AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU - Full 10 điểm

1 ĐẠI HỌC ĐÀ NẴNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG VIỆT - HÀN Độc lập - Tự do - Hạnh phúc CHƯƠNG TRÌNH GIÁO DỤC ĐẠI HỌC Trình độ đào tạo: Đại học Ngành: Kỹ sư Công nghệ thông tin Mã số: Chuyên ngành: Mạng máy tính ĐỀ CƯƠNG CHI TIẾT HỌC PHẦN 1 Thông tin chung về học phần 1 1 Mã học phần: 1 2 Tên học phần: An toàn ứng dụng web và cơ sở dữ liệu 1 3 Ký hiệu học phần: 1 4 Tên tiếng Anh: Database and Web Application Security 1 5 Số tín chỉ: 2 TC 1 6 Phân bố thời gian: - Lý thuyết: 1 5 TC (21 tiết) - Bài tập/Thảo luận: - Thực hành/Thí nghiệm: 0 5 TC (9 tiết) - Tự học: 90 tiết 1 7 Các giảng viên phụ trách học phần: - Giảng viên phụ trách chính: TS Đặng Quang Hiển; ThS Lê Tự Thanh; - Danh sách giảng viên cùng giảng dạy: TS Hoàng Hữu Đức; ThS Lê Kim Trọng; ThS Đỗ Công Đức ; ThS Ninh Khánh Chi - Bộ môn phụ trách giảng dạy: 1 8 Điều kiện tham gia học phần: - Học phần tiên quyết: - Học phần học trước: - Học phần song hành: 1 9 Loại học phần: Tự chọn bắt buộc 1 10 Thuộc khối kiến thức Kiến thức Chuyên ngành 2 Mục tiêu học phần 2 2 1 Mục tiêu chung Hiện nay, các ứng dụng web từ các phần mềm quản lý nội bộ đến các hệ thống quản lý tài chính, từ các ứng dụng thương mại điện tử đến các hệ thống giao dịch ngân hàng, bao gồm quy mô sử dụng trong hệ thống mạng nội bộ đến cung cấp rộng rãi cho người dùng internet đang đối mặt với các vụ tấn công , xâm hại vào các máy chủ và website Xuất phát từ thực tế đó, khóa học “Bảo mật ứng dụng Web” được thiết kế đặc biệt, cung cấp học viên kiến thức, kinh nghiệm về cấu hình, cài đặt, bảo trì và nâng cao tính năng bảo mật cho máy chủ và các ứng dụng web nhằm đảm bảo an toàn trước nguy cơ tấn công thông qua website của cơ quan, doanh nghiệp 2 2 Mục tiêu cụ thể 2 2 1 Về kiến thức - CO1: Trang b ị cho sinh viên ki ế n th ứ c chuyên sâu v ề An toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u như: các k ỹ thu ậ t m ậ t mã, an toàn cơ s ở d ữ li ệ u, an toàn các ứ ng d ụ ng Web và Internet, l ậ p trình an toàn, thi ế t k ế các ph ầ n m ề m và công c ụ đ ả m b ả o an toàn, qu ả n lý và đánh giá đi ể m y ế u, các k ỹ thu ậ t ki ể m tra đánh giá an toàn, các v ấ n đ ề v ề chính sách, pháp lu ậ t … 2 2 2 Về kỹ năng - CO2: Áp d ụ ng các ki ế n th ứ c, k ỹ nă ng; s ử d ụ ng các công c ụ khoa h ọ c k ỹ thu ậ t đ ể nh ậ n bi ế t, phân tích, gi ả i quy ế t v ấ n đ ề liên quan đ ế n an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u; - CO3: Thi ế t k ế và tri ể n khai các ứ ng d ụ ng đ ả m b ả o an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u đáp ứ ng các yêu c ầ u k ỹ thu ậ t đ ặ t ra trong đi ề u ki ệ n th ự c t ế ; - CO4: Tìm ki ế m, ti ế p c ậ n, ứ ng d ụ ng hi ệ u qu ả các k ỹ thu ậ t, k ỹ năng và công c ụ hi ệ n đ ạ i đ ể gi ả i quy ế t nh ữ ng v ấ n đ ề th ự c t ế c ủ a an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u 2 2 3 Về thái độ - CO5: Giúp sinh viên phát tri ể n đư ợ c thái đ ộ t ố t, có ý th ứ c ch ủ đ ộ ng, trách nhi ệ m và tôn tr ọ ng l ẫ n nhau trong h ọ c t ậ p 2 3 Mô tả tóm tắt học phần : nội dung học phần gồm 4 chương - Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T - Chương 2 WEB SERVER VÀ GIAO TH Ứ C HTTPS - Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB - Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 3 Chuẩn đầu ra của học phần Học xong học phần, sinh viên có khả năng: Số TT Ký hiệu CĐR học phần (CLO) Chuẩn đầu ra học phần (CLOs) Nhận thức Kỹ năng Mức tự chủ và chịu trách nhiệm 1 CLO1 S ử d ụ ng ki ế n th ứ c “Web hacking”, các ki ể u xâm nh ậ p như SQL Injection, Session Hijack, DoS, Social Engineering v v… CO1 3 2 CLO2 Sử dụng kiến thức https và c ấ u hình s ử d ụ ng trên Web Server CO1 3 CLO3 Giải quyết các l ỗ i b ả o m ậ t trên ứ ng d ụ ng web và cách phòng ch ố ng thông qua các ph ầ n m ề m chuyên d ụ ng đ ể quét l ỗ i h ệ th ố ng CO1 CO2 4 CLO4 Giải quyết các d ạ ng t ấ n công d ữ li ệ u và cách h ạ n ch ế l ỗ i b ả o m ậ t trên các máy ch ủ d ữ li ệ u CO1 CO2 5 CLO5 Thiết kế và xây dựng các giải pháp phòng chống cho hệ thống Web CO3 CO4 6 CL 06 Rèn luy ệ n thái đ ộ và trách nhi ệ m làm vi ệ c theo nhóm CO5 4 Mối liên hệ giữa chuẩn đầu ra học phần (CLOs) và chuẩn đầu ra chương trình đào tạo (PLOs): Mức độ đóng góp, hỗ trợ của CLO đối với PLO được xác định cụ thể như sau: Điền một trong các mức I, R, M hoặc chừa trống (nếu không có sự liên hệ) và điền A vào ô tương ứng Chuẩn đầu ra học phần (CLOs) Chuẩn đầu ra CTĐT (PLOs) PLO1 PLO2 PLO3 PLO4 PLO5 PLO6 PLO7 PLO 8 CLO 1 I R CLO 2 I R CLO 3 I I I CLO 4 I I I CLO 5 R I I R I CLO 6 I I 5 Đo lường đánh giá mức độ người học đạt chuẩn đầu ra của học phần (gọi tắt là đánh giá CLO) 4 CLO Nội dung CLO Sự cần thiết để đánh giá CLO Có hỗ trợ đánh giá PLO Dữ liệu để đánh giá CLO được lấy từ Mục tiêu đối với CLO CLO1 CLO2 … 6 Đánh giá học phần 6 1 Phương pháp, hình thức kiểm tra – đánh giá của học phần Kết quả học tập của sinh viên được đánh giá bằng các thành phần: đánh giá quá trình, đánh giá giữa kỳ, đánh giá cuối kỳ, các hoạt động đánh giá khác Thành phần đánh giá Trọng số (%) Hình thức đánh giá Trọng số con (%) Rubric (đánh dấu X nếu có) Chuẩn đầu ra học phần có liên quan Hướng dẫn phương pháp đánh giá (1) (2) (3) (4) (5) (6) (7) A1 Đánh giá chuyên c ầ n 10% Có ý th ứ c tham gia h ọ c t ậ p đ ầ y đ ủ , hoàn thành đúng h ạ n các yêu c ầ u c ủ a gi ả ng viên và tích c ự c phát bi ể u ý ki ế n CLO 1 CLO 2 CLO 3 CLO 4 CLO 5 A 2 Đánh giá đ ị nh k ỳ 40% Ki ể m tra gi ữ a k ỳ CLO 3 CLO 4 SV làm bài th ự c hành hành theo yêu c ầ u và hư ớ ng d ẫ n c ủ a GV t ạ i phòng máy tính GV s ẽ ch ấ m đi ể m căn c ứ vào ki ế n th ứ c, k ỹ năng 5 Thành phần đánh giá Trọng số (%) Hình thức đánh giá Trọng số con (%) Rubric (đánh dấu X nếu có) Chuẩn đầu ra học phần có liên quan Hướng dẫn phương pháp đánh giá A 3 Đánh giá cu ố i k ỳ 50 % Bài thi cu ố i k ỳ : Thi th ự c hành cu ố i k ỳ CLO 3 CLO 4 CLO 5 CLO 6 Bài thi cu ố i k ỳ GV s ẽ ch ấ m k ế t qu ả th ự c hi ệ n bài thi th ự c hành c ủ a sinh viên 6 2 Chính sách đối với học phần SV tham d ự >=80% s ố bu ổ i c ủ a HP N ế u ngh ỉ >20% s ố bu ổ i s ẽ không đư ợ c tham gia thi th ự c hành cu ố i h ọ c k ỳ 7 Kế hoạch và nội dung giảng dạy học phần Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá (1) (2) (3) (4) (5) (6) (7) 1 Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T 1 1 Gi ớ i thi ệ u v ề b ả o m ậ t 1 2 Nh ữ ng tài nguyên c ầ n b ả o v ệ 1 3 Nh ữ ng l ỗ h ỏ ng b ả o m ậ t 1 4 Các ki ể u t ấ n công c ủ a hacker 1 5 Các bi ệ n pháp phát hi ệ n h ệ th ố ng b ị t ấ n công 1 6 Các quy t ắ c b ả o m ậ t 3 LT - Nghe gi ả ng, đ ọ c tài li ệ u và th ự c hành tr ự c ti ế p trên máy tính 2 Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T 1 7 Xây d ự ng chính sách b ả o m ậ t Chương 2 WEB SERVER VÀ 3 LT 6 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá GIAO TH Ứ C HTTPS 2 1 Quét máy ch ủ web 2 2 Các l ỗ i b ả o m ậ t ph ổ bi ế n trên webserver 2 3 Cách phòng ch ố ng 2 4 Ch ứ ng th ự c và các lo ạ i ch ứ ng th ự c 2 5 SSL (Secure Socket Layer) là gì? 2 6 Nhu c ầ u c ủ a ch ứ ng th ự c d ị ch v ụ d ự a trên SSL 3 Chương 2 WEB SERVER VÀ GIAO TH Ứ C HTTPS 2 7 C ấ p ch ứ ng nh ậ n cho máy ch ủ ứ ng d ụ ng: HTTS, FTPS, … 2 8 S ử d ụ ng Web - Based Password Cracking with Brutus đ ể b ẻ khóa m ậ t kh ẩ u và cách phòng ch ố ng 2 9 S ử d ụ ng burp suite đ ể b ẻ khóa m ậ t kh ẩ u web và cách phòng ch ố ng 2 10 Cách phòng chóng và kh ắ c ph ụ c 2 11 Ki ể m tra và phân tích hi ệ n tr ạ ng c ủ a web server v ớ i: CORE Impact pro, Immunity Canvas,… 3 LT 7 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá 2 12 Cài đ ặ t Enterprise Certificate Authority,… 2 13 C ấ p ch ứ ng ch ỉ cho máy ch ủ IIS 2 14 Ki ể m tra v ậ n hành ứ ng d ụ ng trên giao th ứ c HTTPS 4 Bài th ự c hành 01 Chu ẩ n b ị và làm quen v ớ i các công c ụ h ọ c t ậ p và công c ụ t ạ o máy ả o 3 TH 5 Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB 3 1 Các v ấ n đ ề an toàn ứ ng d ụ ng web hi ệ n t ạ i và xu hư ớ ng 3 2 Các tiêu chí đánh giá h ệ th ố ng ứ ng d ụ ng web an toàn 3 3 Ki ể m tra l ỗ i b ả o m ậ t ch o ứ ng d ụ ng web 3 4 Các phương pháp xác th ự c web cơ b ả n 3 5 K ỹ thu ậ t b ẻ khóa m ậ t kh ẩ u web 3 6 K ỹ thu ậ t t ấ n công b ằ ng cách chèn nh ữ ng đo ạ n mã script vào các website (XSS) 3 7 Bi ệ n pháp phòng ch ố ng 3 LT 6 Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB 3 8 Dò l ỗ i h ệ th ố ng 3 LT 8 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá 3 9 Xây d ự ng webserver gi ả m ạ o 3 9 T ấ n công gi ả m ạ o trang Web (Web Phishing Attack) 3 10 Phòng ch ố ng và kh ắ c ph ụ c: 3 11 Các module ngu ồ n m ở d ễ b ị t ấ n công và cách kh ắ c ph ụ c, phòng ch ố ng: CKEditor,… 7 Bài th ự c hành 02 Cài đ ặ t đ ệ đi ề u hành, cài đ ặ t web server, các d ị ch v ụ như SSL s ử d ụ ng các công c ụ đ ể b ẻ khóa m ậ t kh ẩ u và cách phòng ch ố ng 3 TH 8 Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 4 1 Cơ s ở d ữ li ệ u ph ổ bi ế n 4 2 Các d ạ ng t ấ n công cơ s ở d ữ li ệ u ph ổ bi ế n 4 3 K ỹ thu ậ t khai thác l ỗ i SQL Injection 4 4 Công c ụ t ấ n công SQL Injection 4 5 Bi ệ n pháp phòng ch ố ng 3 LT 9 Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 4 6 Tìm ki ế m nh ữ ng website b ị l ỗ i Sql Injection 4 7 Khai thác các công c ụ dò l ỗ i SQL Injection: Vega, 3 LT 9 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá Zed attack proxy, Wapiti, AppScan, SQLMap 4 8 Khai thác l ỗ h ỏ ng Sql injection 4 9 Phòng ch ố ng SQL Injection 10 Bài th ự c hành 03 Xây d ự ng m ộ t cơ s ở dũ li ệ u cơ b ả n và s ử d ụ ng k ỹ thu ậ t khai thác l ỗ i SQL Injection Sau đó đưa ra bi ệ n pháp phòng ch ố ng 3 TH Theo l ị ch thi Thi cu ố i k ỳ 8 Báo cáo đánh giá chuẩn đầu ra học phần sau khi có kết quả thi kết thúc học phần (chi tiết phụ lục đính kèm) 9 Học liệu 9 1 Sách, giáo trình, tài liệu tham khảo TT Tên tác gi ả Năm XB Tên sách, giáo trình, tên bài báo, văn b ả n NXB, tên t ạ p chí/ nơi ban hành VB Sách, bài giảng, giáo trình chính 1 Xuân D ậ u 2017 An toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u H ọ c vi ệ n công ngh ệ bưu chính vi ễ n thông Sách, giáo trình tham kh ả o 2 3 4 5 9 2 Danh mục địa chỉ website để tham khảo khi học học phần TT N ộ i dung tham kh ả o Link trang web Ngày c ậ p nh ậ t 1 2 3 4 5 10 Cơ sở vật chất phục vụ giảng dạy 10 TT Tên gi ả ng đư ờ ng, PTN, xư ở ng, cơ s ở TH Danh m ụ c trang thi ế t b ị , ph ầ n m ề m chính ph ụ c v ụ TN,TH Ph ụ c v ụ cho n ộ i dung Bài h ọ c/Chương Tên thi ế t b ị , d ụ ng c ụ , ph ầ n m ề m,… S ố lư ợ ng 1 2 11 Rubric đánh giá làm việc nhóm qua bài tập lớn (dự án) Tiêu chí đánh giá MỨC D (4 0 - 5 4) MỨC C (5 5 - 6 9) MỨC B (7 0 - 8 4) MỨC A (8 5 - 10) … … 1 Đ à Nẵng, ngày tháng năm 2022 Trưởng khoa Giảng viên biên soạn

ĐẠI HỌC ĐÀ NẴNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

VÀ TRUYỀN THÔNG VIỆT - HÀN Độc lập - Tự do - Hạnh phúc

CHƯƠNG TRÌNH GIÁO DỤC ĐẠI HỌC

Trình độ đào tạo: Đại học Ngành: Kỹ sư Công nghệ thông tin Mã số:

Chuyên ngành: Mạng máy tính

ĐỀ CƯƠNG CHI TIẾT HỌC PHẦN

1 Thông tin chung về học phần

1.1 Mã học phần: 1.2 Tên học phần: An toàn ứng dụng

web và cơ sở dữ liệu 1.3 Ký hiệu học phần: 1.4 Tên tiếng Anh:

Database and Web Application Security

1.6 Phân bố thời gian:

- Thực hành/Thí nghiệm: 0.5 TC (9 tiết)

1.7 Các giảng viên phụ trách học phần:

- Giảng viên phụ trách chính: TS Đặng Quang Hiển; ThS Lê Tự

Thanh;

- Danh sách giảng viên cùng giảng dạy: TS Hoàng Hữu Đức; ThS Lê Kim

Trọng; ThS Đỗ Công Đức; ThS Ninh Khánh Chi

- Bộ môn phụ trách giảng dạy:

1.8 Điều kiện tham gia học phần:

- Học phần tiên quyết:

- Học phần học trước:

- Học phần song hành:

1.10 Thuộc khối kiến thức Kiến thức Chuyên ngành

2 Mục tiêu học phần

2.1 Mục tiêu chung

Hiện nay, các ứng dụng web từ các phần mềm quản lý nội bộ đến các hệ thống quản

lý tài chính, từ các ứng dụng thương mại điện tử đến các hệ thống giao dịch ngân hàng, bao gồm quy mô sử dụng trong hệ thống mạng nội bộ đến cung cấp rộng rãi cho người dùng internet đang đối mặt với các vụ tấn công, xâm hại vào các máy chủ

và website Xuất phát từ thực tế đó, khóa học “Bảo mật ứng dụng Web” được thiết

kế đặc biệt, cung cấp học viên kiến thức, kinh nghiệm về cấu hình, cài đặt, bảo trì và nâng cao tính năng bảo mật cho máy chủ và các ứng dụng web nhằm đảm bảo an toàn trước nguy cơ tấn công thông qua website của cơ quan, doanh nghiệp

2.2 Mục tiêu cụ thể

2.2.1 Về kiến thức

- CO1: Trang bị cho sinh viên kiến thức chuyên sâu về An toàn ứng dụng web và

cơ sở dữ liệu như: các kỹ thuật mật mã, an toàn cơ sở dữ liệu, an toàn các ứng dụng Web và Internet, lập trình an toàn, thiết kế các phần mềm và công cụ đảm bảo an toàn, quản lý và đánh giá điểm yếu, các kỹ thuật kiểm tra đánh giá an toàn, các vấn đề về chính sách, pháp luật …

2.2.2 Về kỹ năng

- CO2: Áp dụng các kiến thức, kỹ năng; sử dụng các công cụ khoa học kỹ thuật để nhận biết, phân tích, giải quyết vấn đề liên quan đến an toàn ứng dụng web và cơ

sở dữ liệu;

- CO3: Thiết kế và triển khai các ứng dụng đảm bảo an toàn ứng dụng web và cơ

sở dữ liệu đáp ứng các yêu cầu kỹ thuật đặt ra trong điều kiện thực tế;

- CO4: Tìm kiếm, tiếp cận, ứng dụng hiệu quả các kỹ thuật, kỹ năng và công cụ hiện đại để giải quyết những vấn đề thực tế của an toàn ứng dụng web và cơ sở

dữ liệu

2.2.3 Về thái độ

- CO5: Giúp sinh viên phát triển được thái độ tốt, có ý thức chủ động, trách nhiệm

và tôn trọng lẫn nhau trong học tập

2.3 Mô tả tóm tắt học phần: nội dung học phần gồm 4 chương

- Chương 1 TỔNG QUAN VỀ BẢO MẬT

- Chương 2 WEB SERVER VÀ GIAO THỨC HTTPS

- Chương 3 TẤN CÔNG ỨNG DỤNG WEB

- Chương 4 TẤN CÔNG CƠ SỞ DỮ LIỆU

3 Chuẩn đầu ra của học phần

Học xong học phần, sinh viên có khả năng:

Số TT Ký hiệu CĐR học phần

(CLO)

Chuẩn đầu ra học phần

(CLOs)

Nhận thức năng Kỹ Mức tự chủ và chịu trách nhiệm

Sử dụng kiến thức “Web hacking”, các kiểu xâm nhập như SQL Injection, Session Hijack, DoS, Social Engineering v.v…

CO1

2 CLO2

Sử dụng kiến thức https

và cấu hình sử dụng trên Web Server

CO1

Giải quyết các lỗi bảo mật trên ứng dụng web và cách phòng chống thông qua các phần mềm chuyên dụng để quét lỗi

hệ thống

CO1 CO2

Giải quyết các dạng tấn công dữ liệu và cách hạn chế lỗi bảo mật trên các máy chủ dữ liệu

CO1 CO2

Thiết kế và xây dựng các giải pháp phòng chống cho hệ thống Web

CO3 CO4

Rèn luyện thái độ và trách nhiệm làm việc theo nhóm

CO5

4 Mối liên hệ giữa chuẩn đầu ra học phần (CLOs) và chuẩn đầu ra chương

trình đào tạo (PLOs):

Mức độ đóng góp, hỗ trợ của CLO đối với PLO được xác định cụ thể như sau:

Điền một trong các mức I, R, M hoặc chừa trống (nếu không có sự liên hệ) và

điền A vào ô tương ứng

Chuẩn

đầu ra

học phần

(CLOs)

Chuẩn đầu ra CTĐT (PLOs) PLO1 PLO2 PLO3 PLO4 PLO5 PLO6 PLO7 PLO 8

CLO 1

5 Đo lường đánh giá mức độ người học đạt chuẩn đầu ra của học phần (gọi tắt

là đánh giá CLO)

CLO Nội dung

CLO

Sự cần thiết

để đánh giá CLO

Có hỗ trợ đánh giá PLO

Dữ liệu để đánh giá CLO được lấy

từ

Mục tiêu đối với CLO CLO1

CLO2

…

6 Đánh giá học phần

6.1 Phương pháp, hình thức kiểm tra – đánh giá của học phần

Kết quả học tập của sinh viên được đánh giá bằng các thành phần: đánh giá quá trình, đánh giá giữa kỳ, đánh giá cuối kỳ, các hoạt động đánh giá khác

Thành phần

đánh giá Trọng số (%) Hình thức đánh giá Trọng số

con (%)

Rubric

(đánh dấu

X nếu có)

Chuẩn đầu

ra học phần

có liên quan

Hướng dẫn phương pháp đánh giá

A1 Đánh

giá chuyên

cần

10%

Có ý thức tham gia học tập đầy đủ, hoàn thành đúng hạn các yêu cầu của giảng viên và tích cực phát biểu ý kiến

CLO 1 CLO 2 CLO 3 CLO 4

CLO 5

A2 Đánh

giá định kỳ 40% Kiểm tra giữa kỳ

CLO 3 CLO 4

SV làm bài thực hành hành theo yêu cầu và hướng dẫn của

GV tại phòng máy tính

GV sẽ chấm điểm căn

cứ vào kiến thức,

kỹ năng

Thành phần

đánh giá

Trọng số (%) Hình thức đánh giá Trọng số

con (%)

Rubric

(đánh dấu

X nếu có)

Chuẩn đầu

ra học phần

có liên quan

Hướng dẫn phương pháp đánh giá

A3 Đánh

giá cuối kỳ 50%

Bài thi cuối kỳ: Thi thực hành cuối kỳ

CLO 3 CLO 4 CLO 5 CLO 6

Bài thi cuối kỳ

GV sẽ chấm kết quả thực hiện bài thi thực hành của

sinh viên

6.2 Chính sách đối với học phần

SV tham dự >=80% số buổi của HP Nếu nghỉ >20% số buổi sẽ không được tham gia thi thực hành cuối học kỳ

7 Kế hoạch và nội dung giảng dạy học phần

Tuần/

Buổi

(3 tiết/buổi)

Các nội dung cơ bản của bài học (chương)

Số tiết

(LT/TH/TT)

CĐR học phần có liên quan

PP giảng dạy đạt CĐR

Hoạt động học của SV

Hình thức đánh giá

1 Chương 1 TỔNG

QUAN VỀ BẢO

MẬT

1.1 Giới thiệu về

bảo mật

1.2 Những tài

nguyên cần bảo vệ

1.3 Những lỗ hỏng

bảo mật

1.4 Các kiểu tấn

công của hacker

1.5 Các biện pháp

phát hiện hệ thống

bị tấn công

1.6 Các quy tắc

bảo mật

giảng, đọc tài liệu và thực hành trực tiếp trên máy tính

2 Chương 1 TỔNG

QUAN VỀ BẢO

MẬT

1.7 Xây dựng

chính sách bảo mật

Chương 2 WEB

SERVER VÀ

3 LT

Tuần/

Buổi

(3 tiết/buổi)

Các nội dung cơ bản của bài học (chương)

Số tiết

(LT/TH/TT)

CĐR học phần có liên quan

PP giảng dạy đạt CĐR

Hoạt động học của SV

Hình thức đánh giá GIAO THỨC

HTTPS

2.1 Quét máy chủ

web

2.2 Các lỗi bảo

mật phổ biến trên

webserver

2.3 Cách phòng

chống

2.4 Chứng thực và

các loại chứng

thực

2.5 SSL (Secure

Socket Layer) là

gì?

2.6 Nhu cầu của

chứng thực dịch vụ

dựa trên SSL

3 Chương 2 WEB

SERVER VÀ

GIAO THỨC

HTTPS

2.7 Cấp chứng

nhận cho máy chủ

ứng dụng: HTTS,

FTPS, …

2.8 Sử dụng

Web-Based Password

Cracking with

Brutus để bẻ khóa

mật khẩu và cách

phòng chống

2.9 Sử dụng burp

suite để bẻ khóa

mật khẩu web và

cách phòng chống

2.10 Cách phòng

chóng và khắc phục

2.11 Kiểm tra và

phân tích hiện trạng

của web server với:

CORE Impact pro,

Immunity

Canvas,…

3 LT

Tuần/

Buổi

(3 tiết/buổi)

Các nội dung cơ bản của bài học (chương)

Số tiết

(LT/TH/TT)

CĐR học phần có liên quan

PP giảng dạy đạt CĐR

Hoạt động học của SV

Hình thức đánh giá

2.12 Cài đặt

Enterprise

Certificate

Authority,…

2.13 Cấp chứng

chỉ cho máy chủ

IIS

2.14 Kiểm tra vận

hành ứng dụng trên

giao thức HTTPS

4 Bài thực hành 01

Chuẩn bị và làm

quen với các công

cụ học tập và công

cụ tạo máy ảo

3 TH

5 Chương 3 TẤN

CÔNG ỨNG

DỤNG WEB

3.1 Các vấn đề an

toàn ứng dụng web

hiện tại và xu

hướng

3.2 Các tiêu chí

đánh giá hệ thống

ứng dụng web an

toàn

3.3 Kiểm tra lỗi

bảo mật cho ứng

dụng web

3.4 Các phương

pháp xác thực web

cơ bản

3.5 Kỹ thuật bẻ

khóa mật khẩu web

3.6 Kỹ thuật tấn

công bằng cách

chèn những đoạn

mã script vào các

website (XSS)

3.7 Biện pháp

phòng chống

3 LT

6 Chương 3 TẤN

CÔNG ỨNG

DỤNG WEB

3.8 Dò lỗi hệ thống

3 LT

Tuần/

Buổi

(3 tiết/buổi)

Các nội dung cơ bản của bài học (chương)

Số tiết

(LT/TH/TT)

CĐR học phần có liên quan

PP giảng dạy đạt CĐR

Hoạt động học của SV

Hình thức đánh giá

3.9 Xây dựng

webserver giả mạo

3.9 Tấn công giả

mạo trang Web

(Web Phishing

Attack)

3.10 Phòng chống

và khắc phục:

3.11 Các module

nguồn mở dễ bị tấn

công và cách khắc

phục, phòng chống:

CKEditor,…

7 Bài thực hành 02

Cài đặt đệ điều

hành, cài đặt web

server, các dịch vụ

như SSL sử dụng

các công cụ để bẻ

khóa mật khẩu và

cách phòng chống

3 TH

8 Chương 4 TẤN

CÔNG CƠ SỞ

DỮ LIỆU

4.1 Cơ sở dữ liệu

phổ biến

4.2 Các dạng tấn

công cơ sở dữ liệu

phổ biến

4.3 Kỹ thuật khai

thác lỗi SQL

Injection

4.4 Công cụ tấn

công SQL Injection

4.5 Biện pháp

phòng chống

3 LT

9 Chương 4 TẤN

CÔNG CƠ SỞ

DỮ LIỆU

4.6 Tìm kiếm

những website bị

lỗi Sql Injection

4.7 Khai thác các

công cụ dò lỗi SQL

Injection: Vega,

3 LT

Tuần/

Buổi

(3 tiết/buổi)

Các nội dung cơ bản của bài học (chương)

Số tiết

(LT/TH/TT)

CĐR học phần có liên quan

PP giảng dạy đạt CĐR

Hoạt động học của SV

Hình thức đánh giá

Zed attack proxy,

Wapiti, AppScan,

SQLMap

4.8 Khai thác lỗ

hỏng Sql injection

4.9 Phòng chống

SQL Injection

10 Bài thực hành 03

Xây dựng một cơ

sở dũ liệu cơ bản và

sử dụng kỹ thuật

khai thác lỗi SQL

Injection Sau đó

đưa ra biện pháp

phòng chống

3 TH

Theo lịch

thi Thi cuối kỳ

8 Báo cáo đánh giá chuẩn đầu ra học phần sau khi có kết quả thi kết thúc học

phần (chi tiết phụ lục đính kèm)

9 Học liệu

9.1 Sách, giáo trình, tài liệu tham khảo

TT Tên tác giả Năm XB Tên sách, giáo trình, tên bài báo, văn bản NXB, tên tạp chí/ nơi ban hành VB

Sách, bài giảng, giáo trình chính

1 Xuân Dậu 2017 An toàn ứng dụng web và cơ sở

dữ liệu

Học viện công nghệ bưu chính viễn thông

Sách, giáo trình tham khảo

2

3

4

5

9.2 Danh mục địa chỉ website để tham khảo khi học học phần

1

2

3

4

5

10 Cơ sở vật chất phục vụ giảng dạy

TT Tên giảng đường, PTN,

xưởng, cơ sở TH

Danh mục trang thiết bị, phần mềm chính phục vụ TN,TH

Phục vụ cho nội dung Bài học/Chương Tên thiết bị, dụng cụ,

phần mềm,… Số lượng

1

2

11 Rubric đánh giá làm việc nhóm qua bài tập lớn (dự án)

Tiêu chí đánh giá MỨC D

(4.0-5.4)

MỨC C (5.5-6.9)

MỨC B (7.0-8.4)

MỨC A (8.5-10)

Đà Nẵng, ngày tháng năm 2022