1. Trang chủ
  2. Luận Văn - Báo Cáo

Đồ Án Cuối Kì An Toàn Bảo Mật Thông Tin Đề Tài Khai Thác Lỗ Hổng Xss Trên Dvwa.pdf

25 2 0
Đồ Án Cuối Kì An Toàn Bảo Mật Thông Tin Đề Tài Khai Thác Lỗ Hổng Xss Trên Dvwa.pdf

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐẠI HỌC THỦ DẦU MỘT VIỆN KỸ THUẬT – CÔNG NGHỆ ĐỒ ÁN CUỐI KÌ AN TỒN BẢO MẬT THƠNG TIN ĐỀ TÀI KHAI THÁC LỖ HỔNG XSS TRÊN DVWA Sinh viên thực hiện: NGUYỄN HOÀNG BẢO - 1824801040023 NGUYỄN HỒNG PHÚC - 1824801040038 LÊ VĂN BÌNH - 1824801040054 Lớp: D18HT01 Giảng viên hướng dẫn: Ths LÊ TỪ MINH TRÍ Bình Dương, ngày 10 tháng 06 năm 2022 0 LỜI CẢM ƠN Trước tiên với tình cảm sâu sắc chân thành nhất, cho phép em bày tỏ lịng biết ơn đến thầy tạo điều kiện hỗ trợ, giúp đỡ em suốt trình học tập nghiên cứu đề tài Trong suốt thời gian từ bắt đầu học tập trường đến nay, em nhận nhiều quan tâm, giúp đỡ quý Thầy Cô bạn bè Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô viện kỹ thuật công nghệ – Trường Đại học Thủ Dầu Một truyền đạt vốn kiến thức quý báu cho chúng em suốt thời gian học tập trường Nhờ có lời hướng dẫn, dạy bảo thầy cô nên đề tài nghiên cứu em hồn thiện tốt đẹp Một lần nữa, em xin chân thành cảm ơn thầy Lê Từ Minh Trí.– người trực tiếp giúp đỡ, quan tâm, hướng dẫn em hoàn thành tốt báo cáo thời gian qua Bài báo cáo thực tập thực khoảng thời gian cuối khóa học môn thầy Bước đầu vào thực tế em hạn chế nhiều bỡ ngỡ nên khơng tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp quý báu quý Thầy Cô để kiến thức em lĩnh vực hồn thiện đồng thời có điều kiện bổ sung, nâng cao ý thức Em xin chân thành cảm ơn! 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf ĐỒ ÁN ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐH THỦ DẦU MỘT Tơi xin cam đoan sản phẩm đồ án riêng / hướng dẫn thầy Lê Từ Minh Trí Các nội dung nghiên cứu, kết đề tài trung thực chưa cơng bố hình thức trước Những số liệu bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá tác giả thu thập t nguồn khác có ghi rõ phần tài liệu tham khảo Ngồi ra, đồ án cịn sử dụng số nhận xét, đánh số liệu tác giả khác, quan tổ chức khác có trích dẫn thích nguồn gốc Nếu phát có gian lận tơi xin hồn toàn chịu trách nhiệm nội dung đồ án Trường Đại học Thủ Dầu Một khơng liên quan đến vi phạm tác quyền, quyền gây q trình thực (nếu có) TP Thủ Dầu Một, ngày 14 tháng 04 năm 2021 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf MỤC LỤC ĐỒ ÁN ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐH THỦ DẦU MỘT CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI 1.1 Tổng quan vấn đề nghiên cứu 1.1.1 Tổng quan lỗi bảo mật XSS: 1.2 Danh mục hình 1.2.1 Các bước thực khai thác lỗi XSS 1.2.2 Nhiệm vụ tiểu luận CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 An tồn thơng tin Việt Nam 2.2 Khái niệm bảo mật 2.2.1 An tồn thơng tin 2.2.2 Khái niệm lỗ hổng bảo mật 2.3 Tổng quan bảo mật web (web security) 10 2.3.1 Lỗ hổng bảo mật 10 2.3.2 Phân loại lỗ hổng bảo mật 10 2.3.3 Cách công website 11 2.3.4 SQL Injection 11 2.3.5 Cross-Site Request Forgery (CSRF) 11 2.3.6 Cross-Site Scripting (XSS) 11 2.3.7 Tấn công từ chối dịch vụ (DDOS) 12 2.3.8 Tấn công từ chối dịch vụ (DDOS) 12 2.3.9 File Inclusion 12 2.3.10 Command Injection 13 2.4 Công cụ triển khai dạng công web 13 CHƯƠNG 3: THỰC NGHIỆM 15 3.1 Mô tả yêu cầu 15 3.2 Thực nghiệm 15 CHƯƠNG 4: KẾT LUẬN 19 4.1 Đã đạt 19 4.2 Chưa đạt 19 TÀI LIỆU THAM THẢO 20 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI 1.1 Tổng quan vấn đề nghiên cứu 1.1.1 Tổng quan lỗi bảo mật XSS: Lỗi XSS phổ biến ứng dụng web, xuất ứng dụng nhận kèm liệu đầu vào từ người dùng qua trang web, gửi đến người khác mà không thông qua kiểm tra xử lý Kẻ công chèn vào website động (ASP, PHP, CGI, JSP ) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đó, đoạn mã nguy hiểm đựơc chèn vào hầu hết viết Client-Site Script JavaScript, JScript, DHTML thẻ HTML Từ đó, kẻ cơng thực thi script trình duyệt nạn nhân để ăn cắp hay giả mạo phiên làm việc, thêm vào nội dung xấu, chuyển kết nối, cơng trình duyệt phần mềm độc hại Xác định lỗi XSS: Tiến hành kiểm tra lỗi XSS với điểm vào dự đoán từ trước thẻ input search, comment Thử truyền liệu vào điểm vào ứng dụng, quan sát thơng tin trả để xem có mã gửi mà có xuất trở lại Nếu có xuất phần body kiểm tra lỗi liên quan đến Reflected XSS Nếu xuất lại phần header kiểm tra lỗi liên quan đến HTTP Header Injection Trường hợp phần body xuất giá trị mà gửi lên yêu cầu thử xem thực thi JavaScript cách chèn thẻ Thử gửi lên vài mã cơng có nội dung khai thác lỗi XSS quan sát phản hồi từ ứng dụng để xác định ứng dụng có áp dụng phương thức lọc khả vượt qua Nếu ứng dụng chặn nội dung liên quan đến thẻ script thực HTML- encoding để thử xem có lọc trường hợp hay không Quan sát điểm mà ứng dụng lưu trữ liệu liên quan đến tài khoản người dùng Ví dụ như: phần comment, lưu thông tin đổi tên thành viên, chữ ký Nếu việc lưu trữ mà không thực lọc thực cơng Store XSS Nếu ứng dụng có lưu trữ liệu người dùng nhập vào sử dụng kết hiển thị cho lần sau thực gửi mã công liên quan đến XSS để xem ứng dụng có bị cơng Store XSS hay khơng Các cơng cụ phát XSS cách tự động Tuy nhiên, ứng dụng xây dựng khác sử dụng tảng khác Javascript, ActiveX, Flash Sliverlight, 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf làm cho việc phát lỗi khó khắn Cho nên, để đảm bảo đòi hỏi kết hợp kiểm tra mã nguồn, kiểm chứng lại tay bên cạnh cách thức tự động Các bước để thực xác định lỗi XSS: Bước1: Mở website cần kiểm tra Bước 2: Bắt đầu kiểm tra, định vị tìm kiếm login form gửi thông tin (nhập thông tin nhấn submit hay login hay ok đó), ví dụ nhập chữ "XSS" chẳng hạn hay chữ Bước 3: Xác định khả site có bị lỗi XSS hay khơng cách xem thơng tin trả về: Ví dụ thấy này: Hoặc mà có dính tới chữ "XSS" mà nhập vào ban đầu "Alert" bị XSS Cịn vài hình thức nữa: Chú ý ô input hay biến address ( var=) thấy nhập liệu vào Hãy thử với script này: 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Bước 4: Chèn code thực vào nơi bị lỗi: Chèn alert('XSS') vào ô ban nhấn SUBMIT Nếu sau nhận popup có chữ "XSS" "Alert" 100% bị dính XSS Nhưng xin ý, có trường hợp website bị dính XSS khơng xuất popup buộc lịng phải VIEW SOURCES (xem mã nguồn) để xem Khi view sources nhớ kiểm tra dòng alert('XSS'), có hết chạy,XSS Vượt qua chế XSS: Trong số trường hợp, liệu trả xuất phần Attribute Value: Có thể sử dụng mã cơng sau: " onfocus="alert(document.cookie) Trường hợp có sử dụng lọc, sử dụng cú pháp khác chế encoding như: 1.2 Danh mục hình 1.2.1 Các bước thực khai thác lỗi XSS Khác với lỗi khác gây hại trực tiếp lên hệ thống chứa web site, XSS lại không gây hại đến hệ thống sever mà đối tượng công chủ yếu XSS lại người dùng Ứng dụng Web thường lưu trữ thông tin quan trọng cookie Cookie mẩu thông tin mà ứng dụng lưu đĩa cứng người sử dụng Nhưng ứng dụng thiết lập cookie đọc Do người dùng phiên làm việc ứng dụng hacker có hội đánh cắp cookie 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Công việc hacker tìm trang đích để dụ người dùng đăng nhậpsau tìm lỗ hổng ứng dụng Sau bước thực khai thác lỗi XSS: Bước 1: Hacker biết người dùng sử dụng ứng dụng Web có lỗ hỏng XSS Bước 2: Người dùng nhận liên kết thông qua email hay trang Web (như guestbook, banner dễ dàng thêm liên kết hacker tạo ) Thông thường hacker khiến người dùng ý câu kích thích tị mị người dùng “ Kiểm tra tài khoản”, “Một phần thưởng hấp dẫn chờ ” Bước 3: Chuyển nội dung thông tin (cookie, tên, mật ) máy chủ hacker Bước 4: Hacker tạo chương trình trang Web để ghi nhận thông tin đánh cắp vào tập tin Bước 5: Sau nhận thơng tin cần thiết, hacker sử dụng để thâm nhập vào tài khoản người dùng 1.2.2 Nhiệm vụ tiểu luận Tiến hành kiểm tra lỗi XSS với điểm vào dự đoán từ trước thẻ input search, comment Thử truyền liệu vào điểm vào ứng dụng, quan sát thông tin trả để xem có mã gửi mà có xuất trở lại Nếu có xuất phần body kiểm tra lỗi liên quan đến Reflected XSS Nếu xuất lại phần header kiểm tra lỗi liên quan đến HTTP Header Injection 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 An tồn thơng tin Việt Nam Ngày nay, an ninh thông tin vào ngõ ngách đời sống xã hội dần trở thành phận quan trọng an ninh quốc gia Nguy gây an ninh thông tin mối đe dọa lớn ngày gia tăng an ninh quốc gia Bài viết tập trung phân tích, làm rõ tình hình an ninh thông tin Việt Nam điều kiện nay, rõ vấn đề đặt bảo đảm an ninh thông tin giải pháp trọng tâm nhằm nâng cao hiệu bảo đảm an ninh thông tin Việt Nam thời gian tới Trải qua 35 năm đổi mới, hệ thống thông tin Việt Nam có phát triển mạnh mẽ, phục vụ đắc lực lãnh đạo, quản lý, điều hành Đảng, Nhà nước, đáp ứng nhu cầu thông tin xã hội, góp phần đảm bảo quốc phịng, an ninh đất nước Lĩnh vực viễn thông, Internet, tần số vô tuyến điện có phát triển mạnh mẽ, đạt mục tiêu số hóa hồn tồn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ mở rộng, bước đầu hình thành doanh nghiệp mạnh, có khả vươn tầm khu vực, quốc tế Hệ thống bưu chuyển phát, báo chí, xuất phát triển nhanh số lượng, chất lượng kỹ thuật nghiệp vụ, có đóng góp quan trọng cho phát triển kinh tế - xã hội; đảm bảo quốc phòng, an ninh, đối ngoại đất nước Tuy nhiên, tình hình an ninh thơng tin Việt Nam có diễn biến phức tạp Các quan đặc biệt nước ngoài, lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động trị nội bộ, can thiệp, hướng lái sách, pháp luật Việt Nam Gia tăng hoạt động công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tin quan trọng an ninh quốc gia Hệ thống thơng tin Việt Nam cịn tồn nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, cơng, xâm nhập; tình trạng lộ, bí mật nhà nước qua hệ thống thông tin gia tăng đột biến; tượng khai thác, sử dụng trái phép sở liệu, tài nguyên thông tin quốc gia, liệu cá nhân người dùng diễn biến phức tạp Thực tế nêu làm xuất nhiều nguy đe dọa đến an ninh thông tin Việt Nam bên bên Ở nước, trước hết nguy tụt hậu công nghệ, lệ thuộc vào cơng nghệ nước ngồi, hệ thống mạng lõi; phần mềm hệ thống, dịch vụ thơng tin nước ngồi (nhất dịch vụ mạng xã hội) dẫn tới chủ quyền nội dung số, tài nguyên thông tin công ty công nghệ nước ngày nghiêm trọng hơn; đối 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf tượng hội, chống đối trị nước, triệt để sử dụng mạng xã hội tán phát thông tin giả, thông tin xấu, độc nhằm gây rối nội bộ, kích động biểu tình, bạo loạn 2.2 Khái niệm bảo mật 2.2.1 An toàn thơng tin An tồn thơng tin ngành đảm nhiệm vai trị bảo vệ hệ thống thơng tin, liệu tránh khỏi công virus, mã độc, chống lại hành động truy cập, sửa đổi, phát tán, phá hoại liệu bất hợp pháp nhằm đảm bảo cho hệ thống thông tin thực chức năng, phục vụ đối tượng cách xác An tồn thơng tin hành động ngăn cản, phòng ngừa sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại phá hủy thông tin chưa có cho phép Ngày vấn đề an tồn thơng tin xem quan tâm hàng đầu xã hội, có ảnh hưởng nhiều đến hầu hết ngành 2.2.2 Khái niệm lỗ hổng bảo mật Lỗ hổng bảo mật (tiếng Anh: vulnerability) khái niệm phổ biến giới an tồn thơng tin Có nhiều định nghĩa khác lỗ hổng, tất có điểm chung ám điểm yếu (kỹ thuật phi kỹ thuật) phần mềm, phần cứng, giao thức, hay hệ thống thông tin Dưới số định nghĩa lỗ hổng bảo mật:  Viện Tiêu chuẩn Công nghệ Quốc gia (NIST): Điểm yếu hệ thống thơng tin, quy trình bảo mật hệ thống, kiểm sốt nội cơng tác triển khai bị khai thác tác nhân gây hại  ISO 27005: Điểm yếu tài sản nhóm tài sản bị khai thác nhiều mối đe dọa mạng, tài sản thứ có giá trị tổ chức, hoạt động kinh doanh tổ chức tính liên tục hoạt động đó, bao gồm tài nguyên thông tin hỗ trợ sứ mệnh tổ chức  IETF RFC 4949: Một lỗ hổng điểm yếu thiết kế, triển khai vận hành quản lý hệ thống bị khai thác để vi phạm sách bảo mật hệ thống 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf  ENISA: Sự tồn điểm yếu, thiết kế lỗi triển khai dẫn đến cố khơng mong muốn làm tổn hại đến bảo mật hệ thống máy tính, mạng, ứng dụng giao thức liên quan  The Open Group: Xác suất khả mối đe dọa vượt khả chống lại mối đe dọa  Phân tích nhân tố rủi ro thông tin: Xác suất tài sản chống lại hành động tác nhân đe dọa  ISACA: Một điểm yếu thiết kế, triển khai, vận hành kiểm soát nội 2.3 Tổng quan bảo mật web (web security) Hiện nay, bảo mật thông tin thách thức lớn nhà nghiên cứu chuyên gia ngành, lỗ hổng phương thức khai thác lỗ hổng ngày phức tạp tinh vi Phần lớn (hơn 70%) website dễ dàng bị công quản trị viên trang web bị tổn thương hay nắm phương pháp kiểm tra, dị qt thích hợp nhằm tìm điểm yếu bảo mật, lỗ hổng để vá lại Nhiều lỗi tồn lâu dài đến chục năm chưa vá Điển hình vụ trang web Bộ Giáo Dục bị hacker thay hình ảnh trái phép, hacker t ấn công liệu mạng Đại học Y Dược Cần Thơ, Hacker công vào website sân bay Tân Sơn Nhất Ngày nhiều trang web bị hacker công thay đổi nội dung (deface), chèn mã độc hay làm ảnh hưởng đến uy tín , hình ảnh doanh nghiệp 2.3.1 Lỗ hổng bảo mật Lỗ hổng bảo mật l điểm yếu website, gây do: lỗi cấu hình, phân quyền cho website, lỗi lập trình người lập trình, lỗi nằm hệ thống, thành phần tích hợp Tin tặc lợi dụng lỗ hổng để khai thác công phá hoại website 2.3.2 Phân loại lỗ hổng bảo mật Có ba loại lỗ hổng bảo mật: - Lỗ hổng loại C: cho phép thực công kiểu DoS (Denial of Services – từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu đạt quyền truy cập hệ thống - Lỗ hổng loại B: l ỗ hổng cho phép người sử dụng có thêm quyền truy cập hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin 10 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf - Lỗ hổng loại A: cho phép người hệ thống truy cập bất hợp pháp vào hệ thống, phá hủy tồn hệ thống 2.3.3 Cách công website Tùy vào dạng công web khác mà q trình cơng có bước cụ thể khác Tuy nhiên nhìn chung, trình t ấn cơng mục tiêu thường khái quát qua giai đoạn:  Giai đoạn 1: Thu thập thơng tin  Giai đoạn 2: Phân tích hành động  Giai đoạn 3: Dừng xóa dấu vết Các dạng công Các dạng công web phổ biến 2.3.4 SQL Injection SQL Injection kiểu hack web cách inject mã SQL query/command vào input trước chuyển cho ứng dụng web xử lí, bạn login mà khơng cần username password, remote execution (thực thi từ xa), dump data lấy root SQL server Công cụ dùng để cơng trình duyệt web bất kì, chẳng hạn Internet Explorer, Netscape, Lynx, Một số dạng công thường gặp với ứng dụng web 2.3.5 Cross-Site Request Forgery (CSRF) Cross-site Request Forgery (CSRF) kiểu công lừa người sử dụng thực hành động mà họ không mong muốn lên ứng dụng web, quyền người dùng Sử dụng số thủ thuật social engineering đơn giản (như gửi link qua email, chát), hacker lừa người dùng thực s ố tác vụ lên ứng dụng web bị lỗi CSRF như: xóa bài, thêm người dùng, thay đổi email, thay đổi mật victim Nếu người bị lừa Admin, hacker hồn tồn chiếm quyền điều khiển ứng dụng web 2.3.6 Cross-Site Scripting (XSS) XSS kỹ thuật công cách chèn vào website động (ASP, PHP,CGI,…) thẻ HTML hay đoạn mã script nguy hiểm gây hại cho người sử dụng khác Trong đoạn mà nguy hiểm thường viết Client Site Script như: JavaScript, Jscript, DHTML thẻ HTML Phân loại: Có loại Reflected XSS, Stored XSS DOM-based XSS 11 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf 2.3.7 Tấn công từ chối dịch vụ (DDOS) Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) dạng công nhằm gây cạn kiện tài nguyên hệ thống máy chủ làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt qng, truy cập chập chờn, chí khơng thể truy cập internet, làm tê liệt hệ thống Hoặc chí hệ thống mạng nội Như hình ta thấy rằng, nạn nhân đăng nhập vào ứng dụng web, attacker gửi tới nạn nhân URL chứa đoạn javaScript, nạn nhân gửi yêu cầu truy cập tới server nhận phản hồi từ server trang web chữa mã attacker Khi trình duyệt sử lí phản hồi từ server, trình duyệt gửi thơng tin session cho attacker từ attacker chiếm session nạn nhân 2.3.8 Tấn công từ chối dịch vụ (DDOS) Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) dạng công nhằm gây cạn kiện tài nguyên hệ thống máy chủ làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, chí khơng thể truy cập internet, làm tê liệt hệ thống Hoặc chí hệ thống mạng nội 2.3.9 File Inclusion File inclusion attack kỹ thuật khai thác dựa lỗi include file PHP, chia thành loại: Local file inclusion 12 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Là kỹ thuật chèn file local vào hệ thống, khai thác lỗi attcker xem nhiều thông tin server victim file: passwd, http.còn, php.ini, access_log … tùy theo mức độ bảo mật server Remote file inclusion Là lỗi mà attacker chèn đoạn mã độc chúng (như file uploader hay shells) vào webpage nạn nhân Web server webpage hiểu hiển thị theo đoạn script mà attacker chèn vào Khi attacker kiểm sốt server Trong lập trình PHP có lệnh include, require, require _ once, include _ once cho phép file gọi đến file khác Tùy thuộc vào mức độ bảo mật server, kẻ cơng include file máy chủ (include local) hay include đến file máy khác (include remote) 2.3.10 Command Injection Command Injection xuất nội dung website, có cung cấp chức cụ thể thực thi câu lệnh hệ thống nhằm mục đích phục vụ người dùng đầu cuối Tấn công command injection khả chèn nội dung câu lệnh hệ thống vào phần input ứng dụng thực thi câu l ệnh ngồi phạm vi kiểm sốt ứng dụng từ kẻ xấu công lỗ hổng command injection ứng dụng web 2.4 Công cụ triển khai dạng công web Damn Vulnerable Web Application Damn Vulnerable Web Application (DVWA) ứng dụng mã nguồn PHP/MySQL tập hợp sẵn lỗi logic bảo mật ứng dụng web mã nguồn PHP L ỗi logic lập trình áp dụng loại ngơn ngữ lập trình nhằm giảm thiểu khả tạo lổ hổng bảo mật từ tư lập trình chưa cẩn thận Mục tiêu DVWA tạo môi trường thực hành hợp pháp Giúp cho nhà phát triển ứng dụng web hiểu hoạt động lập trình an tồn bảo mật Bên cạnh DVWA cung cấp cho pentester phương pháp học thực hành công khai thác lỗi bảo mật ứng dụng web mức nâng cao DVWA có nhóm lổ hổng bảo mật sau:  Brute Force  Command Execution 13 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf  Cross Site Request Forgery (CSRF)  File Inclusion  SQL Injection  Insecure File Upload  Cross Site Scripting (XSS)  Easter eggs Các mức độ bảo mật DVWA: DVWA cung cấp mức độ bảo mật tương ứng level để bạn thực hành từ dễ khó gồm:  High - mức cao nhất: Level gần level dùng để so sánh mã nguồn có lổ hổng mức low medium với mã nguồn tối ưu mức an toàn bảo mật  Medium - mức trung bình: Mức độ cung cấp nội dung logic code fix lổ hổng hạng mục mức low  Low - mức độ thấp nhất: Với mức độ low mã nguồn PHP gân phơi bày khả khai thác lổ hổng qua tư lập trình chưa bao quát vấn đề bảo mật Đối với trang thực hành bảo mật ln có nút view source Nút sử dụng để xem nội dung source code mức bảo mật ứng mổi hạng mục, để từ bạn so sánh, đánh giá lý mã nguồn lại phơi bày lổ hổng bảo mật 14 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf CHƯƠNG 3: THỰC NGHIỆM 3.1 Mơ tả u cầu Máy tính cài phần mềm Vmware, cài máy ảo Kali Linux 64 bit với thông số sau:  Địa IP Mã hóa  Cài đặt: o Ứng dụng mã nguồn mở DVWA o Apache2 o Mysql o Php 3.2 Thực nghiệm (Các dạng t ấn công thực lớp SQl Injection, XSS, CSRF báo cáo không thực lại) Sau cài đặt xong DVWA có giao diện sau: Bước 1: Mở DVWA -> chọn DVWA Security -> chỉnh Security Level thành Low -> Submit 15 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Bước 2: Chọn XSS (Reflected) -> nhập tên vào ô What’s your name? -> View Source Bước 3: Quay lại ô What’s your name? nhập đoạn code sau: alert (“HackedMe”) 16 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Và alert (document.cookie) Bước 4: Chỉnh Security Level thành Medium, quay lại ô What’s your name? nhập đoạn code sau: alert (“HackedMe”) alert (document.cookie) 17 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Bước 5: Chỉnh Security Level thành High, quay lại ô What’s your name? nhập đoạn code sau: Như attacker công xem file etc/passwd dựa vào lỗ hổng website 18 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf CHƯƠNG 4: KẾT LUẬN 4.1 Đã đạt Đã tìm hiểu ngun lí hoạt động dạng công website thực nghiệm chúng mức bảo mật low, medium high 4.2 Chưa đạt Chưa thực nghiệm số dạng công website mức bảo mật cao, mức bảo mật impossible Chưa thực nghiệm công DDOS Remote File Include 19 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf TÀI LIỆU THAM THẢO [1] https://www.academia.edu/39205232/_123doc_tim_hieu_va_thuc_nghiem_ve_cac_dan g_tan_cong_website [2] https://resources.cystack.net/kiem-thu-lo-hong-xss-tren-cac-website/ [3] https://drive.google.com/drive/folders/1_1dZg1D5l9J8H5JepT4yK2JTThi9cfX8 20 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf 21 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf 22 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf 23 0 Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf Do.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdfDo.An.Cuoi.Ki.An.Toan.Bao.Mat.Thong.Tin.De.Tai.Khai.Thac.Lo.Hong.Xss.Tren.Dvwa.pdf

Ngày đăng: 30/12/2023, 05:20

Xem thêm:

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan