Đồ Án Phương pháp tấn công vào trang web và cách phòng chống, xây dựng ứng dụng demo sql injection

* Bố cục của báo cáo đồ án tốt nghiệp
Báo cáo tốt nghiệp được chia thành 3 chương:
- Chương 1: TỔNG QUAN VỀ WEB VÀ CÁC NGUY CƠ TẤN CÔNG ỨNG
DỤNG WEB
- Chương 2: MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG VÀO TRANG WEB VÀ
CÁCH PHỒNG CHỐNG
- Chương 3: XÂY DỰNG ỨNG DỤNG DEMO SQL INJECTION

MỞ ĐẦU
Ngày nay, khi Internet được phổ biến rộng rãi ,các tổ chức đều có nhu cầu
giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các phiên giao
dịch trực tuyến. Vấn đề nảy sinh là vi phạm ứng dụng của các ứng dụng web ngày
càng mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao, trở thành đối
tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi kh icũng chỉ đơn
giản là để thử tài hoặc đùa bởn với người khác.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số
lượng dịch vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các
phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khả năng truy cập
thông tin của Internet, thì các tài liệu chuyên môn bắt đầu đề cập đến nhiều vấn đề
bảo đảm và an toàn dữ liệu cho các máy tính kết nối vào mạng Internet.
Vì thế vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được kết nối vào mạng
Internet là cần thiết nhằm mục đích bảo vệ dữ liệu, bảo vệ thông tin doanh nghiệp,
người dùng và bảo vệ hệ thống.
Tuy đã có nhiều cố gắng từ các nhà lập trình Web nhưng vẫn không thể đảm bảo
ngăn chặn toàn bộ vì công nghệ Web đang phát triển nhanh chóng (chủ yếu chú
trọng đến yếu tố thẩm mỹ, yếu tố tốc độ, ) nên dẫn đến nhiều khuyết điểm mới
phát sinh. Sự tấn công không nằm trong một vài khuôn khổ mà linh động và tăng
lên tùy vào những sai sót của nhà quản trị hệ thống cũng như của những người lập
trình ứng dụng.
Vì vậy, đề tài này được thực hiện với mục đích tìm hiểu, phân tích các lỗ hổng bảo
mật trong các ứng dụng Web.
* Mục tiêu và nhiệm vụ
- Tìm hiểu các vấn đề liên quan đến hoạt động của một ứng dụng Web.
- Tìm hiểu các kỹ thuật tấn công ứng dụng Web cơ bản như: XSS, Session, DOS.
- Tìm hiểu và nghiên cứu cụ thể kỹ thuật tấn công chèn câu truy vấn SQL Injection
và các giải pháp phòng ngừa.
- Xây dựng ứng dụng Web Demo thể hiện các cách tấn công của kỹ thuật SQL
Injection và đưa ra giải pháp fix các lỗ hổng trong chương trình.
- Kết quả thực hiện: nắm rõ bản chất và cách thức tấn công vào ứng dụng Web, áp
dụng vào thực tế để hạn chế thấp nhất khả năng bị tấn công các ứng dụng Web sẽ
triển khai.
* Đối tượng và phạm vi nghiên cứu
- Cở sở lý thuyết liên quan của hoạt động ứng dụng Web.
- Các mô hình tấn công đặc trưng vào ứng dụng Web.
- Kỹ thuật vượt qua cửa sổ đăng nhập.
- Kỹ thuật lợi dụng các câu lệnh Select, Insert.
- Kỹ thuật dựa vào các Stored Procedure.
- Các giải pháp phòng ngừa ở mức quản trị và người lập trình ứng dụng.
- Ngôn ngữ ASP.NET, SQL Server 2005.
* Phương pháp nghiên cứu
- Tổng hợp tìm hiểu, nghiên cứu từ các tư liệu liên quan.
- Phân tích, đánh giá các kỹ thuật tấn công. Đưa ra các giải pháp phòng ngừa ở các
mức.
- Thiết kế table cơ sở dữ liệu, xây dựng ứng dụng Web Demo thể hiện các cách tấn
công của SQL Injection.
* Ý nghĩa thực tiễn của đề tài
- Về mặt lý thuyết, đề tài thể hiện rõ các cách tấn công cơ bản thường được hacker
sử dụng để tấn công vào các ứng dụng Web từ trước đến nay, và có thể sử dụng tiếp
trong thời gian dài trong tương lai.
- Về mặt thực tiển, với các cách tấn công của hacker như đã tìm hiểu, nghiên cứu
trong báo cáo này, nếu áp dụng tốt các phương pháp phòng ngừa trong đề tài nêu ra
sẽ góp phần nâng cao khả năng bảo vệ các ứng dụng Web trước nguy cơ tấn công
của kẽ xấu.