm. Bạn có thể cài đặt BBCode với package có sẵn như HTML_BBCodeParser.

bbcode

 

5. Chống lại SQL Injection

Đây là tấn công nổi tiếng nhất trên ứng dụng web. SQL Injection xảy ra khi dữ liệu không được kiểm tra. Nếu những kí tự  này không được lọc bỏ, người dùng có thể sẽ khai thác hệ thống bằng cách tạo ra truy vấn luôn đúng và do đó có thể qua mặt được hệ thống đăng nhập.

May mắn là PHP cung cấp một vài công cụ bảo vệ cơ sở dữ liệu của bạn. Khi bạn kết nối đến máy chủ SQL bạn có thể sử dụng những hàm này với lời gọi đơn giản và biến sẽ luôn an toàn khi truy vấn. hầu hết những cơ sở dữ liệu cùng với PHP đều có hàm bảo vệ.

MySQLi cho phép bạn làm điều đó bằng một trong hai cách. Với hàm mysqli_real_escape_string kết nối đến máy chủ:

$username = mysqli_real_escape_string( $GET['username'] );
mysql_query( "SELECT * FROM tbl_members WHERE username = '".$username."'");

hoặc

$id = $_GET['id'];
$statement = $connection->prepare( "SELECT * FROM tbl_members WHERE id = ?" );
$statement->bind_param( "i", $id );
$statement->execute();

“i” đại diện cho số nguyên nhưng bạn có thể sử dụng “s” dành cho xâu kí tự, “d” dành cho kiểu double và“b” là blob tùy thuộc vào dữ liệu của bạn.

KẾT

Đây là một hướng dẫn nhỏ giúp bảo vệ trang web của bạn. Cuối cùng, để đảm bảo ứng dụng được xây dựng một cách an toàn, hãy tự mình trang bị những kiến thức về web và những lỗ hổng thông thường hay các cuộc tấn công.

Cảnh báo các lỗ hổng rất nguy hiểm trên các website dùng ngôn ngữ PHP

Một lỗ hổng rất nguy hiểm vừa được công bố trong các phiên bản PHP trước 5.4.39, 5.5.x trước 5.5.23, và 5.6.x trước 5.6.7 – tức là ngoài các bản PHP mới nhất trênPHP.net.

Lỗ hổng nằm trong hàm move_uploaded_file được sử dụng trong việc xử lý các form upload của PHP. Lỗi này có thể cho phép hacker dễ dàng tải các tệp tin PHP lên server thông qua việc áp dụng một kỹ thuật bypass cổ điển là thêm ký tự nullbyte (\x00) vào tên tệp tin trước khi tải lên máy chủ.  Hacker sẽ đổi tên của tệp tin file.php thành  file.php\x00.jpg và sau đó upload lên server, lỗi trong hàm move_uploaded_file sẽ cho phép tin tặc upload thành công tệp tin đó lên máy chủ.

Tệp tin tải lên là file.php\x00.jpg nhưng qua hàm move_uploaded_file($_FILES[‘name’][‘tmp_name’],”/file.php\x00.jpg”) thì tệp tin được tạo lên máy chủ thực sự lại là file.php

Với việc upload được bất cứ tệp tin PHP nào lên máy chủ là cực kỳ rất nguy hiểm, các form upload trở thành các cửa hậu cho tin tặc tấn công và khai thác. Tin tặc có thể upload lên các tệp tin mã độc, webshell để chiếm hoàn toàn quyền điều khiển máy chủ, cũng như có thể tấn công và kiểm soát tất cả các website khác trên máy chủ nếu quản trị máy chủ phân quyền không tốt.

Lỗ hổng hiện đã được thông báo cho PHP và đã được cập nhật vào phiên bản mới nhất với mã lỗi là: CVE-2015-2348

Cách khắc phục

Lọc bỏ giá trị Nullbyte trong tên của tệp tin tải lên máy chủ ($_FILES[‘uploaded’][‘name’]) trước khi sử PASSING dụng hàm move_uploaded_file và cập nhật lên các bản PHP mới nhất đã vá lỗi.

Bạn nên làm gì khi phát hiện website bị tấn công, bị chèn mã độc

Trong bài viết trước tôi đã hướng dẫn các bạn cách để nhận biết website của bạn đang bị tấn công. Vậy sau khi phát hiện website bị tấn công bạn cần làm gì? Trong bài viết này tôi viết tổng quan những công việc mà các bạn cần làm sau khi phát hiện website của mình bị hack và cách cơ bản để thực hiện.

Bạn cần làm theo các công việc sau

  • Khôi phục lại hoạt động của website, xóa bỏ các trang giả mạo, trang index mà hacker đã thay đổi hoặc tải lên website để website trở lại hoạt động bình thường.
  • Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống.
  • Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công
  • Vá các lỗ hổng mà hacker đã khai thác.

Khôi phục lại hoạt động của website bị tấn công

Trước tiên bạn cần sao lưu lại toàn bộ trạng thái của thư mục web để phục vụ cho việc kiểm tra sau này. Thay đổi các tài khoản của hệ thống, các tài khoản có thể cho phép tin tặc tiếp tục truy cập vào hệ thống của bạn: Tài khoản SSH, tài khoản Remote desktop, tài khoản quản trị của website, tài khoản kết nối CSDL, phpmyadmin…

Trong trường hợp bạn có bản sao lưu của mã nguồn hoàn chỉnh, có thể tải bản mới lên bản mã nguồn mới cho website của bạn, trong trường hợp không có bạn cần thực hiện xóa bỏ các dấu hiệu mà hacker đã để lại, tìm và xóa các trang web lừa đảo mà hacker đã để lại. Có thể sử dụng công cụ Website malware scanner của Sucuri để phát hiện các mã độc mà hacker đã chèn vào wesite của, tại đây. (https://sitecheck.sucuri.net/)

Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống

Hacker thường để lại mã độc trên website của bạn theo 3 hình thức sau

  • Chèn code mã độc vào các tệp tin trên website của bạn.
  • Tải các tệp tin webshell, backdoor lên website để có thể kiểm soát website của bạn thông qua backdoor này.
  • Cài đặt chương trình độc hại chạy ngầm, mở cổng để hacker truy cập vào trong lần sau.

Để phát hiện các webshell, backdoor bạn cần tìm và quét toàn bộ thư mục web của mình để phát hiện. Bạn có thể sử dụng một số công cụ tìm kiếm: FileSeek, Everything, Webshell Detector… bạn có thể theo dõi thêm bài viết: Kinh nghiệm tìm kiếm WebShell trong mã nguồn để được hướng dẫn chi tiết về cách thực hiện công việc này.

Để phát hiện các mã độc hại được nhúng và mã nguồn website, bận cần tìm và kiểm tra tất cả các tệp tin có ngày thay đổi (date modified) xung quanh thời điểm tấn công. Rất có thể hacker đã chèn các mã độc vào các tệp tin “sạch” của bạn.

Ngoài ra bạn có thể đọc trong Log access để biết các backdoor mà hacker đã truy cập vào trước thời gian mà website của bạn bị tấn công.

Với các tiến trình mã độc trên website, bạn cần thực hiện một cuộc điều tra về các tiến trình đang hoạt động, các tiến trình cho phép khởi động cùng hệ điều hành, các tiến Analyst trình được cài đặt để chạy theo lịch trong Crontab. Từ đó phát hiện ra các tiến trình độc hại trên máy chủ của bạn.

Trước tiên bạn cần biết ai là người đã tấn công bạn. hacker đã tấn công bạn như thế nào, hacker đã làm gì trên website của bạn, hacker còn cài đặt, ẩn giấu mã độc gì trên website của bạn?

Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công website của bạn?

Để biết được ai là người đã tấn công và nguy nhân của cuộc tấn công, nếu website không có các hệ thống giám sát an ninh mạng để thu thập dữ liệu log trên máy chủ thì cách duy nhất là cần tận dụng các dữ liệu log trên website.

Bạn có thể tìm kiếm các truy cập vào tệp tin mã độc để xác định đối tượng tấn công, đọc log access trong thời gian tệp tin mã độc được tạo hoặc các tệp tin khác bị thay đổi hoặc tạo mới để tìm được cách mà hacker đã thực hiện để tấn công bạn, lọc toàn bộ các yêu cầu được gửi trong log từ địa chỉ IP của đối tượng tấn công.

Bạn cũng có thể đọc thêm các dữ liệu log audit, log secure, history… để biết được hacker đã làm gì với website của bạn.

Vá các lỗ hổng mà hacker đã khai thác

Sau khi đã biết được cách mà hacker đã khai thác, tấn công website bạn cần vá lại các lỗ hổng mà hacker đã khai thác, cập nhật các bản vá mới cho phần mềm, cấu hình phần quyền cho website. Tôi sẽ trình bày chi tiết hơn vấn đề này trong bài viết sau, mời các đón bạn đón đọc.

Nguồn: http://securitydaily.net/