BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC AN TỒN THƠNG TIN Đề tài: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Giảng viên hướng dẫn: TS Trương Thành Công Sinh viên thực hiện: Nguyễn Võ Quốc Huy MSSV: 1921006708 Lớp học phần: 2121112002701 TP Hồ Chí Minh, tháng 04 năm 2022 0 BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CƠNG NGHỆ THƠNG TIN ĐỒ ÁN MƠN HỌC AN TỒN THƠNG TIN Đề tài: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Giảng viên hướng dẫn: TS Trương Thành Công Sinh viên thực hiện: Nguyễn Võ Quốc Huy MSSV: 1921006708 Lớp học phần: 2121112002701 TP Hồ Chí Minh, tháng 04 năm 2022 0 NHẬN XÉT CỦA GIẢNG VIÊN - Điểm số: - Điểm chữ: Thành phố Hồ Chí Minh, ngày … tháng 04 năm 2022 Giảng viên (Kí ghi rõ họ tên) Trương Thành Công I 0 LỜI CẢM ƠN Em xin chân thành cảm ơn thầy Trương Thành Công giúp đỡ, hỗ trợ em để tận tình hồn thành đồ án môn học Với vốn kiến thức kinh nghiệm khiêm tốn bước đầu làm quen với công việc nghiên cứu mang tính thực nghiệm chắn kết đạt em không tránh khỏi hạn chế định Em mong muốn Giảng viên, bạn Sinh viên trước hay độc giả quan tâm góp ý để em hồn thiện cho đồ án nghiên cứu Xin kính chúc thầy Trương Thành Công tất người hỗ trợ đóng góp ý kiến cho em người thân lời chúc sức khỏe, hạnh phúc thành đạt Xin chân thành cảm ơn Sinh viên thực Nguyễn Võ Quốc Huy II 0 DANH MỤC TỪ VIẾT TẮT DDoS Distributed Denial Of Service GAN Global Area Network HTTP Hyper Text Transfer Protocol ICMP Internet Control Message Protocol IP Internet Protocol LAN Local Area Network MAN Metropolitian Area Network OSI Open System Interconnection WAN Wide Area Network III 0 DANH MỤC THUẬT NGỮ ANH – VIỆT Access Control Kiểm tra quyền truy cập Authentication Xác thực Authorization Cấp quyền Backups Sao lưu Checksums Tổng kiểm tra Computational Redundancies Tính tốn dự phịng Data Dữ liệu Data Correcting Codes Mã chỉnh liệu Encryption Mã hóa Information Thơng tin Information System Security An tồn hệ thống thơng tin Physical Protections Bảo vệ vật lý Physical Security Bảo mật vật lý IV 0 DANH MỤC HÌNH ẢNH Hình 1-1: Top 15 quốc gia bị cơng website nhiều Hình 2-1: Mơ hình CIA Hình 2-2: Một mơ hình liên kết máy tính mạng .13 Hình 2-3: Mạng LAN .14 Hình 2-4: Mạng MAN 15 Hình 2-5: Mạng WAN 16 Hình 2-6: Các tầng mơ hình OSI 17 Hình 2-7: Tầng ứng dụng .18 Hình 2-8: Tầng trình bày 19 Hình 2-9: Tầng phiên .20 Hình 2-10: Tầng vận chuyển 20 Hình 2-11: Tầng mạng 21 Hình 2-12: Tầng liên kết liệu 22 Hình 2-13: Tầng vật lý 23 Hình 2-14: Mơ hình OSI .28 Hình 3-1: Tấn công từ chối dịch vụ Internet DDoS .32 Hình 3-2: Tấn cơng SQL Injection 37 Hình 3-3: Tấn công XSS .41 Hình 3-4: Khái niệm CSRF .45 Hình 4-1: Cơng cụ phát triển website - WordPress 48 Hình 4-2: Trang đăng nhập Infinity Free 50 Hình 4-3: Trang đăng ký Infinity Free .50 Hình 4-4: Xác nhận email 50 V 0 Hình 4-5: Đăng ký domain hosting 51 Hình 4-6: Nhập tên miền website 51 Hình 4-7: Nhập mật cho tài khoản hosting 52 Hình 4-8: Hồn thành đăng ký domain hosting cho website .52 Hình 4-9: Xác nhận để tiến hành tạo website 53 Hình 4-10: Tiến hành tạo website WordPress 53 Hình 4-11: Tạo website WordPress 54 Hình 4-12: Cấu hình website 54 Hình 4-13: Mail thơng báo tạo website WordPress thành cơng 55 Hình 4-14: Giao diện hoàn chỉnh website tạo WordPress 56 Hình 4-15: Wordfence Security 57 Hình 4-16: Giao diện Dashboard WordPress 58 Hình 4-17: Tìm kiếm plugin muốn cài đặt 59 Hình 4-18: Tải plugin Wordfence Security 59 Hình 4-19: Kích hoạt plugin Wordfence Security 60 Hình 4-20: Hồn thành tích hợp plugin Wordfence Security 60 Hình 4-21: Sucuri Security 61 Hình 4-22: Giao diện Dashboard WordPress 62 Hình 4-23: Tìm kiếm plugin muốn cài đặt 63 Hình 4-24: Tải plugin Sucuri Security 63 Hình 4-25: Kích hoạt plugin Sucuri Security 64 Hình 4-26: Hồn thành tích hợp plugin Sucuri Security .64 Hình 4-27: iThemes Security 65 Hình 4-28: Giao diện Dashboard WordPress 66 Hình 4-29: Tìm kiếm plugin muốn cài đặt 67 VI 0 Hình 4-30: Tải plugin iThemes Security .67 Hình 4-31: Kích hoạt plugin iThemes Security 68 Hình 4-32: Hồn thành tích hợp plugin iThemes Security 68 Hình 4-33: Giao diện Dashboard WordPress 70 Hình 4-34: Tìm kiếm plugin muốn cài đặt 71 Hình 4-35: Tải plugin All In One WP Security and Firewall 71 Hình 4-36: Kích hoạt plugin All In One WP Security and Firewall 71 Hình 4-37: Hồn thành tích hợp plugin All In One WP Security and Firewall .72 Hình 4-38: BulletProof Security 72 Hình 4-39: Giao diện Dashboard WordPress 74 Hình 4-40: Tìm kiếm plugin muốn cài đặt 74 Hình 4-41: Tải plugin BulletProof Security 75 Hình 4-42: Kích hoạt plugin BulletProof Security 75 Hình 4-43: Hồn thành tích hợp plugin BulletProof Security .76 Hình 4-44: Trang chủ Quttera .76 Hình 4-45: Thực kiểm tra lỗ hổng website 77 Hình 4-46: Quét lỗ hổng website 77 Hình 4-47: Hồn thành qt lỗ hổng website 78 Hình 4-48: Kết mục Sitescan report 78 Hình 4-49: Kết mục Scanned file analysis 79 Hình 4-50: Kết mục Additional information .79 Hình 4-51: Kết mục Sandbox requests 80 Hình 4-52: Kết mục Blacklisting status 80 VII 0 MỤC LỤC Trang NHẬN XÉT CỦA GIẢNG VIÊN i LỜI CẢM ƠN .ii DANH MỤC TỪ VIẾT TẮT .iii DANH MỤC THUẬT NGỮ ANH – VIỆT iv DANH MỤC HÌNH ẢNH v MỤC LỤC viii CHƯƠNG 1: TỔNG QUAN 1.1 Tổng quan đề tài 1.2 Mục tiêu nghiên cứu .2 1.2.1 Mục tiêu tổng quát 1.2.2 Mục tiêu cụ thể 1.3 Phạm vi đề tài 1.4 Đối tượng nghiên cứu .3 1.5 Phương pháp nghiên cứu 1.5.1 Phương pháp nghiên cứu thực tiễn 1.5.2 Phương pháp nghiên cứu lý thuyết CHƯƠNG 2: 2.1 CƠ SỞ LÝ THUYẾT Tổng quan an tồn bảo mật hệ thống thơng tin .4 2.1.1 Các khái niệm ATBM hệ thống thông tin .4 2.1.2 Những yêu cầu ATBM hệ thống thông tin .4 2.1.2.1 Tính bí mật thông tin (Confidentiality): 2.1.2.2 Tính tồn vẹn thơng tin (Integrity): VIII 0 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TỒN BẢO MẬT WEBSITE Hình 4.2.3.2.1.4: Bước 5: Kích hoạt plugin iThemes Security Hồn thành tích hợp plugin iThemes Security vào website Hình 4.2.3.2.1.5: Hồn thành tích hợp plugin iThemes Security SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 68 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE 4.2.4 All In One WP Security and Firewall 4.2.4.1 Giới thiệu All In One WP Security and Firewall plugin bảo mâ t® cung cấp nhiều tính miễn phí với giao diện dễ sử dụng, phù hợp cho dân không chuyên người bắt đầu Một lý All In One WP xuất danh sách yếu tố trực quan bảng điều khiển Ta nhận báo cáo biểu đồ giải thích tất số liệu liên quan đến việc bảo mật trang Web Hơn nữa, plugin biện pháp ta làm để nâng cao tính bảo mật cho website Mỗi tính bảo mật phân vào ba nhóm: bản, trung cấp, nâng cao Ta sử dụng số quy tắc tường lửa lại không cản trở đến tính website, nhờ tốc độ website ta không bị chậm chút Plugin quét trang web ta để tìm lỗ hổng Sau lỗ hổng kiểm tra, plugin hỗ trợ ta thực thay đổi để tăng cường bảo mật Tất thứ đo hệ thống phân loại Một tính hàng đầu khác cung cấp All In One WP Security & Firewall bảo mật spam cho phần bình luận ta Nhận nhiều bình luận đăng blog trang web khác có lợi cho mục đích SEO trừ bình luận spam Thay tự kiểm tra tất bình luận trang ta tự xóa thư rác, plugin làm cơng việc cho ta Nó tự động phát địa IP tạo thư rác chặn bình luận chúng Nếu số địa định vượt số lượng comment spam cụ thể, chúng chí bị chặn truy cập hoàn toàn vào trang web ta Điều tuyệt vời là, plugin hoàn tồn miễn phí Khơng giống phiên miễn phí plugin khác, All In One WP Security & Firewall khơng giữ tính hàng đầu để thúc đẩy doanh số Nó hồn tồn miễn phí cho tất người dùng WordPress SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 69 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE 4.2.4.2 Bước 1: Cách cài đặt Truy cập vào trang Dashboard WordPress thông qua tài khoản Admin -> Plugins -> Add New Hình 4.2.4.2.1.1: Bước 2: Giao diện Dashboard WordPress Nhập tên plugin mà ta muốn cài đặt vào ô Search plugins… tiến hành cài đặt plugin vào trang web ta SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 70 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TỒN BẢO MẬT WEBSITE Hình 4.2.4.2.1.2: Bước 3: Nhấn chọn Install Now để tích hợp plugin vào website ta Hình 4.2.4.2.1.3: Bước 4: Tìm kiếm plugin muốn cài đặt Tải plugin All In One WP Security and Firewall Nhấn chọn Activate để kích hoạt plugin vào website Hình 4.2.4.2.1.4: Kích hoạt plugin All In One WP Security and Firewall SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 71 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TỒN BẢO MẬT WEBSITE Bước 5: Hồn thành tích hợp plugin All In One WP Security and Firewall vào website Hình 4.2.4.2.1.5: Hồn thành tích hợp plugin All In One WP Security and Firewall 4.2.5 BulletProof Security 4.2.5.1 Giới thiệu Hình 4.2.5.1.1.1: BulletProof Security Tuy khơng phải plugin tiếng, ta nên cân nhắc BulletProof làm lựa chọn SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 72 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Đội ngũ phát triển BulletProof công bố: suốt bảy năm mắt, chưa trang web số 45.000 trang web cài đặt BulletProof bị hack Đây số vơ ấn tượng cho dù chưa bao gồm trường hợp hack server Plugin đặc biệt dễ tải sử dụng hoạt động sau vài cú click Bản miễn phí BulletProof cung cấp cho ta tính như:  Nhật ký bảo mật  Giám sát an ninh  Quét mã độc  Sao lưu sở liệu  Khôi phục sở liệu  Công cụ chống thư rác  Cơng cụ chống hack Nó giữ cho trang web ta an toàn bạn trải qua trình cập nhật bảo trì – thời điểm mà trang web bạn thường dễ bị công Mặc dù thiết kế để cài đặt cách dễ dàng, BulletProof phù hợp người phát triển WordPress nâng cao BulletProof cho phép bạn tùy chỉnh nhiều cài đặt bảo mật khác Hãy dùng thử miễn phí để làm quen với giao diện tính trước định ta có muốn upgrade khơng 4.2.5.2 Bước 1: Cách cài đặt Truy cập vào trang Dashboard WordPress thông qua tài khoản Admin -> Plugins -> Add New SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 73 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TỒN BẢO MẬT WEBSITE Hình 4.2.5.2.1.1: Bước 2: Giao diện Dashboard WordPress Nhập tên plugin mà ta muốn cài đặt vào ô Search plugins… tiến hành cài đặt plugin vào trang web ta Hình 4.2.5.2.1.2: Bước 3: Tìm kiếm plugin muốn cài đặt Nhấn chọn Install Now để tích hợp plugin vào website ta SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 74 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Hình 4.2.5.2.1.3: Bước 4: Nhấn chọn Activate để kích hoạt plugin vào website Hình 4.2.5.2.1.4: Bước 5: Tải plugin BulletProof Security Kích hoạt plugin BulletProof Security Hồn thành tích hợp plugin BulletProof Security vào website SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 75 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Hình 4.2.5.2.1.5: Hồn thành tích hợp plugin BulletProof Security 4.3 Đánh giá mức độ an toàn bảo mật website Bước 1: Truy cập vào trang quttera.com để chuẩn bị tiến hành quét lỗ hổng website Hình 4.3.1.1.1.1: SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY Trang chủ Quttera TRANG 76 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Bước 2: Nhập đường dẫn trang web ta vào mục Scan website for free nhấn chọn Scan for Malwar Hình 4.3.1.1.1.2: Bước 3: Thực kiểm tra lỗ hổng website Chờ quét lỗ hổng website Hình 4.3.1.1.1.3: SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY Quét lỗ hổng website TRANG 77 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Bước 4: Sau quét lỗ hổng website xong, ta nhấn chọn Detailed report để xem báo cáo kết qt lỗi Hình 4.3.1.1.1.4: Bước 5: Hồn thành quét lỗ hổng website Xem kết Hình 4.3.1.1.1.5: SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY Kết mục Sitescan report TRANG 78 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Hình 4.3.1.1.1.6: Hình 4.3.1.1.1.7: Kết mục Scanned file analysis Kết mục Additional information SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 79 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Hình 4.3.1.1.1.8: Kết mục Sandbox requests Hình 4.3.1.1.1.9: Kết mục Blacklisting status  Kết luận: Sau tích hợp plugin bảo mật WordPress vào website, ta thấy công cụ quét lỗ hổng bảo mật khơng tìm thấy tập tin có mã độc hay tâp tin không đáng tin cậy website Nhưng phát có lượt truy vào website thất bại hình 4-51 SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 80 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE CHƯƠNG 5: KẾT LUẬN 5.1 Kết đạt  Nghiên cứu tìm hiểu kiến thức an tồn thơng tin nói chung an tồn bảo mật website nói riêng  Tạo website công cụ WordPress  Tích hợp plugin bảo mật WordPress vào website  Tìm hiểu số cách cơng phổ biến vào website 5.2 Hạn chế  Chưa hoàn thiện website hồn chỉnh  Khơng thể sử dụng cơng cụ qt lỗ hổng có phí để có kết quét lỗ hổng xác  Thời gian hạn chế nên tìm hiểu số hình thức cơng vào website 5.3 Hướng phát triển  Hồn thiện giao diện cho website  Tích hợp thêm plugin bảo mật nâng cao vào website  Tìm hiểu thêm hình thức cơng vào website để tìm giải pháp khác đảm bảo an toàn bảo mật website SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 81 ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE TÀI LIỆU THAM KHẢO [1] Top plugin bảo mâ ®t tốt dành cho website WordPress | CyStack Security [2] Tạo Web Wordpress Miễn Phí đơn Giản Chỉ Với Bước (tenten.vn) [3] Các hình thức cơng mạng phổ biến cách phòng tránh - ODS [4] Giáo trình An tồn thơng tin: TS.Trương Thành Cơng SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 82 ... đưa giải pháp an toàn bảo mật thông tin cho website 1.4 Đối tượng nghiên cứu Đối tượng nghiên cứu đề tài ? ?Các giải pháp đảm bảo an toàn bảo mật website? ?? vấn đề liên quan đến an toàn bảo mật website. .. đưa giải pháp an toàn bảo mật thông tin cho website 1.4 Đối tượng nghiên cứu 0 Đối tượng nghiên cứu đề tài ? ?Các giải pháp đảm bảo an toàn bảo mật website? ?? vấn đề liên quan đến an toàn bảo mật website. ..BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC AN TỒN THƠNG TIN Đề tài: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE Giảng viên hướng