Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 75 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
75
Dung lượng
1,3 MB
Nội dung
TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP Một số vấn đề bảo mật ứng dụng Web &Demo lỗi SQL Injection GVHD Th.s: Lê Văn Minh SVTH: Nguyễn Mạnh Cƣờng Vinh, 05/2009 LỜI CẢM ƠN Sau tháng nỗ lực thực đồ án tốt nghiệp, ngồi cố gắng thân, nhận giúp đỡ bảo tận tình thầy cơ, bạn bè Cá nhân xin bày tỏ lời chân thành cảm ơn đến thầy giáo hướng dẫn: Th.S Lê Văn Minh – môn Mạng truyền thông , khoa CNTT-Trường ĐH Vinh, người trực tiếp tận tình giúp đỡ tơi suốt trình thực đồ án Đồng thời cho phép cảm ơn giúp đỡ, tạo điều kiện khoa CNTT-Trường Đại học Vinh Mặc dù tơi cố gắng hồn thành đồ án khả cho phép khơng tránh khỏi thiếu sót Tơi mong nhận bảo đóng góp ý kiến tận tình thầy giáo bạn Người viết đồ án Nguyễn Mạnh Cường MỤC LỤC MỞ ĐẦU CHƢƠNG I : GIỚI THIỆU ỨNG DỤNG WEB I Ứng dụng Web (Web Application) II Hoạt động III Các vấn đề bảo mật Web CHƢƠNG II : GIỚI THIỆU SƠ LƢỢC VỀ CÁC KỸ THUẬT TẤN CÔNG ỨNG DỤNG WEB 11 I CÁC KHÁI NIỆM THUẬT NGỮ LIÊN QUAN 11 I.1 Hacker 11 I.2 HTTP Header 11 I.3 Session 13 I.4 Cookie 13 I.5 Proxy 14 II GIỚI THIỆU SƠ LƢỢC CÁC KỸ THUẬT TẤN CƠNG 14 II.1 Kiểm sốt truy cập web (Web access control) 14 II.2 Chiếm hữu phiên làm viêc 14 II.3 Lợi dụng thiếu sót việc kiểm tra liệu nhập hợp lệ (Input validation) 15 II.4 Để lộ thông tin 16 II.5 Từ chối dịch vụ (Denial of service DoS) 17 CHƢƠNG III : MỘT SỐ KĨ THUẬT TẤN CÔNG ỨNG DỤNG WEB 18 I THAO TÁC TRÊN THAM SỐ TRUYỀN 18 I.1 Thao tác URL 18 I.2 Thao tác biến ẩn form 19 I.3 Thao tác Cookie 21 I.4 Thao tác HTTP header 22 II CHÈN MÃ LỆNH THỰC THI TRÊN TRÌNH DUYỆT NẠN NHÂN (CROSS-SITE SCRIPTING) 24 II.1 Cross-Site Scripting (XSS) 24 II.2 Phƣơng pháp công XSS truyền thống 26 II.3 Tấn công XSS flash 28 II.4 Phát XSS cách nào? 29 II.5 Cách phòng chống 29 III CHÈN CÂU TRUY VẤN SQL (SQL INJECTION) 30 IV.1 Khái niệm SQL Injection 30 IV.2 Các cách công 30 IV.3 Cách phòng chống 45 IV TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) 49 V.1 Khái niệm 49 V.2 Những khả bị công DoS 49 V.3 Các kĩ thuật công 50 V.4 Biện pháp phòng chống 57 CHƢƠNG IV : TỔNG KẾT CÁC Q TRÌNH TẤN CƠNG VÀ CÁC BIỆN PHÁP PHỊNG CHỐNG 59 I CÁC Q TRÌNH TẤN CƠNG 59 I.1 Thu nhập thông tin mức hạ tầng mục tiêu 59 I.2 Khảo sát ứng dụng Web 61 I.3 Tấn công 62 II CÁC BIỆN PHÁP PHÒNG CHỐNG 62 II.1 Với nhà quản trị mạng 62 II.2 Với nhà thiết kế ứng dụng Web 64 II.3 Với ngƣời sử dụng ứng dụng Web 65 CHƢƠNG V : CHƢƠNG TRÌNH MINH HỌA 66 I Tổng quan 66 II Cài đặt 66 KẾT LUẬN 74 I Các kết thu đƣợc 74 II Hƣớng phát triển 74 TÀI LIỆU THAM KHẢO 75 MỞ ĐẦU Trong thời đại bùng nổ Internet nay, việc khai thác, tìm kiếm quảng cáo thông tin trang Web trở thành nhu cầu khơng thể thiếu đóng vai trị quan trọng thành cơng công việc doanh nghiệp, tổ chức xã hội cá nhân Bởi lý quan trọng nên số lượng cá nhân tổ chức truy cập vào trang Web tăng lên cách đáng kể Trong số này, hàng ngày, hàng tuần có hàng trăm thăm viếng trang Web với mục đích xấu Số lượng công nhằm vào lỗ hổng ứng dụng Web gây nhiều tổn thất mặt kinh tế xã hội Vì việc nghiên cứu vấn đề bảo mật ứng dụng Web vấn đề quan trọng phát triển Internet Mục đích đồ án: Nghiên cứu phương pháp cơng ứng dụng web, từ đưa giải pháp bảo mật cho ứng dụng Nội dung đồ án chia thành chương chính: Chương I : Giới thiệu ứng dụng Web Chương II : Giới thiệu sơ lược kĩ thuật công ứng dụng web Chương III : Một số kĩ thuật cơng Chương IV :Tổng kết q trình cơng biện pháp phịng Chương V : Chương trình minh họa chống C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an CHƢƠNG I GIỚI THIỆU ỨNG DỤNG WEB I Ứng dụng Web (Web Application) Web mơi trường có khả thực thi chương trình cao, cho phép tạo vơ số tùy biến nó, triển khai trực tiếp lượng lớn ứng dụng tới hàng triệu người dùng giới Hai thành phần quan trọng Website trình duyệt Web ứng dụng Web Web browser ( trình duyệt Web ) ứng dụng phần mềm cho phép người dùng truy vấn liệu tương tác với nội dung nằm trang Web bên Website Các trang Web đại cho phép người dùng lấy xuống nội dung động cá nhân hóa theo thiết lập tham chiếu riêng Hơn chúng chạy Script máy khách, ―thay đổi‖ trình duyệt Internet thành giao diện cho ứng dụng thư điện tử, phần mềm ánh xạ tương tác (Yahoo Mail, Goole Maps) Quan trọng Website đại cho phép đóng gói, xử lý, lưu trữ truyền tải liệu khách hàng nhạy cảm (như thơng tin cá nhân, mã số thẻ tín dụng, thơng tin bảo mật xã hội ) dùng dùng định kỳ sau Và điều thực qua ứng dụng Web Đó thành phần Webmail (thư điện tử), trang đăng nhập, chương trình hỗ trợ mẫu yêu cầu sản phẩm hay hoạt động mua bán, hệ thống quản lý nội dung, phát triển Website đại, cung cấp phương tiện cần thiết để liên lạc với khách hàng tương lai khách hàng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Dưới góc độ chức năng, ứng dụng Web chương trình máy tính cho phép người dùng Website đăng nhập, truy vấn vào/ra liệu qua mạng trình duyệt Web Dưới góc độ kỹ thuật, ứng dụng Web truy vấn máy chủ chứa nội dung (chủ yếu sở liệu lưu trữ nội dung) tạo tài liệu Web động để phục vụ yêu cầu máy khách (chính người dùng Website) Tài liệu tạo kiểu định dạng tiêu chuẩn hỗ trợ tất trình duyệt (như HTML, XHTML) Trình duyệt Web chìa khóa, dịch chạy tất Script, lệnh…khi hiển thị trang Web nội dung yêu cầu II Hoạt động Hình bên minh họa chi tiết mơ hình ứng dụng Web ba tầng Tầng thơng thương trình duyệt Web giao diện người dùng Tầng thứ hai công nghệ kỹ thuật tạo nội dung động Java servlets (JSP) hay Active Server Pages (ASP) Còn tầng thứ ba sở liệu chứa nội dung (như tin tức) liệu người dùng (như username, password, mã số bảo mật xã hội, chi tiết thẻ tín dụng) Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình Quá trình hoạt động bắt đầu với yêu cầu tạo từ người dùng trình duyệt, gửi qua Internet tới trình chủ Web ứng dụng (Web application Server) Web ứng dụng truy cập máy chủ chứa sở liệu để thực nhiệm vụ yêu cầu: cập nhật, truy vấn thông tin nằm sở liệu Sau ứng dụng Web gửi thơng tin lại cho người dùng qua trình duyệt Hình Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an III Các vấn đề bảo mật Web Mặc dù phủ nhận cải tiến nâng cao đáng kể nay, vấn đề bảo mật ứng dụng Web không ngừng tăng lên Nguyên nhân xuất phát từ đoạn mã không phù hợp Nhiều điểm yếu nghiêm trọng hay lỗ hổng cho phép hacker xâm nhập thẳng truy cập vào sở liệu tách lấy liệu nhạy cảm Nhiều sở liệu chứa thông tin giá trị (như chi tiết cá nhân, thông tin tài chính) khiến chúng trở thành đích nhắm thường xuyên hầu hết hacker Website ứng dụng Web liên quan phải sẵn sàng 24/7 để cung cấp dịch vụ theo yêu cầu khách hàng, yêu cầu từ phía nhân viên, nhà cung cấp nhiều người liên quan khác Tường lửa, SLL bảo vệ ứng dụng Web trước hoạt động hacking, đơn giản truy cập vào Website phải để chế độ public để ghé thăm Website Tất hệ thống sở liệu đại (như Microsoft SQL Server, Oracle, MySQL) truy cập qua số cổng cụ thể (như cổng 80, 433) Nếu muốn, người kết nội trực tiếp tới sở liệu cách hiệu vượt qua chế bảo mật hệ điều hành Các cổng để mở nhằm cho phép liên lạc với hoạt động giao thông mạng hợp pháp, hình thành nên lỗ hổng lớn nguy hiểm Các ứng dụng Web thường truy cập liệu cuối sở liệu khách hàng, điểu khiển liệu có giá trị khó để tuyệt đối an toàn Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hầu hết ứng dụng Web tự tạo, có kiểm tra trình độ so với phần mềm loại Do ứng dụng tùy biến thường dễ bị cơng Có thể nói ứng dụng Web cổng vào (gateway) sở liệu, ứng dụng tùy biến Chúng không phát triển với mức bảo mật tốt khơng phải qua kiểm tra bảo mật thông thường Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 10 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Công cụ: Zap, Event log GUI, rootkits, file streaming Bước 8: Creating Backdoors ( Tạo cửa sau chuẩn bị cho lần xâm nhập ) Hacker để lại ―Back Doors‖, tức chế cho phép hacker truy nhập trở lại đường bí mật tốn nhiều công sức, việc cài đặt Trojan hay tạo user ( tổ chức có nhiều user) Cơng cụ loại Trojan, keylog, creat rogue user accounts, schedule batch jobs, infect startup files, plant remote contro services, install monitoring mechanisms, replace apps with Trojan… I.2 Khảo sát ứng dụng Web Phương pháp khảo sát phổ biến Xem mã nguồn lợi dụng lỗi cho phép xem mã nguồn Một số ngơn ngữ Web thơng dụng có nhiều lỗi Active Server Pages (ASP), Common Gateway Interface (CGI), ColdFusion Server (CFM), Hypertext Preprocessor (PHP) Tấn cơng vượt qua chế kiểm sốt (authentication, authorization) Tìm hiểu sâu chức ứng dụng web Tìm hiểu cách thực phần ứng dụng, đặc biệt order input, confirmation, order tracking Ở ta áp dụng phương pháp SQL Injection, input validation… Tìm hiểu luồng di chuyển thông tin Các thông tin tương tác client server, thông tin tương tác với database Hiện việc viết mã để thực việc giao tiếp thông tin thường phải đảm bảo tính hiệu (nhanh), bảo mật (có thể chậm hơn).Khi tính hiệu ưu tiên phát sinh lỗi Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 61 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an q trình va giúp hacker lợi dụng lỗi để đoạt quyền điều khiển hệ thống I.3 Tấn công Sau thu nhập khảo sát kỹ đối tượng, hacker bắt đầu thực việc công nhằm xâm nhập vào hệ thống lấy thông tin, đưa thông tin xấu vào, dành quyền kiểm sốt…Cịn khơng thành cơng việc xâm nhập, DoS cách thức cuối mà hacker thường lựa chọn để làm cho hệ thống khơng thể hoạt động II CÁC BIỆN PHÁP PHỊNG CHỐNG Phịng chống hacker khơng phải nhiệm cụ riêng người lập trình Web mà cần phải có kết hợp, hỗ trợ người quản trị thân người dùng Thiếu sót yếu tố dẫn đến thơng tin bị đánh cắp chí hacker điều khiển hệ thống mạng II.1 Với nhà quản trị mạng Người quản trị hệ thống cần xác định rõ đối tượng quan trọng hệ thống cần bảo vệ, xác định rõ mức độ ưu tiên đối tượng Ví dụ: đối tượng cần bảo vệ hệ thống là: Các máy chủ dịch vụ, router, điểm truy nhập hệ thống, chương trình ứng dụng, hệ quản trị CSDL, dịch vụ cung cấp… Cấu hình cho ứng dung: Thận trọng việc cấu hình trình chủ số ứng dụng Trình chủ nên hay khơng cho phép thực thi câu lệnh SSI Ngoài phải thiết lập quyền cho ứng dụng chạy số quyền hạn định quản trị Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 62 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an sở liệu ( không nên chạy quyền Admin) tránh trường hợp hacker lợi dụng chạy câu lệnh điều khiển hệ thống Xác định nguy hệ thống xác định lỗ hổng bảo mật dịch vụ, ứng dụng hệ thống Việc xác định đắn nguy giúp người quản trị tránh cơng mạng, có biện pháp bảo vệ đắn cách thường xuyên cập nhật tin tức nhóm tin bảo mật từ nhà cung cấp phần mềm để phát lỗi phần mềm sử dụng Khi phát lỗi, cần cập nhật phần mềm để tránh trường hợp hacker lợi dụng lỗ hổng có ứng dụng chưa sửa chữa phiên cũ Nắm hoạt động phần mềm sử dụng, ý nghĩa file cấu hình quan trọng ( etc/password), áp dụng biện pháp bảo vệ cấu hình sử dụng phương thức mã hóa hashing code (MD5) Sử dụng vài cơng cụ phát hoạt động truy nhập không hợp lệ vào hệ thống logfile Kiểm soát chặt chẽ quyền tài khoản hệ thống, không sử dụng quyền root trường hợp không cần thiết Đối với tài khoản không sử dụng hệ thống cần đổi mật hủy bỏ Quản lý mật cách chặt chẽ o Buộc người sử dụng thay đổi mât thời gian định Hầu hết hệ thống hỗ trợ chế o Trong trường hợp người sử dụng bị mật khẩu, để cấp lại mật cần có thủ tục khác để xác thực người dùng… o Cần giám sát theo dõi chặt chẽ chương trình đổi mật khẩu, thường mục tiêu để công Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 63 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an II.2 Với nhà thiết kế ứng dụng Web Đảm bảo liệu cung cấp từ người dùng hợp lệ: Tất liệu đưa vào ứng dụng phải đảm bảo kiểm tra kĩ, loại bỏ từ chối kí tự đặc biệt ‘/… Tuy nhiên, khơng nên dùng ngơn ngữ trình khách (như JavaScript, VBScript…) để kiểm tra liệu nhập hợp lệ hacker lợi dụng để cơng kĩ thuật mã hóa URL hay vượt đường dẫn…Cách tốt kiểm tra ứng dụng Nếu từ chối loại bỏ kí tự, ứng dụng cần kiểm tra liệu xuất để đảm bảo liệu xuất đến trình duyệt an tồn Chứng thực người dùng: Nhiều ứng dụng quản lí phiên làm việc người dùng SessionID, yếu cách quản lí phiên làm việc khiến cho hacker dễ dàng kiểm sốt phiên làm việc người dùng Vì thế, phiên làm việc, ứng dụng cần hủy sau trình duyệt đóng kết nối Mã hóa liệu quan trọng: Những thông tin quan trọng tên/mật khẩu, credit card,…cần mã hóa Ngồi ra, q trình truyền, kết hợp phương pháp mã hóa SSL để tránh trường hợp mát thông tin đường truyền Ngày lĩnh vực mã hóa liệu, có nhiều phương pháp mã hóa mã hóa khóa bí mật, mã hóa khóa cơng khai,…nên tùy vào mức độ sử dụng tầm quan trọng mà ứng dụng chọn phương pháp mã hóa để đảm bảo liệu bảo mật Thiết lập quyền: Với ứng dụng, hệ thống nên cung cấp quyền hạn định cho ứng dụng đủ thực chức Khơng nên đưa quyền cao nhất, root hacker lợi dụng quyền root để thực thi Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 64 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an câu lệnh hệ thống, kĩ thuật công SQL Injection, Buffer Overflow… II.3 Với ngƣời sử dụng ứng dụng Web Đặc biệt nên ý cho phép trình duyệt thực thi ngơn ngữ trình khách máy mình, khả lợi dụng ngơn ngữ lớn kĩ thuật XSS Sau sử dụng xong ứng dụng cần thoát khỏi hệ thống theo qui định để nội dung quan trọng lưu trữ cookie bị hủy bỏ, tránh khả hacker tiếp tục dùng session ID tồn để đăng nhập vào hệ thống hợp lệ Quản lý tài khoản: Người sử dụng cần nhận thức vai trò quan trọng việc bảo vệ tài khoản Các hoạt động quản lý tài khoản bao gồm việc bảo vệ mật khẩu, thay đổi mật định kỳ, đăng kí thời điểm,…Sử dụng phần mềm bảo vệ máy trạm người sử dụng, log out khỏi hệ thống sau thời gian time-out…Bên cạnh đó, người dùng cần huấn luyền cách phát tài khoản sử dụng trái phép Người sử dụng cần thường xuyên kiểm tra hoạt động để đảm bảo khơng có người khác lợi dụng tài khoản thực hành động khác Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 65 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an CHƢƠNG V CHƢƠNG TRÌNH MINH HỌA I Tổng quan Chương trình xây dựng ứng dụng dùng để minh họa cho kỹ thuật công SQL Injection Chương trình trang web xây dựng ngơn ngữ asp có kết nối sql server 2000, nhằm thực ngiệm lỗi SQL injection hay gặp phải II Cài đặt Trang web demo xây dựng làm mục địch đích cho cơng vào sở liệu trang web Vì mô lỗi SQL injection, chủ yếu ta tác động lên sở liệu Hệ sở liệu sử dụng SQL 2000 Trong sơ liệu ta tạo table có tên users chứa trường sau Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 66 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an *Đăng nhập hợp pháp: - Xác nhận mà không cần điều kiện nào: User: ‗or‘‘=‘ Pass: ‗or‘‘=‘ -Xác nhận với tên đăng nhập là: User: admin‘— - Xác nhận người bảng sở liệu: User:‘or1=1 Bỏ bảng liệu: User:‘;drop table users-Trên trang web mơ phỏng_là đích có tên đăng nhập mật sau: Trang có chức cho phép đăng nhập vào sở liệu Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 67 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Khi ta đăng nhập vào với quyền admin pass admin, trang web có hiển thị sau: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 68 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Khi ta đăng nhập vào với quyền user pass user, trang web có hiển thị sau: Trang xuly_dangnhap.asp Xuly_dangnhap.asp có chức xử lý câu lệnh truy vấn để truy nhập vào sở liệu Khắc phục lỗi trang xuly_dangnhap.asp Quá trình khắc phục lỗi xử lý file xuly1.asp có nội dung sau: