Luận Văn tìm hiểu các cơ chế để bảo mật hệ thống thương mại điện tử - web security

MỤC LỤC

TỔ CHỨC LUẬN VĂN . 8

CHƯƠNG 1: TÌM HIỂU ỨNG DỤNG WEB 9

1.1. Kiến trúc cơ bản của ứng dụng web 9

1.2. Hoạt động của ứng dụng web . 10

1.3. Kết nối với các cơ sở dữ liệu 12

CHƯƠNG 2 : TÌM HIỂU QUÁ TRÌNH TẤN CÔNG CỦA HACKER 14

2.1. Các quy trình : 14

2.2. Kết luận . 19

CHƯƠNG 3 : TÌM HIỂU TẤN CÔNG CHÈN THAM SỐ . 20

3.1. HTML Form Field Manipulation – thao tác trên biến ẩn form . 21

3.1.1 Khái niệm 21

3.1.2. Kĩ thuật phòng chống . 22

3.2. URL Manipulation – thao tác trên URL : . 23

3.2.1 Khái niệm 23

3.2.2. Kĩ thuật phòng chống . 24

3.3. HTTP Header Manipulation – thao tác trên HTTP header: 25

3.3.1 Khái niệm : 25

3.3.2. Kĩ thuật phòng chống . 29

3.4. Hidden Manipulation - Thao tác vùng ẩn 29

3.4.1. Khái niệm . 29

3.4.2. Cách phòng chống 29

CHƯƠNG 4 : TẤN CÔNG TRÀN BỘ ĐỆM BUFFER OVERFLOW ATTACKS 31

4.1. Buffer Overflow Attacks 31

4.2. Cách phòng chống . 32

CHƯƠNG 5 : CHÈN MÃ THỰC THI TRÊN TRÌNH DUYỆT

CROSS SITE SCRIPTING 33

5.1. Khái niệm XSS 33

5.2. Phương thức hoạt động XSS 33

5.3. Truy tìm lổ hổng XSS của ứng dụng web . 36

5.4. Các bước thực hiện tấn công XSS : . 37

5.5. Cách phòng chống 38

CHƯƠNG 6 : TẤN CÔNG PHIÊN LÀM VIÊC . 40

6.1. Sự ra đời và khái niệm 40

6.1.1. Sự ra đời của session 40

6.1.2. Khái niệm : . 40

6.2. Cơ chế tấn công phiên làm việc . 41

6.2.1. Ấn định phiên làm việc( session fixation) . 41

6.2.2. Đánh cắp phiên làm việc( session hijacking) 43

6.3. Cách phòng chống : 46

CHƯƠNG 7: CHÈN CÂU TRUY VẤN - SQL INJECTION . 48

7.1. Khái niệm SQL injection . 48

7.2 Các cách tấn công . 48

7.2.1. Dạng tấn công vượt qua kiểm tra đăng nhập 48

7.2.2. Tấn công dưa vào câu lệnh SELECT . 52

7.2.3. Tấn công dựa vào câu lệnh kết hợp UNION 53

7.2.4. Dạng tấn công sử dụng câu lệnh INSERT . 54

7.2.5. Dạng tấn công sử dụng stored-procedures . 55

7.3. Cách phòng tránh . 56

7.3.1. Kiểm soát chặt chẽ dữ liệu nhập vào 56

7.3.2. Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu . 58

CHƯƠNG 8 : TẤN CÔNG TỪ CHỐI DỊCH VỤ - DENY of SERVICES 59

8.1. Khái niệm về Tcp bắt tay ba chiều: 59

8.2. Tấn công kiểu SYN flood 60

8.3. Kiểu tấn công Land Attack 62

8.4. Kiểu tấn công UDP flood 62

8.5. Flood Attack 62

8.6. Tấn công kiểu DDoS (Distributed Denial of Service) 63

8.7. Tấn công DRDoS (Distributed Reflection Denial of Service) – Tấn công từ

chối dịch vụ phản xạ nhiều vùng. 65

8.8. Tấn công các nguồn tài nguyên khác . 67

8.9. Các cách phòng chống . 68

CHƯƠNG 9 : NHỮNG KẾT LUẬN TRONG QUÁ TRÌNH PHÒNG CHỐNG 70

9.1. Nhiệm vụ nhà quản trị mạng . 70

9.2 .Nhiệm vụ người thiết kế ứng dụng web 71

9.3. Nhiệm vụ người sử dụng ứng dụng web . 72

CHƯƠNG 10: GIỚI THIỆU CÁC GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG . 73

10.1. Firewall (Bức tường lửa) . 73

10.1.1. Giới thiệu về firewall . 73

10.1.2. Phân loại Firewall . 73

10.1.3. Sản phầm của Firewall 74

10.1.4. Chức năng chính của Firewall . 76

10.1.5 Các kỹ thuật dùng trong Firewall 77

10.2 Intrusion detection system (Hệ thống phát hiện xâm nhập) 83

10.2.1 Khái niệm: . 83

10.2.2. Mô hình hoạt động. 84

10.2.2.1 Chi tiết về IDS 85

10.2.2.2 Đánh giá về mức độ an toàn của hệ thống: . 86

10.2.2.3 Khả năng phát triển trong tương lai: . 86

10.3. Intrusion Prevension System ( Hệ thống ngăn chặn xâm nhập) . 87

10.3.1 Khái niệm: . 87

10.3.1.1 Chức năng: 87

10.3.1.2. Mô hình lý luận: 88

10.3.2 Mô hình hoạt động: . 88

10.3.3. Các thành phần của IPS: . 89

10.3.3.1. Phân tích sự hoạt động liên thành phần: 89

10.3.3.2. Đánh giá về mức độ an toàn của hệ thống: 90

10.3.3.3 Khả năng phát triển trong tương lai: . 90

CHƯƠNG 11: DEMO THỰC TẾ CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA

“IPCOP” . 91

11.1. Giới thiệu 91

11.2.Triển khai IPCOP firewall/ IDS . 94

11.3. Quản trị IPCOP firewall/IDS 103

KẾT LUẬN . 113

TÀI LIỆU THAM KHẢO 114