1. Trang chủ
  2. Luận Văn - Báo Cáo

(Luận văn) nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử

67 0 0
(Luận văn) nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHATTHANAM PHOUCHANTHVONG lu an n va tn to ie gh NGHIÊN CỨU MỘT SỐ GIẢI PHÁP p PHỊNG CHỐNG TẤN CƠNG DỮ LIỆU d oa nl w ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ nf va an lu z at nh oi lm ul LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH z m co l gm @ an Lu Thái Nguyên – 2020 n va ac th si ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHATTHANAM PHOUCHANTHAVONG lu an n va NGHIÊN CỨU MỘT SỐ GIẢI PHÁP tn to PHỊNG CHỐNG TẤN CƠNG DỮ LIỆU p ie gh ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ d oa nl w an lu Chuyên ngành: Khoa học máy tính nf va Mã số chuyên ngành: 8480101 z at nh oi lm ul LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH z @ m co l gm Hướng dẫn khoa học: TS Nguyễn Đức Bình an Lu Thái Nguyên – 2020 n va ac th si I LỜI CẢM ƠN Trước hết xin gửi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học TS Nguyễn Đức Bình dẫn khoa học, định hướng nghiên cứu tận tịnh hướng dẫn suốt q trình làm luận văn Tơi xin cảm ơn thầy khoa Công nghệ thông tin, thầy cô giáo trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái Nguyên cung cấp cho kiến thức vô quý báu cần thiết suốt thời gian học tập trường để tơi thực hồn thành tốt luận văn Tơi xin bày tỏ lịng biết ơn sâu sắc tới Chính phủ Lào Chính phủ Việt lu an Nam, Bộ Giáo dục Thể thao Lào, Bộ Giáo dục Đào tạo Việt Nam tạo điều n va kiện cấp suất học bổng cao học cho Xin trân trọng cảm ơn sâu sắc tới tn to Ban Lãnh đạo Bộ giáo dục thể thao Lào tạo điều kiện ủng hộ gh Với thời gian nghiên cứu cịn hạn chế, ngơn ngữ cịn khiêm tốn, luận văn p ie khơng tránh khỏi thiếu sót, tơi mong nhận ý kiến đóng góp chân w thành từ thầy cô giáo, đồng nghiệp bạn bè oa nl Cuối cùng, xin cảm ơn gia đình bạn bè, người ln ủng hộ d động viên tôi, giúp yên tâm có tâm lý thuận lợi để tơi nghiên cứu luận văn an lu Tuy nhiên giới hạn mặt thời gian kiến thức nên luận văn chắn nf va không tránh khỏi sai sót ngồi ý muốn Tơi mong nhận thông cảm z at nh oi lm ul đóng góp ý kiến thầy giáo, đồng nghiệp bạn bè Thái Nguyên, tháng 11 năm 2020 HỌC VIÊN z gm @ m co l Khatthnam PHOUCHANTHAVONG an Lu n va ac th si II LỜI CAM ĐOAN Tơi xin cam đoan tồn nội dung văn tự sưu tầm, tra cứu xếp cho phù hợp với nội dung yêu cầu đề tài Nội dung luận văn chưa công bố hay xuất hình thức khơng chép từ cơng trình nghiên cứu Tất phần mã nguồn chương trình tơi tự thiết kế xây dựng, có sử dựng số thư viện chuẩn thuật toán tác giả xuất công khai miễn phí mạng Internet lu an va Thái Nguyên, tháng 11 năm 2020 n Tác giả luận văn ie gh tn to p Khatthanam PHOUCHANTHAVONG d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si III MỤC LỤC LỜI CẢM ƠN I LỜI CAM ĐOAN II MỤC LỤC III DANH SÁNH HÌNH VẼ VI DANH SÁCH TỪ VIẾT TẮT VII MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI BẢO MẬT THÔNG DỤNG .3 lu an 1.1 Khái niệm chung thương mại điện tử va n 1.1.1 Sự đời phát triển Internet .3 1.1.3 Hệ thống hoạt động thương mại điện tử .5 ie gh tn to 1.1.2 Khái niệm thương mại điện tử p 1.2 Tổng quan ứng dụng Website nl w 1.2.1 Khái niệm ứng dụng Website d oa 1.2.2 Cách thức hoạt động .7 an lu 1.2.3 Các dịch vụ ứng dụng Website nf va 1.3 Tổng quan an ninh mạng lm ul 1.3.1 Khái niệm an toàn an ninh mạng 1.3.2 Sự cần thiết phải bảo vệ thông tin z at nh oi 1.4 Các thuật ngữ liên quan 10 1.4.1 Hacker 10 z gm @ 1.4.2 HTTP Header .10 1.4.3 Session 12 l co 1.4.4 Cookie 13 m 1.4.5 Proxy .15 an Lu n va ac th si IV CHƯƠNG CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN 16 2.1 Đặc trưng Website thương mại điện tử 16 2.2 Tổng quan Local Attack 17 2.2.1 Giới thiệu Local Attack 17 2.2.2 Phương thức công Local Attack .17 2.3 Tấn công từ chối dịch vụ (denial of service) 19 2.3.1 DOS (Denial of Service) .19 2.3.2 DDoS (Distributed Denial of Service) 20 2.4 Tấn công SQL Injection 24 lu an 2.4.1 SQL Injection gì? 24 va n 2.4.2 SQL Injection vấn đề an ninh sở liệu 24 gh tn to 2.5 Các phương pháp công SQL Injection phổ biến 27 p ie 2.5.1 Tấn công khai thác liệu thơng qua tốn tử UNION .28 2.5.2 Tìm số cột kiểu liệu cột 28 nl w 2.5.3 Tìm cột có khả “chứa” thơng tin khai thác 28 d oa 2.5.4 Khai thác thông qua câu lệnh điều kiện 30 an lu 2.5.5 Blind SQL Injection – phương thức công nâng cao .31 2.5.6 Vấn đề qua mặt lọc tham số đầu vào 31 nf va 2.5.7 Sử dụng byte NULL .32 lm ul 2.6 Tấn công Cross Site Scripting (XSS) 32 z at nh oi 2.6.1 Hoạt động XSS .33 2.6.2 Phương pháp công 34 z CHƯƠNG MỘT SỐ GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DỮ LIỆU @ gm WEBSITE THƯƠNG MẠI ĐIỆN TỬ .35 co l 3.1 Mơ hình đề xuất 35 m 3.2 Các giải pháp đề xuất cụ thể .36 an Lu 3.2.1 Giải pháp phòng chống Local Attack 36 n va ac th si V 3.2.2 Giải pháp phịng chống cơng SQL Injection 38 3.2.3 Xây dựng truy vấn theo mơ hình tham số hóa 40 3.2.4 Chuẩn hóa liệu 44 3.2.5 Giải pháp bảo mật liệu với mã hóa AES .44 3.3 Demo ứng dựng Website thương mại điện tử ứng dụng giải pháp phòng chống công liệu 48 3.3.1 Xây dựng website thương mại điện tử khóa học 48 3.3.2 Mã hoá liệu bên hệ quản trị sở liệu 50 3.3.3 Một số giao diện chức Admin .52 lu 3.4 Đánh giá kết 55 an n va KẾT LUẬN VÀ ĐỀ NGHỊ .56 p ie gh tn to TÀI LIỆU THAM KHẢO 57 d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si VI DANH SÁNH HÌNH VẼ Hình 1: Mơ hình ứng dụng thương mại điện tử giai đoạn chuỗi giá trị Hình 2: Kiến trúc ứng dụng Website .6 Hình 3: Mơ hình hoạt động ứng dụng Website Hình 1: Sơ đồ phân loại mơ hình cơng DDoS .21 Hình 2: Kiến trúc attack-network kiểu Agent – Handler 22 Hình 3: Kiến trúc attack-network kiểu IRC-Base 23 Hình 4: Thống kê 10 điểm yếu phổ biến (2008) 25 lu Hình 5: Thống kê 10 điểm yếu phổ biến (2009) 25 an Hình 6: Thống kê thời gian trung bình khắc phục điểm yếu (2008) .26 va n Hình 7: Thống kê thời gian trung bình khắc phục điểm yếu (2009) .26 gh tn to Hình 8: Thống kê điểm yếu thường khai thác 2019 27 Hình 9: Tìm cột mang liệu .29 ie p Hình 10: Khai thác thơng tin username 29 nl w Hình 1: Mơ hình đề xuất .35 oa Hình 2: Hàm prepare MySQL .41 d Hình 3: Trang chủ website thương mại điện tử khóa học .48 lu nf va an Hình 4: Một số sản phẩm website thương mại điện tử khóa học 49 Hình 5: Một số sản phẩm website thương mại điện tử khóa học 50 lm ul Hình 6: Bảng điểm (point) sau mã hõa liệu với AES 50 z at nh oi Hình 7: Giao diện sau đăng nhập 53 Hình 8: Giao diện thêm khóa học 53 Hình 9: Giao diện Danh sách khóa học 54 z m co l gm @ Hình 10: Giao diện Danh sách lớp học 54 an Lu n va ac th si VII DANH SÁCH TỪ VIẾT TẮT Ý nghĩa lu an n va Chữ viết tắt TMĐT Thương mại điện tử HTML Hyper text markup language JSP JavaServer Pages ASP Active Server Pages DBMS Database Managerment System ODBC Database Connectivity DOS Denial of Service DDoS Distributed Denial of Service ie gh tn to TT p Internet Relay Chat IPS Intrusion Prevention System oa XSS Cross-Site Scripting d nf va an lu 11 nl 10 w IRC z at nh oi lm ul z m co l gm @ an Lu n va ac th si MỞ ĐẦU Thương mại điện tử (TMĐT) việc tiến hành phần hay toàn hoạt động thương mại phương tiện điện tử qua môi trường Internet giúp hoạt động thương mại thực nhanh hơn, hiệu hơn, giúp tiết kiệm chi phí mở rộng khơng gian kinh doanh Với vai trị ảnh hưởng rộng lớn, đặc biệt liên quan đến tài nhiều lĩnh vực hoạt động kinh tế, website TMĐT với đặc điểm chứa lu nhiều thông tin giá trị, đặc biệt mặt tài Điều dẫn tới website TMĐT an mục tiêu công bất hợp pháp nhằm khai thác liệu có giá trị va n Cơng nghệ thơng tin Thương mại điện tử xâm nhập vào góc cạnh tn to đời sống xã hội nói chung doanh nghiệp nói riêng Đối với doanh nghiệp, Thương ie gh mại điện tử góp phần hình thành mơ hình kinh doanh mới, giảm chi phí, nâng cao p hiệu kinh doanh Đối với người tiêu dùng, Thương mại điện tử giúp mua sắm thuận tiện hàng hóa dịch vụ thị trường nơi giới Để doanh nghiệp w oa nl phát triển môi trường công nghệ có tốc độ phát triển doanh d nghiệp phải nắm rõ thông tin để vận hành thương mại điện tử lu an vào tổ chức nf va Thế giới ngày có nhiều tiến mạnh mẽ công nghệ thông tin (CNTT) oi lm ul từ tiềm thông tin trở thành tài nguyên thực sự, trở thành sản phẩm hàng hoá xã hội tạo thay đổi to lớn lực lượng sản xuất, sở hạ tầng, z at nh cấu trúc kinh tế, tính chất lao động cách thức quản lý lĩnh vực xã hội Trong năm gần đây, ứng dụng công nghệ thông tin ngày phát z triển Đặc biệt ứng dụng Website, người nghe làm việc @ gm ứng dụng Website Website trở nên phổ biến trở thành phần quan trọng ứng dụng Website vấn đề nan giải người m co l người doanh nghiệp, cơng ty Bên cạnh lý an toàn bảo mật cho an Lu Với lý trên, em lựa chọn đề tài “Nghiên cứu số giải pháp phịng chống cơng liệu website thương mại điện tử” để làm đề tài luận văn va n cho Em thấy đề tài mang tính thực tế cao, giúp cho nhà quản trị Website ac th si 44 3.2.4 Chuẩn hóa liệu Chúng ta đề cập đến số thao tác qua mặt lọc, phương thức phổ biến mã hóa input định dạng gửi cho ứng dụng mà sau input giải mã theo định dạng hacker mong muốn Ví dụ, ta có số mã hóa dấu nháy đơn sau: Bảng 1: Một số mã hóa dấu nháy đơn lu Biểu diễn Hình thức mã hóa %27 Mã hóa URL(URL encoding) %2527 Mã hóa kép URL(double URL encoding), trường an hợp dấu % %27 mã hóa n va Biểu diễn dạng ký tự Unicode %u02b9 Biểu diễn dạng ký tự Unicode gh tn to %u0027 Biểu diễn dạng ký tự Unicode p ie %ca%b9 Thuộc tính HTML dạng hexa d oa Thuộc tính HTML dạng decimal nf va an lu ' nl ' Thuộc tính HTML w ' oi lm ul Không phải tất hình thức biểu diễn thơng dịch thành dấu nháy đơn mong muốn mà tùy thuộc vào điều kiện cụ thể (ví dụ giải mã mức ứng dụng, z at nh giải mã WAF hay Web server, ) Nói chung khó dự đốn kết việc thơng dịch dạng mã hóa Chính lý trên, để thuận lợi cho trình kiểm tra liệu đầu z vào đầu ra, tác giả đề xuất xây dựng mơ hình chuẩn hóa liệu dạng đơn giản @ gm Một mơ hình xem xét như, ban đầu giải mã dạng URL, sau giải mã dạng m co 3.2.5 Giải pháp bảo mật liệu với mã hóa AES l HTML, thực vài lần, phát dấu hiệu nghi vấn, từ chối liệu an Lu Thuật tốn AES cho phép thực thi hiệu phần mềm phần cứng Trong phạm vi luận văn này, tác giả đề xuất thực thi AES sử dụng dạng phần mềm nhằm đảm bảo với nhu n va cầu Website thương mại điện tử ac th si 45 Hiện nay, Internet có nhiều mã nguồn thực thi thuật toán AES nhiều tác giả viết nhiều dạng ngơn ngữ lập trình khác Tuy nhiên, tác giả sử dụng số mã nguồn thuật toán cung cấp https://csrc.nist.gov/archive/aes/ đặc tả thuật tốn AES, mã nguồn chương trình thực thi, véc-tơ kiểm tra thuật tốn, Bên cạnh đó, tác giả đề xuất sử dụng thư viện hàm mật mã tương thuộc dự án OpenSSL [20] áp dụng xây dựng ứng dụng thương mại điện tử Web có sử dụng mã hóa AES lu an Thuật tốn AES n va Nguyên tắc tn to Mã hóa AES sử dụng liệu đầu vào key hệ Hex, rõ key phải gh chuyển đổi từ hệ ASCII sang hệ Hex p ie Tùy thuộc vào độ dài key sử dụng 128bit, 196bit 256 bit mà AES có cách Độ dài khóa(Nk) Số lần lặp 10 12 14 AES 196 AES 256 oi lm Bước 1: Khởi động vòng lặp ul nf va lu AES 128 d oa Kích thước khối (Nb) an nl w mã hóa với số lần lặp khác Cụ thể z at nh  AddRoundKey — Mỗi cột trạng thái kết hợp với khóa theo thứ tự từ đầu dãy khóa z gm @ Bước 2: Vòng lặp  SubBytes — phép (phi tuyến) byte trạng thái l m co byte khác theo bảng tra (Rijndael S-box)  ShiftRows — dịch chuyển, hàng trạng thái dịch vòng theo số bước an Lu khác n biến đổi tuyến tính va  MixColumns — q trình trộn làm việc theo cột khối theo phép ac th si 46  AddRoundKey Bước 3: Vòng lặp cuối SubBytes ShiftRows  AddRoundKey Tìm hiểu cách thức giải mã AES Việc giải mã trình tương tự q trình mã hóa Tuy nhiên, thứ tự hàm biến đổi áp dụng khác so với thuật toán mã hóa Trong dạng danh sách khóa thuật tốn giữ ngun Về bản, sơ đặc điểm AES cho phép có thuật tốn giải mã tương đương có thứ tự áp dụng hàm biến đổi giống với thuật toán mã hóa (tất nhiên lu an biến đổi cách làm ngược chúng) Điều làm cách thay đổi danh sách n va khóa tn to Lợi ích việc mã hóa liệu gh Thấy rõ lợi ích bảo mật thơng tin trước mối nguy hại hacker, p ie phần mềm gián điệp Mã hóa liệu phương pháp bảo mật liệu phổ biến hiệu oa nl w nhất, nhiều tổ chức, cá nhân tin tưởng Thực tế, việc mã hóa liệu khơng thể ngăn việc liệu bị đánh cắp, ngăn việc người khác đọc nội dung d an lu tập tin đó, bị biến sang thành dạng ký tự khác, hay nội dung khác va Nhược điểm mã hóa liệu ul nf Tốn tài nguyên CPU cho xử lý đơn vị liệu, số trường hợp làm chậm z at nh hệ thống liên quan oi lm q trình xử lý đơi người ta cần cân đối tính bảo mật tốc độ xử lý, độ trễ Khơng có vậy, liệu sau mã hóa thường có dung lượng lớn hơn, làm cho z trình lưu trữ truyền tải tốn m co l gm @ an Lu n va ac th si 47 Ứng dụng q trình mã hóa giải mã hệ thống đề xuất lu an n va p ie gh tn to d oa nl w Hình 3: Dữ liệu mã hóa với AES oi lm ul nf va an lu z at nh z m co l gm @ an Lu n va Hình 4: Dữ liệu giải mã với AES ac th si 48 3.3 Demo ứng dựng Website thương mại điện tử ứng dụng giải pháp phịng chống cơng liệu 3.3.1 Xây dựng website thương mại điện tử khóa học Xây dựng website thương mại điện tử để giới thiệu khóa học với chức năng: Hiển thị thơng tin khóa học, chi tiết khóa học, giỏ hàng, quản lý khoá học, đăng nhập, tin tức, liên hệ lu an n va p ie gh tn to nl w Hình 3: Trang chủ website thương mại điện tử khóa học d oa Trên trang website thương mại điện tử khóa học gồm trang: Trang chủ, an lu Sản phẩm, Liên hệ, Thông tin, Tin tức ll Có tác nhân: u nf va  Xác Định Chức Năng Trang WEB m oi • Khách hàng: Là người thăm website, họ xem, tìm kiếm đặt hàng z at nh sản phẩm z • Thành viên: Là người thăm website đăng ký trở thành thành viên Ngoài @ gm việc có chức giống khách hàng, họ tiến hành đăng bình luận, m co l đánh giá sản phẩm tiến hành tốn sản phẩm đặt hàng • Người quản trị (admin): Người quản trị website đăng nhập vào hệ thống nhằm mục n va  Yêu Câu Chức Năng an Lu đích quản lý thơng tin liệu website, có tồn quyền thêm xóa sửa sở liệu ac th si 49 - Tra cứu sản phẩm thêm sản phẩm vào giỏ hàng - Đăng nhập, quản lý thông tin cá nhân sau đăng nhập - Tra cứu xem viết giới thiệu sản phẩm - Quản lý sản phẩm - Quản lý danh mục sản phẩm - Quản lý người dung - Quản lý giỏ hàng  Yêu Cầu Phi Chức Năng - Tương thích với thiết bị có độ phân giải hình khác máy tính, máy lu tính bảng, smartphone an - Website phải có dung lượng không lớn, tốc độ xử lý nhanh va n - Bảo mật thông tin thành viên tn to - Đảm bảo an toàn liệu chạy website trực tuyến ie gh - Dễ dàng cho người sử dụng, giao diện thân thiện, truy cập dễ dàng p Cách mua sản phẩm website thương mại điện tử khóa học Vào trang sản phẩm chọn sản phẩm vào giỏ hàng bạn d oa nl w - ll u nf va an lu oi m z at nh z gm @ m co l Hình 4: Một số sản phẩm website thương mại điện tử khóa học an Lu n va ac th si 50 Vào giỏ hàng sau chọn sản phẩm mua Click đồng ý toán - lu an n va Hình 5: Một số sản phẩm website thương mại điện tử khóa học Bộ liệu mã hóa trước ghi vào sở liệu giải mã gh tn to 3.3.2 Mã hoá liệu bên hệ quản trị sở liệu p ie sau đọc từ sở liệu Q trình khơng làm ảnh hưởng đến thao tác xử lý liệu hệ quản trị MySQL d oa nl w Bảng điểm (point) sau mã hõa liệu với AES ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va Hình 6: Bảng điểm (point) sau mã hõa liệu với AES ac th si 51 Bảng người học (student) sau mã hóa liệu với AES lu Ngồi để thực giải pháp phải xây dựng an hệ thống khóa để mã hóa liệu chế quản lý khóa bí mật Đối va n với quan hệ liệu tạo khóa bí mật để mã hóa gh tn to liệu quan hệ Các khố lưu khóa bí mật bảng lấy để thực việc mã hóa/giải mã p ie Việc mã hóa giải mã AES thực thông qua hàm

Ngày đăng: 21/07/2023, 09:14

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan