BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUANG TRUNG KHOA KỸ THUẬT & CÔNG NGHỆ BÁO CÁO THỰC TẬP CHUYÊN ĐỀ_BẢO MẬT WEBSITE  : Th.S Nguyễn Đình Luyện : Từ Thị Ngọc Dung   : K1.101  :Tin học ứng dụng  : Kỹ Thuật & Công Nghệ SVTH: Từ Thị Ngọc Dung MỤC LỤC  !"#$%&"'()* +, #/ 01&23333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333334 536788333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333334 936:44333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333338 6:44;* +<=> 2333333333333333333333333333333333333333333333338 ?3@A%&"'B- CD'1E;*)F+<333333333333333333333333333333333333333333?G  !"#$%#&&$'%##())  *'#())#"#$$+(##, 93 &HIJ+H1++#KLM33333333333333333333333333333333333333333333333333333?8 -.(&)#/012)&3 !45#67&)#/012)&3 *89):;<#:3 4=>?@#:3 >@&(A2B#:C=&)#/012)&6D(.(3 EFG@&(B#H?3  4F)I&)#/012)&3 89)>;<#:3 4=>A)#8:3 I6J&)#K'>/012)&:3 I1/"NO &P2333333333333333333333333333333333333333333333333333333333333333333333333333?Q R3?93?3S(* +311TI&1&233333333333333333333333333333333333333333333333?U R3?935S(* +3+11I&1&23333333333333333333333333333333333333333333333333?U V 5* +)) W-1))333333333333333333333333333333333?U L)1I2#M! NO?PQRST2JU)V!! 1X)-+2SY1/&Z13333333333333333333333333333333333333333333355 @@X)-+2SY1/'@@33333333333333333333333333333333333333333333333333333333359 "[X)-+2SY1/'"[333333333333333333333333333333333333333333333359 B- CX)-+2Y1/ %&B- 333333333333333333333359 \+%&)+\+ +++12"&O&H]H&IL&"^ 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333359 )+)"_ +@+)-1112[&"'(#/ 3354 4GW! ?3?3?73`E* +a*&)3aLb)&"c)d33333358 Q3`E-c)%&E)K-1))He-cLf&33333333333333333335: 4TX#Y!Z U3g-)-h#IHE-cZB- 333333333333333333333333333333333333333333333333333357 !"#$%#&&$'%##()) * Mở đầu Trang: 2 SVTH: Từ Thị Ngọc Dung *'#())#"#$$+(##* LỜI MỞ ĐẦU V)S5%F6[FU)==#\%X2#JC]C U)^XC##_56^1`5%F6[6D6a#'b)5 Ic1 Vd#5^eU)=K&&fV%Y d#T^)FSK+6`%SIC#G& d#)S6g6]%5[%h ie#%#T(#Y&%#YVS#j#)S5%F6[ 6a67C67#Yk#6##Y1l#5S##h%#mU)= 56f)%5T&j#Y)1[S#Y6#&n&G)1M#F (o(5%5`(o(56MFS#_1KM5hI6Mp( 6aT#Y+SYS#%5%#oS6D#J##%5 Mở đầu Trang: 3 SVTH: Từ Thị Ngọc Dung 6qk#2S6M6e#+`T##&#=p( hSY51^1# V.#5^eU)=K&&fV%Y d#T^)FSK+6`%SIr#G& .#)S6[%h E#[)U)V].#s67=^%5%#Y#J2JC&#() %5(5bT2JU)VI2#J5U)'6#%#Y6VV5 .#6J2#X%#Y<V1I6DU)T) l#S#6a6VV55IR#G&G#J2#Y6a #[)#&Ck##t EJ)S#]#J1]6Tu&I#Y#RF#'=CK M(v6J&TV7&V#]))1b)&T&) w)F&Txh)1\%1'6DU)1J6]=6[5#>V :iqTX#Y###Y)C&^C2y)Vz e#). iqT#5 j o 4O{|Er?8}P~lO•?E?€8/?•EL@QE o 4O{|Er??4•4/‚OƒEr„…8†4‡Q4•4ˆEr-‰Erd; o 4O{|Er???„…8†Š…Er……8/Q _Ik##K`mJ%[2#Jb'TT+ 2KT2‹##J)K;F6aX6KK&W2#J+f1S #T%5Œ _#m#Jj^)uC<#^5Vjf1#TEr@•ŽE i•EO/@•€E•Tf1S#T2ly)%54SEY%5T jU)TIi]6D#YI(v#G&55TT51 Mở đầu Trang: 4 SVTH: Từ Thị Ngọc Dung ;<#^5VjN L)1EjCT3c!‘‘ Mở đầu Trang: 5 SVTH: Từ Thị Ngọc Dung ijV klj2iSmnjjojp[VW 1. Khái niệm CHMOD 4O8…-6]\6j#V5x%#Ju+48(’ 8Y67#Ys(•'TT1+Y@#<“/#)<CP#C)Z ” (•6M16g#U)1[X+k#F2•6e#%#&#CF 2•'.#MzT16g#(C6qk#T U)1[Xk#56K6e#%#T&#CF)G.# + r#T]()S6a#M)]zq*he“–––”6#(#Y *k#q@“….’4+9p)”’r)&“EKT”’… “r)’FV=#k#m#”%5qT#T]q“;<)’X#”C! “d#’r#”C “Š(’i=” _((! ———4+9p)’EKT!’8=#k# 4+9p)KU)1[=#X#&#C EKTKU)1[##()%5&#C 8=#k#KU)1[<#()&#C _(!( !———4+9p) ’EKT’8=#k#! 4+9p)KU)1[<#()&#C EKTKU)1[=#X#&#C 8=#k#KU)1[##()%5&#C 4O8…-5T16g#TU)1[) • $Š($“i=”%#Ju5$$C%56a#M)(#oze • $d#$“r#4sp”%#Ju5$.$C%56a#M)(#oze! • $;<)$“X#”%#Ju5$<$C%56a#M)(#oze Báo Cáo Thực Tập Trang: 3 SVTH: Từ Thị Ngọc Dung CHMOD cùng lúc thay đổi quyền hạn trên các file/thư mục với các đối tượng sau: • $….$’+9h)+"#C • $r)&$’EK5….55%#'C • $A)#…;%1(1$hk#m# 4O8…-˜,,“.<’<’<” /)WlT##Y4O8…-2Sq#'Yed#(.C5sK' TYe@#</#)<  4O8…-™˜,,TK\5 • ˜™ š!šEk#9h)KU)1[6=“(”›s p“.#”›#Y2'T%5"#'“<)”› • ,™ š‘šEhk#•KsKU)1[6=“(”› #Y2'T%5"#'“<)” Báo Cáo Thực Tập Trang: 4 SVTH: Từ Thị Ngọc Dung • ,™ š‘šEhk#m#sKU)1[6=“(”›#Y2' T%5"#'“<)” 4O8…-˜,,“.<’<’<”  CHMOD = 644 cho các tệp (file) có nghĩa là: • Z™ š!š‘Ek#9h)KU)1[6=Y&“(”›spY& “.#” • ™ š‘š‘Ehk#•KsKU)1[6=Y&“(” • ™ š‘š‘Ehk#m#sKU)1[6=Y&“(” Báo Cáo Thực Tập Trang: 5 SVTH: Từ Thị Ngọc Dung 4O8…-Z “.’’’’’”"# Báo Cáo Thực Tập Trang: 6 SVTH: Từ Thị Ngọc Dung kljj2nqr`stSuWnv wJX` P)6^15%5#œgVk7&F • 4P#P#&# • PL/’#•# • AOA’#•# • OAŠ&P&## • O8/(#•# • B#?)# • -#1% • t 4TœgV9'KM<)F#YFVTb(.F 2MK6a&T#M9#T)1'#6&1TS1&f[g# #JF87(•%1Ck2#JGYeCSU)%#Y2#MV&ž )e#•%5ssTœgVFVT&T#M&f[5 ^e&n&#x6aTœgV51 ?3)11+);x<2 4P#P#&#1wPP52Vc'6DO8/F2I %5Kœ#ViD('%5RT66JFVT&j b&S#6f)%58b(.F2IR#M]FbS# 56axk#p(RK)1j]FSEh)F S%1KMX#Y(X%5T#T]2S6a=+T#J 6axk#p(C6KKMbT6D#&“•%P#&C _P#&”7TŸO8/)1#Ml#M)FS51KM6ap( 6M7%5uT#T]+2#+k#p(“qVk#U)V] Báo Cáo Thực Tập Trang: 7 [...]... • Báo Cáo Thực Tập Trang: 12 SVTH: Từ Thị Ngọc Dung 2 Sử dụng chứng thực bằng cookie Sử dụng chứng thực bằng cookie ngăn chặn mọi truy cập trực tiếp tới vùng quản trị Joomla! bằng đường dẫn /administrator (VD: http://vinaora.com/joomla/administrator) Thay vào đó phải truy cập gián tiếp thông qua một đường dẫn chỉ mình bạn biết (chẳng hạn http://vinaora.com/joomla/secret/vinaora.php) Báo Cáo Thực Tập. .. (joomla_hisa_en.php) lên thư mục chứa Joomla Báo Cáo Thực Tập Trang: 21 SVTH: Từ Thị Ngọc Dung • Chạy Joomla! HISA: Mở trình duyệt và gõ vào URL tới file "joomla_hisa_en.php" VD: http://vinaora.com/joomla/joomla_hisa_en.php Joomla! HISA sẽ thông báo kết quả Host Environment: Thông số chung của Host Báo Cáo Thực Tập Trang: 22 SVTH: Từ Thị Ngọc Dung Nếu một trong các thiết lập bị cảnh báo bằng màu đỏ thì bạn nên xem... plugin, template ) thực sự tuyệt vời và đáng được cài đặt trên mọi Website Tuy nhiên, có một thực tế song hành với mặt ưu điểm trên là số lượng các Website bị tấn công thông qua các lỗi lập trình bất cẩn trong các thành phần mở rộng được Báo Cáo Thực Tập Trang: 24 SVTH: Từ Thị Ngọc Dung cài đặt thêm cũng ngày càng tăng cao Thậm chí số lượng lỗi bị khai thác còn cao hơn cả Microsoft (theo báo cáo 6 tháng đầu... /home/vinaora.com/public_html/backup • Password for encryption: Mật khẩu để bảo vệ các file backup • Cuối cùng trong mục "Enabled" chọn "Yes" để kích hoạt • Nhấn nút [Save] để lưu lại kết quả 4 Bảo mật thư mục Administrator trong Joomla Đặt mật khẩu cho thư mục, thực ra làm trong cPanel cũng được (hệ thống quản trị hosting nào cũng có chức năng này có thể tự đặt mật khẩu bảo vệ thư mục Báo Cáo Thực Tập Trang: 18 SVTH: Từ Thị Ngọc... một portal có khả năng bảo mật cao do dựa trên phần nhân ổn định, được tối ưu dần lên qua nhiều phiên bản Bảo Báo Cáo Thực Tập Trang: 27 SVTH: Từ Thị Ngọc Dung mật là những vấn đề mang tính chất tương đối, ko ai, ko tổ chức nào có thể hoàn toàn khẳng định có thể bảo mật mãi mãi, ko có một kẽ hở nào Ngoài việc bảo mật về máy móc còn việc liên quan tới con người Do đó việc bảo mật cần tiến hành toàn diện... qua được bước xác thực, và thực thi các lệnh tùy ý trên máy chủ, xem nội dung các file, ghi dữ liệu bất kì vào file… Báo Cáo Thực Tập Trang: 9 SVTH: Từ Thị Ngọc Dung CHƯƠNG III: BẢO MẬT TRONG JOOMLA 1 Phân quyền Joomla! ở tiền sảnh (front-end) Ở phần tiền sảnh, Joomla! chia làm 5 nhóm người dùng tương ứng với 5 mức truy cập khác nhau: • Guest (Khách): Là những người truy cập, sử dụng website nói chung,... vào tham số, một câu truy vấn bổ sung sẽ được thực hiện 4 Việc tấn công nhằm vào các mục đích sau: Báo Cáo Thực Tập Trang: 8 SVTH: Từ Thị Ngọc Dung Chiếm được quyền truy cập vào CSDL hoặc lấy được cấu hình hệ thống của CSDL để nhằm mục đích tấn công tiếp sau này Ví dụ một câu truy vấn bị sửa đổi có thể trả về danh sách người dùng và mật khẩu (bị mã hóa), mật khẩu này có thể được giải mã tiếp sau đó... Environment: Các thông số liên quan cho Joomla Required and Recommended Settings: Các yêu cầu bắt buộc và khuyến cáo Nếu một trong các thiết lập bị cảnh báo bằng màu đỏ thì bạn nên xem bài viết "Xử lý cảnh báo trong quá trình cài đặt và cấu hình Joomla!" để biết cách khắc phục Báo Cáo Thực Tập Trang: 23 SVTH: Từ Thị Ngọc Dung Directory and File Permissions: Quyền hạn đối với các tệp và thư mục Để tránh... quyền thực hiện các thao tác quản lý cơ bản (quản lý menu, quản lý bài viết ) • Administrator (Quản trị viên): Là tài khoản có quyền thực hiện mọi thao tác, trừ việc quản lý thông tin cấu hình hệ thống, quản lý giao diện, quản lý ngôn ngữ, quản lý các tài khoản siêu quản trị • Super Administrator (Siêu quản trị): Là tài khoản có đặc quyền cao nhất, có thể thực hiện mọi hành động Báo Cáo Thực Tập Trang:... $Xo98BGSbFrbqqnry5IFPG1: mật khẩu đăng nhập đã được mã hoá, nội dung mật khẩu trường hợp này là: matkhaudangnhap • Mật khẩu trong file htpasswd được mã hoá theo thuật toán DES (Data Encryption Standard), không dễ bị phá Tạo một file.htpasswd với username và password Chúng ta có thể vào trang sau: http://www.htaccesstools.com/htpasswd-generator/ đầu tiên sẽ hiển thị trang như sau: Báo Cáo Thực Tập Trang: 19 SVTH: . BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUANG TRUNG KHOA KỸ THUẬT & CÔNG NGHỆ BÁO CÁO THỰC TẬP CHUYÊN ĐỀ_BẢO MẬT WEBSITE  : Th.S Nguyễn Đình Luyện :. š‘š‘Ehk#m#sKU)1[6=Y&“(” Báo Cáo Thực Tập Trang: 5 SVTH: Từ Thị Ngọc Dung 4O8…-Z “.’’’’’”"# Báo Cáo Thực Tập Trang: 6 SVTH: Từ Thị Ngọc Dung kljj2nqr`stSuWnv wJX` P)6^15%5#œgVk7&F •. P)&Q(##“P#')U)V]”/55#2VK67U)1[FCK MX#Y=#56 Báo Cáo Thực Tập Trang: 11 SVTH: Từ Thị Ngọc Dung • Báo Cáo Thực Tập Trang: 12 SVTH: Từ Thị Ngọc Dung 53|.hHeL+ Pp(bXz2#c7=#)1&X#J&#%• U)V]Nz6k(v(## “_-&%#•(##”1%56K&V#)1&#T#J& SU)6k(vsI#J“ &%#•%#&&” Báo