AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU - Full 10 điểm

1 ĐẠI HỌC ĐÀ NẴNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG VIỆT - HÀN Độc lập - Tự do - Hạnh phúc CHƯƠNG TRÌNH GIÁO DỤC ĐẠI HỌC Trình độ đào tạo: Đại học Ngành: Kỹ sư Công nghệ thông tin Mã số: Chuyên ngành: Mạng máy tính ĐỀ CƯƠNG CHI TIẾT HỌC PHẦN 1 Thông tin chung về học phần 1 1 Mã học phần: 1 2 Tên học phần: An toàn ứng dụng web và cơ sở dữ liệu 1 3 Ký hiệu học phần: 1 4 Tên tiếng Anh: Database and Web Application Security 1 5 Số tín chỉ: 2 TC 1 6 Phân bố thời gian: - Lý thuyết: 1 5 TC (21 tiết) - Bài tập/Thảo luận: - Thực hành/Thí nghiệm: 0 5 TC (9 tiết) - Tự học: 90 tiết 1 7 Các giảng viên phụ trách học phần: - Giảng viên phụ trách chính: TS Đặng Quang Hiển; ThS Lê Tự Thanh; - Danh sách giảng viên cùng giảng dạy: TS Hoàng Hữu Đức; ThS Lê Kim Trọng; ThS Đỗ Công Đức ; ThS Ninh Khánh Chi - Bộ môn phụ trách giảng dạy: 1 8 Điều kiện tham gia học phần: - Học phần tiên quyết: - Học phần học trước: - Học phần song hành: 1 9 Loại học phần: Tự chọn bắt buộc 1 10 Thuộc khối kiến thức Kiến thức Chuyên ngành 2 Mục tiêu học phần 2 2 1 Mục tiêu chung Hiện nay, các ứng dụng web từ các phần mềm quản lý nội bộ đến các hệ thống quản lý tài chính, từ các ứng dụng thương mại điện tử đến các hệ thống giao dịch ngân hàng, bao gồm quy mô sử dụng trong hệ thống mạng nội bộ đến cung cấp rộng rãi cho người dùng internet đang đối mặt với các vụ tấn công , xâm hại vào các máy chủ và website Xuất phát từ thực tế đó, khóa học “Bảo mật ứng dụng Web” được thiết kế đặc biệt, cung cấp học viên kiến thức, kinh nghiệm về cấu hình, cài đặt, bảo trì và nâng cao tính năng bảo mật cho máy chủ và các ứng dụng web nhằm đảm bảo an toàn trước nguy cơ tấn công thông qua website của cơ quan, doanh nghiệp 2 2 Mục tiêu cụ thể 2 2 1 Về kiến thức - CO1: Trang b ị cho sinh viên ki ế n th ứ c chuyên sâu v ề An toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u như: các k ỹ thu ậ t m ậ t mã, an toàn cơ s ở d ữ li ệ u, an toàn các ứ ng d ụ ng Web và Internet, l ậ p trình an toàn, thi ế t k ế các ph ầ n m ề m và công c ụ đ ả m b ả o an toàn, qu ả n lý và đánh giá đi ể m y ế u, các k ỹ thu ậ t ki ể m tra đánh giá an toàn, các v ấ n đ ề v ề chính sách, pháp lu ậ t … 2 2 2 Về kỹ năng - CO2: Áp d ụ ng các ki ế n th ứ c, k ỹ nă ng; s ử d ụ ng các công c ụ khoa h ọ c k ỹ thu ậ t đ ể nh ậ n bi ế t, phân tích, gi ả i quy ế t v ấ n đ ề liên quan đ ế n an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u; - CO3: Thi ế t k ế và tri ể n khai các ứ ng d ụ ng đ ả m b ả o an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u đáp ứ ng các yêu c ầ u k ỹ thu ậ t đ ặ t ra trong đi ề u ki ệ n th ự c t ế ; - CO4: Tìm ki ế m, ti ế p c ậ n, ứ ng d ụ ng hi ệ u qu ả các k ỹ thu ậ t, k ỹ năng và công c ụ hi ệ n đ ạ i đ ể gi ả i quy ế t nh ữ ng v ấ n đ ề th ự c t ế c ủ a an toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u 2 2 3 Về thái độ - CO5: Giúp sinh viên phát tri ể n đư ợ c thái đ ộ t ố t, có ý th ứ c ch ủ đ ộ ng, trách nhi ệ m và tôn tr ọ ng l ẫ n nhau trong h ọ c t ậ p 2 3 Mô tả tóm tắt học phần : nội dung học phần gồm 4 chương - Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T - Chương 2 WEB SERVER VÀ GIAO TH Ứ C HTTPS - Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB - Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 3 Chuẩn đầu ra của học phần Học xong học phần, sinh viên có khả năng: Số TT Ký hiệu CĐR học phần (CLO) Chuẩn đầu ra học phần (CLOs) Nhận thức Kỹ năng Mức tự chủ và chịu trách nhiệm 1 CLO1 S ử d ụ ng ki ế n th ứ c “Web hacking”, các ki ể u xâm nh ậ p như SQL Injection, Session Hijack, DoS, Social Engineering v v… CO1 3 2 CLO2 Sử dụng kiến thức https và c ấ u hình s ử d ụ ng trên Web Server CO1 3 CLO3 Giải quyết các l ỗ i b ả o m ậ t trên ứ ng d ụ ng web và cách phòng ch ố ng thông qua các ph ầ n m ề m chuyên d ụ ng đ ể quét l ỗ i h ệ th ố ng CO1 CO2 4 CLO4 Giải quyết các d ạ ng t ấ n công d ữ li ệ u và cách h ạ n ch ế l ỗ i b ả o m ậ t trên các máy ch ủ d ữ li ệ u CO1 CO2 5 CLO5 Thiết kế và xây dựng các giải pháp phòng chống cho hệ thống Web CO3 CO4 6 CL 06 Rèn luy ệ n thái đ ộ và trách nhi ệ m làm vi ệ c theo nhóm CO5 4 Mối liên hệ giữa chuẩn đầu ra học phần (CLOs) và chuẩn đầu ra chương trình đào tạo (PLOs): Mức độ đóng góp, hỗ trợ của CLO đối với PLO được xác định cụ thể như sau: Điền một trong các mức I, R, M hoặc chừa trống (nếu không có sự liên hệ) và điền A vào ô tương ứng Chuẩn đầu ra học phần (CLOs) Chuẩn đầu ra CTĐT (PLOs) PLO1 PLO2 PLO3 PLO4 PLO5 PLO6 PLO7 PLO 8 CLO 1 I R CLO 2 I R CLO 3 I I I CLO 4 I I I CLO 5 R I I R I CLO 6 I I 5 Đo lường đánh giá mức độ người học đạt chuẩn đầu ra của học phần (gọi tắt là đánh giá CLO) 4 CLO Nội dung CLO Sự cần thiết để đánh giá CLO Có hỗ trợ đánh giá PLO Dữ liệu để đánh giá CLO được lấy từ Mục tiêu đối với CLO CLO1 CLO2 … 6 Đánh giá học phần 6 1 Phương pháp, hình thức kiểm tra – đánh giá của học phần Kết quả học tập của sinh viên được đánh giá bằng các thành phần: đánh giá quá trình, đánh giá giữa kỳ, đánh giá cuối kỳ, các hoạt động đánh giá khác Thành phần đánh giá Trọng số (%) Hình thức đánh giá Trọng số con (%) Rubric (đánh dấu X nếu có) Chuẩn đầu ra học phần có liên quan Hướng dẫn phương pháp đánh giá (1) (2) (3) (4) (5) (6) (7) A1 Đánh giá chuyên c ầ n 10% Có ý th ứ c tham gia h ọ c t ậ p đ ầ y đ ủ , hoàn thành đúng h ạ n các yêu c ầ u c ủ a gi ả ng viên và tích c ự c phát bi ể u ý ki ế n CLO 1 CLO 2 CLO 3 CLO 4 CLO 5 A 2 Đánh giá đ ị nh k ỳ 40% Ki ể m tra gi ữ a k ỳ CLO 3 CLO 4 SV làm bài th ự c hành hành theo yêu c ầ u và hư ớ ng d ẫ n c ủ a GV t ạ i phòng máy tính GV s ẽ ch ấ m đi ể m căn c ứ vào ki ế n th ứ c, k ỹ năng 5 Thành phần đánh giá Trọng số (%) Hình thức đánh giá Trọng số con (%) Rubric (đánh dấu X nếu có) Chuẩn đầu ra học phần có liên quan Hướng dẫn phương pháp đánh giá A 3 Đánh giá cu ố i k ỳ 50 % Bài thi cu ố i k ỳ : Thi th ự c hành cu ố i k ỳ CLO 3 CLO 4 CLO 5 CLO 6 Bài thi cu ố i k ỳ GV s ẽ ch ấ m k ế t qu ả th ự c hi ệ n bài thi th ự c hành c ủ a sinh viên 6 2 Chính sách đối với học phần SV tham d ự >=80% s ố bu ổ i c ủ a HP N ế u ngh ỉ >20% s ố bu ổ i s ẽ không đư ợ c tham gia thi th ự c hành cu ố i h ọ c k ỳ 7 Kế hoạch và nội dung giảng dạy học phần Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá (1) (2) (3) (4) (5) (6) (7) 1 Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T 1 1 Gi ớ i thi ệ u v ề b ả o m ậ t 1 2 Nh ữ ng tài nguyên c ầ n b ả o v ệ 1 3 Nh ữ ng l ỗ h ỏ ng b ả o m ậ t 1 4 Các ki ể u t ấ n công c ủ a hacker 1 5 Các bi ệ n pháp phát hi ệ n h ệ th ố ng b ị t ấ n công 1 6 Các quy t ắ c b ả o m ậ t 3 LT - Nghe gi ả ng, đ ọ c tài li ệ u và th ự c hành tr ự c ti ế p trên máy tính 2 Chương 1 T Ổ NG QUAN V Ề B Ả O M Ậ T 1 7 Xây d ự ng chính sách b ả o m ậ t Chương 2 WEB SERVER VÀ 3 LT 6 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá GIAO TH Ứ C HTTPS 2 1 Quét máy ch ủ web 2 2 Các l ỗ i b ả o m ậ t ph ổ bi ế n trên webserver 2 3 Cách phòng ch ố ng 2 4 Ch ứ ng th ự c và các lo ạ i ch ứ ng th ự c 2 5 SSL (Secure Socket Layer) là gì? 2 6 Nhu c ầ u c ủ a ch ứ ng th ự c d ị ch v ụ d ự a trên SSL 3 Chương 2 WEB SERVER VÀ GIAO TH Ứ C HTTPS 2 7 C ấ p ch ứ ng nh ậ n cho máy ch ủ ứ ng d ụ ng: HTTS, FTPS, … 2 8 S ử d ụ ng Web - Based Password Cracking with Brutus đ ể b ẻ khóa m ậ t kh ẩ u và cách phòng ch ố ng 2 9 S ử d ụ ng burp suite đ ể b ẻ khóa m ậ t kh ẩ u web và cách phòng ch ố ng 2 10 Cách phòng chóng và kh ắ c ph ụ c 2 11 Ki ể m tra và phân tích hi ệ n tr ạ ng c ủ a web server v ớ i: CORE Impact pro, Immunity Canvas,… 3 LT 7 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá 2 12 Cài đ ặ t Enterprise Certificate Authority,… 2 13 C ấ p ch ứ ng ch ỉ cho máy ch ủ IIS 2 14 Ki ể m tra v ậ n hành ứ ng d ụ ng trên giao th ứ c HTTPS 4 Bài th ự c hành 01 Chu ẩ n b ị và làm quen v ớ i các công c ụ h ọ c t ậ p và công c ụ t ạ o máy ả o 3 TH 5 Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB 3 1 Các v ấ n đ ề an toàn ứ ng d ụ ng web hi ệ n t ạ i và xu hư ớ ng 3 2 Các tiêu chí đánh giá h ệ th ố ng ứ ng d ụ ng web an toàn 3 3 Ki ể m tra l ỗ i b ả o m ậ t ch o ứ ng d ụ ng web 3 4 Các phương pháp xác th ự c web cơ b ả n 3 5 K ỹ thu ậ t b ẻ khóa m ậ t kh ẩ u web 3 6 K ỹ thu ậ t t ấ n công b ằ ng cách chèn nh ữ ng đo ạ n mã script vào các website (XSS) 3 7 Bi ệ n pháp phòng ch ố ng 3 LT 6 Chương 3 T Ấ N CÔNG Ứ NG D Ụ NG WEB 3 8 Dò l ỗ i h ệ th ố ng 3 LT 8 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá 3 9 Xây d ự ng webserver gi ả m ạ o 3 9 T ấ n công gi ả m ạ o trang Web (Web Phishing Attack) 3 10 Phòng ch ố ng và kh ắ c ph ụ c: 3 11 Các module ngu ồ n m ở d ễ b ị t ấ n công và cách kh ắ c ph ụ c, phòng ch ố ng: CKEditor,… 7 Bài th ự c hành 02 Cài đ ặ t đ ệ đi ề u hành, cài đ ặ t web server, các d ị ch v ụ như SSL s ử d ụ ng các công c ụ đ ể b ẻ khóa m ậ t kh ẩ u và cách phòng ch ố ng 3 TH 8 Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 4 1 Cơ s ở d ữ li ệ u ph ổ bi ế n 4 2 Các d ạ ng t ấ n công cơ s ở d ữ li ệ u ph ổ bi ế n 4 3 K ỹ thu ậ t khai thác l ỗ i SQL Injection 4 4 Công c ụ t ấ n công SQL Injection 4 5 Bi ệ n pháp phòng ch ố ng 3 LT 9 Chương 4 T Ấ N CÔNG CƠ S Ở D Ữ LI Ệ U 4 6 Tìm ki ế m nh ữ ng website b ị l ỗ i Sql Injection 4 7 Khai thác các công c ụ dò l ỗ i SQL Injection: Vega, 3 LT 9 Tu ầ n/ Bu ổ i (3 ti ế t/bu ổ i) Các n ộ i dung cơ b ả n c ủ a bài h ọ c (chương) S ố ti ế t (LT/TH/TT) CĐR h ọ c ph ầ n có liên quan PP gi ả ng d ạ y đ ạ t CĐR Ho ạ t đ ộ ng h ọ c c ủ a SV Hình th ứ c đánh giá Zed attack proxy, Wapiti, AppScan, SQLMap 4 8 Khai thác l ỗ h ỏ ng Sql injection 4 9 Phòng ch ố ng SQL Injection 10 Bài th ự c hành 03 Xây d ự ng m ộ t cơ s ở dũ li ệ u cơ b ả n và s ử d ụ ng k ỹ thu ậ t khai thác l ỗ i SQL Injection Sau đó đưa ra bi ệ n pháp phòng ch ố ng 3 TH Theo l ị ch thi Thi cu ố i k ỳ 8 Báo cáo đánh giá chuẩn đầu ra học phần sau khi có kết quả thi kết thúc học phần (chi tiết phụ lục đính kèm) 9 Học liệu 9 1 Sách, giáo trình, tài liệu tham khảo TT Tên tác gi ả Năm XB Tên sách, giáo trình, tên bài báo, văn b ả n NXB, tên t ạ p chí/ nơi ban hành VB Sách, bài giảng, giáo trình chính 1 Xuân D ậ u 2017 An toàn ứ ng d ụ ng web và cơ s ở d ữ li ệ u H ọ c vi ệ n công ngh ệ bưu chính vi ễ n thông Sách, giáo trình tham kh ả o 2 3 4 5 9 2 Danh mục địa chỉ website để tham khảo khi học học phần TT N ộ i dung tham kh ả o Link trang web Ngày c ậ p nh ậ t 1 2 3 4 5 10 Cơ sở vật chất phục vụ giảng dạy 10 TT Tên gi ả ng đư ờ ng, PTN, xư ở ng, cơ s ở TH Danh m ụ c trang thi ế t b ị , ph ầ n m ề m chính ph ụ c v ụ TN,TH Ph ụ c v ụ cho n ộ i dung Bài h ọ c/Chương Tên thi ế t b ị , d ụ ng c ụ , ph ầ n m ề m,… S ố lư ợ ng 1 2 11 Rubric đánh giá làm việc nhóm qua bài tập lớn (dự án) Tiêu chí đánh giá MỨC D (4 0 - 5 4) MỨC C (5 5 - 6 9) MỨC B (7 0 - 8 4) MỨC A (8 5 - 10) … … 1 Đ à Nẵng, ngày tháng năm 2022 Trưởng khoa Giảng viên biên soạn