Tấn công CSRF là gì? Các cách chống tấn công CSRF

09/06/2021
2.899
Lượt xem
Home

Hiện nay có rất nhiều kiểu tấn công mạng khác nhau và ngày càng phong phú, phổ biến, khó chống lại hơn. Trong đó có CSRF, một kiểu tấn công giả mạo chủ thể nguy hiểm. Để hiểu rõ hơn CSRF là gì và làm sao để chống được các cuộc tấn công này, hãy cùng Vietnix tìm hiểu trong bài viết sau đây.

CSRF là gì?

CSRF được biết đến dưới nhiều cái tên khác nhau – Cross site request forgery (CSRF – XSRF), Sea Surf hay là Session Riding. Đây là một vector tấn công, có khả năng đánh lừa trình duyệt web thực hiện các hoạt động không mong muốn trong ứng dụng người dùng đã đăng nhập.

Một cuộc tấn công giả mạo chính chủ thể sẽ gây hậu quả nghiêm trọng cho các doanh nghiệp lẫn người dùng. Cụ thể là dẫn đến các hoạt động chuyển tiền trái phép, thay đổi mật khẩu, đánh cắp dữ liệu – gồm cả các session cookies.

CSRF là gì?
CSRF là gì?

Các cuộc tấn công mạng này thường lợi dụng các email hoặc liên kết giả mạo, nhằm đánh lừa nạn nhân gửi các request đến server. Nhiều trường hợp ứng dụng người dùng sử dụng đã được xác thực trước đó, nên rất khó phân biệt giữa các request hợp pháp và giả mạo.

>> Xem thêm: Cookies là gì? Dữ liệu Cookie được truyền như thế nào?

Lịch sử của tấn cống CSRF

CSRF xuất hiện từ năm 1990 và xuất phát từ IP của người sử dụng. Vì vậy, log file của website không xuất hiện bất cứ các dấu hiệu của CSRF. Các cuộc tấn công theo kỹ thuật CSRF thường không được báo cáo đầy đủ. Cho đến năm 2007, mới có đầy đủ các tài liệu miêu tả chi tiết về CSRF.

Sau đó 1 năm, đã có khoảng 18 triệu người dùng eBay tại Hàn Quốc bị đánh cắp thông tin cá nhân cực kỳ nghiêm trọng. Trong thời điểm đó, có một số khách hàng ở Mexico đã bị mất cắp tài khoản cá nhân của mình. Cả 2 trường hợp này, hacker đều sử dụng kỹ thuật tấn công CSRF để tạo ra lỗ hổng và đánh cắp thông tin cực kỳ nguy hiểm. 

CSRF hoạt động như thế nào?

Có ba yếu tố then chốt để thực hiện một cuộc tấn công CSRF:

  • Hành động liên quan: Đây là các hành động được thực hiện trong ứng dụng mà các hacker có thể sử dụng làm phương tiện để tấn công. Chẳng hạn như các hành động đặc quyền (như sửa đổi quyền truy cập) hay các hành động trên dữ liệu của riêng người dùng (thay đổi mật khẩu).
  • Xử lý dựa trên session cookie: Cụ thể, các hacker sẽ đưa ra một hay nhiều HTTP request, và ứng dụng chỉ dựa vào session cookie để xác định người dùng đã thực hiện request. Tức là không có cơ chế nào khác để có thể theo dõi session hoặc xác thực user request.
  • Tham số request có thể đoán được: Các request thực hiện hành động chứa các tham số mà hacker có thể xác định hay đoán được.

Lấy ví dụ, giả sử có một ứng dụng chứa có năng cho phép người dùng thay đổi địa chỉ email trên tài khoản. Khi người dùng thực hiện hành động này, họ sẽ đưa ra một HTTP request như sau:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE
email=wiener@normal-user.com

Request này đáp ứng đủ ba yếu tố cần thiết cho CSRF:

  • Hành động thay đổi địa chỉ email của người dùng là một hành động lý tưởng với các hacker để tấn công. Sau đó, chúng thường trigger một password reset, từ đó nắm được toàn quyền kiểm soát tài khoản của người dùng.
  • Ứng dụng sử dụng session cookie để xác nhận người dùng đưa ra request.
  • Không có token hay cơ chế nào khác để theo dõi user session.
  • Kẻ tấn công có thể dễ dàng xác định giá trị của các tham số request cần thiết để thực hiện hành động.

Với những điều kiện trên, các hacker có thể tạo một trang web chứa HTML sau:

<html>
<body>
<form action="https://vulnerable-website.com/email/change" method="POST">
<input type="hidden" name="email" value="pwne@evil-user.net />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>

Nếu nạn nhân truy cập trang web của hacker:

  • Trang web của hacker sẽ trigger một HTTP request đến trang web dễ bị tấn công.
  • Nếu người dùng đăng nhập vào trang web đó, trình duyệt sẽ tự động đưa session cookie vào request.
  • Trang web sau đó sẽ xử lý request như bình thường, và thay đổi địa chỉ email theo yêu cầu.

Lưu ý: Mặc dù CSRF thường liên quan nhiều đến xử phiên session dựa trên cookie, nhưng nó cũng có thể phát sinh trong nhiều trường hợp khác. Chẳng hạn như khi ứng dụng tự động thêm một số thông tin đăng nhập của người dùng vào các request, ví dụ như xác thực HTTP Basic và xác thực certificate-based.

Cách xây dựng một cuộc tấn công CSRF

Việc tạo HTML cho CSRF là điều cần thiết nhưng tương đối phức tạp, đặc biệt là khi request mong muốn chứa nhiều tham số. Cách đơn giản nhất là sử dụng trình tạo CSRF PoC được tích hợp sẵn trong Burp Suite Professional:

  • Chọn một request ở bất kỳ đâu trong Burp Site Professioanl để test hoặc exploit.
  • Click chuột phải vào context menu, chọn Engagement tools / Generate CSRF PoC.
  • Burp Suite sau đó sẽ tạo một số HTML để trigger các request đã chọn (ngoại trừ cookies – sẽ được trình duyệt của nạn nhân tự động thêm vào).
  • Ta có thể điều chỉnh nhiều tùy chọn khác nhau trong CSRF PoC Generator nhằm chỉnh sửa một số khía cạnh khác của cuộc tấn công. Đặc biệt là với các request lạ.
  • Copy HTML đã được tạo vào một trang web, xem nó trong trình duyệt được đăng nhập vào trang web dễ bị tấn công. Sau đó kiểm tra xem request dự kiến có được đưa ra thành công hay không, và xem hành động mong muốn có xảy ra không.

Cách phân phối khai thác CSRF

Các cơ chế phân phối cho cuộc tấn công này về cơ bản giống như XSS. Thông thường, hacker sẽ đặt HTML vào một trang web mà chúng kiểm soát. Sau đó lôi kéo nạn nhân truy cập vào trang web đó. Chúng có thể cung cấp cho người dùng các liên kết đến trang, qua email hoặc tin nhắn trên mạng xã hội. Đôi khi tấn công CSRF có thể được đặt ở các trang phổ biến (chẳng hạn như phần comment của người dùng). Khi đó, các hacker chỉ cần “há miệng chờ sung” đợi người dùng truy cập vào.

Lưu ý rằng, một số khai thác CSRF đơn giản sử dụng phương pháp GET, và có thể hoàn toàn độc lập với một URL duy nhất trên trang web dễ bị tấn công. Khi đó, hacker không cần thiết phải sử dụng trang web bên ngoài mà có thể trực tiếp cung cấp các một URL độc hại trên domain dễ bị tấn công.

Trong ví dụ trước, nếu request thay đổi địa chỉ email có thể được thực hiện bằng phương pháp GET, thì một cuộc tấn công khép kín sẽ có dạng như sau:

<img src="https://vulnerable-website.com/email/change?email=pwned@evil-user.net">

Cách ngăn chặn tấn công CSRF

Cách mạnh mẽ nhất để có thể chống tấn công CSRF chính là có thêm các CSRF token bên trong những request liên quan. Token này nên:

  • Khó đoán, có entropy cao, như đối với các session token nói chung.
  • Bị ràng buộc với user session.
  • Được xác thực nghiêm ngặt trong mọi trường hợp, trước khi hành động liên quan được thực hiện.

Bên cạnh đó, ta cũng có thể sử dụng SamSite cookies để chống bị tấn công. Đây là một phương pháp khá hiệu quả và có thể được sử dụng cùng với CSRF token.

Các lỗ hổng CSRF phổ biến hiện nay

Hầu hết mọi lỗ hổng đều phát sinh do sai sót trong quá trình xác thực CSRF token.

Trong ví dụ trước, giả sử rằng ứng dụng bao gồm cả CSRF token trong request để thay đổi password của người dùng:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm
csrf=WfF1szMUHhiokx9AHFply5L2xAOfjRkE&email=wiener@normal-user.com

Khi đó, ta có thể chống được CSRF, vì nó vi phạm các điều kiện cần thiết để có thực thực hiện tấn công: Ứng dụng bây giờ không chỉ dựa vào mỗi cookies để xử lý session nữa. Đồng thời, request cũng chứa một tham số mà kẻ tấn công không thể xác định được.

Tuy nhiên, vẫn còn có nhiều cách khác để các hacker có thể phá vỡ lớp bảo vệ. Tức là ứng dụng vẫn có thể bị tấn công bởi CSRF.

Xác thực mã thông báo CSRF phụ thuộc vào phương thức yêu cầu

Nhiều ứng dụng có thể xác thực đúng token khi request sử dụng phương pháp POST. Nhưng lại bỏ qua nó với phương pháp GET.

Khi đó, hacker có thể chuyển sang phương pháp GET để bypass xác thực, rồi gửi một cuộc tấn công:

GET /email/change?email=pwned@evil-user.net HTTP/1.1
Host: vulnerable-website.com
Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm

Xác thực mã thông báo CSRF phụ thuộc vào mã thông báo hiện có

Một số ứng dụng xác thực đúng token khi nó hiện diện, nhưng lại bỏ qua xác thực nếu không có token. Khi đó, hacker có thể xóa toàn bộ tham số chứa token để bypass và thực hiện tấn công:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm
email=pwned@evil-user.net

Mã thông báo CSRF không bị ràng buộc với session người dùng

Một số ứng dụng không xác thực token thuộc cùng một phiên với user đang đưa ra request. Thay vào đó, ứng dụng sẽ duy trì một nhóm global, chứa các token đã được phát hành. Và sẽ chấp nhận bất kỳ token nào ở trong nhóm này.

Khi đó, các hacker có thể đăng nhập vào ứng dụng bằng tài khoản của chính họ, lấy token hợp lệ, rồi cung cấp token đó cho nạn nhân trong tấn công.

Trong một số biến thể của lỗ hổng bảo mật ở trên, vài ứng dụng liên kết token CSRF với một cookie. Nhưng nó không được liên kết với cookie dùng để theo dõi session. Đặc biệt là khi một ứng dụng sử dụng hai framework khác nhau – một dùng để xử lý session, và một để bảo vệ. Hai framework này không được tích hợp cùng với nhau:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Cookie: session=pSJYSScWKpmC60LpFOAHKixuFuM4uXWF; csrfKey=rZHCnSzEp8dbI6atzagGoSYyqJqTz5dv
csrf=RhV7yQDO0xcq9gLEah2WVbmuFqyOq7tY&email=wiener@normal-user.com

Mặc dù tình huống này khó khai thác hơn, nhưng không phải là hoàn toàn miễn nhiễm với CSRF. Nếu trang web có chứa bất kỳ hành vi nào cho phép hacker đặt cookie trong trình duyệt của nạn nhân, thì vẫn có thể bị tấn công. Các hacker có thể đăng nhập vào ứng dụng bằng tài khoản của họ, lấy token hợp lệ cùng với cookie được liên kết. Sau đó tận dụng hành vi thiết lập cookie để đặt cookie vào trình duyệt của nạn nhân. Rồi từ đó cung cấp token cho nạn nhân trong tấn công CSRF.

Lưu ý: Hành vi thiết lập cookie không cần phải tồn tại trong cùng một ứng dụng web. Mọi ứng dụng khác ở trong cùng một domain DNS có thể được dùng để đặt cookie trong ứng dụng mục tiêu. Chỉ cần cookie được kiểm soát có phạm vi phù hợp.

Lấy ví dụ, một chức năng thiết lập cookie trên staging.demo.normal-website.com có thể được dùng để đặt cookie được gửi đến secure.normal-website.com.

Ở các phần trên, một số ứng dụng không duy trì bất kỳ bản ghi phía server nào về các token đã được phát hành. Mà thay vào đó là sao chép từng token bên trong một cookie và tham số request. Khi request tiếp theo được xác thực, ứng dụng chỉ cần xác minh rằng token được gửi trong tham số request khớp với giá trị trong cookie. Đây được gọi là biện pháp “double summit” để chống tấn công CSRF. Nó cũng là một phương pháp tương đối dễ thực hiện, không cần trạng thái ở phía server:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Cookie: session=1DQGdzYbOJQzLP7460tfyiv3do7MjyPw; csrf=R8ov2YBfTYmzFyjit8o2hKBuoIjXXVpa
csrf=R8ov2YBfTYmzFyjit8o2hKBuoIjXXVpa&email=wiener@normal-user.com

Tương tự, ở tình huống này, hacker có thể thực hiện tấn công CSRF laravel nếu trang web có bất kỳ chức năng cài đặt cookie nào. Các hacker không cần lấy token hợp lệ nữa, mà chỉ cần tạo ra một token (có thể ở định dạng nhất định nếu cần được check), tận dụng hành vi thiết lập cookie để đặt cookie vào trong trình duyệt của nạn nhân. Từ đó cung cấp token cho họ trong CSRF.

Ví dụ về cách tấn công CSRF

Trước khi thực hiện CSRF attack, các hacker thường nghiên cứu một ứng dụng để tạo các request giả mạo. Nhưng tất nhiên là phải trông hợp lệ nhất có thể.

Chẳng hạn, dưới đây là một GET request để chuyển khoản 100 USD:

GET http://netbank.com/transfer.do?acct=PersonalB&amount=$100 HTTP/1.1

Hoặc script trên có thể được chỉnh sửa một chút. Chẳng hạn nếu hacker muốn chuyển 100 USD vào tài khoản của chúng, thì request sẽ có dạng như sau:

GET http://netbank.com/transfer.do?acct=AttackerA&amount=$100 HTTP/1.1

Hacker cũng có thể nhúng request vào một hyperlink khác:

<a hreg="http://netbank.com/transfer.do?acct=AttackerA&amount=$100">Read more!</a>

Tiếp đến, chúng có thể phân phối hyperlink này qua email đến một lượng lớn khách hàng của ngân hàng. Những người click vào link trong khi đăng nhập vào tài khoản ngân hàng sẽ vô tình chuyển 100 USD cho hacker.

Cần lưu ý rằng, nếu trang web của ngân hàng chỉ sử dụng các POST request, thì việc tạo các frame độc hại bằng tag <a> href là không thể. Tuy nhiên, các cuộc tấn công vẫn có thể được phân phối trong tag <form> với việc tự động thực thi JavaScript được nhúng.

Khi đó, script sẽ có dạng như sau:

<body onload="document.forms[0].submit()">
 <form action="http://netbank.com/transfer.do" method="POST">
  <input type="hidden" name="acct" value="AttackerA"/>
  <input type="hidden" name="amount" value="$100"/>
  <input type="submit" value="View my pictures!"/>
 </form>
</body>

Lời kết

Hy vọng bài viết trên sẽ giúp bạn đọc hiểu được CSRF là gì? Cách chống tấn công CSRF một cách tốt nhất. Nếu có thắc mắc hay đóng góp ý kiến, mời bạn bình luận phía dưới bài viết. Vietnix xin chân thành cảm ơn.

Chia sẻ lên

Theo dõi trên

Logo Google new

Đánh giá

5/5 - (123 bình chọn)

Hưng Nguyễn

Kết nối với mình qua

Icon Quote

Tôi là Nguyễn Hưng (Bo Vietnix) là Co-Founder tại Vietnix. Tôi đã có hơn 10 năm làm việc trong mảng System, Network, Security đã trải nghiệm và đạt các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS.

Icon Quote
Đăng ký nhận tin
Để không bỏ sót bất kỳ tin tức hoặc chương trình khuyến mãi từ Vietnix

Bình luận

Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Chỉ số tăng trưởng

Điểm Desktop

100 (+39)

Điểm Mobile

100 (+67)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

99 (+28)

Điểm Mobile

100 (+50)

Core Web Vitals

Passed

Lĩnh vực

SEO

Chỉ số tăng trưởng

Điểm Desktop

99 (+26)

Điểm Mobile

98 (+59)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

100 (+8)

Điểm Mobile

98 (+35)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Chỉ số tăng trưởng

Điểm Desktop

100 (+61)

Điểm Mobile

100 (+61)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Võ Thiên Tòng

25 Tháng 2 lúc 21:09

·

Mình muốn gửi lời cảm ơn chân thành đến Team Vietnix, anh Hưng Nguyễn, anh Vietnix Trung, em Quốc Huy đã hỗ trợ tối ưu Page Speed Insight (PSI) cho website vanvoiminhhoa.vn của mình.
Biết đến anh Hưng đã lâu nhưng chưa có duyên sử dụng dịch vụ bên anh. Tình cờ thấy được bài Post của anh về việc hỗ trợ tối ưu PSI miễn phí chỉ với vài Slot, thấy AE cmt khá nhiều nên cũng không nghĩ tới lượt mình. Hôm sau đánh liều inbox 1 phen xem sao thì may mắn được đưa vào danh sách. Vài ngày sau được Team Vietnix liên hệ và hỗ trợ.
Kết quả đạt được:
• Điểm xanh lè xanh lét
• Tốc độ tải trang nhanh hơn hẳn
• Các chỉ số cũng được cải thiện đáng kể
• Và mình tin rằng với việc PSI được cải thiện cũng thúc đẩy những thứ khác đi lên theo!
Mình thực sự hài lòng với dịch vụ của Vietnix và muốn giới thiệu đến tất cả mọi người:
• Dịch vụ Wordpress Hosting: Tốc độ nhanh, ổn định, bảo mật cao, hỗ trợ kỹ thuật 24/7. (https://vietnix.vn/wordpress-hosting/)
• Dịch vụ Business Hosting: Dung lượng lớn, phù hợp cho website có lượng truy cập cao, tích hợp nhiều tính năng cao cấp. (https://vietnix.vn/business-hosting/)
Đặc biệt, Vietnix đang có chương trình ưu đãi:
• Giảm giá 20% trọn đời khi nhập code THIENTONG_PAGESPEED tại trang thanh toán (Chu kỳ 12 tháng trở lên)
• Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website
Cám ơn Vietnix một lần nữa!
#Vietnix #Vanvoiminhhoa #Pagespeedinsight
Trước khi tối ưu
Sau khi tối ưu
Thiện Nguyễn - CEO SEO Dạo

5 Tháng 3 lúc 16:21

·

CORE WEB VITAL YẾU TỐ XẾP HẠNG TÌM KIẾM SEO
Core Web Vitals là một tập hợp các chỉ số đo lường hiệu suất của trang web từ góc độ người dùng, được Google sử dụng để đánh giá trải nghiệm người dùng trên các trang web. Các chỉ số chính bao gồm:
– Largest contentful paint (LCP): Tốc độ render của page. Mục tiêu là dưới 2,5 giây.
– First input delay (FID): Tốc độ phản hồi của website với tương tác của người dùng. Mục tiêu là dưới 100ms.
– Cumulative Layout Shift (CLS): Độ ổn định của bố cục trang. Mục tiêu là dưới 0.1.
Tất cả các chỉ số này đo lường các khía cạnh quan trọng của trải nghiệm người dùng trên trang web. Google đã công bố rằng từ tháng 5 năm 2021, các Core Web Vitals sẽ được sử dụng làm một trong các yếu tố đánh giá trong việc xếp hạng trang web trên kết quả tìm kiếm. Do đó, hiểu và cải thiện các Core Web Vitals là rất quan trọng đối với SEO.
Tóm lại, Core Web Vitals không chỉ giúp cải thiện hiệu suất và xếp hạng trang web trên công cụ tìm kiếm, mà còn cải thiện trải nghiệm của người dùng khi họ truy cập và tương tác với trang website.
P/s: mình đang có gói hỗ trợ đặc biệt cho anh em tối ưu tốc độ bên VIETNIX:
– Giảm 20% lifetime dịch vụ Hosting Business và Hosting Wordpress chu kỳ 12 tháng trở lên.
– Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website.
Anh em có nhu cầu đăng ký qua bạn Vietnix Trung này nhé và nhập mã SEODAO_PAGESPEED để được ưu đãi nhé.😁
Trước khi tối ưu
Sau khi tối ưu SEO Dạo
Icharm review

5 Tháng 3 lúc 15:43

·

[Mình vừa được hỗ trợ tối ưu page speed website]
Trước khi được tối ưu, web của mình điểm rất thấp, đặc biệt là mobile chỉ có 39. Cơ duyên thế nào lúc lướt face lại va phải chương trình tối ưu pagespeed bên Vietnix.
Sau khi được Trần Hoàng Phúc và team Vietnix hỗ trợ nhiệt tình, điểm web vọt lên 98 99 (như hình bên dưới). Dùng thử web thì thấy quá là mượt, 10 điểm cho team Vietnix.
Nói thật thì mình thật sự ấn tượng về sự nhiệt huyết, tận tâm và rất chuyên nghiệp bên Vietnix.
Anh em có nhu cầu về hosting hay có vấn đề về website như:
1. Web load chậm
2. Khách rời web vì đợi tải nội dung, hình ảnh lâu
3. Hay tất tần tật mọi thứ về website
THÌ LIÊN HỆ NGAY VIETNIX NHÉ!
Và đừng quên dùng pass “ICHARM_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting. Quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
Trước khi tối ưu
Sau khi tối ưu
Hoàng Nguyễn

29 Tháng 2 lúc 17:04

·

Xin chào mọi người! Vừa rồi mình có sử dụng dịch vụ tối ưu website, tăng tốc độ tải trang pagespeed của Vietnix kết quả trên cả tuyệt vời nên mình viết bài này để chia sẻ thông tin với các bạn.
Lý do mình chọn dịch vụ tối ưu tốc độ website của Vietnix:
✅ Đội ngũ chuyên gia giàu kinh nghiệm: Đã tối ưu thành công cho hàng nghìn website trong nhiều lĩnh vực khác nhau. Các bạn nhân viên rất thân thiện, nhiệt tình và chủ động trong quá trình làm việc để cập nhật tiến độ.
✅ Quy trình chuyên nghiệp:
– Kiểm tra và phân tích: Vietnix sử dụng các công cụ tiên tiến để kiểm tra và phân tích tốc độ website của bạn.
– Xác định nguyên nhân: Vietnix xác định nguyên nhân khiến website tải chậm và đưa ra giải pháp tối ưu phù hợp.
– Tối ưu hóa website: Vietnix áp dụng các kỹ thuật tối ưu tiên tiến nhất để tăng tốc độ tải trang.
– Báo cáo kết quả: Vietnix cung cấp báo cáo chi tiết về kết quả tối ưu hóa website.
Công nghệ tiên tiến: Vietnix sử dụng các công nghệ tối ưu mới nhất như LiteSpeed, LSCache, Memcached, Redis, v.v.
✅ Cam kết kết quả: Vietnix cam kết tăng tốc độ website của bạn lên tối thiểu 90%.
✅ Giá cả cạnh tranh: Vietnix cung cấp dịch vụ tối ưu tốc độ website với mức giá cạnh tranh nhất trên thị trường.
📣 Để đăng ký sử dụng dịch vụ tối ưu tốc độ website và các dịch vụ khác như hosting, vps, domain… các bạn có thể đăng ký tại https://portal.vietnix.vn/aff.php?aff=57 hoặc Inbox cho sếp Vietnix Trung nhé.
Các bạn có thể kiểm tra tốc độ trang của mình https://lasan.edu.vn hoặc một vài trang khác đã sử dụng dịch vụ của Vietnix như sau:
https://pagespeed.web.dev/…/https…/v8beqewyt2…
https://pagespeed.web.dev/…/https…/etiohjvtl4…
https://pagespeed.web.dev/…/https…/yczuqpw6d1…
https://pagespeed.web.dev/…/https…/xf9y65kuzk…
https://pagespeed.web.dev/…/https…/fdrsms15en…
https://pagespeed.web.dev/…/https…/s7p9cgzeri…
Trước khi tối ưu
Sau khi tối ưu
Dũng cá xinh

30 Tháng 1 lúc 19:09

·

[Đỉnh]
Em có dùng hosting, vps, cloud vps, cloud server, dedicated server của rất nhiều bên từ trong nước đến nước ngoài để hosting khoảng 2,000+ domain. Mỗi bên đều có ưu nhược khác nhau, nhưng có 1 số bên đặc biệt “bá đạo”, trong đó có: Vietnix!!!!

Lần đầu tiên em được cả CEO Hưng Nguyễn lẫn Master về dev Vietnix Trung của 1 đơn vị hàng đầu liên quan đến Hosting, Server support từ A – Z (từ Zalo, Tele, đến FB và cả Phone)

Em có khá nhiều web dạng Big Data (bài, ảnh, database, data) lên đến hàng trăm Gb. Càng to thì nó càng có nhiều vấn đề về phần phản hồi ban đầu (nhược điểm cố hữu của php wordpress so với nativejs, reactjs, html, headless,…), và anh em Vietnix có nhã ý hỗ trợ xử lý phần Speed Insight này.

Kết quả thực sự kinh ngạc, từ cách trao đổi đến xử lý vấn đề, cut off những cái cần cut off, xử lý rất sâu vấn đề và gợi ý rất nhiều ý tưởng optimize hệ thống!!!! Thực sự quá hài lòng về kết quả cũng như cách tương tác của các đầu tầu bên Vietnix ^^!!!

Nhân cơ duyên được kết nối với những cao thủ của Vietnix, em xin chia sẻ và lan tỏa để nhiều anh em có cơ hội được sử dụng những dịch vụ tốt nhất với giá vô cùng hợp lý!!!!

1 – Với anh em chưa có hosting, em đặc biệt recommend sử dụng hosting bên Vietnix:
– Sử dụng mã DUNGCAXINH_PAGESPEED sẽ được giảm 20% trọn đời (lifetime luôn)
– Áp dụng các gói Hosting Business, Hosting wordpress và reg 1 năm trở lên
– Anh em chưa biết cách reg thì còm men hoặc ib để em hướng dẫn hoặc nhờ các bạn bên Vietnix support từ A – Z

2 – Anh em có hosting rồi và muốn build blog hoặc web = wordpress mà chưa có giao diện thì nhân tiện em đang có tài khoản Premium bên Envato, em sẽ tặng bất kỳ giao diện nào có trên Envato Themes (Link em để dưới còm men) ạ. Cả nhà còm hoặc ib em Themes mà mọi người “chim ưng”, em sẽ cho anh em tải về, up drive và gửi ạ!!! (Chương trình này kéo dài đến ngày 29 tết âm lịch ạ)

3 – BEST NHẤT luôn!!!! Anh em nào mua hosting dùng mã DUNGCAXINH_PAGESPEED sẽ được tối ưu 100 điểm tốc độ cho 1 web (đây là ưu đãi riêng của CEO Hưng Nguyễn dành cho bạn bè của #dungcaxinh ^^) (Giá trị nhất là cái vụ số 3 này anh chị em nhé ^^), cơ hội vàng để move về đơn vị hosting uy tín là đây ^^!!!!

Một lần nữa xin chân thành cám ơn 2 đồng chí em: Hưng Nguyễn và Vietnix Trung đã giải được một bài toán khó cho các trang WP Big data mà anh loay hoay bao lâu nay chưa tìm ra đáp án!!! Chúc Vietnix ngày càng phát triển và có một năm 2024 đại đại thắng nhé ^^ !!!!!
#SEO #Vietnix #dungcaxinh

Trước khi tối ưu
Sau khi tối ưu
Hiếu AI

2 Tháng 2 lúc 21:06

·

UY TÍN – TẬN TÂM – TỐC ĐỘ

3 từ trên là vẫn chưa đủ để nói về quy trình làm việc cực chuyên nghiệp của team Vietnix.Chuyện là mình có con website chính đang có lượt truy cập organic hàng ngày cũng tương đối (hình 1)

Vấn đề là, con site này đang nằm trên hosting dùng chung nên tốc độ load chưa nhanh, tốc độ load chưa nhanh thì trải nghiệm visitor chưa tốt, trải nghiệm visitor chưa tốt thì tỷ lệ chuyển đổi ra đơn hàng kiểu gì thì kiểu cũng sẽ bị ảnh hưởng.

Biết rõ là đang mất tiền nhưng không biết xử lý như lào, nghĩ mà cay.

Đang loay hoay thì vận may nó tới, hôm qua đang lướt phở bò thấy a Nguyễn Việt Dũng đăng bài, rảnh nên thả cái comment hóng hớt, ai ngờ ngoằng phát thấy ông Dũng tạo nhóm với Vietnix Trung luôn.

Ae Vietnix thì siêu tốc độ, lập tức lấy thông tin vào việc, không hỏi han lằng nhằng, không kỳ kèo chốt đơn dù lúc đấy cũng đang đêm muộn.
Sáng hôm sau dậy vẫn còn đang lơ ngơ mở điện thoại check tin nhắn thì đã thấy ae Vietnix báo xong việc, trong khi mình vẫn chưa biết có chuyện gì xảy ra @@.

Được cái bấm thử website thì thấy load siêu nhanh, chưa tới một giây là thông tin các thứ hiện hết. Quá phê, thả con ảnh trước sau (hình 2,3) để ace tiện đối chiếu nhé. Thế này thì mình gửi gắm nốt 15 em website còn lại cho team Vietnix thôi chứ không cần nghĩ ngợi gì nữa. 10/10.

Nên là:

  1. Anh chị em muốn có một con website tốc độ load nhanh như tốc độ trở mặt của nyc – Dùng ngay dịch vụ hosting của Vietnix
  2. Anh chị em có website rồi muốn tìm bên hosting uy tín, chuyên nghiệp hỗ trợ không quản ngày đêm – Liên hệ ngay Vietnix Trung
  3. Anh chị em quan tâm đến trải nghiệm khách hàng, từ những cái nhỏ nhất như tăng tốc độ website – Better call Vietnix Trung

Và đừng quên dùng pass “HIEUAI_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting, quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
#SEO #Vietnix #hieuai

Website
Trước khi tối ưu
Sau khi tối ưu

Chỉ số tăng trưởng

Điểm Desktop

100 (+43)

Điểm Mobile

100 (+74)

Core Web Vitals

Passed

Lĩnh vực

AI