LẬP TRÌNH WEB ASP.NET VỚI C# Giảng Viên: Th.S Phạm Đào Minh Vũ Email: phamdaominhvu@yahoo.com Chương Bảo mật Quản Trị Website Bảo mật Website Quản trị Website 388 Trường CĐ CNTT TpHCM 9.1 BẢO MẬT WEB  Bảo mật ứng dụng Web  Bảo mật Web Server 389 Written by: Phạm Đào Minh Vũ Khoa CNTT Trường CĐ CNTT TP.HCM 9.1.1 Giới thiệu chung  Khi triển khai ứng dụng Web, người ta thường trọng vào giao diện, tính ứng dụng, tốc độ (bao gồm tốc độ xử lý băng thông), … mà quên độ bảo mật ứng dụng web server điều quan trọng mang tính sống doanh nghiệp  Một ứng dụng web ngày mở rộng khả xuất lỗi bị công cao  Các cơng mang nhiều mục đích khác nhau, đánh cắp thơng tin, phá hoại đùa giỡn 390 Written by: Phạm Đào Minh Vũ Khoa CNTT Trường CĐ CNTT TP.HCM  Khi nói đến vấn đề bảo mật, chuyên gia trọng đến an toàn hệ thống mạng hệ điều hành Tuy nhiên, theo thống kê 70% cơng thơng qua Internet (lợi dụng lỗ hổng bảo mật) giá trị thiệt hải ước tính hàng tỷ USD năm  Kẻ công (Hacker) thường lợi dụng lỗ hổng bảo mật phần cứng lẫn phần mềm, cài đặt virus, worm, trojan, lỗi nghiệp vụ lập trình viên, … để thực công 391 Khoa CNTT Trường CĐ CNTT TP.HCM 392 Khoa CNTT Trường CĐ CNTT TP.HCM 9.1 BẢO MẬT ỨNG DỤNG WEB  Là dạng công phá hoại, mục tiêu ứng dụng Web Server  Mục đích việc cơng phá hoại, đánh cắp thơng tin, thay đổi nội dung website, … 393 Written by: Phạm Đào Minh Vũ Khoa CNTT Trường CĐ CNTT TP.HCM 9.2.1 Lỗ hổng bảo mật ứng dụng web  SQL-injection  HTTP Response Splitting  Directory Traversal  Cross Site Scripting (XSS)  File Inclusion  Buffer Overflow … 394 Khoa CNTT Trường CĐ CNTT TP.HCM SQL-INJECTION  Tấn cơng SQL injection hình thức cơng chèn đoạn mã SQL cho phép khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng  Chiếm 50% công vào website  CSDL:  Access  MSSQL  MySQL  Oracle  …  Mức độ nguy hiểm:  Truy vấn vào CSDL website  Thay đổi thông tin: thêm, xóa, sửa…  Chiếm quyền admin website  Thực thi lệnh hệ thống  Làm sở cho loại công khác: Local, virus, trojan, backdoor, DDoS, Proxy … 395 Khoa CNTT Trường CĐ CNTT TP.HCM 2.1 SQL-INJECTION – Các dạng công By pass : pass Code: trang Login.aspx.cs String vUsrName, vPassword; vUsrName = Request.Form("fUSRNAME") vPassword = Request.Form("fPASSWORD") strSQL = "SELECT * FROM T_USERS WHERE USR_NAME=' " & vUsrName & _ " ' and USR_PASSWORD=' " & vPassword & " ' " 396 Khoa CNTT Trường CĐ CNTT TP.HCM 1.1 Khái niệm • Domain Name (tên miền) tài nguyên Internet để định địa máy tính hay hệ thống máy tính Internet (vd : www.abc.com) • Tên miền dùng thay cho địa IP máy tính Mỗi tên miền quản lý tổ chức ICANN • Tại Việt Nam, ta mua tên miền qua nhà cung cấp đại diện • Hosting (Web Hosting Service) dịch vụ Internet, cung cấp không gian lưu trữ server cho phép khách hàng lưu trữ website họ để người truy xuất đến • Khi đăng ký hosting, ta phải cung cấp Domain Name để 427 server phân giải Domain Name với địa website Trường CĐ CNTT TpHCM 1.2 Đăng ký sử dụng • Để đăng ký Domain Name Host, ta liên lạc với nhà cung cấp • Các thông tin sau đăng ký : • Domain name • Địa trang quản trị host • Địa truy cập host ftp • Tài toản quản trị host website • Tài khoản quản trị host ftp 428 Trường CĐ CNTT TpHCM 1.2 Đăng ký sử dụng (tt) • Ví dụ : • Domain name : www.saoviet.edu.vn • Địa trang quản trị host : http://saoviet.edu.vn:2082 • Địa truy cập host ftp : ftp.saoviet.edu.vn • Tài toản quản trị host website : • Username : itc-minhvu • Password : 123456 • Tài khoản quản trị host ftp • Username : saoviet • Password : 123456 429 Trường CĐ CNTT TpHCM 1.3 Quản trị • Trang quản trị host : (trang quản trị host PA VietNam) 430 Trường CĐ CNTT TpHCM 1.3 Quản trị (tt) • Quản trị Host FTP (với Total Commander) : Tạo kết nối với Server FTP Total Commander 431 Trường CĐ CNTT TpHCM 1.3 Quản trị (tt) • Quản trị Host FTP (với Total Commander) : Các thư mục Host Thư mục www chứa website (hoặc httpdoc) 432 Trường CĐ CNTT TpHCM Triển khai Website • Gồm bước: • Tạo CSDL cho Website • Chỉnh sửa chuổi kết nối CSDL file Webconfig Website • Upload Website lên Web Server 433 Trường CĐ CNTT TpHCM 2.1 Tạo CSDL • Tạo CSDL cho website: • Vào trang quản trị host, đến mục quản lý Database • Chọn loại Database muốn tạo (MySQL, SQL Server…) • Nhập tên CSDL 434 Trường CĐ CNTT TpHCM • Tạo tài khoản cho CSDL 435 Trường CĐ CNTT TpHCM • Kết nối đến CSDL SQL Server Management Studio 436 Trường CĐ CNTT TpHCM • Chạy script để tạo Table, Store Procedure, Primary key, … 437 Trường CĐ CNTT TpHCM 2.2 Chỉnh sửa chuỗi kết nối • Upload website lên Host • Mở file web.config chỉnh lại chuỗi kết nối 438 Trường CĐ CNTT TpHCM 2.3 Upload tồn Website • Upload website lên Host • Mở Total Commander (hoặc chương trình kết nối đến host ftp FTP Cute, FTP Professional,…) • Mở kết đến Host, mở thư mục www (hoặc httpdoc) • Copy toàn website từ thư mục máy lên host 439 Trường CĐ CNTT TpHCM 440 Trường CĐ CNTT TpHCM • Chạy Website 441 Trường CĐ CNTT TpHCM ... c? ?ng 414 Khoa CNTT Trường C? ? CNTT TP.HCM C? ?c bư? ?c th? ? ?c hiện: X? ?c định website c? ??n c? ?ng X? ?c định website đặt server với m? ?c tiêu Tìm c? ?ch khai th? ?c website đặt chung server với m? ?c tiêu Khai th? ?c. .. Cross-Site Scripting hay gọi tắt XSS (thay gọi tắt CSS để tránh nhầm lẫn với CSSCascading Style Sheet HTML) kỹ thuật c? ?ng c? ?ch chèn vào website động (ASP, PHP, CGI, JSP ) th? ?? HTML hay đoạn mã script... khai Website • Gồm bư? ?c: • Tạo CSDL cho Website • Chỉnh s? ??a chuổi kết nối CSDL file Webconfig Website • Upload Website lên Web Server 433 Trường C? ? CNTT TpHCM 2.1 Tạo CSDL • Tạo CSDL cho website: