HUTECH B GIÁO DC ÀO VÀ O TO TRNG I HC DÂN LP K THUT CÔNG NGH KHOA CÔNG NGH THÔNG TIN B MÔN CÔNG NGH PHN MM LUN VN TT NGHIP  TÀI : Nghiên cu bo mt ASP.NET. ng dng trong thit k Website Khoa CNTT GVHD : Th.S Nguyn Hà Giang SVTH : Lê Phng Nam 10102099 Thiu ng Phúc 10102133 TP. H CHÍ MINH 2005 HUTECH HUTECH LI CM N ooOOoo— Trong sut khóa hc (2001-2005) ti trng K Thu Công Ngh TP.H Chí Minh, vi s giúp đ ca quí thy cô và ging viên hng dn t nhiu phía và nhât là trong thi gian thc hin đ tài, nên đ tài đã đc hoàn thành đng qui đnh. Em xin chân thành cm n đn: Em xin cm n các thy cô trong khoa công ngh thông tin đã ging dy nhng kin thc chuyên môn làm c s đ chúng em thc hin tt lun vn và hoàn tt khóa hc thun li. c bit, em xin cm n Thy Nguyn Hà Giang giáo viên hng dn đ tài đã nhit tình giúp đ và cho chúng em nhng li ch dy quí báu, giúp chúng em đnh hng tt trong khi thc hin lun vn và Thy Bùi Âu Phng đã to mi điu kin cho chúng em trin khai cài đt chng trình. Tt c bn bè đã giúp đ và đng viên trong quá trình làm lun vn. Tp.H Chí Minh Tháng 12 nm 2005 Sinh viên thc hin HUTECH NHN XÉT CA GIÁO VIÊN HNG DN oOOo— K thut công ngh, Ngày tháng nm 2005 Giáo viên hng dn HUTECH NHN XÉT CA GIÁO VIÊN PHN BIN oOOo— K thut công ngh, Ngày tháng nm 2005 Giáo viên phn bin HUTECH B GIÁO DC & ÀO TO CNG HÒA XÃ HI CH NGHA VIT NAM I HC DL K THUT CÔNG NGH TP.HCM C LP – T DO – HNH PHÚC Khoa : CNTT, B môn : …………………… _____oOo_____  Chú ý : Sinh viên phi dán bn nhim v H và tên sinh viên : …………………………… MSSV :………………….…… Ngành : : ……………………………… Lp :…………………………………… : 2. Nhim v : a. D liu ban đu : b. Ni dung · Phn tìm hiu công ngh : · Phn phân tích, thit k & xây dng ng dng minh ha : : : 5. H tên giáo viên hng dn : Ni dung và yêu c . TP.HCM, ngày ………. tháng ……… nm 200 CH NHIM KHOA GIÁO VIÊN HNG DN CHÍNH (Ký và ghi rõ h tên) (Ký và ghi rõ h tên) PHN DÀNH CHO B MÔN Ngi duyt (chm s b) :……………………….Ngày bo v : ……………………… HUTECH HUTECH Nghiên cu bo mt ASP.NET. ng dng trong thit k Website Khoa CNTT Trang 1 MC LC MC LC 1 CHNG 1 : GII THIU  TÀI 3 1.1 Hoàn cnh ra đi. 3 1.2 Ni dung các chng. 3 CHNG 2 : TÌM HIU V BO MT 4 2.1 Các khái nim. 4 2.1.1 Cracker. 4 2.1.2 Hacker. 4 2.1.3 Router. 4 2.1.4 Cookie. 4 2.1.5 Proxy. 5 2.1.6 Ping. 6 2.1.7 Cng o (Virtual Port). 6 2.1.8 Tng la (Fire wall). 6 2.1.9 Virus. 7 2.1.10 Trojan. 7 2.1.11 Worms. 7 2.1.12 Bom th. 7 2.1.13 IP Spoofing. 7 2.2 Các nguyên nhân ch quan làm cho h thng hay ng dng web b tn công. 8 2.2.1 Cu hình sai máy ch. 8 2.2.2 H điu hành và ng dng b li. 8 2.2.3 Nhà cung cp thiu trách nhim. 8 2.2.4 Thiu s t vn đy đ. 9 2.3 Các bc khi ngi tn công mun tn công vào h thng. 9 2.3.1 FootPrinting. 9 2.3.2 Scanning. 9 2.3.3 Enumeration. 10 2.3.5 Escalating Privileges (Leo thang đc quyn). 10 2.3.6 Pilfering. 10 2.3.8 To BackDoor. 11 2.3.9 Denial of Services (Tn công t chi dch v). 11 2.4 Bo mt trong ASP.NET. 11 2.4.1 nh dng bo mt ASP.NET 12 2.4.2 nh dng phân cp (Configuraion hierarcy) 12 2.4.3 Thc thi ASP.NET authorization. 15 2.4.4 Cu trúc bo mt ASP.NET 17 2.4.5 Windows authentication. 19 2.4.6 Forms authentication. 22 2.4.7 Passport authentications. 29 2.4.7.1 Cu trúc tng quan. 29 2.4.7.2 Các bc tng quát đ thc thi mt ng dng web s dng Passport. 32 2.4.7.3 Thc thi bo mt đi vi Passport. 33 CHNG 3 : CÁC BIN PHÁP BO MT TRONG ASP.NET 37 HUTECH Nghiên cu bo mt ASP.NET. ng dng trong thit k Website Khoa CNTT Trang 2 3.1 Bo mt đng truyn. 37 3.2 Mã hóa. 38 3.2.1 Mã hóa trong .NET 39 3.2.2 DPAPI 42 3.3 Phòng tránh SQL injection. 45 3.4 Phòng tránh tn công CSS. 48 3.5 Bo mt tài nguyên. 51 CHNG 4 : THC THI CHNG TRÌNH 53 4.1 Mc đích xây dng trang web 53 4.2 Ni dung trang web. 53 4.3 S đ user case. 54 4.2 S đ lp. 57 4.3 C s d liu. 60 4.6 Các component. 63 4.7.1 To tài khon bt buc ngi dùng nhp mt khu phc tp. 64 4.7.2 Dùng các k thut mã hóa cho mt khu, cho các kt ni c s d liu. 65 4.7.3 Bo mt đng truyn. 67 4.7.4 Kim tra các giá tr nhp vào tránh b CSS. 67 4.7.5 Bo mt cookie. 67 4.7.6 Gii hn thi gian tn ti ca các phiên làm vic (session). 67 4.7.7 Thông tin bo mt đc lu trong registry. 68 4.7.8 To mt tài khon kt ni ni c s d liu. 69 4.7.9 Tránh SQL injection. 69 4.7.10 Bo mt các tài nguyên h thng. 69 4.7.11 Qun lý các debug li. 69 4.8 Các giao din. 70 CHNG 5 : TNG KT VÀ ÁNH GIÁ. 75 5.1 Kt qu đt đc. 75 5.2 Hn ch thiu sót. 75 5.4 Hng phát trin. 76 DANH SÁCH CÁC HÌNH 77 DANH MC BNG 78 TÀI LIU THAM KHO 80 PH LC 81 HNG DN CÀI T 81 HUTECH Nghiên cu bo mt ASP.NET. ng dng trong thit k Website Khoa CNTT Trang 3 CHNG 1 : GII THIU  TÀI 1.1 Hoàn cnh ra đi. Cùng vi s phát trin ca công ngh thông tin thì các ng dng web cng phát trin theo ngày mt mnh m hn đ đáp ng nhng nhu cu v trao đi thông tin, hc tp nghiên cu, qung cáo mua bán, dch v, du lch…Vì vy mà các ngôn ng, công c cng nh các tin ích đ thit k web ra đi ngày càng nhiu đ đáp ng cho nhu cu trên. Các ngôn ng nh ASP.NET, PHP, Perl, JSP , Servlet… là mt trong các ngôn ng mnh hin nay dùng đ thit k các ng dng web . Bên cnh nhng tính nng u vit ca mi ngôn ng trên đ xây dng các ng dng web thì nhng khuyt đim v vn đ bo mt ngun tài nguyên cho ng dng, và các thông tin bo mt ca ngi s dng ca tng ngôn ng cng là mt vn đ thách thc cho các nhà phát trin ng dng. T nhng vn đ trên chúng em đã chn  tài : Nghiên cu bo mt ASP.NET ng dng trong thit k website khoa công ngh thông tin. Bo mt không ch da vào vic dùng mt ngôn ng sao cho ng dng đc an toàn mà là s kt hp ca nhiu yu t nh bo mt đng truyn, bo mt c s d liu, thit b, qun tr h điu hành… và bài toán bo mt không có li gii chính xác, nó ch tng đi trong tng giai đon, tng môi trng c th vì các tin tc ngày mt tinh vi hn luôn tìm ra các l hng bo mt vì vy bo mt cho mt ng dng cn phi đa ra mt chin lc, nghiên cu bo mt lâu dài phù hp vi tng thi đim. 1.2 Ni dung các chng. Chng 1: Phn tng quan ca đ tài. Chng 2: Tìm hiu khái nim trong bo mt và các mô hình bo mt ASP.NET Chng 3 : Tìm hiu các k thut bo mt trong ASP.NET và bin pháp xây dng Chong 4: Thc thi cài đt ng dng. Chung 5: Kt lun đánh giá kt qu làm đc và hng phát trin. [...]... TE Hình 2.5: Quá trình c C H Nghiên c access) s trong web.config và ki th deny users=”?”> vì Yêu c quy Login.aspx loginUrl trong th forms> Client s cung c Directory) và tìm quy M FormsAuthenticationTicket và g client Các quy sách quy truy c (roles) trong ticket , client tránh ph Trang 23 ticket Vi Nghiên c tìm l khi yêu c Application_AuthenticateRequest (trong Global.asax), t IPrincipal... nh trong các MS IIS hay trong ISC BIND hay SSH và r c gi c n E mà 2.2.3 Nhà cung c R trình c Trang 8 có th Nghiên c r v các h tính c òng h c ông tác b 2.2.4 Thi N ch các công ty hay t l thu th ng trình m b cho các hi Vi các t th b H U TE v sách v C H tìm ra các chuyên gia b b 2.3 2.3.1 FootPrinting ch ng tin chính th t Whois, DNS ên tin ch ôn nh th eb 2.3.2 Scanning ã có nh ng tin r Trang 9 Và Nghiên. . .Nghiên c C 2.1 Các khái ni ÌM HI V M làm công tác b 2.1.1 Cracker Cracker là nh ng chuyên gia phá ho v 2.1.2 Hacker Không ít nh Ngu C H acker là nh th , ch ã Tuy nhiên c H U TE h hi hacker m thì t 2.1.3 Router Còn g trong h thi hình th router g 2.1.4 Cookie Cookie là nh browser c e và C trang web t các thông tin v trang web và nh trong trang web Trang 4 Nghiên c Nh s c hông ph... HashPasswordForStoringInConfigFile truy c Tr L cho yêu c nh dùng trang m Th trong các t m Trang 27 ình, d Nghiên c Initialize Kh t khóa mã hóa cho RedirectFromLoginPage SetAuthCookie SignOut truy c Hàm n nh ngòai Xóa quy v dùng r B H U TE Name Mô t Tr Tr Tr Tr Tr C H Các thu CookiePath Expiration Expired IsPersistent IssueDate UserData Tr trong cookie M trong cookie Tr Version Tr B FormsAuthenticationTicket Thu AuthenticationType... ã có nh các t ng tin c log c b Trang 10 tin t tìm cách xoá d Nghiên c 2.3.8 T or công truy c b vi c c 2.3.9 Denial of Services (T Nêu không thành công trong vi cùng phá v phép truy c C H s t 2.4 B Khi H U TE Authentication (th ngoài nh ngu truy xu Authorization : ã authorization là vi nh Hình 2.1 : Mô hình truy xu Trang 11 em có quy và m Nghiên c ASP.NET h Passport, None Window Form Passport None Vi... (request) Quy c H U TE IIS truy ASP.NET xác nh N chung v c N thì vi d d N s Passport c ASP.NET phân quy UrlAuthorizationModule trong web.config (n rong th truy c Trang 18 nh n truy c IIS Nghiên c n b FileAuthorizationModule (mô hình HTTP khác) ki truy c u truy c v Quy ng có th b th Mã trong n tài nguyên c C H nh k ng nh H U TE s Thay 2.4.5 Windows authentication Khi c Digest, ho c át tri Certificate cung... b L nh L nh không L L ài kho H U TE IsAuthenticated Mô t C H Thu Public IsAnonymous IsGuest IsSystem Name Token B Thu GetAnonymous GetCurrent Impersonate không tính trong l Mô t Tr m Tr dùng window hi Cho phép vi khác B Trang 21 Nghiên c Trong Window authentication b user, n tin v Ví d : String isAuthentication = User.Identity.IsAuthenticated; String name = User.Identity.Name; H U TE C H String AuthenticationType... ta ã bi m c truy ,n um ch nh ghi l Trang 6 i ng Nghiên c 2.1.9 Virus ình v khác) lên máy c virus 2.1.10 Trojan ình máy c nh ng tài li c nh mà trojan account, hay cookie ……… tu nó 2.1.11 Worms ình bên trong m C H t virus, nó c H U TE có th ình g quá t phá r th ói d t 2.1.13 IP Spoofing M v l c ngh thông tin nh tin t máy ch kho Trang 7 ch , làm r) ho Nghiên c 2.2 Các nguyên nhân ch t Có th nh khi 2.2.1... Rolen Ki Ki L trong web.config FormsAuthentication cung c Authenticate t web.config Trang 25 Nghiên c if(FormsAuthentication.Authenticate( username, password )) { FormsAuthentication.RedirectFromLoginPage(Userid.Text, false); } else { } Ki Hàm ki ki không } H U TE C H if (isAuthentication(username,password)) { FormsAuthentication.RedirectFromLoginPage(Userid.Text, false); } else { T Principal trong HTTP... dùng không ph di tài kho l l ác chính xác, ki tra h khi tin t khai t C H các thông tin trong cookie còn s không trang web ch + Domain: là tên mi máy ch (server) + H U TE + ng d trang web mà + Ngày h + B hoá trong quá trình truy + Các giá tr b nh b 2.1.5 Proxy Proxy cung c Nh th c ti quy Trang 5 máy ch (web server) ki Nghiên c s t nh proxy server Vì v gi Proxy cho truy xu V d nên th khi h T cho user B . PHÁP BO MT TRONG ASP. NET 37 HUTECH Nghiên cu bo mt ASP. NET. ng dng trong thit k Website Khoa CNTT Trang 2 3.1 Bo mt đng truyn. 37 3.2 Mã hóa. 38 3.2.1 Mã hóa trong .NET 39 3.2.2. 11 2.4 Bo mt trong ASP. NET. 11 2.4.1 nh dng bo mt ASP. NET 12 2.4.2 nh dng phân cp (Configuraion hierarcy) 12 2.4.3 Thc thi ASP. NET authorization. 15 2.4.4 Cu trúc bo mt ASP. NET 17 2.4.5. điu gì xy ra trong chng trình ca h. Vic đm bo cht lng (QA) trong ngành công nghip phn mm HUTECH Nghiên cu bo mt ASP. NET. ng dng trong thit k Website Khoa CNTT Trang