MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ VIẾT TẮT .3 DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU Chương .1 TỔNG QUAN .1 1.1 Giới thiệu đề .1 1.2 Phạm vi đề tài Chương .4 LÝ THUYẾT ÁP DỤNG 2.1 Tổng quan bảo mật website 2.1.1 Sơ lược bảo mật thông tin 2.1.2 Mơ hình bảo mật 2.1.3 Áp dụng mơ hình bảo mật vào hệ thống .8 2.1.4 Nguy rủi ro 11 2.1.5 Các phương pháp công bảo mật 13 2.2 Tổng quan lý thuyết kiểm thử 20 2.2.1 Sơ lược kiểm thử 20 2.2.2 Mục đích kiểm thử bảo mật .21 2.2.3 Các loại hình kiểm thử bảo mật 22 Chương .24 CÔNG NGHỆ VÀ PHẦN MỀM SỬ DỤNG .24 3.1 Các công cụ Test .24 3.1.1 Acunetix Web Vulnerability Scanner .24 3.1.2 SQL Power Injector 26 3.1.3 LOIC 29 3.1.4 Brup Suite 30 Chương .32 KIỂM THỬ BẢO MẬT HỆ THỐNG VNEDU.VN 32 4.1 Giới hiệu hệ thống vnedu.vn 32 4.1.1 Module Quản lý học tập 33 4.1.2 Module Xét tốt nghiệp 47 4.1.3 Cơ sở liệu .51 4.2 Quy trình kiểm thử bảo mật đề xuất áp dụng .71 4.2.1 Quy trình kiểm thử bảo mật đề xuất 71 4.2.2 Áp dụng quy trình vào kiểm thử hệ thống 74 4.3 Thực kiểm thử hệ thống 74 4.3.1 Lập Testplan .74 4.3.2 Thiết kế testcase thực test tool .75 4.3.3 Báo cáo kết Test 97 KẾT QUẢ ĐẠT ĐƯỢC 102 TÀI LIỆU THAM KHẢO 103 DANH MỤC CÁC KÝ HIỆU VÀ VIẾT TẮT STT Ký hiệu, chữ Tên đầy đủ Dịch tiếng việt viết tắt LOIC Low Orbit Ion Tên công cụ WVS Cannon Web Vulnerability DDos Tên công cụ Scanner kiểm thử SQL Structureed Query Ngôn ngữ truy vấn DDos Language Distributed Denial có cấu trúc Từ chối phân phối XSS of Service Cross - Site dịch vụ Kiểu công chèn Scripting Not Available mã Khơng thể Message-Digest Tên thuật tốn algorithm mã hóa N/A Module MD5 DANH MỤC HÌNH VẼ Hình 2.1 Danh sách người dùng hệ thống .9 Hình 2.2 Danh sách quyền hệ thống 10 Hình 3.1 Giao diện cơng cụ Acunetix Web Vulnerability Scanner 26 Hình 3.2 Giao diện cơng cụ SQL Power Injector 1.2 28 Hình 3.3 Giao diện công cụ LOIC 29 Hình 3.4 Giao diện cơng cụ Brup Suite 30 Hình 4.1 Giao diện hệ thống vnEdu.vn 32 Hình 4.2 Biểu đồ xử lý chức Nhập sổ điểm 34 Hình 4.3 Giao diện Nhập sổ điểm 37 Hình 4.4 Giao diện Nhập/xuất liệu 38 Hình 4.5 Biểu đồ xử lý chức nhập điểm danh 39 Hình 4.6 Giao diện chức nhập điểm danh 41 Hình 4.7 Biểu đồ xử lý chức Nhập hạnh kiểm .42 Hình 4.8 Giao diện chức Nhập hạnh kiểm 44 Hình 4.9 Giao diện chức Tổng kết điểm .47 Hình 4.10 Giao diện chức Diện ưu tiên 49 Hình 4.11 Giao diện chức Xét tốt nghiệp .51 Hình 4.12 Cơ sở liệu hệ thống danh mục 51 Hình 4.13 Cơ sở liệu phân hệ quản lý hồ sơ giáo viên 52 Hình 4.14 Cơ sở liệu phân hệ quản lý học tập 53 Hình 4.15 Cơ sở liệu phân hệ quản lý đề thi 54 Hình 4.16 Cơ sở liệu phân hệ Quản lý kì thi 55 Hình 4.17 Quy trình kiểm thử bảo mật 73 Hình 4.18 Thiết kế Testplan 75 Hình 4.19 Thiết lập thơng số test 87 Hình 4.20 Thông số parameters .87 Hình 4.21 Thực thi test 87 Hình 4.22 Thiết lập thông số test 88 Hình 4.23 Thiết lập mục đích 89 Hình 4.24 Thực thi test 89 Hình 4.25 Thực test Brup Suite .92 Hình 4.26 Thực chọn chức cơng cụ .93 Hình 4.27 Q trình diễn redirect 93 Hình 4.28 Finish testing 94 Hình 4.29 Thiết lập thông số 95 Hình 4.30 Kết cơng từ chối dịch vụ 95 Hình 4.31 Thống kê kết cơng từ chối dịch vụ DDos 100 DANH MỤC BẢNG BIỂU Bảng 4.1 Đặc tả chức Nhập sổ điểm .33 Bảng 4.2 Bảng đặc tả chức Nhập điểm danh 38 Bảng 4.3 Bảng đặc tả chức Nhập hạnh kiểm 41 Bảng 4.4 Bảng đặc tả chức Tổng kết điểm 45 Bảng 4.5 Bảng đặc tả chức Diện ưu tiên 47 Bảng 4.6 Bảng đặc tả chức Xét tốt nghiệp 50 Bảng 4.7 Bảng edu_dm_dien_chinh_sach 56 Bảng 4.8 Bảng edu_dm_dien_cs 56 Bảng 4.9 Bảng edu_dm_dien_uu_tien_tn .56 Bảng 4.10 Bảng edu_dm_dien_uu_dai 57 Bảng 4.11 Bảng edu_dien_uutien 57 Bảng 4.12 Bảng edu_dm_hạnh kiểm .57 Bảng 4.13 Bảng edu_dm_hoc_ky 58 Bảng 4.14 Bảng danh mục khối học 58 Bảng 4.15 Bảng edu_dm_loai_diem .58 Bảng 4.16 Bảng edu_dm_loai_hs 59 Bảng 4.17 Bảng du_dm_mon_day 59 Bảng 4.18 Bảng edu_dm_mon_hoc 60 Bảng 4.19 Bảng edu_dm_nam_hoc .61 Bảng 4.20 Bảng edu_dm_tot_nghiep 61 Bảng 4.21 Bảng edu_giao_vien .62 Bảng 4.22 Bảng edu_hoc_sinh 66 Bảng 4.23 Bảng edu_hoc_sinh_detail 68 Bảng 4.24 Danh sách testcase yêu cầu thiết kế quản lý học tập 76 Bảng 4.25 Danh sách testcase yêu cầu thiết kế xét tốt nghiệp 79 Bảng 4.26 Danh sách testcase mã nguồn chức nhập sổ điểm .80 Bảng 4.27 Danh sách testcase mã nguồn chức nhập điểm danh 81 Bảng 4.28 Danh sách testcase mã nguồn chức nhập hạnh kiểm 82 Bảng 4.29 Danh sách testcase mã nguồn chức tính tổng kết 82 Bảng 4.30 Danh sách testcase XSS .83 Bảng 4.31 Danh sách testcase Broken Authentication, Session Management 84 Bảng 4.32 Danh sách testcase SqlInjection 85 Bảng 4.33 Danh sách testcase Sensitive Data Exposure .90 Bảng 4.34 Danh sách testcase Insecure Direct Object References .91 Bảng 4.35 Danh sách testcase thiết lập trình duyệt .96 Bảng 4.36 Danh sách testcase tường lửa .96 Bảng 4.37 Bảng tổng hợp kết test yêu cầu thiết kế 97 Bảng 4.38 Bảng tổng hợp kết test mã nguồn 97 Bảng 4.39 Bảng tổng hợp kết test XSS - SQLi 98 Bảng 4.40 Bảng tổng hợp kết test Sensitive Data Exposure 98 Bảng 4.41 Bảng tổng hợp kết test Insecure Direct Object References 99 Chương 1 TỔNG QUAN 1.1 Giới thiệu đề Đề tài đồ án tốt nghiệp em dựa kiến thức lý thuyết kiểm thử bảo mật phần mềm, từ ứng dụng triển khai hệ thống trường học trực tuyến vnedu.vn thuộc Tập đồn bưu viễn thơng Việt Nam – VNPT Kiểm thử phần mềm hoạt động giữ vai trò quan trọng để bảo đảm chất lượng phần mềm hoạt động mang tính sống cịn dự án sản xuất gia công phần mềm Kiểm thử phần mềm chiếm 30 – 40% quy trình phát triển phần mềm[1] Vì vậy, kiểm thử phần mềm trở thành qui trình bắt buộc dự án phát triển phần mềm giới Hiện nay, khâu kiểm thử phần mềm dần trọng dự án phát triển phần mềm công ty lớn hay vừa nhỏ Đặc biệt đối ví đơn vị uy tín lĩnh vực phần mềm đánh giá cao khâu kiểm thử, sản phẩm đưa chưa qua kiểm thử có văn xác nhận kèm khơng chấp nhận hay đánh giá cao Nếu phần mềm sau thi công đưa sử dụng mà xảy tình trạng như: hoạt động khơng u cầu thiết kế, xảy lỗi đến từ phía người dùng dẫn đến: thời gian, tiền bạc, ảnh hướng tới uy tín đơn vị thực qua thấy phần mềm cần phải kiểm thử trước đưa sử dụng, nhờ sản phẩm hoàn thiện nhất, tránh phát sinh chủ quan từ phía lập trình viên, ngồi giúp đơn vị thi công phần mềm tạo dựng uy tín chất lượng dịch vụ Câu hỏi đặt là: Kiểm thử phần mềm gì? Theo IEEE (Insttitute of Electrical and Electronic Engineers): Kiểm thử tiến trình vận hành hệ thống thành phần điều kiện xác định, quan sát ghi nhận xét kết đưa đánh giá hệ thống thành phần Theo Glen Myers: “Kiểm thử tiến trình thực thi chương trình với mục đích tìm lỗi (The art of software testing)” Kiểm thử phần mềm kiểm tra tiến hành để cung cấp cho bên liên quan thông tin chất lượng sản phẩm dịch vụ kiểm thử[2] Trên định nghĩa chung giúp phần nói rõ kiểm thử phần mềm Trọng tâm đề tài đưa hướng đến kiểm thử bảo mật website Vậy bảo mật gì? Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Bảo mật trở nên đặc biệt phức tạp quản lý, vận hành hệ thống thơng tin có sử dụng cơng cụ tin học, nơi xảy tràn lan nhanh chóng việc lạm dụng tài nguyên lạm dụng tài sản An toàn hệ thống thông tin, website thực chất đảm bảo an ninh mức độ chấp nhận Nếu bảo mật chặt chẽ trở nên khó sử dụng khó hoạt động cách hiệu Nếu bảo mật đơn giản, hệ thống dễ bị cơng thâm nhập Vì vậy, trước đưa sản phẩm phần mềm vào sử dụng, nhà phát triển cần đặc biệt trọng đến khâu bảo mật Đôi nhà lập trình viên khơng thể kiểm sốt hết lỗ hổng chủ quan từ nhiều phía, điều dẫn đến phận chun mơn am hiểu bảo mật phần mềm có hiểu biết đủ để rà sốt lỗ hổng bảo mật phần mềm Bộ phận nằm kiểm thử phần mềm, cụ thể kiểm thử bảo mật Dựa quan trọng cần thiết trên, em lựa chọn đề tài đồ án tốt nghiệp là: Ứng dụng lý thuyết kiểm thử bảo mật vào hệ thống trường học trực tuyến vnedu.vn Đây hệ thống giáo dục trực tuyến trọng điểm quan trọng có sức ảnh hưởng lớn nhiều trường học từ mầm non đến trung học phổ thơng nước, vấn đề bảo mật đặt lên hàng đầu, lý em lựa chọn kiểm thử bảo mật hệ thống 1.2 Phạm vi đề tài Phạm vi đề tài thực tập trung vào nội dung sau:  Tìm hiểu kiểm thử bảo mật website cách chi tiết mức độ cho phép  Xây dựng quy trình kiểm thử bảo mật áp dụng vào kiểm thử hệ thống VnEdu.vn