Đồ Án Một số vấn đề bảo mật web

TÓM TẮT NỘI DUNG






Trong khóa luận này, tác giả sẽ trình bày về ứng dụng web, các vấn đề về bảo mật trong ứng dụng web, khóa luận tập trung vào một số kỹ thuật tấn công vào ứng dụng web, tác hại và cách phòng chống.


Phần mở đầu của khoá luận là tổng quan ứng dụng web, cách hoạt động của ứng dụng web và giới thiệu về bảo mật ứng dụng web. Đây là cơ sở để tìm hiểu các vấn đề bảo mật trên ứng dụng web.


Phần thứ hai của khoá luận dành để trình bày các dạng lỗ hổng của ứng dụng web và các kỹ thuật tấn công dựa trên những lỗ hổng đó.


Phần thứ ba của khoá luận dành để trình bày về vài tấn công ứng dụng web dựa trên lý thuyết đã trình bày ở các phần trước.


Phần thứ tư có nhiệm vụ trình bầy các kết quả đạt được của luận văn, những hạn chế và phát triển trong tương lai.







MỤC LỤC




LỜI CẢM ƠN 1


TÓM TẮT NỘI DUNG 3


BẢNG CÁC THUẬT NGỮ VIẾT TẮT 5


BẢNG CÁC THUẬT NGỮ .6


DANH MỤC CÁC HÌNH VẼ BẢNG BIỂU 7


MỞ ĐẦU .8


CHƯƠNG 1. GIỚI THIỆU VỀ BẢO MẬT ỨNG DỤNG WEB 10


1.1. Giới thiệu về ứng dụng web . 10


1.1.1. Khái niệm ứng dụng web . 10


1.1.2. Mô tả hoạt động của một ứng dụng web 10


1.2. Bảo mật ứng dụng web 12


1.2.1. Giới thiệu về bảo mật ứng dụng web . 12


1.2.2. Các vấn đề chính của bảo mật ứng dụng web 13


CHƯƠNG 2. MỘT SỐ TẤN CÔNG ỨNG DỤNG WEB VÀ CÁCH PHÒNG CHỐNG 14


2.1. Các kỹ thuật tấn công cơ bản 14


2.1.1. Lập bản đồ trang 14


2.1.2. Đoán tập tin và thư mục . 15


2.1.3. Khai thác khi biết những luồng bảo mật 15


2.1.4. Vượt qua hạn chế trên các lựa chọn đầu vào 15


2.2. Tấn công dựa vào trạng thái trang . 16


2.2.1. Giới thiệu . 16


2.2.2. Tấn công vào trường ẩn . 16 2.2.2.1. Kỹ thuật tấn công vào trường ẩn 16 2.2.2.2. Cách phòng chống 17
2.2.3. Tấn công dựa vào tham số CGI 17 2.2.3.1. Kỹ thuật tấn công vào tham số CGI . 18 2.2.3.2. Cách phòng chống 18
2.2.4. Nhiêm độc cookie 18 2.2.4.1. Kỹ thuật tấn công nhiễm độc cookie 18 2.2.4.2. Cách phòng chống 19
2.2.5. Tấn công bằng nhảy URL 19


2.2.5.1. Kỹ thuật tấn công nhảy URL . 19


2.2.5.2. Cách phòng chống 19





2.2.6. Chiếm hữu phiên làm việc (Session hijacking) 19 2.2.6.1. Kỹ thuật tấn công chiếm hữu phiên làm việc . 20 2.2.6.2. Các cách phòng chống tấn công chiếm hữu phiên làm việc . 22
2.3. Tấn công chèn mã lệnh thực thi trên trình duyệt nạn nhân (cross-site scripting) – XSS 22


2.3.1. Giới thiệu về cross-site scripting 22


2.3.2. Kỹ thuật tấn công XSS . 23


2.3.3. Mã kịch bản tấn công XSS . 24 2.3.3.1. Ăn cắp mã phiên làm việc của người dùng để thực hiện chiếm hữu phiên làm việc, 24 ví dụ mã sau: 24 2.3.3.2. Tạo thủ thuật để khiến người dùng làm việc không biết đến . 24 2.3.3.3. Các cách chèn mã có thể 24
2.3.4. Các cách phòng chống . 26


2.3.5. Một số trang vẫn còn lỗ hổng của Việt Nam: 27


2.4. Tấn công bằng kỹ thuật chèn mã SQL (SQL Injection) . 27


2.4.1. Giới thiệu về SQL Injection . 27


2.4.2. Các dạng tấn công SQL Injection 29 2.4.2.1. Dạng tấn công vượt qua trang đăng nhập . 29 2.4.2.2. Tấn công dựa vào câu lệnh SELECT . 30 2.4.2.3. Tấn công dựa vào câu lệnh kết hợp UNION 30 2.4.2.4. Tấn công dựa vào câu lệnh INSERT 33 2.4.2.5. Tấn công dựa vào STORED PROCEDURE 33
2.4.3. Cách phòng chống 33


CHƯƠNG 3. TẤN CÔNG THỰC NGHIỆM 35


3.1. URL Jumping . 35


3.2. Lỗi XSS . 36


3.3. SQL Injection . 37


3.3.1. Trang thứ nhất 37


3.3.2. Trang thứ hai 39


3.3.3. Trang thứ ba . 40


CHƯƠNG 4. KẾT LUẬN 42


4.1. Kết quả đạt được 42


4.2. Định hướng phát triển . 42


LỜI KẾT 43


TÀI LIỆU THAM KHẢO .44