Đồ Án Nghiên cứu bảo đảm an toàn thông tin bằng kiếm soát “lỗ hổng” trong dịch vụ web

MỤC LỤC

Bảng chú giải từ viết tắt 3

Lời mở đầu 4

Chương 1: KHÁI NIỆM CƠ SỞ 7

1.1. KHÁI NIỆM VỀ BẢO VỆ WEB . 7

1.2. ỨNG DỤNG WEB .12

1.2.1. Khái niệm ứng dụng web . 12

1.2.2. Hoạt động của ứng dụng web .13

1.3. MỘT SỐ CÔNG CỤ BẢO VỆ WEB. .15

Tường lửa .15

Mạng riêng ảo . .17


Chương 2: CÁC KỸ THUẬT TẤN CÔNG LỢI DỤNG LỖ HỔNG 18

2.1. CHÈN THAM SỐ 18

2.1.1. Chỉnh sửa HTTP Header 18

2.1.2. Chỉnh sửa địa chỉ URL .21

2.1.3. Chỉnh sửa trường ẩn Form 22

2.1.4. Thao tác trên cookie . 24

2.2. CHÈN MÃ LỆNH TRÊN TRÌNH DUYỆT . .27

2.2.1. Phương pháp tấn công XSS 27

2.2.2. Biện pháp phòng tránh . 31

2.3. CHÈN CÂU LỆNH TRUY VẤN .32

2.3.1. Tấn công vượt qua kiểm tra đăng nhập 32

2.3.2. Tấn công dựa vào câu lệnh SELECT 34

2.3.3. Tấn công dựa vào câu lệnh INSERT 36

2.3.4. Tấn công dựa vào Store-Procedure 37

2.3.5. Biện pháp phòng tránh . 38



2.4. TẤN CÔNG DỰA VÀO “KIỂU QUẢN LÝ PHIÊN LÀM VIỆC 40

2.4.1. Tấn công kiểu “ấn định phiên làm việc” .41

2.4.2. Tấn công kiểu “đánh cắp phiên làm việc” .45

2.4.3. Biện pháp phòng tránh .46



2.5. TẤN CÔNG “TỪ CHỐI DỊCH VỤ” .47

2.5.1. Khái niệm DoS .47

a/ Lợi dụng TCP thưc hiện Synflood .49

b/ Tấn công vào băng thông .50

c/ DdoS .52

2.5.2. Biện pháp phòng tránh 53

2.6. NGÔN NGỮ PHÍA TRÌNH CHỦ 54

2.7. TẤN CÔNG “TRÀN BỘ ĐỆM” 56


Chương 3: TỔNG KẾT KỸ THUẬT TẤN CÔNG CỦA HACKER .58

3.1. THU THẬP THÔNG TIN Ở MỨC HẠ TẦNG CỦA MỤC TIÊU .58

3.2. KHẢO SÁT ỨNG DỤNG WEB 61

Ví dụ thử nghiệm 63