Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
274,47 KB
Nội dung
Những kinh nghiệm cơ bản lập trình ứng dụng web an toàn 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn !"#$%&'( 1) SQL Injection )*++,-.- !"#$(/01& '23456$77(23456$78 !"#$ 7789:%;<=>!10.0 8?@A!B+1(C>:D78:7E9 F&'+F23456$( CG!"HIHFJ!"88K+L$+L$.$L 'M23456$;D;A;<NO P!Q8K+L$+L$.$LRPLHS2TU!UVWXP83$QY2Z4Z[\]^S_ `$aIZ^Z!QP!YX b':.cdefgS^dQdhi!8K+L$+L$.$L 7.%;<>A>7>%;<+Fj=, +<.+1cdefgS^dQdh(/8+.8:-+@ +.8:k7 !"?F( CG!"FID ++8i9/D78()@ l8LHIH%789(b7188: 9+J!"H$.$!2$8$(>J!"%F!$// !mO P!Q8K+L$+L$.$LRPLHS2TU!UVWXnRoLRP!WW !.+L$L!L$RWXP8QP!pq.$.$RY2$+$\n8`$ aIZ^Z!QrYWXP8pq!H8RdP!WXP8pq$$$RWX sFt+8;@0Bu2H(bZO 2K+H8$$TV8.8Q$#2K+H8$$TdVX.8TeVQ$# 2K+H8$$RYv5!Y.5wWX83$QY2Z4Z[\]^S_`$aIZ^Z 5wQv5!YX I'J!"8H$OnRo5xy(H$R.5w$$WW !.+L$L!L$RWX 4B%M1FB17.8 !"#$ ;@@A!B+1O z{.K7M779[2w4 ? !"#$1Ki[2w4()@F8;{!m @A!B+1|.K2Z4Z[;{!m 75b2Z^`HwuZ( 011+Fj,7G0//%DJ!"H$ LA>9+89/(bF8 9+8,7G0;/[$7F}8%;<[$?8> +8=%@D78!c~XF%;</[$ 7%;<B7G07889;!cQ~D78+F( 2) File Uploaders zFJ!"8;@>]+$`.+!$7K+•78 9FFJ/8?.:1.=/( sFMB1...€='(bD8D/ •+$7{ /•+$9/- ?8?(CG!" F+/•+$$(6.DF/;O P8b#Q!$RY‚p8p!IOOYWXP8Sb8$QPS+]+$b8$XPb$#b8$ Q8!ƒRP8b#„YpppY„P8Sb8$X …{>+;B/•+$@A!B+1+;•+$%-%†/8 %;<F7.M8AB.M8A ;(8.(•+$‡ z{i%;{!ˆ@F+;BB•+$%;<+/(CG !"7Jc7n.+!•+$$$ •+$$$#$$(8‰.+!$!•+$‰$(6.~( 4;B1.8;8"/ˆ/>/ ;`.+!`.+!`$]+$`$`.+!‡[|MF,de7G 0ˆ/;K2y+CwS4Š( z{.‹.0:.;(..(.(6./;8" +/F>NJ!"($u.$ >552( bF%@++;B•+$@A!B+1!F ( 3) Local hoặc Remote File Inclusion Attacks HIH!Œi-;@;7(b78%F !$9}+!$87J!"89+%;<+= ;{!m(CG!"O b$#5!QPLHS2TU!UVX+!$Pb$#5wX'$K$L$RPb$#5wWX )008(:8G'08D+1 /G8??FNF8DHIH!$1. .$+%+<!"%8?+,-]+$5+%%l %F8D=•+$+(C>:F/1J!"8 +!$$K$!B+1%M%%;<%-A;{!m( • C8,•+$8%i|5w//@A!B+1DF %;{!ˆ;O!#+!•+$(..r5wQfg!$?F @A!B+1/•+$5wQfg%lJ+•( • bJ+••+$0.F780•FB7G0 ;c((~c‰~c.~cn.~c.~‡b;.;@..70 09( 4) XSS )&'Ž22HIHJ!"O P`$H8Q.LRP`$H8WX u2H(bZO `$H8Q _n(2$(u +(2•$(…$2n$I8+]8$R`$H8WX bB%%;<G.G/+B1@+:. >#$;M%&'%;< !"#$( 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn zF8!0;8#$8 !"#$F. *?89K}@%%8;{!m%;<1()& '8FM:.+;<!$F %F+:.>1>19%F7(w; %*|+ƒ7i!+,? ;{+:.>( 1. SQL Injection 23456$++F-(b;{%;<J!"% 7+,-?#$/HIH'u2H([ •81/88D%B234 !"? FKi%M? !"(b.‹. 7•/8'!@A!B+1+i[2w4 ;$8+8:7‘'*;{!m#$(234 56$8#$.:B7 %:@A!B+1'F80%( …JN%&:.R•8/8:7‘W%;<%;0 .%*234K.;@ HS2(_%F!$ i18J+•1%&:.?;{!m!Œ!i- ;@O b8;{!m#$J8?i!8’8"/ ;{!m23401; )>%DrzG0“%;<Aws_2;888$7K !ˆ%10F8.M?234.M 9!m%788:7‘('7%8K Ki!i"( [&'723456$O[1K%9 7++l!B+18;{!m.N 8O8K+L$+L$.$LRW.L$.$LRW‡wB+19.%;< %-A$.$RW.nRW%78L8$RW .$L!RWN8%i!F!B+1G( 2. Stored XSS 78.%;<A'%;<%;@ A!B+1?19i;A()9+:.723456$ 8D%7;A%@A!B+18|;A;{ !m?19(CG!";.M>+:?#$(' 7;{!m8;{!m7{#$%D i+*Œ88D%6.%}../%&:.?;{ !m( CG!"O [&'2$!Ž22 )&'2$!Ž22M8+lG<.!B+1%M( H;@..9+F8#$+7G0%;<.‹.J!" 8"(b#$!Œi-;@;2$!Ž22>m l.S+7$J%.19@;{!m7j 18./;{!m(%9>!11%D& '&}.7$N”2.=;{!m( 3. Bảng mã Unicode 20.?197G0u2[558D!0/Bu .-M(${}%MJ!"B 19B7(wd$7!m%+;B7G0 B8198D8!B% !F%D%;<8}()G+‘`!$(19`!$ 8,7G0%;<+;B+@d$(s8D`]p•+8D `!$%;<J!"D.‹.'–887G 0G!"c((‰~$7(s8D`]p•778G <.+1?7G0%'1;c‰~( CG!"%8DDm$8B%;{+79 %;<198D7O 198D77G0%;<+;BiG 7(w%+l!%$7G0%M/MJ!" 7G0([.€97+%- !B+18%i!F9(2%878 J<.+17+Fj7G07889( 5. PHP Injection bB+:.>8.‹.08D/(HIH %+$K$RW+!$RW$+RW!.$L$.+$m8!•$‰$ $8@+;B,7G0;8HIH!$( CG!"J#$8%7%@!0/:.+ JK.;@ …Z%%;!?8•+$;( b;:.%;<lKA.;@ …Z%;< J!"K8+!$RW()+8+,8i7 A'N7(s7>8Dt%;<0 (CG!"O );{!ˆ%8D%%;<K;889?8(zi %;<0A8??'( [&'HIH56$ [>8?.GF.€7([m l++#L+Ln.$'•+$:.=/8?! 8•+$L$L$n.$+!$$K$([19+ 7.‹.!B+1%M=;{!m80.( s+l,7G0%MF#$+•+$%;<.‹.+%M (b€7;@0t%;<'7 ;O4+]+$5+!$H.S6$56$‡ 5. Account Lockout _l9+*18;{ !m8#$%+(b;{%; 8.‘8(dƒ.;7./%% J8;{!m7;%(;7%7 ;{!m%M/9}9+FK%i9m?8>%D i%&7j!i":%;<7?i7 €xe.7%;<%/8( F19+FJ+G;:r b;{!m %D%;<;{!m%M/%&:.(I} 01+M%&:.7;{!m 8: 7‘(C8"%G&'$pn$19 77;{!m7;<K+M%&:.F(' J!"u4777;{!m7 :.%;<B( [&'u47O>77;{!m7 ;<K9+M%&:.FF/$8‹1/M;{!m —8D[.8,+M%&:..$()1 #$7j7$pn$87=9:.;{!m( _..7+'%i|5H87{%i( b;ˆ';{!mi%i|5H(b ˆ7;{!m7:.7( Kiểm tra bảo mật z8?#$?FB+,-8:+%M ()718{FJ!"89">878+, -0%([Dmx.;@..788:O s+7s$ z8J/s+7|0188 #$7M/ !"(Il78B !B+1%M<.+17K%MG7( u$+8G!".M888s+7s$( a$s$ [...]... Tổng kết Năm kiểu tấn công được lựa chọn không được đề cập đến chuyên sâu, chỉ là một vài kịch bản cơ bản được nêu ra Chắc chắn còn có rất nhiều các cuộc tấn công đe dọa doanh nghiệp của bạn Bất kể lập trình viên, quản lí dự án hay các công ty khởi nghiệp cần nhận thức được tầm quan trọng trong việc bảo vệ ứng dụng của mình Không thực hiện các biện pháp bảo mật đầy đủ có thể khiến bạn bị mất uy tín với... dựa theo quy tắc ngược lại Kiểm thử viên sẽ toàn quyền truy cập vào mã nguồn, các lỗ hổng bảo mật sẽ được phát hiện thông qua việc kiểm tra code RATS là một ví dụ phần mềm White Box Testing tự động Grey Box Testing Đó là sự kết hợp cả 2 phương pháp nêu trên Kĩ thuật này đòi hỏi chúng ta tiếp cận toàn bộ tài liệu tạo ra trong suốt quá trình phát triển ứng dụng nhưng không tiếp cận vào mã nguồn Theo . Những kinh nghiệm cơ bản lập trình ứng dụng web an toàn 5 lỗ hổng bảo mật phổ biến nhất có thể phá hỏng dự án của bạn . XSS 78.%;<A'%;<%;@ A!B+1?19i;A()9+:.723456$ 8D%7;A%@A!B+18|;A;{ !m?19(CG!";.M>+:?#$(' 7;{!m8;{!m7{#$%D i+*Œ88D%6.%}../%&:.?;{ !m( CG!"O [&'2$!Ž22 )&'2$!Ž22M8+lG<.!B+1%M( H;@..9+F8#$+7G0%;<.‹.J!" 8"(b#$!Œi-;@;2$!Ž22>m l.S+7$J%.19@;{!m7j 18./;{!m(%9>!11%D& '&}.7$N”2.=;{!m( 3. Bảng mã Unicode 20.?197G0u2[558D!0/Bu .-M(${}%MJ!"B 19B7(wd$7!m%+;B7G0 B8198D8!B% !F%D%;<8}()G+‘`!$(19`!$ 8,7G0%;<+;B+@d$(s8D`]p•+8D `!$%;<J!"D.‹.'–887G 0G!"c((‰~$7(s8D`]p•778G <.+1?7G0%'1;c‰~( CG!"%8DDm$8B%;{+79 %;<198D7O 198D77G0%;<+;BiG 7(w%+l!%$7G0%M/MJ!" 7G0([.€97+%- !B+18%i!F9(2%878 J<.+17+Fj7G07889( 5.