Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 15 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
15
Dung lượng
1,02 MB
Nội dung
4/8/15 1 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN GVHD: Ths. Nguyễn Công Hoan Ngày 11 tháng 06 năm 2013 Nhóm thực hiện: • Trần Đức Yên 10520203 • Lê Tuấn Anh 10520211 • Đào Xuân Hiển 10520212 KIỂM CHỨNG PHẨN MỀM WEB SECURITY TESTING 1 • Gi i thi u & M c tiêu.ớ ệ ụ 2 • Web security & Network security & Firewalls 3 • Đ ng c và Nguyên nhân.ộ ơ 4 • Test web security c n test nh ng gì?ầ ữ 5 • Demo SQL INJECTION,Keylog. 4/8/15 2 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN NỘI DUNG 4/8/15 3 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN GIỚI THIỆU 4/8/15 4 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN GIỚI THIỆU M t s th ng kê gây s c khác:ộ ố ố ố - Ông Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng Trung tâm BKAV cho biết: "86% vụ tấn công mạng ở Việt Nam là do các hacker nước ngoài. - 2/3 người trở thành dùng thiết bị di động để truy cập internet. Điều này dẫn đến số lượng lỗ hổng trên điện thoại tăng gấp đôi mỗi năm. - Trong năm 2011, cứ 10 người sử dụng mạng xã hội thì 4 người là nạn nhân của hacker (đánh cắp tài khoản, phát tán mã độc ). - 35% người dùng từng mất điện thoại hoặc máy tính bảng. Và 2/3 trong số này không cài đặt bất kỳ giải pháp bảo mật nào cho thiết bị của mình. - 44% người dùng không biết đến các giải pháp an ninh cho thiết bị di động. - Một hệ thống dựa trên Web an toàn 100 % là không tồn tại. - Sự cân bằng bảo mật bao gồm thỏa hiệp giữa bảo mật và khả năng sử dụng các chức năng - Nó đòi h i m t s k t h p c a các ki n th c v công ngh b o ỏ ộ ự ế ợ ủ ế ứ ề ệ ả m t, công ngh m ng, l p trình, và s th ng xuyên, kinh ậ ệ ạ ậ ự ườ nghi m th c t trong vi c thâm nh p an toàn c a h th ng ệ ự ế ệ ậ ủ ệ ố m ng.ạ 4/8/15 5 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN GIỚI THIỆU Trách nhiệm kiểm tra hệ thống để phát hiện ra chức năng, khả năng tương thích, hình trạng, và các lỗi tương thích, có liên quan đến thực hiện bảo mật và các vấn đề tiềm năng đã được giới thiệu bởi lỗi trong thiết kế bảo mật . Xác định các mục tiêu an ninh và trách nhiệm và cung cấp một giới thiệu về công nghệ bảo mật web. Bảo mật trong thế giới vật chất về cơ bản là khác bảo mật trong thế giới kỹ thuật số 4/8/15 6 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Mục Đích 4/8/15 7 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Hi u rõ m c đí ch thông qua ể ụ phân tích đ ng c t n côngộ ơ ấ Để lấy trộm: o Tiền bạc o Thông tin o Sở hữu trí tuệ Gián đoạn các hoạt động Gây khó khăn, rắc rối Chơi và niềm vui Một số động cơ phổ biến: 4/8/15 8 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Thông thường, các mối đe dọa bảo mật đến từ một hoặc nhiều trong những nơi sau: • Lỗi hoặc failure(thất bại, sai sót) của phần cứng và phần mềm. • Lỗi hoặc sai sót của người(người làm). • Environmental failures(ảnh hưởng của môi trường), chẳng hạn như bảo mật kém cho các môi trường vật lí, mất điện thiên tai. • Thay đổi khi hệ thống đang thực hiện. Nguyên nhân 4/8/15 9 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Nh p URL không h p lậ ợ ệ 4/8/15 10 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Đưa ra các chiến lược phát triển, quy trình bảo trì và đào tạo kỹ năng cho nhân viên Xác thực và ủy quyền ( đặt password, mã hóa thông tin … ) Sử dụng công nghệ bảo mật Các gi i pháp b o m t c b nả ả ậ ơ ả [...]... lưu lượng web 11 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Kiểm tra bảo mật gồm Kiểm tra các yêu cầu và thiết kế Kiểm tra mã ứng dụng Kiểm tra mã của bên thứ 3 Kiểm tra việc triển khai Thử nghiệm xâm nhập Thử nghiệm bảo vệ người dùng thông qua cài đặt trình duyệt 12 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Kiểm tra bảo mật cho web ... dữ liệu nhập từ các ứng dụng web Hậu quả này rất tai hại vì nó cho phép kẻ tấn công có toàn quyền, hiệu chỉnh trên cơ sở dữ liệu của ứng dụng Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị CSDL như SQL Server, Oracle, DB2, Sysbase Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer,... NGHỆ THÔNG TIN Kiểm tra bảo mật cho web Phân quyền (các vai trò và danh sách quyền tương ứng) Độ an toàn của mạng (Network Scanning) Rà soát các lỗ hổng tiềm ẩn (Vulnerability Scanning) Phát hiện các khả năng ăn trộm/bẻ gãy mật khẩu (Password Cracking) Phát hiện lỗ hổng bảo mật từ các bản ghi log (Firewall log, IDS log, Server log, ) Kiểm tra tính toàn vẹn của hệ thống File (File . 10520212 KIỂM CHỨNG PHẨN MỀM WEB SECURITY TESTING 1 • Gi i thi u & M c tiêu.ớ ệ ụ 2 • Web security & Network security & Firewalls 3 • Đ ng c và Nguyên nhân.ộ ơ 4 • Test web security. đến từ một hoặc nhiều trong những nơi sau: • Lỗi hoặc failure(thất bại, sai sót) của phần cứng và phần mềm. • Lỗi hoặc sai sót của người(người làm). • Environmental failures(ảnh hưởng của. MINH ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Kiểm tra các yêu cầu và thiết kế Kiểm tra mã ứng dụng Kiểm tra mã của bên thứ 3 Kiểm tra việc triển khai Thử nghiệm xâm nhập Thử nghiệm bảo vệ