Nội dung tóm tắt các chương như sau:Chương 1 – Bảo mật ứng dụng và máy chủ web giới thiệu khái quát về một số dạng tấncông lên ứng dụng và máy chủ web mà nhóm đã lên kịch bản tấn công và
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Khoa Cơng nghệ Thông tin - AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU ĐỒ ÁN MÔN HỌC Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu Giảng viên: ThS Phan Nghĩa Hiệp Sinh viên thực hiện: Võ Tiến Đạt – N19DCAT016 Trần Việt Hoàng – N19DCAT033 Hoàng Anh Nhàn – N19DCAT056 Nguyễn Cao Phong – N19DCAT060 Đoàn Hồng Tiến – N19DCAT072 Lớp: D19CQAT01-N TP HỒ CHÍ MINH - 2022 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên hướng dẫn (Ký ghi rõ họ tên) Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu LỜI CẢM ƠN Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến trường PTITHCM đưa mơn An tồn ứng dụng web sở liệu vào trương trình giảng dạy Bên cạnh để thực hoàn thành tốt đồ án này, chúng em nhận giúp đỡ hướng dẫn tận tình thầy thuộc khoa Công Nghệ Thông Tin Các thầy cô thuộc môn chuyên ngành cung cấp cho chúng em thông tin, kiến thức vô quý báu cần thiết suốt thời gian qua để chúng em thực hồn thành đồ án Đặc biệt, chúng em xin gửi lời cảm ơn sâu sắc đến giảng viên môn - Thầy Ths Phan Nghĩa Hiệp - người trực tiếp hướng dẫn chúng em suốt thời gian học tập thực đồ án vừa qua Trong thời gian tham gia lớp học An toàn ứng dụng web sở liệu thầy, chúng em có thêm cho nhiều kiến thức bổ ích, tinh thần học tập hiệu quả, nghiêm túc Đây chắn kiến thức quý báu, hành trang để chúng em vững bước sau Bộ mơn An tồn ứng dụng web sở liệu môn học thú vị, vơ bổ ích có tính thực tế cao Đảm bảo cung cấp đủ kiến thức, gắn liền với nhu cầu thực tiễn sinh viên Tuy nhiên, vốn kiến thức nhiều hạn chế khả tiếp thu thực tế nhiều bỡ ngỡ Mặc dù chúng em cố gắng chắn báo cáo khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác Kính mong thầy thơng cảm, xem xét góp ý để báo cáo chúng em hoàn thiện Chúng em xin chân thành cảm ơn! Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu MỤC LỤC NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH ẢNH LỜI GIỚI THIỆU CHƯƠNG BẢO MẬT ỨNG DỤNG VÀ MÁY CHỦ WEB 1.1 XSS 1.2 CSRF 12 1.3 SQL Injection .13 1.4 Tấn công chế xác thực .19 1.5 Các lỗ hổng cấu hình máy chủ web .20 CHƯƠNG BẢO MẬT CƠ SỞ DỮ LIỆU .23 2.1 Mật yếu mặc định 23 2.2 SQL Injection .24 2.3 Đặc quyền mức cho người dùng nhóm người dùng .25 2.4 Cho phép tính khơng sử dụng DBMS 26 2.5 Leo thang đặc quyền (Privilege Escalation) 26 2.6 Denial of Service 27 2.7 Khơng mã hóa liệu 28 CHƯƠNG THỰC NGHIỆM 30 3.1 XSS 30 3.2 CSRF 32 3.3 SQL Injection .33 3.4 Tấn công chế xác thực .34 3.5 Các lỗ hổng cấu hình máy chủ web .34 3.6 Mật yếu mặc định 34 3.7 Đặc quyền mức cho người dùng nhóm người dùng .34 3.8 Cho phép tính không sử dụng DBMS 35 3.9 Leo thang đặc quyền .35 3.10 Denial of Service 35 Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 3.11 Khơng mã hóa liệu 35 CHƯƠNG TỔNG KẾT 36 TÀI LIỆU THAM KHẢO 37 BẢNG PHÂN CÔNG CÔNG VIỆC 38 Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu DANH MỤC HÌNH ẢNH Hình 1.1: Chèn script vào search .10 Hình 1.2: Chèn script độc hại ô input .11 Hình 1.3: Script độc hại render giao diện người dùng 11 Hình 1.4: Script code source code 11 Hình 1.5: Form search .12 Hình 1.6: URL form search .12 Hình 1.7: Lấy giá trị query search .12 Hình 1.8: Alert xuất 12 Hình 1.9: Đoạn code sử dụng method POST .13 Hình 1.10: Form code dùng để tiến hành cơng CSRF 13 Hình 1.11: Tham số truyền vào form 14 Hình 1.12: Mục favourite user .15 Hình 1.13: Query get tất album với mode = public .15 Hình 1.14: Form đăng nhập .15 Hình 1.15: Sử dụng tool BurpSuite (Repeater) 17 Hình 1.16: Tab Repeater 17 Hình 1.17: Tab Intruder .18 Hình 1.18: Ký tự chạy brute force .18 Hình 1.19: Chế độ Sniper 18 Hình 1.20: Tab Payloads 19 Hình 1.21: Kết brute force 19 Hình 1.22: Tài khoản ngầm định số máy chủ web .22 Hình 1.23: Trang phpinfo.php dùng cho quản trị cho phép đọc thơng tin cấu hình 22 Hình 1.24: Nội dung thư mục website liệt kê 23 Hình 2.1: Máy cơng qt máy có mạng LAN .24 Hình 2.2 Kẻ cơng dị port MySQL 24 Hình 2.3: Kẻ cơng tìm user password 25 Hình 3.1: File tag_black_list 31 Hình 3.2: File attributes_black_list 32 Hình 3.3: Kết từ tìm kiếm Search 32 Hình 3.4: HTML thymeleaf “th:text” mặc định value ln text 32 Hình 3.5: Source HTML 33 Hình 3.6: Cấu hình để ngăn chặn XSS .33 Hình 3.7: Form code tin tặc dùng để tiến hành công CSRF 33 Hình 3.8: Người dùng mở form từ link hacker truyền tham số .34 Hình 3.9: Kết website từ chối request truyền tham số từ link bên ngồi .34 Hình 3.10: Xác thực session đến từ máy client 34 Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu Document continues below Discover more An toàn ứng from: dụng web c… AT2021 Học viện Công ng… 291 documents Go to course 146 12 17 46 Toan Cao Cap A1 Học viện CN Bưu chính… An toàn ứng dụng… 100% (8) tham khảo gdqp học phần - có sẵn đáp… An tồn ứng dụng… 100% (5) Tactics toeic audio scripts An toàn ứng dụng… 100% (5) TA1-K61Supplementary… An toàn ứng dụng… 100% (5) 11 Dump Splunk Sale Rep - ưedsfg An toàn ứng dụn… 88% (24) LỜI GIỚI THIỆU Trong thời đại ngày nay, Internet trở nên quen thuộc cơng cụ hữu ích phục vụ hoạt động, nhu cầu sống tất người, đặc biệt nhuThiet cầu giảiKe trí CDT1429 mà nghe nhạc chiếm phần không nhỏ Nắm bắt nhu cầu này, nhóm Web Co Ban Baigia… lên ý tưởng đưa kế hoạch thực xây dựng trang web nghe nhạc Trong trình phát triển ứng dụng web nghe nhạc, nhóm đã217 nhận thấy vấn đề nguy toàn hiểm đe dọa đến sở liệu ứng dụng web nghe An nhạc Điều đặt (3) 100% ứng vấn đề cấp thiết cần làm để bảo đảm an tồn thơng tindụng… cho ứng dụng web thông tin người sử dụng Đồ án thực nhằm mục đích giới thiệu rõ mối nguy đến ứng dụng web, máy chủ web sở liệu, từ đưa cách phịng chống phương thức bảo mật cho ứng dụng web nghe nhạc Nội dung đồ án môn học biên soạn thành phần ứng với chương Phần I – Bảo mật ứng dụng máy chủ web, Phần II – Bảo mật sở liệu Phần III – Thực nghiệm ứng dụng web nghe nhạc Nội dung tóm tắt chương sau: Chương – Bảo mật ứng dụng máy chủ web giới thiệu khái quát số dạng công lên ứng dụng máy chủ web mà nhóm lên kịch cơng đưa cách phịng chống như: cơng XSS, công CSRF, SQL Injection, công chế xác thực lỗ hổng cấu hình máy chủ web Chương – Bảo mật sở liệu khái quát mối nguy hại tới sở liệu như: mật yếu mặc định, SQL Injection, đặc quyền mức cho người dùng nhóm người dùng, cho phép tính khơng sử dụng DBMS, leo thang đặc quyền, công từ chối dịch vụ (denial of service) khơng mã hóa liệu Bên cạnh chương đề cập tới kịch cơng phương pháp phịng chống nguy Chương – Thực nghiệm trình bày mơ hình triển khai ứng dụng web nghe nhạc kết thành công việc ngăn chặn yếu tố nguy hại kể Bài báo cáo biên soạn dựa kiến thức học từ mơn An tồn Ứng dụng Web sở liệu số môn học liên quan suốt q trình học tập nhóm tác giả Học viện Cơng nghệ Bưu Viễn thơng Trong q trình biên soạn triển khai mơ hình, nhóm tác giả cố gắng song khơng thể tránh khỏi thiếu sót Nhóm mong nhận ý kiến phản hồi góp ý, ý kiến cập nhật, hoàn thiện đồ án Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 1.1 XSS 1.1.1 CHƯƠNG BẢO MẬT ỨNG DỤNG VÀ MÁY CHỦ WEB Khái quát Tấn công Cross-Site Scriting (XSS – Mã script liên site, liên miền) dạng công phổ biến vào ứng dụng web XSS xuất từ trình duyệt bắt đầu hỗ trợ ngôn ngữ JavaScript (ban đầu gọi LiveScript – trình duyệt Netscape) Mã cơng XSS nhúng trang web chạy lịng trình duyệt với quyền truy nhập người dùng, truy nhập thông tin nhạy cảm người dụng lưu trình duyệt Do mã XSS chạy lịng trình duyệt nên miễn nhiễm với trình quét phần mềm độc hại công cụ bảo vệ hệ thống XSS xem dạng chèn mã HTML (HTML Injection) Trên thực tế, thực cơng chèn mã HTML mà không cần mã JavaScript không cần liên site, liên miền Kẻ công khai thác lỗ hổng bảo mật để chèn mã XSS vào trang web, liệu web (như tên địa email) mã (cú pháp phần tử ) XSS trộn lẫn vào mã gốc trang web Tấn công XSS thường xuất trang web cho phép người dùng nhập liệu sau hiển thị liệu lên trang Kẻ cơng khéo léo chèn mã script vào trang mã script kẻ công thực người dùng khác thăm lại trang web Tùy theo mục đích mức độ tinh vi, XSS cho phép kẻ cơng thực thao tác sau hệ thống nạn nhân: - Đánh cắp thông tin nhạy cảm người dùng lưu Cookie trình duyệt - Giả mạo hộp đối thoại đăng nhập để đánh cắp mật - Bắt phím gõ từ người dùng để đánh cắp thông tin tài khoản ngân hàng, email, thông tin đăng nhập dịch vụ trả tiền, - Sử dụng trình duyệt để quét cổng dịch vụ mạng LAN - Lén lút cấu hình lại định tuyến nội để bỏ qua tường lửa mạng nội - Tự động thêm người dùng ngẫu nhiên vào tài khoản mạng xã hội - Tạo môi trường cho cơng CSRF Nhìn chung, mã cơng HTML/XSS chèn vào vị trí địa (URI) nội dung trang web Các vị trí cụ thể chèn mã: - Các thành phần URI (URI Components) - Các trường nhập liệu (Form Fields) - HTTP Request Header & Cookie - JavaScript Object Notation (JSON) - Các thuộc tính DOM (Document Object Model) - CSS (Cascade Style Sheet) - Các nội dung người dùng tạo Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu Có thể chia cơng XSS thành loại chính: Stored XSS (XSS lưu trữ), Reflected XSS (XSS phản chiếu) DOM-based/Local XSS (XSS dựa DOM cục bộ) Stored XSS: Mã Stored XSS thường nhúng vào nội dung trang web lưu trữ sở liệu website Các website có nguy cao bị cơng Stored XSS diễn đàn cho phép người dùng đăng viết gửi phản hồi, website thương mại điện tử cho phép người dùng thêm nhận xét (comment) sản phẩm, mạng xã hội, ứng dụng nhắn tin cho phép gửi tin nhắn qua trang web Kẻ công khéo léo nhúng mã script vào đoạn văn bản, hình ảnh, sử dụng thẻ HTML Reflected XSS: Tấn công Reflected XSS thường xuất liệu người dùng cung cấp sử dụng script máy chủ để tạo kết hiển thị lại cho người dùng Dạng công XSS thường xuất máy tìm kiếm, trang có tính tìm kiếm, mã XSS nhập vào từ khóa tìm kiếm, vào chuỗi truy vấn địa URL thực trình duyệt tải kết tìm kiếm DOM-based XSS: Tấn cơng DOMBased XSS liên quan đến việc mã script máy khách trang web sử dụng đối tượng, thuộc tính đối tượng DOM, "document.URL" "document.location" Lỗ hổng cho phép công DOM-based XSS xuất trường hợp mã script sử dụng đối tượng DOM để ghi mã HTML mà khơng mã hóa thẻ HTML cách Điều mã HTML ghi lại trình duyệt thực nội dung chúng chứa script khác Một dạng công XSS khác dựa DOM liên quan đến việc sử dụng trang web hệ thống file cục người dùng Trong đó, lỗi XSS cho phép mã script xa kẻ công thực với quyền người dùng cục Đây cịn gọi cơng liên vùng (cross-zone 36 attack) Các bước điển hình thực công DOM-based XSS tương tự bước thực công Reflected XSS 1.1.2 Kịch công Reflected Cross-site scripting: Tiến hành tiêm đoạn mã vào tìm kiếm ứng dụng alert(‘Hacked") Hacked vào ô input đầu vào ô tìm kiếm Hình 1.1: Chèn script vào search Trong trường hợp phía server khơng có kiểm tra cho giá trị đầu vào mà chèn vào response điều kiện cho attackers khai thác lỗ hổng Reflected XSS Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 29 sử dụng script để liên tục yêu cầu trang phức tạp có mức truy vấn sở liệu lớn, gây tải cho máy chủ sở liệu 2.6.3 Phòng chống - Hạn chế người dùng bên trực tiếp kết nối đến sở liệu, sử dụng mơ hình người dùng, máy khách gián tiếp truy nhập sở liệu Giới hạn địa kết nối tới máy chủ sở liệu Vơ hiệu hóa tài khoản, tính dịch vụ khơng sử dụng Quyền truy nhập cấp cho máy chủ sở liệu máy chủ web, với người dùng bình thường cấp quyền thực thủ tục Giới hạn thời gian với câu truy vấn Sử dụng firewall, phân tích gói tin kết nối tới server, có dấu hiệu bất thường chặn truy cập 2.7 Khơng mã hóa liệu 2.7.1 Khái qt Các liệu nhạy cảm chỗ đường truyền khơng mã hóa bị nghe trộm, đánh cắp Với liệu lưu sử dụng mã hóa hệ thống file, mã 126 hóa liệu kiểu suốt (TDE) Với liệu đường truyền, sử dụng giao thức bảo mật, SSL/TLS, Kerberos, Oracle ASO 2.7.2 Kịch công Một số công cụ quản trị mạng mạnh mẽ Tcpdump, WireShark bắt gói tin từ client tới server ngược lại Những gói tin mang theo liệu từ client server username, password, token, … Nếu liệu khơng mã hóa kẻ cơng lợi dụng cách nghe để đánh cắp thông tin 2.7.3 Phịng chống - Mã hóa liệu quan trọng username, password trước đưa vào lưu trữ sở liệu - Tạo kết nối an toàn qua SSL/TLS Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 30 CHƯƠNG THỰC NGHIỆM Để thực bảo mật mức tốt có thể, nhóm triển khai mơ hình gồm máy sau để triển khai ứng dụng web Hình ảnh mơ hình triển khai Hình ảnh địa máy web server Hình ảnh địa máy data server Hình ảnh địa máy PFSense 3.1 XSS Để ngăn chặn cơng XSS, nhóm sử dụng blacklist để lọc liệu đầu vào Hình 3.28: File tag_black_list Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 31 Hình 3.29: File attributes_black_list Tuy nhiên việc sử dụng black list thủ công ta lường trước hết tất trường hợp Kẻ cơng brute force để tìm tag attribute khai thác Vậy nên nhóm sử dụng thêm phòng chống tối ưu sử dụng thư viện thymeleaf có sẵn frameword Spring boot Các html thymeleaf hỗ trợ ghi giống thẻ html thơng thường Khơng html thymeleaf cịn hỗ trợ liệu render từ tầng Controller (MVC paradigm) theo với liệu mà ta muốn Hình 3.30: Kết từ tìm kiếm Search Trong trường hợp khơng có xử lý liệu ăn lỗi XSS Nhưng thymeleaf xử lý liệu mặc định chúng dạng text Hình 3.31: HTML thymeleaf “th:text” mặc định value ln text Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 32 Hình 3.32: Source HTML Đây đoạn code cấu hình ngăn chặn XSS Hình 3.33: Cấu hình để ngăn chặn XSS 3.2 CSRF Để phịng chống cơng CSRF nhóm thực biện pháp sử dụng framework Spring boot để xây dựng ứng dụng, đồng thời kết hợp với kiểm tra session request gửi đến server để xác nhận request đến từ client từ website bên ngồi Hình 3.34: Form code tin tặc dùng để tiến hành công CSRF Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 33 Hình 3.35: Người dùng mở form từ link hacker truyền tham số Hình 3.36: Kết website từ chối request truyền tham số từ link bên ngồi Hình 3.37: Xác thực session đến từ máy client 3.3 SQL Injection Để ngăn chặn cơng SQL Injection, ngồi việc mã hóa (filter) ký tự đầu vào gây lỗi SQL Injection framework có đầy đủ module, thư viện hỗ trợ điều Hiện nhóm sử dụng framework Spring Boot Thư viện cung cấp số module giúp ta tránh đầu vào gây lỗi SQL Injection Hình: Xử lý code Bên cạnh đó, nhóm sử dụng thêm việc giới hạn quyền truy cập tới sở liệu kết hợp với phân quyền chặt chẽ, user thực thi thủ tục Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 34 (stored procedure) cấp phép Để phòng ngừa không ngăn chặn SQL Injection bị phá hoại sở liệu nhóm tạo thêm backup liệu Hình ảnh user phân quyền tương ứng Hình ảnh user khơng thực thao tác khác Hình ảnh user thực thi thủ tục cấp phép 3.4 Tấn công chế xác thực Các phịng chống cơng chế xác thực dựa nhiều vào cách phòng chống dạng cơng khác Ở nhóm thực biện pháp nâng cao bảo mật như: - Sử dụng lưu trữ username, password dạng mã hóa - Tạo mật có độ bảo mật cao, chứa ký tự đặc biệt - Áp dụng phịng chống dạng cơng khác nêu báo cáo 3.5 Các lỗ hổng cấu hình máy chủ web Với dạng cơng này, nhóm áp dụng số biện pháp bảo mật sau: - Đổi tên mật tài khoản quản trị mặc định - Không liệt kê nội dung thư mục - Chỉ sử dụng phương thức chuẩn GET POST - Kiểm soát, giới hạn thao tác ứng dụng web Hình ảnh user quản trị root mặc định MySQL Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 35 3.6 Mật yếu mặc định Nhận thấy việc sử dụng mật yếu mặc định nguy hiểm nên nhóm thực số biện pháp bảo mật sau để nâng cao độ bảo mật mật hệ quản trị sở liệu: - Tạo user kết nối từ web server tới data server với tên khác mặc định - Đặt mật có độ phức tạp cao mã hóa q trình kết nối - Chỉ cho phép kết nối tới data server thông qua máy web server - Sử dụng phiên hệ quản trị sở liệu MySQL để cập nhật tính bảo mật cao mã hóa mật kết nối Hình ảnh user kết nối từ web server tới data server Hình ảnh phiên MySQL Hình ảnh máy kali khơng thể cơng brute force kết nối 3.7 Đặc quyền mức cho người dùng nhóm người dùng Để hạn chế đặc quyền người dùng quản trị viên, nhóm thực hiện: - Tạo user public với quyền bị hạn chế thực thi thủ tục (stored procedure) sử dụng schema sound - Tạo user sử dụng số tính quản trị kết nối từ web server tới data server, user thực số lệnh thực thi thủ tục schema sound Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 36 Hình ảnh user quản trị web cấp quyền hạn chế Hình ảnh user khơng phải quản trị viên bị hạn chế nhiều Hình ảnh user khơng phải quản trị viên thực select 3.8 Cho phép tính khơng sử dụng DBMS Việc tắt tính khơng sử dụng hệ quản trị sở liệu quan trọng có mối liên hệ mật thiết đến việc phân quyền người dùng kết nối tới data server Vậy nên nhóm thực phân quyền mục 3.7 để hạn chế tính khơng sử dụng 3.9 Leo thang đặc quyền Lỗi leo thang đặc quyền dễ xảy thủ tục database có đoạn mã cấp quyền cao cho người dùng có đặc quyền thấp Do nhóm phịng chống lỗi cách không thêm mã cấp quyền cho user thủ tục Hình ảnh thủ tục khơng có mã cấp quyền 3.10 Denial of Service Tấn công từ chối dịch kiểu cơng khó để ngăn chặn kịp thời Tuy nhiên nhóm thực số biện pháp nhằm hạn chế tối đa thiệt hại ngăn chặn phần kiểu cơng sau: - Triển khai mơ hình kết nối website qua firewall đề cập - Khơng cho phép người dùng bên ngồi firewall trực tiếp kết nối tới sở liệu hay web server - Giới hạn thời gian với câu lệnh truy vấn nhằm hạn chế câu lệnh truy vấn phức tạp Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 37 - Sử dụng firewall phát lượng truy cập, lượng request bất thường từ bên ngồi Hình ảnh firewall NAT port cho máy web server Hình ảnh rule firewall phát dấu hiệu DOS/DDOS Hình ảnh firewall phát dấu hiệu DOS/DDOS Hình ảnh biến giới hạn thời gian truy vấn 3.11 Khơng mã hóa liệu Khơng mã hóa liệu hành vi nguy hiểm, đặc biệt với môi trường mạng WLAN (wireless local area network – mạng không dây) Một số ứng dụng quản trị mạng mạnh mẽ WireShark, Tcpdump, Nagios, … dễ dàng bắt gói tin từ client tới server Tuy ngăn chặn ứng dụng bắt gói tin, xong nhóm thực mã hóa số liệu quan trọng để tránh việc lộ liệu Hình ảnh liệu mã hóa Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 38 CHƯƠNG TỔNG KẾT Trong trình nghiên cứu thực đồ án môn học, hạn chế kinh nghiệm kiến thức nên đồ án nhóm 12 chắn khơng thể tránh khỏi thiếu sót Một lần mong nhận ý kiến đóng góp từ ThS Phan Nghĩa Hiệp bạn đọc để nhóm hồn thiện Dưới phần đánh giá tổng kết lại đồ án nhóm 12 Trong số điều đạt được, trước hết mặt thiết kế chương trình đáp ứng yêu cầu chức đưa từ đầu Tiếp mặt an tồn, nhóm thực biện pháp bảo mật an toàn ứng dụng máy chủ web (tối thiểu biện pháp), biện pháp bảo mật an toàn sở liệu (tối thiểu biện pháp) Điều vượt qua kỳ vọng lúc ban đầu nhóm với thực tối thiểu phương pháp an tồn Nhóm hiểu rõ kiến thức an toàn cho ứng dụng web máy chủ web máy chủ sở liệu Những kiến thức quý giá giúp ích nhiều cho thành viên nhóm đường nghề nghiệp sau Bên cạnh điều đạt được, nhóm nhận thấy số khiếm khuyết sau Đầu tiên hạn chế kiến thức, kinh nghiệm lẫn thời gian kinh phí nên nhóm khai thác cơng đơn giản, qua áp dụng phần nhỏ biện pháp bảo mật cho ứng dụng web máy chủ Kế đến mức độ tìm hiểu chưa thực sâu, chưa thể xử lý nhu cầu triệt để mức độ truy cập lớn Chương trình xây dựng cịn vài thiếu sót với số chức chưa thực đem đến tiện lợi cho người dùng Nhóm chưa triển khai kết nối SSL/TLS vốn biện pháp bảo mật mang lại hiệu cao Trong tương lai nhóm cố gắng phát triển thêm nhiều tính tiện lợi hơn, xử lý giao diện bắt mắt thân thiện với người dùng Ngồi nhóm cải thiện phần xử lý liệu để tối ưu hóa việc truy vấn quản lí, bảo trì trang web hiệu Nhóm nghiên cứu thêm hệ thống cân tải load balancing để tối ưu hóa truy cập đồng thời thiết lập kết nối SSL/TLS an toàn Trong suốt trình học tập thực đồ án môn học giảng viên ThS Phan Nghĩa Hiệp, nhóm 12 học hỏi nhiều kiến thức bổ ích khám phá số khả nhân nhóm Nhóm 12 xin chân thành cảm ơn thầy! Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 39 TÀI LIỆU THAM KHẢO [1] Bộ giảng mơn An tồn Ứng dụng Web CSDL ThS Phan Nghĩa Hiệp [2] Bộ giảng mơn Lập trình Ứng dụng Web ThS Nguyễn Trung Hiếu [3] Hoàng Xuân Dậu, “Bài giản An toàn Ứng dụng Web CSDL”, Hà Nội, 2017 [4] Bryan Sullivan, Vincent Liu, “Web Application Security”, 2012 [5] David Kennedy, Jim O’Gorman, Devon Kearns, Mati Aharoni, “Metasploit The Penetration Tester’s Guide” [6] https://www.baeldung.com/ [7] https://portswigger.net/ [8] https://pentestlab.blog/2012/07/27/attacking-mysql-with-metasploit/ [9] https://irfaanshakeel.medium.com/mysql-pentesting-using-metasploit-framework7c800e6209d7 Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu 40 BẢNG PHÂN CÔNG CÔNG VIỆC ST T Mã sinh viên Họ tên N19DCAT016 Võ Tiến Đạt N19DCAT033 Trần Việt Hoàng N19DCAT056 Hoàng Anh Nhàn N19DCAT060 Nguyễn Cao Phong N19DCAT072 Đồn Hồng Tiến Cơng việc cụ thể Code website Tìm hiểu CSRF, cơng chế xác thực Thiết kế database, cấu hình kết nối Tìm hiểu mật yếu, SQL Injection, leo thang đặc quyền, Denial of Service Thiết kế giao diện website Tìm hiểu đặc quyền q mức, tính khơng sử dụng, mã hóa liệu Code website Tìm hiểu XSS, SQL Injection máy chủ web Thiết kế mơ hình kết nối, cấu hình kết nối Tìm hiểu lỗ hổng cấu hình máy chủ web Xây dựng website nghe nhạc có sử dụng biện pháp bảo mật website & sở liệu More from: An toàn ứng dụng web và… AT2021 Học viện Công… 291 documents Go to course Toan Cao Cap A1 146 Học viện CN Bưu… An toàn ứng dụn… 100% (8) tham khảo gdqp 12 học phần - có sẵ… An tồn ứng dụn… 100% (5) Tactics toeic audio 17 46 scripts An toàn ứng dụn… 100% (5) TA1-K61Supplementary… An toàn ứng dụn… More from: 100% (5) Nguyễn Tiến… 132 Đại học Sư phạm H… Discover more 15 95 Tlhgd - Tâm lý học giáo dục trắc… tâm lí học giáo dục None CK N19DCAT074 Ta Duc Tien Hệ điều hành None GK N19DCAT074 50 Taductien Hệ điều hành None BTCN02 Nguyen 33 Tien Nhat… An toàn ứng dụng web v… None Recommended for you 11 Dump Splunk Sale Rep - ưedsfg An toàn Tipping Point88% IPS(24) ứng… 15 Dump - sdfg An toàn ứng dụn… 100% (1) Email Security for 12 Financial… An toàn ứng dụn… 100% (1) Lower Secondary 118 Answers Log on to… Physics 100% (2)