Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web TRƯỜNG…………………… KHOA……………………………… LUẬN VĂN TỐT NGHIỆP Đề tài: MỘT SỐ VẤN ĐỀ BẢO MẬT WEB Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web LỜI CẢM ƠN Sau gần tháng nỗ lực thực hiện, luận văn nghiên cứu “Các kĩ thuật công bảo mật ứng dụng Web Internet” hoàn thành Ngoài cố gắng thân, em nhận khích lệ nhiều từ phía nhà trường, thầy cơ, gia đình bạn bè Em xin gửi lời cảm ơn tới thầy cô khoa Công nghệ Thông tin trường Đại học Công Nghệ, Đại học Quốc Gia Hà Nội, đặc biệt thầy cô Bộ môn Các Hệ Thống Thông Tin giúp đỡ em trưởng thành năm học tập rèn luyện môi trường đại học Em xin chân thành cảm ơn thầy Lê Hồng Hải tạo điều kiện cho em tìm hiểu, nghiên cứu học hỏi kinh nghiệm q trình làm khố luận Xin cám ơn tất bạn bè động viên, giúp đỡ tơi q trình học tập hồn thành tốt khóa luận tốt nghiệp Hà Nội, tháng năm 2009 Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web TĨM TẮT NỘI DUNG Trong khóa luận này, tác giả trình bày ứng dụng web, vấn đề bảo mật ứng dụng web, khóa luận tập trung vào số kỹ thuật cơng vào ứng dụng web, tác hại cách phịng chống Phần mở đầu khoá luận tổng quan ứng dụng web, cách hoạt động ứng dụng web giới thiệu bảo mật ứng dụng web Đây sở để tìm hiểu vấn đề bảo mật ứng dụng web Phần thứ hai khoá luận dành để trình bày dạng lỗ hổng ứng dụng web kỹ thuật công dựa lỗ hổng Phần thứ ba khố luận dành để trình bày vài cơng ứng dụng web dựa lý thuyết trình bày phần trước Phần thứ tư có nhiệm vụ trình bầy kết đạt luận văn, hạn chế phát triển tương lai Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web MỤC LỤC LỜI CẢM ƠN TÓM TẮT NỘI DUNG BẢNG CÁC THUẬT NGỮ VIẾT TẮT BẢNG CÁC THUẬT NGỮ DANH MỤC CÁC HÌNH VẼ BẢNG BIỂU MỞ ĐẦU .8 CHƯƠNG GIỚI THIỆU VỀ BẢO MẬT ỨNG DỤNG WEB 10 1.1 Giới thiệu ứng dụng web 10 1.1.1 Khái niệm ứng dụng web 10 1.1.2 Mô tả hoạt động ứng dụng web 10 1.2 Bảo mật ứng dụng web 12 1.2.1 Giới thiệu bảo mật ứng dụng web 12 1.2.2 Các vấn đề bảo mật ứng dụng web 13 CHƯƠNG CHỐNG MỘT SỐ TẤN CƠNG ỨNG DỤNG WEB VÀ CÁCH PHỊNG 14 2.1 Các kỹ thuật công 14 2.1.1 Lập đồ trang 14 2.1.2 Đoán tập tin thư mục 15 2.1.3 Khai thác biết luồng bảo mật 15 2.1.4 Vượt qua hạn chế lựa chọn đầu vào 15 2.2 Tấn công dựa vào trạng thái trang 16 2.2.1 Giới thiệu 16 2.2.2 Tấn công vào trường ẩn 16 2.2.2.1 Kỹ thuật công vào trường ẩn 16 2.2.2.2 Cách phòng chống 17 2.2.3 Tấn công dựa vào tham số CGI 17 2.2.3.1 Kỹ thuật công vào tham số CGI 18 2.2.3.2 Cách phòng chống 18 2.2.4 Nhiêm độc cookie 18 2.2.4.1 Kỹ thuật công nhiễm độc cookie 18 2.2.4.2 Cách phòng chống 19 2.2.5 Tấn công nhảy URL 19 2.2.5.1 Kỹ thuật công nhảy URL 19 2.2.5.2 Cách phòng chống 19 Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp 2.2.6 Một số vấn đề bảo mật ứng dụng web Chiếm hữu phiên làm việc (Session hijacking) 19 2.2.6.1 Kỹ thuật công chiếm hữu phiên làm việc 20 2.2.6.2 Các cách phịng chống cơng chiếm hữu phiên làm việc 22 2.3 Tấn công chèn mã lệnh thực thi trình duyệt nạn nhân (cross-site scripting) – XSS 22 2.3.1 Giới thiệu cross-site scripting 22 2.3.2 Kỹ thuật công XSS 23 2.3.3 Mã kịch công XSS 24 2.3.3.1 Ăn cắp mã phiên làm việc người dùng để thực chiếm hữu phiên làm việc, 24 ví dụ mã sau: 24 2.3.3.2 Tạo thủ thuật để khiến người dùng làm việc đến 24 2.3.3.3 Các cách chèn mã 24 2.3.4 Các cách phòng chống 26 2.3.5 Một số trang lỗ hổng Việt Nam: 27 2.4 Tấn công kỹ thuật chèn mã SQL (SQL Injection) 27 2.4.1 Giới thiệu SQL Injection 27 2.4.2 Các dạng công SQL Injection 29 2.4.2.1 Dạng công vượt qua trang đăng nhập 29 2.4.2.2 Tấn công dựa vào câu lệnh SELECT 30 2.4.2.3 Tấn công dựa vào câu lệnh kết hợp UNION 30 2.4.2.4 Tấn công dựa vào câu lệnh INSERT 33 2.4.2.5 Tấn công dựa vào STORED PROCEDURE 33 2.4.3 Cách phòng chống 33 CHƯƠNG TẤN CÔNG THỰC NGHIỆM 35 3.1 URL Jumping 35 3.2 Lỗi XSS 36 3.3 SQL Injection 37 3.3.1 Trang thứ 37 3.3.2 Trang thứ hai 39 3.3.3 Trang thứ ba 40 CHƯƠNG KẾT LUẬN 42 4.1 Kết đạt 42 4.2 Định hướng phát triển 42 LỜI KẾT 43 TÀI LIỆU THAM KHẢO 44 Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web   BẢNG CÁC THUẬT NGỮ VIẾT TẮT HTML HyperText Markup Language−Ngôn ngữ đánh dấu siêu văn HTTP HyperText Transfer Protocol−giao thức truyền siêu văn URL Uniform Resource Locator−địa tham chiếu tài nguyên Internet CGI Common Gateway Interface−Chuẩn kết nối ứng dụng máy chủ Web SSL Secure socket layer−Giao thức truyền thông tin an tồn qua mạng XSS Cross-site scripting−Tấn cơng chèn mã thực thi lên trình duyệt nạn nhân ID Identification−Định danh Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web BẢNG CÁC THUẬT NGỮ URL Jumping Kỹ thuật công nhảy URL SQL Injection Tấn công chèn mã SQL Server Máy chủ Web application Máy chủ ứng dụng web sever Database Server Máy chủ sở liệu Popup Cửa sổ trình duyệt web mở ngồi, khác với cửa sổ làm việc Session Phiên làm việc client với server Session ID Mã phiên làm việc client server Attacker Kẻ công ứng dụng web Hacker Kẻ công ứng dụng web Cookie Dữ liệu lưu trạng thái trang web người dùng Admin Người quản trị ứng dụng web Username Tên đăng nhập ứng dụng web Password Mật đăng nhập ứng dụng web Client Trình khách ứng dụng khách−chủ Firewall Tường lửa bảo vệ hệ thống mạng Request Yêu cầu client Form Mẫu biểu HTML File text Tệp văn Session Tấn công chiếm hữu phiên làm việc hijacking Session fixation Tấn công ấn định phiên làm việc Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web DANH MỤC CÁC HÌNH VẼ BẢNG BIỂU Hình 1-1 mơ tả hoạt động ứng dụng web (http://www.windowsecurity.com/articles/Web-Applications.html) 10 Hình 2-1 Sơ đồ trang trang web qbssoftware (http://www.qbssoftware.comnews.aspxlink=4653) 14 Hình 2-2 Dạng cookie Internet Explorer 18 Hình 2-3 Thứ tự trang ứng dụng toán trực tuyến .19 Hình 2-4 SessionID lưu tham số CGI 20 Hình 2-5 Ăn cắp SessionID cách giám sát đường truyền (nguồn: http://www.owasp.org/index.php/Session_hijacking_attack ) 20 Hình 2-6 Tấn công ấn định phiên làm việc 21 Hình 2-7 bước công ấn định phiên làm việc 22 Hình 2-8 Hacker thực công thành công vào ứng dụng web (nguồn: http://www.windowsecurity.com/articles/Web-Applications.html) 28 Hình 3-1 trang đăng nhập admin trang http://www.kalptarudemos.com/demo/million/ 35 Hình 3-2 Trang quản lý admin trang http://www.kalptarudemos.com/demo/million/ 36 Hình 3-3 Chèn mã kịch vào trang web 36 Hình 3-4 Trang bị dính lỗi XSS .37 Hình 3-5 trang đăng nhập admin trang http://www.officetoweb.co.uk/demo/admin/login.asp 38 Hình 3-6 Hình ảnh sau đăng nhập http://www.officetoweb.co.uk/demo/admin/login.asp 38 Hình 3-7 Trang đăng nhập admin trang http://www.zoomyrshop.com/demo/admin/companyAdmin/Admin_home.asp 39 Hình 3-8 Hình ảnh sau đăng nhập trang : http://www.zoomyrshop.com/demo/admin/companyAdmin/Admin_home.asp 40 Hình 3-9 Trang đăng nhập admin trang http://www.evolvingmedia.com/demo/admin/ 41 Hình 3-10: Hình ảnh sau đăng nhập trang http://www.evolvingmedia.com/demo/admin/ 41 Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web MỞ ĐẦU Ngày nay, Internet ứng dụng Internet phát triển rộng rãi Các cá nhân, tổ chức, doanh nghiệp … có nhu cầu sử dụng Internet với mục đích riêng Các dịch vụ trực tuyến ngày phát triển mua hàng trực tuyến, giao dịch ngân hàng trực tuyến, học trực tuyến…Theo dịch vụ trực tuyến phát triển, mở rộng có nhiều lỗ hổng bảo mật trở thành đối tượng bị công với mục đích khác Cùng với phát triển Internet dịch vụ Internet, số lượng vụ công Internet tăng với tốc độ chóng mặt Theo tập đồn Symantec số lượng vụ công mã độc Internet năm 2003 18.827 vụ, năm 2004 69.107 vụ, năm 2007 624.267 vụ đến năm 2008 1.656.227 vụ Riêng năm 2008 ghi nhận 5.147 chủng loại mã độc chuyên chiếm quyền kiểm soát máy chủ xuất (Nguồn: http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_internet_security_threat_report_xiv_04-2009.en-us.pdf) Không số lượng cơng tăng lên nhanh chóng mà phương pháp cơng ngày tinh vi có tổ chức Những công thời kỳ đầu chủ yếu đoán tên người sử dụng/mật (Username/password) sử dụng số lỗi chương trình hệ điều hành (security hole) làm vơ hiệu hóa hệ thống bảo vệ, nhiên cơng gần cịn bao gồm thao tác giả mạo địa IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa (telnet rlogin), cài đặt trojan hay worm để chiếm quyền kiểm soát máy tính, ăn cắp, lợi dụng thơng tin người dùng ngân hàng, giao dịch chứng khoán để ăn cắp tiền họ…Vì nhu cầu bảo vệ thơng tin Internet cần thiết nhằm bảo vệ liệu, bảo vệ thông tin người dùng bảo vệ hệ thống Đã có cơng cụ tự động tìm lỗ hổng để giúp đỡ nhà phát triển ứng dụng web Tuy nhiên nhiều nguyên nhân có lỗ hổng tồn làm sở để cơng, nhà phát triển ứng dụng không tuân thủ yêu cầu bảo mật q trình xây dựng ứng dụng, cơng hồn tồn tinh vi nhà phát triển nhà quản trị hệ thống Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Luận văn thực với mục đích tìm hiểu, phân tích lỗ hổng bảo mật từ đơn giản đến phức tạp ứng dụng web phương án phịng chống cơng Nội dung khóa luận bao gồm phần sau (bốn chương): • Chương 1: Tìm hiểu chung ứng dụng web, khái niệm hoạt động ứng dụng web Internet Đồng thời đề cập khái quát bảo mật ứng dụng web • Chương 2: Trình bầy kỹ thuật công vào ứng dụng web cách phịng chống o Các kỹ thuật cơng o Các kỹ thuật công dựa vào trạng thái trang web o Kỹ thuật công chèn mã lệnh thực thi trình duyệt nạn nhân (XSS) o Kỹ thuật công chèn câu truy vấn SQL (SQL injection) cách phịng chống • Chương 3: Một vài ví dụ cơng ứng dụng web kỹ thuật trình bầy chương trước • Chương 4: Trình bầy kết đạt luận văn hướng phát triển tương lai Dương Thị Thu Hương – K50CHTTT - Trang - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web 2.4.2.2 Tấn công dựa vào câu lệnh SELECT Dạng công phải khai thác thơng báo lỗi hệ thống tìm điểm yếu để công Khi ta yêu cầu trang có ID 123 theo URL sau http://www.myhost.com/shownews.asp?ID=123 Nếu trang có ID tồn sở liệu kết trả trang Mã nguồn server trường hợp có dạng Nếu ta thay giá trị ID trở thành OR 1=1 Câu truy vấn SQL trở thành SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1 Và trả kết tất ghi có bảng T_NEWS 2.4.2.3 Tấn cơng dựa vào câu lệnh kết hợp UNION Lệnh SELECT dùng để lấy thông tin từ sở liệu Thông thường vị trí chèn thêm vào mệnh đề SELECT sau WHERE Để trả nhiều dịng thơng tin bảng, thay đổi điều kiện mệnh đề WHERE cách chèn thêm UNION SELECT StrSQL=“SELECT Username FROM User WHERE Username like ‘% “ & Name & “’UNION SELECT Password from User” Câu lệnh trả tập hợp kết Username Password bảng User (trong câu lênh có UNION, đối số hai mệnh đề select phải nhau) Dựa vào lỗi cú pháp trả sau chèn câu lệnh UNION để biết kiểu mơi trường Sau ví dụ thực nội dung sở liệu dựa Dương Thị Thu Hương – K50CHTTT - Trang 30 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web vào HAVING, GROUP BY, UNION: SQLQuery=“SELECT Username,Password FROM User WHERE Username= ‘” & Uname & “’ AND Password= ‘” & Passwd & “’” Đầu tiên, để biết tên bảng tên trường mà câu truy vấn sử dụng, sử dụng câu điều kiện “having” , ví dụ sau: Giá trị nhập vào: Username: ’having 1=1— Lỗi phát sinh: [Microsoft][ODBC SQL Server Driver][SQL Server] Column'User.Username' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause Nhờ vào lỗi phát sinh mà biết bảng sử dụng câu truy vấn User bảng tồn trường tên Username Sau sử dụng GROUP BY: Username:‘group by User.Username having 1=1-Lỗi phát sinh: [Microsoft][ODBC SQL Server Driver][SQL Server] Column'User.Password'is invalid in the select list because it is not contained in either an aggregate function or the GROUP BYclause Như Password trường bảng User sử dụng câu truy vấn Tiếp tục dùng GROUP BY biết tất trường bảng User tham gia vào câu truy vấn Khi khơng cịn báo lỗi cú pháp GROUP BY chuyển qua cơng đoạn kiểm tra kiểu trường bảng Lúc UNION sử dụng: Username:’union select sum(Username) from User Lệnh sum lệnh tính tổng cho đối số bên dấu ngoặc Đối số phải kiểu số Nếu đối số không kiểu số phát sinh lỗi sau: [Microsoft][ODBC SQL Server Driver][SQL Server] The sum or average aggregate operation cannot take a varchar data type as an argument Như với thơng điệp lỗi Username chắn phải kiểu “varchar” Với phương pháp trên, dễ dàng xác định kiểu trường bảng Sau nhận đầy đủ trơng tin hacker dễ dàng tự thêm thông tin vào bảng User Dương Thị Thu Hương – K50CHTTT - Trang 31 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Username:’; insert into User(tkUsername,tkPassword) values (‘admin’, ‘’)— Hacker thêm nội dung trở thành người quản trị mạng mà không cần mật để chứng thực Ví dụ: minh hoạ cơng đoạn giúp hacker đọc hết thông tin bảng User: Bước 1: Tìm dịng bảng User Username:’union select 1,1 : Username:’union select min(Username),1 from User where Username> ’a’-Lỗi phát sinh: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'admin' to a column of data type int Người bảng User “admin” Bước 2: Để biết giá trị tiếp theo, nhập chuỗi sau: Username:’;select min(Username),1 from User where Username> ’admin’union select 1,1 from User Lỗi phát sinh: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'nhimmap' to a column of data type int Bước 3: Thực bước cho kết dòng với trường Username bảng User Bước 4: Để biết thêm tkPasswork, thực sau: Username:’;select Password,1 from User where Username= ’admin’union select 1,1 from User Lỗi phát sinh: Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'passOfAdmin' to a column of data type int Dương Thị Thu Hương – K50CHTTT - Trang 32 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web 2.4.2.4 Tấn công dựa vào câu lệnh INSERT Từ khoá INSERT dùng để đưa thông tin vào sở liệu Thông thường câu lệnh INSERT dùng trường hợp như: thơng tin đăng kí người sử dụng, guestbook…vv… Kĩ thuật “;”, “ “ dùng dùng với câu lệnh SELECT, phải đảm bảo số lượng kiểu giá trị nhập vào nhằm tránh lỗi cú pháp (nếu không xác định kiểu liệu nhập tất số) SQLString= “INSERT INTO User VALUES (‘” & strUsername & “’, ‘” & strName& “’, ‘” & strPassWord & “’,’”& strLimitSize & “’)” 2.4.2.5 Tấn công dựa vào STORED PROCEDURE Stored Procedure sử dụng lập trình Web với mục đích giảm phức tạp ứng dụng tránh công kĩ thuật SQL Injection Tuy nhiên hacker lợi dụng Stored Procedure để công vào hệ thống Ví dụ: Stored procedure sp_login gồm hai tham số username password Nếu nhập: Username: nhimmap Password: ‘;shutdown-Lệnh gọi stored procedure sau: exec sp_login ‘nhimmap’,‘’;shutdown ’ Lệnh shutdown thực dừng SQL Server 2.4.3 Cách phịng chống • Trong hầu hết trình duyệt, kí tự nên mã hố địa URL trước sử dụng • Việc cơng theo SQL Injection dựa vào câu thông báo lỗi việc phịng chống hay khơng cho hiển thị thông điệp lỗi cho người dùng cách thay lỗi thông báo trang người phát triển thiết kế lỗi xảy ứng dụng • Kiểm tra kĩ giá trị nhập vào người dùng, thay kí tự ‘ ; v v • Hãy loại bỏ kí tự meta “',",/,\,;“ kí tự extend NULL, CR, LF, string nhận từ: o Dữ liệu nhập người dùng đệ trình o Các tham số từ URL Dương Thị Thu Hương – K50CHTTT - Trang 33 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web o Các giá trị từ cookie • Đối với giá trị numeric, chuyển sang integer trước thực câu truy vấn SQL, dùng ISNUMERIC để chắn số integer • Dùng thuật tốn để mã hố liệu • Sử dụng sở liệu hợp lệ khác cho mục đích sử dụng khác (ví dụ không cho phép người sử dụng ứng dụng server thực lệnh DROP); Trong chương hai, tác giả trình bầy số kỹ thuật cơng vào ứng dụng web, để minh họa, tác giả thực vài công thành công vào số trang web trình bầy chương ba Dương Thị Thu Hương – K50CHTTT - Trang 34 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Chương TẤN CÔNG THỰC NGHIỆM 3.1 URL Jumping Nạn nhân: http://www.kalptarudemos.com/demo/million/admin.php Đây trang đăng nhập admin hình 3.1 Hình 3-1 trang đăng nhập admin trang http://www.kalptarudemos.com/demo/million/ Tấn công kỹ thuật URL Jumping, sử dụng URL http://www.kalptarudemos.com/demo/million/admin.home.php Ta vào trang admin mà không cần đăng nhập hình 3.2: Dương Thị Thu Hương – K50CHTTT - Trang 35 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Hình 3-2 Trang quản lý admin trang http://www.kalptarudemos.com/demo/million/ 3.2 Lỗi XSS Nạn nhân: http://www.kalptarudemos.com/demo/million/submit.php? Hình 3-3 Chèn mã kịch vào trang web Dương Thị Thu Hương – K50CHTTT - Trang 36 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Khi người dùng bình thường vào trang: http://www.kalptarudemos.com/demo/million/ thấy lỗi hình 3.4: Hình 3-4 Trang bị dính lỗi XSS 3.3 SQL Injection 3.3.1 Trang thứ URL: http://www.officetoweb.co.uk/demo/admin/login.asp Đây trang đăng nhập, ta vượt qua đăng nhập cách sử dụng username: ' or '1=1 password: ' or '1=1 Hình 3.5 thể trang trước đăng nhập: Dương Thị Thu Hương – K50CHTTT - Trang 37 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Hình 3-5 trang đăng nhập admin trang http://www.officetoweb.co.uk/demo/admin/login.asp Sau đăng nhập hình 3.6: Hình 3-6 Hình ảnh sau đăng nhập http://www.officetoweb.co.uk/demo/admin/login.asp Dương Thị Thu Hương – K50CHTTT - Trang 38 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web 3.3.2 Trang thứ hai URL: http://www.zoomyrshop.com/demo/admin/companyAdmin/Admin_home.asp Đây trang đăng nhập, ta vượt qua đăng nhập cách sử dụng username: ' or '1=1 password: ' or '1=1 Trang trước đăng nhập hình 3.7: Hình 3-7 Trang đăng nhập admin trang http://www.zoomyrshop.com/demo/admin/companyAdmin/Admin_home.asp Sau đăng nhập hình 3.8: Dương Thị Thu Hương – K50CHTTT - Trang 39 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Hình 3-8 Hình ảnh sau đăng nhập trang : http://www.zoomyrshop.com/demo/admin/companyAdmin/Admin_home.asp 3.3.3 Trang thứ ba URL: http://www.evolvingmedia.com/demo/admin/ Đây trang đăng nhập, ta vượt qua đăng nhập cách sử dụng username: ' or '1=1 password: ' or '1=1 Trước đăng nhập hình 3.9: Dương Thị Thu Hương – K50CHTTT - Trang 40 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web Hình 3-9 Trang đăng nhập admin trang http://www.evolvingmedia.com/demo/admin/ Sau đăng nhập: Hình 3-10: Hình ảnh sau đăng nhập trang http://www.evolvingmedia.com/demo/admin/ Trong chương ba, tác giả trình bầy kết số công vào trang web Chương phần kết luận định hướng phát triển luận văn Dương Thị Thu Hương – K50CHTTT - Trang 41 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web CHƯƠNG KẾT LUẬN 4.1 Kết đạt Khoá luận tác giả trình bày thực phần: • Phần đầu trình bày tổng quan ứng dụng web, khái niệm bảo mật ứng dụng web • Phần sau trình bày số kỹ thuật cơng vào ứng dụng web, cách phịng chống cơng • Phần thứ ba, luận văn trình bày vài cơng thử nghiệm vào số trang web theo lý thuyết phần trước Trong thời gian thực đề tài, tác giả tìm hiểu kỹ thuật công vào trang web: điều kiện công, lựa chọn cách thức công với trường hợp cơng nhiều nguồn tài liệu, chủ yếu tìm hiểu Internet Tác giả thực công thành công không thành công Tuy cơng đơn giản qua tác giả hiểu chất công lỗi bảo mật ứng dụng web 4.2 Định hướng phát triển Trong thời gian tới, có điều kiện, khóa luận cố gắng phát triển thêm nội dung sau: • Tìm hiểu thêm kĩ thuật công để đưa phương pháp bảo mật ứng dụng Web mức độ sâu • Tìm hiểu vấn đề bảo mật sâu hơn, khơng dừng mức độ ứng dụng Web mà phát triển vần đề bảo mật hệ thống mạng dịch vụ • Áp dụng kiến thức phịng chống cơng ứng dụng web vào công việc thực tế Dương Thị Thu Hương – K50CHTTT - Trang 42 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web LỜI KẾT Khóa luận trình bày tìm hiểu bảo mật ứng dụng web lỗ hổng bảo mật ứng dụng web Trải qua quãng thời gian thực đề tài với thầy giáo Lê Hồng Hải, tác giả thu nhiều hiểu biết ứng dụng web bảo mật, tạo cho thân tảng bảo mật ứng dụng web Những kiến thức có tính thực tiễn tham gia vào xây dựng hệ thống tương lai Thơng qua khóa luận này, em xin gửi lời tri ân lời chào tạm biệt tới tất thầy cô, bạn bè sau gần năm gắn bó thời sinh viên Xin cảm ơn mái trường Công Nghệ thân yêu – nơi rèn luyện trưởng thành tuổi trẻ Hà Nội, tháng năm 2009 Sinh viên Dương Thị Thu Hương Dương Thị Thu Hương – K50CHTTT - Trang 43 - Đại học Công Nghệ - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web TÀI LIỆU THAM KHẢO [1] Lê Đình Duy Tấn cơng kiểu SQL Injection – tác hại phòng tránh [2] State-Based Attacks http://www.esu.edu/~mjochen/Teaching/CPSC328/09s/slides/07StateAttacks.pdf [3] State-Based Attacks http://www.cse.unt.edu/~srt/4560s2007/slides/11StateBasedAttacks-6.pdf [4] Matthew Dailey Web Application Engineering,Web Application Security http://www.cs.ait.ac.th/~mdailey/courseware/index.php?action=course&course_id=35 &course_page=lecture_notes [5] session_fixation http://www.acros.si/papers/session_fixation.pdf [6] Web-Application http://www.windowsecurity.com/articles/WebApplications.html [7] Cross-site scripting http://en.wikipedia.org/wiki/Cross-site_scripting Dương Thị Thu Hương – K50CHTTT - Trang 44 - Đại học Công Nghệ - ĐHQGHN ... quan khác 1.2 Bảo mật ứng dụng web 1.2.1 Giới thiệu bảo mật ứng dụng web Bảo mật ứng dụng web tương tự bảo mật ứng dụng chung khác Sự khác lớn ứng dụng client-server cũ ứng dụng web • Hệ thống... ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web TÓM TẮT NỘI DUNG Trong khóa luận này, tác giả trình bày ứng dụng web, vấn đề bảo mật ứng dụng web, khóa luận tập trung vào số kỹ thuật... - ĐHQGHN Luận văn tốt nghiệp Một số vấn đề bảo mật ứng dụng web LỜI KẾT Khóa luận trình bày tìm hiểu bảo mật ứng dụng web lỗ hổng bảo mật ứng dụng web Trải qua quãng thời gian thực đề tài với