Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu xây dựng website và một số biện pháp bảo mật

119 488 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nghiên cứu xây dựng website và một số biện pháp bảo mật

Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo MỤC LỤC MỤC LỤC .1 DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU CHƯƠNG I .10 TỔNG QUAN WEBSITE, CẤU TRÚC, CÁC PHƯƠNG PHÁP XÂY DỰNG, CÁC NGUY CƠ MẤT AN TOÀN 10 1.1.Kiến trúc, thành phần hoạt động website .10 1.1.2.1 Dưới góc độ kỹ thuật 10 1.1.2.2 Dưới góc độ chức .12 1.1.3.1 CMS (Content Management System) 12 1.1.3.2 Webmail 14 1.1.3.3 Shopping Carts 14 1.1.3.4 Portal 15 1.1.4.1 Thành phần 15 1.1.4.2 Mô tả hoạt động 17 1.2.Các điểm yếu an ninh mạng nguy an toàn 18 CHƯƠNG II 32 KẾT HỢP JOOMLA VÀ VIRTUEMART ĐỂ XÂY DỰNG WEBSITE ỨNG DỤNG 32 2.1 Tổng quan Joomla! Các thành phần chức năng, cài đặt sử dụng website 32 2.1.3.1 Download & Upload cài đặt Joomla! .35 2.1.3.2 Chọn ngôn ngữ cài đặt 35 2.1.3.3 Kiểm tra cấu hình hệ thống 36 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo 2.1.3.4 Thông tin quyền 37 2.1.3.5 Thiết lập thông số để kết nối tới Cơ sở liệu .38 2.1.3.6 Thiết lập thông số FTP 38 2.1.3.7 Thiết lập cấu hình site Joomla .39 2.1.4.1 Front-end .41 2.1.4.2 Back-end 42 2.1.5.1 Template 43 2.1.5.2 Global Configuration 45 2.1.5.3 User Manager 48 2.1.5.4 Media Manager 49 2.1.5.6 Các thành phần mở rộng (Extension) 50 2.1.6 Thêm Section 55 2.1.6.2 Thêm Category .56 2.1.6.3 Thêm viết (Content Item) .58 2.2 VỉruteMart 59 2.2.2.1 Cấu hình Virtuemart 60 2.2.2.2 Quản lý User 64 2.2.2.3 Quản lý thông tin cửa hàng 65 2.2.2.4 Quản lý danh sách danh mục sản phẩm 67 2.2.2.5 Quản lý danh sách sản phẩm .68 2.2.2.6 Quản lý danh sách hóa đơn bán hàng 71 2.2.2.7 Quản lý đại lý 72 2.2.2.8 Xem báo cáo 72 2.2.2.9 Quản lý thuế 73 2.2.2.10 Quản lý nhà sản xuất 74 2.3.Website bán hàng trực tuyến .75 2.4.Một số lỗi website Joomla thường gặp .81 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo CHƯƠNG III 88 MỘT SỐ GIẢI PHÁP AN TOÀN CHO WEBSITE .88 3.1.Các lỗ hổng bảo mật Joomla! Và giải pháp khắc phục .88 91 3.2 Các giải pháp phòng thủ mềm cho website Joomla 96 3.2.1 Bảo mật cho file "configuration.php" khỏi truy nhập trái phép 96 3.2.2.1 Bảo mật trang quản trị cookie 97 3.2.2.2 Bảo mật trang quản trị mật 98 3.3 Các giải pháp công nghệ để bảo vệ ứng dụng web 102 3.4 Demo tận dụng lỗ hổng bảo mật Joomla 111 KẾT LUẬN 117 TÀI LIỆU THAM KHẢO 119 Tiếng Việt 119 Tiếng Anh 119 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo DANH MỤC HÌNH ẢNH 16 Hình 1- Kiến trúc lớp web application 16 Hình 1- Kiến trúc n lớp web application 17 Hình 1- Sử dụng Proxy để thay đổi tham số 19 Hình 1- Quản lý kiểm soát truy cập tài nguyên trung tâm 21 Hình 1- Tấn công XSS .23 Hình 1- Lỗi tràn đệm .24 Hình 1- Lỗi SQL injection 26 Hình 1- Báo lỗi thiếu an toàn .27 Hình 1-9 Lưu trữ thiếu an toàn 28 Hình 1-10 Tấn công từ chối dịch vụ 30 Hình 2-1 Cấu trúc website Joomla .33 Hình 2-2 Sự phát triển Joomla 34 Hình 2-3 Cài đặt Joomla – chọn ngôn ngữ 36 Hình 2-4 Kiểm tra cấu hình hệ thống 37 Hình 2-5 Thông tin quyền 37 Hình 2-6 Chọn sở liệu 38 Hình 2-7 Thiết lập thông số FTP 39 Hình 2-9 Hoàn thành trình cài đặt 41 Hình 2-10 Font-end .42 Hình 2-11 Back-end 43 Hình 2-12 Cài đặt phần mở rộng 44 Hình 2-13 Cài đặt phần mở rộng 44 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Hình 2-14 Cài đặt cấu hình Template 45 Hình 2-15 Configuration .45 Hình 2-17 Global Configuration System .47 Hình 2-18 User Manager .48 Hình 2-19 Media Manager .49 Hình 2-21 Các vị trí Module template 52 Hình 2-22 Cài đặt Extension 54 Hình 2-23 Cách tổ chức nội dung Joomla 55 Hình 2-24 Virtuemart 59 Hình 2-26 Giao diện Virtuemart simple layor .60 Hình 2-27 Giao diện Virtuemart mở rộng .60 Hình 2-28 Configuration .61 Hình 2-29 Quản lý user 65 Hình 2-30 Quản lý thông tin chi tiết cửa hàng 65 Hình 2-31 Quản lý sản phẩm 67 Hình 2-32 Danh sách sản phẩm .68 Hình 2-32 Thêm sản phẩm .68 Hình 2-33 Nội dung sản phẩm 69 Hình 2-34 Hiển thị sản phẩm 70 Hình 2-35 Trạng thái sản phẩm .70 Hình 2-36 thông số sản phẩm 70 Hình 2-37 Hình ảnh sản phẩm .71 Hình 2-38 Quản lý danh sách đơn đặt hàng 71 Hình 2-39 Quản lý đại lý .72 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Hình 2-40 Xem báo cáo 72 Hình 2-41 Thêm thuế suất .73 Hình 2-42 Quản lý nhà sản xuất 74 Hình 2-43 Menu 75 Hình 2-44 Giao diện đa ngôn ngữ 75 Hình 2-45 Giỏ hàng .76 Hình 2-46 Chức tìm kiếm .76 Hình 2-47 Danh mục sản phẩm .77 Hình 2- 48 Thống kê truy cập .78 HÌnh 2-49 Module thăm dò ý kiến 78 Hình 2-51 Giao diện website tiếng Việt .79 Hình 2-52 Giao diện website tiếng Anh .80 Hình 3-1 : Tiền tố mặc định ‘jos_’ cài đặt sở liệu 89 Hình 3-2 : tiền tố ‘jos_’ bảng sở liệu 90 Hình 3-3 Export sở liệu .91 Hình 3-4 Save file sở liệu 91 Hình 3-5 Replace toàn tiền tố ‘jos_’ 91 Hình 3-6 : Tạo sở liệu ‘tientomoi’ .92 Hình 3-7 : Import sở liệu .92 Hình 3-8 : Cơ sở liệu 93 Hình 3-9 : config sở liệu 94 Hình 3-10 Giải pháp bảo vệ cho doanh nghiệp vừa nhỏ 103 Hình 3-11 Giải pháp bảo vệ cho doanh nghiệp lớn .104 Hình 3- 12 : Giải pháp bảo vệ cho Web Security Portal .106 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Hình 3-13 Giải pháp bảo vệ cho ứng dụng web - hosting 109 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo LỜI MỞ ĐẦU Ngày thương mại điện tử phát triển nhanh chóng mạnh mẽ, trở thành xu thay hình thức kinh doanh truyền thống Rất nhiều doanh nghiệp sử dụng ứng dụng web để cung cấp dịch vụ thương mại trực tuyến, kết nối khách hàng, đối tác nhân viên cách hiệu Bên cạnh nguy đe dọa tới an toàn hệ thống liệu Đa số ứng dụng web bị lỗi mà phương cách phòng chống mạng thông thường không bảo vệ Lỗi lỗ hổng mã nguồn ứng dụng web gây hậu nghiêm trọng lộ liệu nhạy cảm, gây tổn thương đến toàn hệ thống hạ tầng công nghệ thông tin Sự cố bảo mật ứng dụng web ảnh hưởng đến danh tiếng công ty, mát mặt tài chính, ảnh hưởng đến uy tín với khách hàng vấn đề liên quan đến ràng buộc pháp lý Khi tổ chức triển khai trực tuyến ứng dụng web, điều đồng nghĩa với việc cho phép có kết nối Internet truy cập vào ứng dụng qua giao thức HTTP Những công nằm truy cập HTTP có khả vượt qua tường lửa, hệ thống lọc tầng mạng, lớp bảo vệ hệ thống, hệ thống phát xâm nhập Những thiết bị phát công mã công nằm gói giao thức HTTP hợp lệ Ngay trang Web có mức độ bảo mật cao sử dụng SSL cho phép tất liệu qua mà không kiểm tra tính hợp lệ liệu Điều có nghĩa bảo mật ứng dụng web yếu tố quan trọng nằm hệ thống phòng thủ ngọai vi, với tường lửa thiết bị bảo mật khác Vì việc thực nghiên cứu xây dựng website xây dựng giải pháp an toàn anh ninh cho web đề tài cấp thiết có ý nghĩa thực tiễn Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Đề tài thực với mục đích xây dựng website thương mại điện tử với đầy đủ chức cần thiết, bên cạnh phân tích điểm yếu an ninh ứng dụng web, đồng thời sử dụng công cụ dò quét, đánh giá điểm yếu an ninh Acunetix, để đánh giá an ninh toàn diện cho ứng dụng web nhằm phát điểm yếu đề xuất phương án khắc phục để giảm thiểu rủi ro bị công Nội dung đồ án gồm chương : Chương I : Tổng quan website, thành phần cấu trúc tạo nên website, phương pháp xây dựng website Các nguy an toàn website Chương II : Sử dụng kỹ lập trình, nghiên cứu sử dụng phần mềm Joomla, kết hợp với thành phần mở rộng Virtuemart để phân tích, nghiên cứu xây dựng website hoàn chỉnh, với chức website bán hàng trực tuyến Chương III : Bảo mật cho website Phân tích nguy cơ, lỗ hổng an ninh mạng để đưa biện pháp bảo mật Thử nghiệm khai thác số lỗi website để tiến hành công Cách khắc phục lỗ hổng bảo mật, giúp cho nhà quản trị, người thiết kế, sử dụng bảo trì có giải pháp tối ưu an toàn thiết kế website ứng dụng Em xin phép gửi lời cám ơn tới Thầy, Cô giáo Học viện Kỹ Thuật Mật Mã truyền đạt kiến thức quý báu cho em suốt trình học tập Đặc biệt, em xin bày tỏ lòng chân thành sâu sắc đến thầy TS Trần Đức Sự người tận tình hướng dẫn giúp đỡ em trình làm đồ án tốt nghiệp Xin cám ơn tất bạn bè động viên, giúp đỡ em trình học tập hoàn thành tốt đồ án tốt nghiệp Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo CHƯƠNG I TỔNG QUAN WEBSITE, CẤU TRÚC, CÁC PHƯƠNG PHÁP XÂY DỰNG, CÁC NGUY CƠ MẤT AN TOÀN 1.1.Kiến trúc, thành phần hoạt động website 1.1.1 Khái niệm Website tập hợp trang web (web pages) bao gồm văn bản, hình ảnh, video, flash v.v thường nằm tên miền (domain name) tên miền phụ (subdomain) Trang web lưu trữ ( web hosting) máy chủ web (web server) truy cập thông qua Internet Website đóng vai trò văn phòng hay cửa hàng mạng Internet – nơi giới thiệu thông tin doanh nghiệp, sản phẩm dịch vụ doanh nghiệp cung cấp… Có thể coi website mặt doanh nghiệp, nơi để đón tiếp giao dịch với khách hàng, đối tác Internet 1.1.2 Các thành phần website Chúng ta tìm hiểu thành phần website góc độ : góc độ kỹ thuật góc độ chức 1.1.2.1 Dưới góc độ kỹ thuật Web định nghĩa môi trường có khả thực thi chương trình cao, cho phép tạo tùy biến triển khai trực tiếp lượng lớn ứng dụng tới đa người dùng Hai thành phần quan trọng website trình duyệt Web linh hoạt ứng dụng Web - Web browser (trình duyệt web ) phần mềm ứng dụng cho phép người sử dụng xem tương tác với văn bản, hình ảnh, đoạn phim, 10 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo sách bảo mật thiết lập cho phần ứng dụng web với danh sách điều khiển truy cập web (Access Control Lists - ACL) thiết lập luật cho trang web (URL), tham số, thiết lập kiểm soát liệu trường form nhập liệu cho phép mã hoá trường có thông tin quan trọng trường nhập thông tin tài khoản, thông tin thẻ tín dụng,… Cũng giống tường lửa lớp mạng thiết kế để chống lại công từ chối dịch vụ tầng mạng để bảo vệ tài nguyên mạng NetContinuum đưa giải pháp (Application level Denial of Service – AppDoS) để chống lại công từ chối dịch vụ tầng ứng dụng để bảo vệ tài nguyên tầng ứng dụng web - Thành phần Website Cloaking: làm giảm nguy công cách che giấu toàn tài nguyên ứng dụng web đằng sau Sau che giấu trang web, hệ thống tự động kiểm tra để đảm bảo ứng dụng hoạt động theo ý đồ người phát triển ứng dụng web (Thông tin chi tiết tham khảo website: http://www.netcontinuum.com)  Mức 3: thiết lập thêm mức bảo vệ thứ ba với thiết bị an ninh tích hợp (Check Point UTM-1) để phân tách mạng thành nhiều vùng mạng (zone) với mức độ bảo mật khác truy cập đến hệ thống máy chủ sở liệu máy chủ ứng dụng web, sách thiết bị an ninh tích hợp siết chặt so với thiết bị Mức Đồng thời Mức sử dụng thiết bị ngăn chặn xâm nhập (IPS) chuyên dụng để loại bỏ công vào ứng dụng trường hợp chúng vượt qua lớp bảo vệ thứ thứ hai công có nguồn gốc mạng 105 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo 3.3.3 Giải pháp bảo vệ ứng dụng web cho Intranet/Extranet (Web Security Portal) Hình 3- 12 : Giải pháp bảo vệ cho Web Security Portal Ngày nay, với phát triển mạnh kết nối Internet băng thông rộng máy tính/thiết bị cá nhân, tính chất công việc, tổ chức/doanh nghiệp cho phép nhân viên làm việc đâu như: nhà, khách sạn, quán cafe internet, đường công tác,…và làm việc thời gian nơi có kết nối Internet Việc mở rộng phương thức làm việc giúp cho hiệu làm việc nhân viên tăng, chi phí giảm giúp kéo dài thời gian hoạt động doanh nghiệp, tổ chức doanh nghiệp lại phải đối đầu với nguy thất thoát thông tin an toàn với hệ thống Để giảm nhẹ rủi ro mát thông tin an toàn hệ thống tổ chức/doanh nghiệp xây dựng “cổng truy cập” an toàn đến tài nguyên thông tin Các giải pháp đó: 106 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo  Thiết bị an ninh tích hợp (UTM): với tính tường lửa, mạng riêng ảo, phát ngăn chăn xâm nhập, quét virus, lọc web,… cổng kết nối nhằm bảo vệ hệ thống trước công từ internet  Cổng truy cập web an toàn – web security portal (sử dụng giải pháp Check Point Connectra): cho phép tạo không gian làm việc cho nhân viên bên mạng đối tác truy cập đến tài nguyên bên như: truy cập web, sử dụng thư điện tử, chia sẻ file hay chạy ứng dụng ClientServer qua kênh mã hoá SSL Thành phần chống công tầng ứng dụng (Application Intelligence) tường lửa cho ứng dụng web (Web Intelligence) giúp loại bỏ công từ bên công ẩn qua kênh mã hoá SSL VPN vào hệ thống Thành phần Integrity Clientless kiểm tra loại bỏ sâu, chương trình độc hại (worm, spyware, malware, …) Thành phần Integrity Secure Workspace kiểm tra tồn phần mềm tường lửa nhân, trình quét virus,… máy truy cập từ xa theo sách, trước cho phép kết nối đến tài nguyên hệ thống  Xác thực mạnh: xác thực mạnh yếu tố kết hợp với cổng truy cập Connectra, người dùng truy cập đến tài nguyên hệ thống, sử dụng phương thức xác thực One-Time-Password token, Grid token,… Thông thường, giải pháp xác thực truyền thống đòi hỏi hàng trăm đô-la đầu tư cho người dùng, tốn việc đầu tư điều khiến cho dự án cổng thông tin gặp khó khăn Với giải pháp xác thực mạnh IdentityGuard Entrust giúp tổ chức/doanh nghiệp giải toán với chi phí tối ưu Mỗi nhân viên/đối tác cấp thẻ xác thực in ma trận bảng hình bên, lần đăng nhập vào hệ thống, thay (hoặc thêm vào) việc hỏi mật khẩu, cổng truy cập thông tin hỏi vài giá trị số ô ngẫu 107 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo nhiên thẻ Ví dụ: A3=? B5=? C2=? Nếu giả sử lần đăng nhập bị lộ, kẻ xấu lợi dụng lần sau Tất nhiên bảng giá trị thường xuyên thay đổi cấp lại cho nhân viên  Thiết bị an ninh tích hợp thiết bị IPS chuyên dụng: bổ sung bên mạng giúp tăng độ an toàn hệ thống, phân chia mạng thành vùng khác có sách riêng cho vùng mạng, để ngăn chặn công có nguồn gốc từ bên mạng loại bỏ công vượt qua lớp bảo vệ thứ tới vùng máy chủ quan trọng 108 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo 3.3.4 Giải pháp bảo vệ cho ứng dụng web-hosting Hình 3-13 Giải pháp bảo vệ cho ứng dụng web - hosting Việc bảo vệ hệ thống web đặt nhà cung cấp Internet (web-hosting) thường phải đối đầu với khó khăn như: chi phí thường lớn cho việc bảo vệ riêng hệ thống web, nhà cung cấp thường không muốn cho khách hàng đặt thêm thiết bị bảo vệ họ phải đầu tư thêm không gian, tủ, nguồn cấp cho thiết bị này,… Vấn đề trở lên đơn giản nhiều khách hàng sử dụng chung hệ thống bảo vệ giải pháp sử dụng thành phần sau:  Thiết bị an ninh tích hợp (UTM): với tính tường lửa ngăn chặn xâm nhập loại bỏ công lớp mạng công khai thác điểm yếu ứng dụng điểm yếu hệ điều hành  Tường lửa chuyên biệt cho ứng dụng web (NetContinuum): tạo “tường lửa ảo” cho khách hàng, khách hàng có quyền quản trị “tường lửa ảo” riêng Trên “tường lửa 109 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo ảo” khách hàng có quyền thiết lập sách bảo vệ riêng như: - Chuẩn hoá bảng mã ký tự (Normalize the Session) sử dụng web, tránh việc hacker lợi dụng điểm yếu liên quan đến bảng mã ví dụ lỗi tràn đệm liên quan đến bảng mã unicode Dịch địa URL(Translate URL addresses) từ tên DNS thành tên DNS (Chuyển dịch địa Web - Web Address Translation) cho giao dịch web, tạo địa khác cho người dùng truy cập đến thay truy cập thẳng vào địa thật nhằm che giấu cấu trúc website - Tuỳ thuộc vào sách định mà sửa lại cấu trúc đầu (Rewrite HTTP Header) HTTP nhằm loại bỏ thông tin không phù hợp sách thông tin hệ thống giúp khai thác điểm yếu hệ thống - Kiểm tra URL theo danh sách điều khiển truy cập (Check URL ACLs) cho phép giới hạn truy cập vào phần website - Kiểm tra tham số qua ACL (Check Parameter ACLs) cho phép loại bỏ thông tin công Hacker lợi dụng trang web cho phép đưa vào thông tin tên, địa chỉ,…việc kiểm tra loại bỏ đoạn mã virus, lệnh hệ điều hành, đoạn mã nguy hiểm,…trong ô thông tin - Kiểm tra thông tin mẫu nhập thông tin (Check Forms Tampering) ô nhập văn bản, ô lựa chọn (radio button) nhằm đảm bảo người dùng nhập thông tin yêu cầu loại bỏ mã công đưa vào máy chủ web qua đường - Kiểm tra loại bỏ công tràn vùng đệm (Check Field Buffer Overflow) 110 Đồ án tốt nghiệp mật - Nghiên cứu xây dựng website số biện pháp bảo Kiểm tra loại bỏ đoạn mã công SQL injection, Cross-Site Scripting,… (Check SQL/Script Injection) - Che giấu thông tin nhạy cảm người dùng thông tin thẻ tín dụng thông tin nhạy cảm khác (Mask Credit Card numbers, and other sensitive data) Mã hoá ký cho thông tin Cookie (Encrypt or Sign Cookies) Hầu hết máy chủ web cung cấp thông tin phiên máy chủ web, phiên phần mềm,… code banner hacker dựa vào thông tin để tìm kiếm điểm yếu máy chủ web, điểm yếu phần mềm,…NetContinuum can thiệp loại bỏ thông tin (Cloak all identifying banners and error codes) Nhận yêu cầu từ giới hạn yêu cầu nhằm chống lại công DoS (Queue Requests at Application Limits) 3.4 Demo tận dụng lỗ hổng bảo mật Joomla 3.4.1 Cơ sở tận dụng lỗ hổng bảo mật Joomla! Password Reset Vulnerability 3.4.2Mục đích reset mật để lấy tài khoản quản trị cao Áp dụng phiên Joomla cũ ( 1.5.5 trở trước ) 3.4.3 Tiến hành Cài đặt website thử nghiệm ( sử dụng Joomla! 1.5.2 webserver Appserv phiên 2.5.10 – gồm Apache + PHP + MySQL ) Quá trình cài đặt sau : - Webserver cài theo đường dẫn D:\AppServ Có thư mục gốc D:\AppServ\www 111 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo - Download phiên joomla 1.5.2 địa http://joomlacode.org/gf/download/frsrelease/7061/24072/Joomla_1 5.2-Stable-Full_Package.zip - Giải nén vào thư mục D:\AppServ\www\hackpass Tiến hành bước cài đặt website sau : Vào trình duyệt web ( dùng firefox 4.0 ) gõ http://localhost/hackpass - Chọn ngôn ngữ cài đặt  next Kiểm tra cầu hình hệ thống  next Thông tin quyền  next Kết nối với sở liệu : - Cấu hình FPT 112 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo - Cấu hình chung cho website Ở pass admin đặt 123456 Quá trình cài đặt website hoàn tất Ta vào D:\AppServ\www\hackpass xóa bỏ thư mục installation Kiểm tra trình cài đặt : Vào http://localhost/hackpass/administrator Với user = admin, password = 123456 thấy đăng nhập thành công 113 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Bây h giả sử có người lướt web thông thường, cách sau để lấy tài khoản admin ( có quyền administrator - quyền quản trị tối cao hệ thống ) Như trên, trang web có địa http://localhost/hackpass Ta mở trình duyệt, gõ vào http://localhost/hackpass/index.php? option=com_user&view=reset&layout=confirm Sẽ ta trang web sau : 114 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Đây trang để điền email xác thực, người dùng quên mật Nhưng thay gõ email ( thực ta email đăng ký người quản trị ) ta gõ dấu ‘ vào text box Sẽ trang web để ta thay đổi mật Tại ta thử gõ mật 123456789, xác nhận lại 123456789 -> Submit 115 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Và password bị reset thành công Thử nghiệm với trang http://localhost/hackpass/administrator/index.php Tài khoản admin password 123456789 thấy thành công Như với vài thao tác đơn giản, thời gian ngắn, hacker chiếm quyền admin, có nghĩa toàn quyền với website 3.4.4 Cách khắc phục Đây lỗi nguy hiểm, hacker dễ dàng khai thác website sử dụng phiên cũ Do đó, webmaster cần luôn tỉnh táo, cập nhật thường xuyên vá joomla, tìm hiểu thông tin bảo mật để kịp thời ứng phó, lưu định kỳ sở liệu để tránh trường hợp rủi ro ( thường tháng lần ) Như vậy, chương III nêu lên vấn đề : lỗ hổng bảo mật, nguy an toàn website Từ phân tích, đánh giá, đưa giải pháp mềm phù hợp với loại nguy lỗ hổng Thử nghiệm dùng phầm mềm dò quét lỗ hổng để khai thác thành công lỗ hổng bảo mật website Từ đưa khuyến cáo, giải pháp cho lỗ hổng 116 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo KẾT LUẬN Sau tìm hiểu nghiên cứu Joomla phần mở rộng VirtueMart số thành phần mở rộng khác Joomla em xây dựng trang web bán hàng trực tuyến với chức quản lý mạnh mẽ dễ dàng sử dụng Qua đề tài em thực thời gian qua, em nắm bắt quy trình việc xây dựng, thiết kế hệ thống website hoạt động với mục đích thương mại điện tử với Joomla phần mở rộng VirtueMart Cơ thời gian qua em xây dựng website bán hàng trực tuyến với đầy đủ chức hệ thống website thương mại điện tử: - Xây dựng cấu hình hệ thống website Joomla, cài đặt cấu hình phần mở rộng VirtueMart - Tạo hệ thống sản phẩm quản lý theo chuyên mục Quản lý sản phẩm, thuộc tính sản phẩm - Quản lý hệ thống nhà sản xuất theo danh mục, quản lý khách hàng cấp độ khách hàng - Xây dựng website từ module Joomla VirtueMart để hoàn thiện chức website bán hàng Ngoài khả tự thiết kế, xây dựng website hoàn thiện, với học tập nghiên cứu Học viện kỹ thuật Mật mã, em phát huy tầm nhìn người làm an toàn, thực : - Nghiên cứu, tìm số lỗ hổng bảo mật website - Biết số hình thức công website - Có thêm kinh nghiệm nâng cấp, bảo trì quản lý website 117 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo - Có khả khai thác, sử dụng số phần mềm dò quét lỗ hổng an ninh web ( em sử dụng số phần mềm dò quét Acunetix với mục đích kiểm tra, kiểm thử độ an toàn nguy an toàn với website ) - Có khả đưa giải pháp an toàn an ninh cho website Ở mức độ nghiên cứu đồ án tập trung vào giải pháp mềm cho website joomla Tuy nhiên, với thời gian hạn chế chưa đủ điều kiện để phát triển tối đa nên trình thực đồ án có số mặt hạn chế : Điều kiện vật chất, kinh phí tầm nghiên cứu dừng lại mức độ giải pháp phần mềm Cho nên việc quản lý hệ thống để bảo đảm an ninh cho ứng dụng web chưa thể thực triệt để Trong tương lai em tiếp tục hoàn thiện thêm - Kỹ xây dựng website - Mở rộng khả toán trực tuyến với nhiều dịch vụ khác website VirtueMart Hoàn thiện chức tìm kiếm, phân loại sản phẩm để người dùng có nhìn trực quan mang lại nhiều tiện ích sử dụng - Đầu tư nghiên cứu thêm giải pháp phần cứng ( Firewall, IDS, IPS ) để quản lý hệ thống webserver, qua bảo vệ toàn diện cho website Em mong tiếp tục nhận động viên, đóng góp ý kiến nhận xét đánh giá thầy cố, gia đình bạn bè, để em tiếp tục hoàn thiện Em xin chân thành cảm ơn 118 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo TÀI LIỆU THAM KHẢO Tiếng Việt 1) Joomlaviet.org 2) Vinaora.com 3) http://www.misoft.com.vn Tiếng Anh 4) Joomla User Manual v1 1_10 21 06 5) eCommerce World Book 6) VirtueMart User Manual http://virtuemart.net/documentation/User_Manual/ 7) Joomla Extensions http://extensions.joomla.org 8) Joomla web security ( Tom Canavan) 9) Và số nguồn internet, blog… 119 - [...]... website, phân tích và tìm ra các lỗ hổng bảo mật, các hình thức tấn công web dựa trên những lỗi này 31 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo CHƯƠNG II KẾT HỢP JOOMLA VÀ VIRTUEMART ĐỂ XÂY DỰNG WEBSITE ỨNG DỤNG Tại chương một đã nói đến các thành phần kiến trúc và những ứng dụng của website Chương 2 đi sâu vào nghiên cứu xây dựng một website ứng dụng Bằng những kiến thức... quan trọng như khóa, certificates và mật khẩu • Lưu trữ các khóa bảo mật trong bộ nhớ bằng các cơ chế không an toàn • Cơ chế tạo số ngẫu nhiên không đảm bảo • Sử dụng sai thuật toán • Tạo một thuật toán mã hóa không đảm bảo 28 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Hậu quả của những điểm yếu này có thể rất nghiêm trọng đến an toàn của một trang web, cho phép hacker lấy... kèm vào các ký tự đặc biệt, đoạn lệnh, và những thông tin xấu này có thể được chuyển đến hệ thống và các chương trình ngoài 25 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Hình 1- 7 Lỗi SQL injection Một trong những dạng phổ biến nhất của lỗi injection là lỗi “sql injection” Lỗi này xảy ra khi ứng dụng sử dụng những dữ liệu đầu vào không được kiểm tra làm tham số để xây dựng. .. các nội dung và hàm chức năng của một web site cung cấp 20 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Hình 1- 4 Quản lý kiểm soát truy cập tài nguyên trung tâm Những nhà lập trình viên thường không đánh giá được mức độ khó khăn trong việc xây dựng một cơ chế quản lý kiểm soát truy cập dữ liệu Đa số những chức năng này không đựơc thiết kế từ lúc đầu mà được xây dựng kèm theo... hàng gửi đến cho một khách hàng Trong email, hacker soạn một nội dung yêu cầu khách hàng bấm vào một link trông giống như một link truy cập vào ngân hàng thật http://www.bank-that.com/dichvu.asp?url=http://www.bank-gia.com 23 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Khách hàng nhận được email, tưởng là email từ phía ngân hàng thật, nên bấm vào link Khi bấm vào link, thay... nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo nhạc, trò chơi và các thông tin khác ở trên một trang web của một địa chỉ web trên mạng toàn cầu hoặc mạng nội bộ Văn bản và hình ảnh trên một trang web có thể chứa siêu liên kết tới các trang web khác của cùng một địa chỉ web hoặc địa chỉ web khác Trình duyệt web cho phép người sử dụng truy cập các thông tin trên các trang web một cách... D:\AppServ\www Ta có thể Upload bằng một số cách: Bằng Copy trực tiếp (nếu cài trên máy của ta) Bằng công cụ quản trị mà HOSTING cung cấp Bằng công cụ FTP: WS_FTP, Total Commander, Net2FTP, FileZilla, CuteFTP 2.1.3.2 Chọn ngôn ngữ cài đặt - Mở trình duyệt và gõ vào địa chỉ Website của ta 35 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Nếuta giải nén bộ cài đặt vào thư mục gốc thì gõ:... site scripting • Lỗi tràn bộ đệm 18 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo • Tấn công Format string • SQL injection • Cookie poisoning • Sửa đổi field ẩn Một số Web site bảo vệ chống lại loại tấn công này bằng cách thiết lập bộ lọc dữ liệu đầu vào Vấn đề nan giải là có rất nhiều cách để mã hóa (encode) dữ liệu, và những phương cách mã hóa này không giống như các cách... trong việc ngăn cản những cuộc tấn công dạng sửa đổi tham số đầu vào Khi các cơ chế bảo vệ ở server đã được thiết lập, cơ chế bảo vệ phía trình duyệt có thể được sử dụng nhằm giảm bớt dung lượng các dữ liệu không hợp lệ đến máy chủ Hình 1- 3 Sử dụng Proxy để thay đổi tham số 19 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Hình 3 mô tả phương cách phổ biến của hacker hiện nay... tốt nghiệp mật Nghiên cứu xây dựng website và một số biện pháp bảo Drupal đang được thừa nhận là công cụ phù hợp với giải pháp website lớn - Một CMS nổi tiếng khác là WordPress đang phát triển mạnh mẽ Được ứng dụng nhiều với vai trò blog, tạp chí Ví dụ như : People.com – tạp chí people nổi tiếng Mashable.com – tạp chí về thiết kế và tin công nghệ 1.1.3.2 Webmail Thuật ngữ Email trên nền web và Webmail ... nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo Hình 3-13 Giải pháp bảo vệ cho ứng dụng web - hosting 109 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo LỜI MỞ ĐẦU... bảo mật khác Vì việc thực nghiên cứu xây dựng website xây dựng giải pháp an toàn anh ninh cho web đề tài cấp thiết có ý nghĩa thực tiễn Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp. .. toàn website, phân tích tìm lỗ hổng bảo mật, hình thức công web dựa lỗi 31 Đồ án tốt nghiệp mật Nghiên cứu xây dựng website số biện pháp bảo CHƯƠNG II KẾT HỢP JOOMLA VÀ VIRTUEMART ĐỂ XÂY DỰNG WEBSITE

Ngày đăng: 09/04/2016, 09:47

Xem thêm: Nghiên cứu xây dựng website và một số biện pháp bảo mật

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w