Kiểm chứng phần mềm Web Security Testing Giới thiệu Web Security Testing Các nhà sản xuất và người dùng hiện nay cảm thấy khá thích thú với những hệ thống dựa trên nền tảng Web, bởi vì chúng có khả năng bảo mật khá cao. Nhưng thực sự không phải vậy, Web systems bao gồm rất nhiều biến và có rất nhiều lỗ hổng và việc tìm ra các lỗ hổng ấy không hề đơn giản.
!" GV: Nguyễn Đăng Khoa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`*4X216D? HGE ?33a UV "($M$ENI]"C+$%::b:3 2( 62((7 $26?]$26$M;?$-K$%:W:R9 ]:R$$M#8 8C+$%:3 G8^,2O78c%#'#%:" *#'8-K $%]-K$K":R1 *3 !<-S,2J$FN%:2?b>$-K?",23 86((+9(:((;/ &^,2*[-"$$0#''#S *3&<9 *;'#<W J?8^,2;'>$',:R9":R$$#'>$G#'$<3 [...].. .Web Security Testing LOGO Web Security Testing LOGO Các nguồn thông tin khác khá hữu ích cho kẻ tấn công là tên hoặc địa chỉ e-mail của các lập trình viên, và nhân viên hỗ trợ Các thông tin này thường được nhúng vào trong các trang HTML hoặc các tập tin JavaScript Bằng cách sử dụng công cụ tìm kiếm, kẻ tấn công có thể tìm thấy tất cả các liên kết bên ngoài đến trang web của bạn Web Security Testing. .. www.nai.com Web Security Testing Các công nghệ bảo mâ t web khác : ô LOGO Web Security Testing LOGO Nếu ứng dụng được thử nghiệm hỗ trợ HTTPS, giấy chứng nhận sẽ là yêu cầu cho máy chủ, thiết lập thích hợp cho HTTPS thông tin liên lạc cả hai máy chủ và máy khách Nếu các máy chủ HTTPS là phía sau tường lửa, cổng 443 cũng nên được mở cho HTTPS giao thông giữa máy khách và máy chủ Web Security Testing LOGO... máy chủ proxy là một kỹ thuật tường lửa an toàn hơn so với lọc gói Một máy chủ proxy tương tác với nhiều máy tính khách và máy chủ bảo mật dễ dàng hơn để duy trì LOGO Web Security Testing LOGO Web Security Testing LOGO Web Security Testing LOGO Cài đặt DMZs (Demilitarized Zone) Một hệ thống DMZ ngăn chặn người dùng từ bên ngoài truy cập trực tiếp đến bất kỳ máy chủ hoặc máy chủ lưu trữ trên một mạng... người nhận dự tính của họ Web Security Testing LOGO Mật khẩu Chứng thực được thực hiện thông qua việc sử dụng các mật khẩu Mật khẩu là chìa khóa để mở ổ khóa trên cánh cửa ảo của hệ thống của bạn Hệ thống chấp nhận người sử dụng xác thực nếu người đó biết mật khẩu Web Security Testing LOGO Mật mã học Mã hóa làm cho nó có thể chuyển và lưu trữ thông tin trong khi ngăn chặn kiểm tra của bên ngoài... tường lửa: Tường lửa lọc gói tin (Routers), Tường lửa dựa trên Proxy (Gateway) Web Security Testing LOGO Tường lửa lọc gói tin (Routers): Bức tường lửa đơn giản ngăn chặn thông tin bằng cách sàng lọc các gói tin đến Thường thực hiện trong các bộ định tuyến, cung cấp các tính năng an ninh mạng cơ bản ở mức IP Web Security Testing Tường lửa dựa trên Proxy (Gateways) Một máy chủ proxy là một kỹ thuật... một số lượng lớn người sử dụng, nó trở nên dễ bị tổn thương dẫn đến mất mát thông tin vì một người nào đó có thể không thực hiện theo các chính sách an ninh Web Security Testing Khái niệm cơ bản về mật mã chung và mã hóa LOGO Web Security Testing LOGO Mật mã khóa công khai, như minh họa trong hình trên, là một phương pháp truyền thông điệp an toàn giữa các bên bằng cách sử dụng hai loại của khóa,... hỗ trợ tốt hơn cho việc thiết kế,thực thi,và kiểm chứng bảo mật Người viết chương trình và người kiểm chứng làm việc trong 1 đội Họ nên có những phối hợp sớm với nhau trong suốt chu trình.Điều này có thể thực hiện trong 1 tiến trình thiết kế bằng cách đặt ra những câu hỏi trọng điểm liên quan đến việc thiết kế bảo mật và việc thực thi Web Security Testing LOGO Chính sách bảo mật doanh nghiệp... LOGO Web Security Testing Những kẻ tấn công cũng có thể có bản sao của tập tin dữ liệu, nơi cài đặt các ứng dụng - Ứng dụng của bạn luôn luôn được cài đặt tại: ~ myapp - Các tập tin cấu hình không được bảo vệ và lưu trữ trong: MyApp / config.rc - Những kẻ tấn công có thể truy cập vào www.yourCompany.com/ ~ MyApp / config.rc - Kẻ tấn công sẽ nhận được toàn bộ dữ liệu cấu hình của ứng dụng LOGO Web Security. .. quyết các vấn đề an ninh.là một người kiểm chứng, bạn phải có một sự hiểu biết tốt về những hiện thực này Từ đó bạn sẽ hỏi: - Một sản phẩm có sẵn sẽ bảo vệ bạn tránh khỏi những mối đe dọa như thế nào Web Security Testing LOGO Những hạn chế của việc thực hiện là gì ? - Ví dụ:tường lửa được thiết kế để bảo vệ mạng của bạn, nhưng nó không làm gì để bảo vệ ứng dụng Web của bạn Trách nhiệm,mục tiêu,và... chức này xác định mục tiêu phải được đáp ứng để bảo vệ tài sản kinh doanh,và những gì chi phí Web Security Testing LOGO Phản ứng từ doanh nghiệp Một công ty sẽ phản ứng với các mối đe dọa an ninh với nhiều công cụ khác nhau và nhiều phương pháp tiếp cận Các bộ phận CNTT sẽ đầu tư trong IDS, tăng cường kiểm toán, và thực thi một chính sách để thay đổi mật khẩu Tổ chức sẽ lập các cơ quan các lớp