1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tiểu luận môn an toàn thông tin đề tài Tấn công XSS và SQL Injection

22 902 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 22
Dung lượng 255,46 KB

Nội dung

Khái niệm XSS XSS Cross-site script là một kỹ thuật tấn công bằng cách chèn vào các trang web động PHP, ASP, JSP… những thẻ HTML hoặc những đoạn script những đoạn mã lệnh thực thi trực

Trang 2

Tấn công XSS

Trang 3

XSS – C ross S ite S cript

Trang 4

Khái niệm XSS

 XSS (Cross-site script) là một kỹ thuật tấn công bằng cách chèn vào các trang web

động (PHP, ASP, JSP…) những thẻ HTML hoặc những đoạn script (những đoạn mã

lệnh thực thi trực tiếp trên trình duyệt) nhằm mục đích thiết lập hoặc đánh cắp những

thông tin quan trọng trên máy người dùng

Trang 5

Phân loại

 Stored XSS

dùng bị tấn công khi truy cập những nội dung này.

 Reflected XSS

các thẻ HTML chứa mã độc để người dùng kết nối với server thông qua chúng.

Trang 6

Nhắc lại cơ chế dynamic web page

Trang 8

Stored XSS

Trang 11

Reflected XSS

Trang 14

Các thao tác tấn công XSS

 Thao tác 2 : Tấn công XSS

tấn công XSS khác nhau.

Trang 15

Cách phòng chống XSS

 Đối với web developer

– Lọc dữ liệu : Xác định tính hợp lý của dữ liệu, loại

bỏ các ký tự đặc biệt.

đầu ra để tránh những đoạn mã nguy hiểm.

 Ảnh hưởng hiệu năng hệ thống, cần chú ý đến

những dữ liệu đã được mã hóa trước.

Trang 16

Cách phòng chống XSS

 Đối với người dùng

script trong thẻ HTML

 Hiểu rõ về XSS ta sẽ biết được phương pháp phòng chống XSS

Trang 17

Tấn công SQL Injection

Trang 18

Khái niệm

 Sql Injection (SQLi) là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ

sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp

Trang 19

Hướng khai thác

 Thông qua User input

 Thông qua Cookies

 Thông qua các biến Server

 Second-order injection

Trang 20

Các kỹ thuật khai thác

 Union query based

 Batched query

 Order by clause

Trang 21

Các bước khai thác thông tin

 Phát hiện lỗi Sql Injection

 Thu thập thông tin về hệ quản trị CSDL

 Xác định số lượng cột trong mệnh đề Select

 Xác định thông tin

Trang 22

Cách phòng chống

 Ngay từ khái niệm, chúng ta đã có thể biết

được cách phòng chống hiệu quả Sql

Injection chính là việc kiểm tra kỹ càng tham

số đầu vào Những tham số mà từ đó người lập trình website sử dụng để build lên câu

truy vấn tới cơ sở dữ liệu

 Công việc kiểm tra tham số đầu vào (áp

dụng phòng tránh lỗi Sql Injection) nên được

tiến hành theo nhiều tầng

Ngày đăng: 09/04/2016, 20:19

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w