Trang 1 TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THƠNG TIN BÁO CÁO CUỐI KÌ MƠN BẢO MẬT THÔNG TINBẢO MẬT THÔNG TIN WEB Trang 2 BÁO CÁO CUỐI KÌ MƠN BẢO
TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO CUỐI KÌ MƠN BẢO MẬT THƠNG TIN BẢO MẬT THƠNG TIN WEB Người hướng dẫn: HỒ THỊ THANH TUYỀN Người thực hiện: NGUYỄN NGỌC BẢO UYÊN – 520H0440 TRƯƠNG ANH HI – 520H0356 LÊ NHẬT DUY - 520H352 NGUYỄN VĂN KHOA - 521H0251 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2023 Lớp : Khố : TỔNG LIÊN ĐỒN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THƠNG TIN BÁO CÁO CUỐI KÌ MƠN BẢO MẬT THƠNG TIN BẢO MẬT THÔNG TIN WEB Người hướng dẫn: HỒ THỊ THANH TUYỀN Người thực hiện: NGUYỄN NGỌC BẢO UYÊN – 520H0440 TRƯƠNG ANH HI – 520H0356 LÊ NHẬT DUY - 520H352 NGUYỄN VĂN KHOA - 521H0251 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2023 Lớp : Khố : i LỜI CẢM ƠN Em xin dành lời cảm ơn sâu sắc gửi đến tới với học bổ ích mà mang lại cho chúng em ii ĐỒ ÁN ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC TƠN ĐỨC THẮNG Tơi xin cam đoan sản phẩm đồ án riêng hướng dẫn cô Hồ Thị Thanh Tuyền Các nội dung nghiên cứu, kết đề tài trung thực chưa công bố hình thức trước Những số liệu bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập từ nguồn khác có ghi rõ phần tài liệu tham khảo Ngồi ra, đồ án cịn sử dụng số nhận xét, đánh số liệu tác giả khác, quan tổ chức khác có trích dẫn thích nguồn gốc Nếu phát có gian lận tơi xin hồn tồn chịu trách nhiệm nội dung đồ án Trường đại học Tơn Đức Thắng không liên quan đến vi phạm tác quyền, quyền tơi gây q trình thực (nếu có) TP Hồ Chí Minh, ngày tháng năm Tác giả (ký tên ghi rõ họ tên) Nguyễn Ngọc Bảo Uyên Trương Anh Hi Lê Nhật Duy Nguyễn Văn Khoa iii TÓM TẮT Bản đặc tả web đưa nội dung việc cách mà liệu người dùng lưu trữ sau cách để phịng thủ trang web tránh khỏi công nhằm chiếm giữ thông tin người dùng 1 MỤC LỤC LỜI CẢM ƠN ii TÓM TẮT iii MỤC LỤC 1 Đây Website ? 2 Chức web 3 Web bị cơng loại ? .7 Những cách làm để phịng thủ web Những cáchđể phòng thủ trang bị cho web nhóm .9 Document continues below Discover more IT - Công nghệ from: phần mềm Đại học Tôn Đức… 261 documents Go to course Quan ly DE TAI dadadad IT - Công nghệ phầ… 100% (2) Python rat la co ban 92 - Vo Duy Tuan IT - Công nghệ phầ… 100% (2) Đề - 1111111111 30 IT - Cơng nghệ phầ… 100% (1) Các hình thức bước nhảy IT - Công nghệ phầ… 100% (1) Bai Do Xe Thong 37 Minh IT - Công nghệ phầ… 100% (1) Iot - normal 19 IT - Công nghệ phầ… 100% (1) Đây Website gì? Đây website mà nhóm em tạo theo dạng web xem phim phổ biến mà người dùng tìm thấy Internet Website cung cấp cho người dung chức chọn thể loại phim, tìm kiếm phim, xem phim, xem trailer, … Chức web Điền tên tài khoản đăng ký Điền mật Họ tên Nhập ngày tháng năm sinh Tạo tên tài khoản Nhập lại mật Tạo mật cho tài khoản Điền email để đăng ký Do web thiết kế để lưu trữ thơng tin nên chức trang web đăng nhập đăng ký thông tin người dùng Code mô tả: Lệnh tạo Capcha Login: để người dùng sử để đăng nhập tài khoản tạo sẵn Và kèm theo dùng captcha để phịng ngừa spam login 5 Xử lý thơng tin login: phần màu cam dùng để nhận thông tin đăng nhập người dùng vừa điền Trong phần xanh để xác thực thông tin mà người dùng nhập có trùng khớp với liệu lưu trên database xem người dùng có xác thực mã Captcha không Register: phần cam nhận thông tin đăng ký người dùng Phần xanh để gọi API truyền liệu người dùng nhập vào -> Nếu server trả http status code 200 liệu đăng ký thành công Và chuyển tới giao diện Login -> Còn status code trả giá trị 400 hiển thị: “thơng tin người dùng tồn tại, chọn tên username khác cho tài khoản” 7 Website bị cơng loại nào? DDoS (Từ chối dịch vụ phân tán): Làm tải máy chủ với lưu lượng truy cập mức khiến người dùng hợp pháp truy cập trang web SQL Injection: Khai thác lỗ hổng để đưa mã SQL độc hại vào trang web dựa sở liệu Cross - Site Scripting (XSS): Đưa tập lệnh độc hại vào trang web người dùng khác xem Phishing: Lừa người dùng tiết lộ thông tin nhạy cảm thông qua email trang web lừa đảo Malware Injections: Đưa mã độc vào trang web để xâm phạm thiết bị khách truy cập Brute Force attacks: Cố gắng đoán mật cách thử nhiều cách kết hợp khác Man - in - the - Middle Attacks: Chặn liên lạc người dùng trang web để đánh cắp thông tin CMS (Content Management System): Nhắm mục tiêu vào lỗ hổng tảng WordPress, Joomla Drupal Những cách làm để phòng thủ web Sử dụng mật mạnh xác thực: Khuyến khích người dùng tạo mật mạnh, triển khai xác thực đa yếu tố (MFA) để tăng cường bảo mật Luôn cập nhật phần mềm: Thường xuyên cập nhật tất phần mềm, bao gồm CMS, plugin, phần mềm máy chủ tập lệnh để vá lỗ hổng biết Triển khai HTTPS: Mã hóa việc truyền liệu cách sử dụng HTTPS với chứng SSL/TLS, bảo vệ thông tin trao đổi người dùng trang web bạn Sử dụng Tường lửa ứng dụng web (WAF): Sử dụng giải pháp WAF để lọc giám sát lưu lượng HTTP, bảo vệ khỏi công dựa web phổ biến SQL Injection XSS 9 Những cách để phòng thủ trang bị cho web nhóm Trong phần thiết kế web, nhóm em trang bị cho web cách phòng thủ để tránh công không mong muốn bằng: Hash pwd CAPTCHA Chi tiết tác dụng loại phòng thủ Hash pwd: lưu trữ mật giá trị hash thay plain text Hash pwd có nghĩa chuyển đổi chúng thành định dạng xáo trộn, đảo ngược thuật tốn mã hóa Bằng cách này, kể bị xâm nhập tin tặc khơng thể có mật thực Nhưng bù lại, phải thêm số liệu ngẫu nhiên ngăn công thông thường rainbow table attacks CAPTCHA: lần đầu biết thông qua kiểm tra Turing công khai tự động để kiểm tra người máy hay người Là kiểm tra thách thức - phản hồi để phân biệt người dùng người máy CAPTCHA giúp ngăn tập lệnh bot thực hành động trang web, ví dụ tạo nhiều tài khoản hay đăng nhập liên tục Nó thường bắt người dùng xác thực thân người cách nhận diện câu đố văn biến dạng, thứ mà khó phân biệt máy