1. Trang chủ
  2. » Luận Văn - Báo Cáo

tìm hiểu, nghiên cứu về kiểm thử an toàn hệ điều hành

24 851 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 24
Dung lượng 0,91 MB

Nội dung

Tìm hiểu, nghiên cứu về kiểm thử An toàn Hệ điều hành Giáo viên hướng dẫn: Ths.. Khái niệm Là 1 phương thức nhằm đánh giá, ước chừng độ an toàn và tin cậy của 1 hệ thống máy tính hay 1

Trang 1

Tìm hiểu, nghiên cứu về kiểm

thử An toàn Hệ điều hành

Giáo viên hướng dẫn: Ths Nguyễn Đức Ngân

Sinh viên thực hiện: Dương Hồng Ngọc

Hoàng Ngọc Sỹ

Trang 3

Tổng quan về kiểm thử

Trang 4

Khái niệm

 Là 1 phương thức nhằm đánh giá, ước chừng độ

an toàn và tin cậy của 1 hệ thống máy tính hay 1 môi trường mạng bằng cách giả lập 1 cuộc tấn công từ hacker

 Khi phát hiện thấy bất kỳ vấn đề nào liên quan tới bảo mật nó sẽ hiển thị cho người quản trị hệ thống biết, đồng thời cũng đưa ra đánh giá những tác động của chúng và đi kèm với những đề xuất, giải pháp kỹ thuật thay thế

Trang 5

Các kỹ thuật kiểm thử

Kiểm thử hộp đen

Kiểm thử hộp xám

Kiểm thử hộp trắng

Trang 6

Scanning

Trang 7

Phân loại Scanning

Trang 9

Cấu tạo gói tin TCP

Trang 10

Một số loại Scan Port trên hệ thống

Trang 11

Tấn công hệ thống

Trang 12

Tấn công mật khẩu

Trang 13

Khai thác lỗ hổng bảo mật

 Hàng năm, có rất nhiều lỗ hổng bảo mật trên hệ thống mạng hay các hệ điều hành được công bố nhằm mục đích tìm ra các giải pháp hiệu quả để khắc phục, ngăn chặn các cuộc tấn công khai thác các lỗ hổng đó

 Hiện tại có một số định dạng thông báo lỗ hổng bảo mật có thể kể đến như: CVE, Microsoft Bulletin, Bugtraq ID

Trang 14

Giới thiệu về CVE

 Sự ra đời của CVE

 CVE là 1 danh sách tên các lỗ hổng bảo mật thông tinđược phát hiện và công bố cho cộng đồng biết

 Dự án CVE bắt đầu tiến hành từ năm 1999 khi mà hầuhết các công cụ bảo mật đều sử dụng CSDL, tên gọi củariêng mình cho các lỗ hổng bảo mật, gây ra khó khantrong việc xác định chính xác lỗ hổng bảo mật

 CVE ra đời đã chuẩn hóa định danh các lỗ hổng bảomật, giúp cho các sản phẩm bảo mật, các dịch vụ bảomật có thể “nói chuyện” được với nhau

 Hiện nay, CVE được tổ chức MITRE quản lý, duy trìthông qua Website công cộng

Trang 15

Giới thiệu về CVE

 Danh sách CVE

 Đặc điểm:

 Mỗi 1 định danh CVE tương ứng với 1 lỗ hổng bảo mật

 Mỗi CVE miêu tả cơ bản, tổng quát về 1 lỗ hổng bảo mật

 CVE là 1 từ điển về các lỗ hổng bảo mật chứ không phải là một CSDL

 CVE giúp đồng bộ thông tin về các lỗ hổng bảo mật giữa các tổ chức

 CVE giúp cho việc đánh giá cơ bản các công cụ bảo mật

 Miễn phí tải về

Trang 16

Giới thiệu về công cụ Metasploit

 Sự ra đời và phát triển công cụ Metasploit

 Metasploit là 1 công cụ khai thác lỗ hổng khá nổi tiếng,

nó ra đời bắt đầu từ Metasploit Project

 Metasploit đã được tạo ra bởi HD Moore vào năm 2003như một công cụ mạng di động bằng cách sử dụngngôn ngữ kịch bản Perl, sau đó Metasploit Framework

đã được viết lại bằng ngôn ngữ lập trình Ruby

 Ngày 21/10/2009, Metasploit Project được mua lại bởiRapid 7 và được bổ sung thêm 2 phiên bản thương mại

là Metasploit Express và Metasploit Pro

 Metasploit có thể chạy trên các hệ điều hành: Linux,Windows, MacOS

Trang 17

Giới thiệu về công cụ Metasploit

 Các thành phần cơ bản và môi trường sử dụng

 Metasploit hỗ trợ nhiều giao diện với người dùng:

 Console Interface

 Graphic Interface

 Web Interface

 Command Line Interface

 Môi trường (Environment) của Metasploit:

 Global Environment

 Temporary Environment

Trang 19

Sử dụng Metasploit Framework

 Khai thác lỗ hổng

 Bước 1: Chọn Module Exploit: lựa chọn chương trình, dịch vụ lỗi mà Metasploit có hỗ trợ để khai thác

 Bước 2: Cấu hình Module Exploit đã chọn

 Bước 3: Kiểm tra lại những Options vừa cấu hình

 Bước 4: Lựa chọn mục tiêu

 Bước 5: Lựa chọn Payload

 Bước 6: Thực thi exploit

Trang 20

Thực hành kiểm thử Hệ điều hành

Windows Server 2003

Trang 21

Quét cổng, thu thập thông tin bằng Zenmap

Trang 22

Dò quét lỗ hổng bảo mật bằng Nessus

Trang 23

Tấn công mật khẩu bằng cách giải mã file SAM

Trang 24

Demo

Ngày đăng: 25/11/2014, 09:58

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w