Header Page of 128 LỜI CẢM ƠN Lời em xin chân thành cảm ơn hướng dẫn tận tình thầy Trần Tuấn Vinh, khoa Cơng nghệ Thông tin, trường Đại học Sư phạm Hà Nội Trong suốt thời gian thực khóa luận, bận rộn công việc thầy giành nhiều thời gian tâm huyết việc hướng dẫn em Thầy cung cấp cho em nhiều hiểu biết lĩnh vực em bắt đầu bước vào thực khóa luận Em xin chân thành cảm ơn thầy, cô giáo khoa Công nghệ Thông tin, thầy cô trường giảng dạy giúp đỡ em năm học vừa qua Chính thầy xây dựng cho chúng em kiến thức tảng kiến thức chun mơn để em hồn thành khóa luận tốt nghiệp chuẩn bị cho công việc sau Em gửi lời cảm ơn đến tất bạn bè, người bên em, động viên khuyến khích em q trình thực khóa luận tốt nghiệp Và cuối cùng, em xin bày tỏ lòng biết ơn sâu sắc đến gia đình nuôi nấng chỗ dựa vững cho em Hà Nội, ngày 05 tháng 05 năm 2013 Sinh viên thực Nguyễn Thị Thanh Vân luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 LỜI CAM ĐOAN Tôi xin cam đoan kết đạt khóa luận kết tìm hiểu thân Trong tồn nội dung khóa luận, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin chịu trách nhiệm khóa luận mình! Hà Nội, tháng 05 năm 2013 Sinh viên Nguyễn Thị Thanh Vân luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN CÁC KÝ HIỆU VIẾT TẮT MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE 10 1.1 Tổng quan 10 1.2 Các dịch vụ ứng dụng web 12 CHƯƠNG 2: KHẢO SÁT HIỆN TRẠNG 13 2.1 Tình hình an ninh mạng giới 13 2.2 Tình hình bảo mật Việt Nam 15 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 18 3.1 Giới thiệu chung phương pháp công website 18 3.2 Broken Authentication and Session Management 20 3.2.1 Giới thiệu 20 3.2.2 Hoạt động 21 3.2.3 Cách phát lỗi 22 3.2.4 Phòng chống 22 3.3 Insecure Direct Object References 22 3.3.1 Giới thiệu 22 3.3.2 Hoạt động 23 3.3.3 Cách phát lỗi 24 3.3.4 Phòng chống 24 3.4 Cross Site Request Forgery 25 3.5 Security Misconfiguration 25 3.6 Insecure Cryptographic Storage 25 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 3.7 Failure to Restrict URL Access 26 3.8 Insufficient Transport Layer Protection 27 3.8.1 Giới thiệu 27 3.8.2 Hoạt động 27 3.8.3 Phòng chống 28 3.9 Unvalidated Redirects and Forwards 28 3.9.1 Giới thiệu 28 3.9.2 Hoạt động 29 3.9.3 Phòng chống 30 3.10 Local Attack 30 3.10.1 Tìm hiểu Local Attack 30 3.10.2 Các bước thực Local Attack 31 3.10.4 Các kỹ thuật Local Attack 32 3.10.5 Cách phòng chống 35 3.10.6 Các công cụ hỗ trợ 36 3.11 Tấn công từ chối dịch vụ (Denial of Sever) 37 3.11.1 DOS 37 3.11.2 DDOS (Distributed Denial of Service) 43 3.12 SQL Injection 47 3.12.1 Định nghĩa 47 3.12.2 Các dạng công SQL Injection 47 3.12.3 Tránh kiểm soát 52 3.12.4 Các phòng tránh SQL Injeciton 52 3.13 Cross Site Scripting (XSS) 53 3.13.1 Tấn công XSS 53 3.13.2 Hoạt động XSS 53 3.13.3 Cách công 53 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 3.13.4 Phân loại 54 3.14 Phishing 58 3.14.1 Giới thiệu Phishing 58 3.14.2 Những yếu tố để công Phishing thành công 58 3.14.3 Những phương thức hoạt động Phishing 59 3.14.4 Quá trình hoạt động 61 3.14.5 Các kiểu lừa đảo 62 3.14.6 Phòng chống 63 3.15 AutoComplete 64 3.16 Xây dựng chương trình ứng dụng 66 3.16.1 Đặc tả, yêu cầu 66 3.16.2 Chức hệ thống 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 69 TÀI LIỆU THAM KHẢO 71 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 CÁC KÝ HIỆU VIẾT TẮT Ký hiệu ACK CPU DDOS DOS DNS IMCP Viết đầy đủ Acknowledgement Center Processing Unit Distributed Denial Of Server Denial Of Server Domain Name System Internet Control Message Protocol ID IP HTTP Identification Internet Protocol HyperText Transfer Protocol HTML PHP Hypertext Markup Language Hypertext Preprocessor SMTP Simple Mail Transfer Protocol SQL Structured Query Language SSL Secure Socket Layer SSN SYN TCP TLS UDP Social Security Number The Synchronous Idle Character Transmission Control Protoco Transport Layer Security User Datagram Protocol URL XSS Uniform Resource Locator Cross Site Scripting Ý nghĩa Gói tin báo nhận Bộ xử lý trung tâm Từ chối dịch vụ Từ chối dịch vụ Hệ thống tên miền Giao thức xử lý thông báo trạng thái cho IP Nhận dạng cá nhân Giao thức internet Giao thức truyền tải siêu văn Ngôn ngữ liên kết siêu văn Ngôn ngữ tiền xử lý siêu văn Giao thức truyền tải thư tín đơn giản Ngơn ngữ truy vấn mang tính cấu trúc Giao thức an ninh giao thông mạng Số an sinh xã hội Ký tự đồng hóa Giao thức điều khiển Giao thức bảo mật Các gói tin biết điểm xuất phát đích Tài ngun internet Tấn cơng website luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 MỞ ĐẦU Lý chọn đề tài Trong thời đại ngày internet trở nên quen thuộc công cụ hữu ích để đất nước giới thiệu hình ảnh hay đơn giản trang web cá nhân giới thiệu Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Khi mà phát triển mạng internet ngày phát triển đa dạng phong phú cơng website phát triển phức tạp Điều đặt vấn đề cấp thiết làm để đảm bảo an tồn thơng tin cho ứng dụng web, thơng tin người sử dụng Xuất phát từ thực tế đó, khóa luận em tìm hiểu cách cơng Website cách phòng chống loại cơng Thơng qua việc tìm hiểu, em mong muốn góp phần nhỏ vào việc nghiên cứu tìm hiểu vấn đề an ninh mạng giúp cho việc học tập nghiên cứu Mục đích nhiệm vụ nghiên cứu - Tìm hiểu vấn đề liên quan đến hoạt động ứng dụng web - Tìm hiểu kỹ thuật cơng website như: Cross Site Scripting, SQL Injection, Broken Authentication and Session Management, Insecure Direct Object References, Insecure Cryptographic Storage, Failfure to Restrict URL Access, Insufficient Transport Layer Protection, Unvalidates Redirects and Forwards, Phishing, Local Attack, Autocomplete, DOS - Xây dựng website tìm kiếm phát kỹ thuật công website Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete enabled on sentisive input fields, Direct Object References, Unvalidated Redirects luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 - Kết thực hiện: nắm rõ chất cách thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Đối tượng phạm vi nghiên cứu - Cơ sở lý thuyết liên quan hoạt động website - Các kỹ thuật công website - Các giải pháp phòng ngừa mức quản trị người lập trình ứng dụng - Ngơn ngữ PHP, My SQL Ý nghĩa khoa học thực tiễn đề tài - Về mặt lý thuyết, đề tài thể rõ phương pháp công mà kẻ công thường sử dụng để công website từ trước đến sử dụng tiếp thời gian dài tương lai - Về mặt thực tiễn, với kĩ thuật cơng tìm hiểu, nghiên cứu báo cáo này, áp dụng tốt biện pháp phòng ngừa khóa luận nêu góp phần nâng cao khả bảo vệ website trước nguy công kẻ xấu Phương pháp nghiên cứu - Tổng hợp tìm hiểu nghiên cứu từ tư liệu liên quan - Phân tích, đánh giá kỹ thuật cơng Đưa giải pháp phòng chống mức - Thiết kế bảng sở liệu, xây dựng Web demo để tìm kiếm phát lỗi bảo mật, từ ngăn ngừa kẻ cơng lợi dụng lỗi bảo mật để công website Cấu trúc khóa luận luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page of 128 Khóa luận tốt nghiệp chia làm chương: Chương 1: Tổng quan website Chương 2: Khảo sát trạng Chương 3: Các phương pháp công website cách phòng chống luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page of 128 Header Page 10 of 128 CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE 1.1 Tổng quan World Wide Web tạo vào năm 1990 CERN kỹ sư Tim Berners - Lee Ngày 30 tháng năm 1993, CERN thông báo World Wide Web miễn phí để sử dụng cho Website tập hợp trang web (web pages) bao gồm văn bản, hình ảnh, video, flash,… thường nằm tên miền (domain name) tên miền phụ (subdomain) Website lưu trữ (web hosting) webserver truy cập thơng tin Website đóng vai trò văn phòng hay cửa hàng mạng internet – nơi giới thiệu thông tin doanh nghiệp, sản phẩm dịch vụ doanh nghiệp cung cấp… Có thể coi website mặt doanh nghiệp, nơi để đón tiếp giao dịch với khách hàng, đối tác internet Website động (Dynamic website) website có sở liệu, cung cấp công cụ quản lý website (admin tool) Đặc điểm website động tính linh hoạt cập nhật thông tin thường xuyên, quản lý thành phần website dễ dàng Loại website thường viết ngơn ngữ lập trình PHP, ASP.NET, JSP, Perl,…, quản trị sở liệu SQL MYSQL… Website tĩnh lập trình ngơn ngữ HTML theo trang, khơng có sở liệu khơng có cơng cụ quản lý thơng tin website Thông thường website tĩnh thiết kế phần mềm FrontPage, Dreamwaver… 10 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 10 of 128 Header Page 57 of 128 XSS gây thiệt hại từ mức độ nhỏ đến lớn việc chiếm tài khoản người sử dụng Một cơng XSS lấy session cookie, gây tài khoản sử dụng Hoặc ảnh hưởng tới liệu người dùng đầu cuối cách cài đặt Trojan redirect trang web người truy cập sang trang web khác, thay đổi nội dung trang 3.13.5 Phòng chống - Đối với người thiết kế web:  Xóa bỏ thẻ hay tắt chức script  Tạo danh sách thẻ HTML phép sử dụng  Cho phép nhập kí tự đặc biệt mã hóa theo chuẩn riêng  Đảm bảo trang phát sinh động không chứa thẻ script cách lọc xác nhận hợp lý liệu đầu vào từ phía người dùng mã hóa lọc giá trị xuất cho người dùng - Đối với người dùng :  Cần ý thức nguy hiểm từ đường link không rõ nguồn gốc từ người lạ gửi đến  Việc giả mạo email kẻ cơng dễ dàng, email chuyển vào hòm thư spam khơng nên mở xem  Cần cài đặt chương trình diệt virus cập nhật phiên thường xuyên đển tốt  Chỉ chấp nhận liệu hợp lệ, từ chối nhận liệu hỏng, liên tục kiểm tra lọc liệu 57 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 57 of 128 Header Page 58 of 128 3.14 Phishing 3.14.1 Giới thiệu Phishing Lần đầu biết đến vào năm 1996, kẻ cơng sử dụng để đánh cắp tài khoản khách hàng công ty American Online Cũng vào năm 1996, kỹ thuật Phishing thảo luận thường xuyên nhóm tin (New Group) nhóm Hacker 2600 Theo thời gian công Phishing không nhằm vào tài khoản internet công ty AOL mà mở rộng đến nhiều mục tiêu khác, đặc biệt ngân hàng trực tuyến, dịch vụ thương mại điên tử, toán mạng… hầu hết ngân hàng lớn Mỹ, Anh, Úc bị cơng Phishing Phishing hình thức gian lận để có thơng tin nhạy cảm tên đăng nhập, mật khẩu, credit card… cách giả mạo thực thể đáng tin cậy giao tiếp mạng Quá trình giao tiếp thường diễn trang mạng xã hội tiếng, trang web đấu giá, mua bán online,… mà đa số người dùng khơng cảnh giác với Phishing sử dụng email tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cho trang web, trông hợp lý website giả mạo kẻ công lập nên 3.14.2 Những yếu tố để công Phishing thành công Sự thiếu hiểu biết: Sự thiếu hiểu biết hệ thống mạng máy tính giúp cho kẻ công khai thác thông tin nhạy cảm Bạn cần biết rõ q trình hoạt động internet hiểu cách thức truy cập website an tồn Điển hình việc bấm nút Save Password bạn truy cập trang web điểm công cộng làm tăng nguy bị xâm phạm tài khoản cá nhân Đặc biệt người thường xun mua bán, tốn qua mạng cần phải hiểu rõ việc cung cấp credit card quan trọng biết 58 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 58 of 128 Header Page 59 of 128 nên cung cấp, khơng Bạn nên tìm hiểu sơ giao thức mạng phân biệt giao thức mạng an tồn Điển hình bạn đừng giao dịch trực tuyến với giao thức mạng http, mà phải sử dụng giao thức https Đánh lừa áo giác: Nghệ thuật đánh lừa ảo giác khiến nạn nhân không thật đâu giả Kỹ thuật lừa ảo giác tạo trang web, thứ,… thứ mà ngày bạn truy cập, giống đến mức mà người ta khơng thể phát giả mạo Nên cẩn thận với trang web mà thường truy cập, đặc biệt email ngân hàng, người thân mà lại u cầu cung cấp thơng tin Bởi trang chứa nguy giả mạo cao Nên tự gõ địa trang web vào trình duyệt, thay kích chuột vào đường link từ trang web khách Khơng ý đến tiêu chí an tồn: cảnh báo window mức độ an toàn việc truy cập thông tin, điều mà người thường hay bỏ qua nguy khiến bạn trở thành nạn nhân 3.14.3 Những phương thức hoạt động Phishing - Email Spam:  Kỹ thuật Phishing phổ biến dùng email Kẻ công tiến hành gửi hàng loạt thư đến địa email hợp lệ Bằng kỹ thuật công cụ khác nhau, kẻ công tiến hành thu thập email trước Sau kẻ cơng gửi thư đến email với nội dung thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thơng tin  Kẻ công sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo khiến cho người nhận không chút nghi ngờ Ví dụ, kẻ cơng giả email gửi từ ngân hàng yêu cầu người dùng cung cấp thông tin cá nhân để mở lại tài khoản cố Hoặc nội dung email 59 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 59 of 128 Header Page 60 of 128 gửi thường có vài đường link cho bạn liên kết đến trang web Nếu không cẩn thận liên kết đến trang web giả mạo kẻ công lập nên - Web based delivery:  Một kỹ thuật dựa vào sư phát tán website lừa đảo, thường thấy website dạng kiếm tiền online Chúng yêu cầu cung cấp tài khoản ngân hàng để trả tiền cơng Người dùng khơng ngần ngại cung cấp Kết tiền công chẳng thấy mà tiền tài khoản khơng  Một hình thức lừa đảo tinh vi liên quan đến kiếm tiền online Theo chuyên gia đánh giá có đến 90% lấy tiền sau thời gian miệt mài làm việc Cái mà kẻ lừa đảo thu khơng phải tiền mà cơng sức đọc quảng cáo, trả công ty quảng cáo  Một hình thức khác khiêu khích trí tò mò người dùng cách chèn vào trang web banner text quảng cáo có ý khiêu khích tò mò người dùng Kết sau kích vào máy tính bạn bị nhiễm loại malware đó, phục vụ cho công khác - IRC & Insant messing:  Chat thuật ngữ quen thuộc với người, hữu ích giao tiếp Tuy nhiên, kẻ lừa đảo bắt đầu lợi dụng việc chat để tiến hành gửi tin nhắn tức cho hàng loạt người dùng Những nội dung gửi liên quan đến hàng loạt người dùng kích thích trí tò mò người dùng  Vì tình khơng qn việc trò chuyện trực tuyến, người trò chuyện thường khơng thấy mặt nên khơng thể biết người nói chuyện với có đáng tin cậy hay không Một kĩ thuật tinh vi kẻ 60 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 60 of 128 Header Page 61 of 128 lừa đảo giả dạng nick chat Bằng cách giả dạng nick chat người quen để tiến hành trò chuyện u cầu cung cấp thơng tin lừa đảo làm việc Gần Việt Nam nở rộ tình trạng Nhiều người dùng chat với người thân họ nhờ vả nạp tiền điện thoại - Trojaned hosts: Kiểu lừa đảo cài vào máy tính phần mềm gián điệp Phần mềm giản điệp phục vụ cho mục đích cơng khác 3.14.4 Q trình hoạt động Bao gồm giai đoạn: Lên kế hoạch: kẻ lừa đảo xác định mục tiêu doanh nghiệp nạn nhân xác định cách lấy địa email khách hàng doanh nghiệp Chúng thường sử dụng gửi nhiều email phương pháp thu thập địa email spammer Thiết lập: Sau xác định doanh nghiệp nạn nhân Kẻ cơng tìm cách phát tán email thu thập liệu Thông thường, chúng sử dụng địa email trang web Tấn cơng: Kẻ công gửi thông báo giả mạo đến từ nguồn tin đáng tin cậy Thu thập: Kẻ công thu thập thông tin nạn nhân điền vào trang web cửa sổ pop-up Ăn cắp tài liệu cá nhân lừa đảo: Kẻ công sử dụng thông tin mà chúng thu thập để tiến hành mua bán bất hợp pháp thực lừa đảo 61 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 61 of 128 Header Page 62 of 128 Nếu kẻ lừa đảo trực tuyến muốn xếp công khác, xác định tỷ lệ thành công thất bại vụ lừa đảo công để bắt đầu lại trình 3.14.5 Các kiểu lừa đảo - Man in the middle attacks: Với kĩ thuật này, máy tính kẻ cơng xem máy tính trung gian máy tính người dùng website thật Kẻ cơng dựng lên máy tính trung gian để nhận liệu người dùng chuyển cho website thật ngược lại Dữ liệu chuyển qua lại lưu trữ máy tính kẻ cơng Đúng vậy, dó proxy nơi không tin cậy cho truy cập web thơng qua Những kẻ cơng dựng lên proxy máy chủ với lời mời gọi sử dụng để truy cập internet Vì lý người dùng tìm đến proxy máy chủ để nhờ giúp đỡ việc truy cập web Và vơ hình trở thành mồi cho bọn kẻ cơng Những kẻ cơng ngồi việc dựng lên proxy máy chủ dụ mồi đến nghĩ đến việc cơng proxy máy chủ khác để lấy liệu Bằng kĩ thuật công khác, kẻ công xâm nhập vào hệ thống lưu trữ proxy để lấy liệu, phân tích có thứ họ cần Một cách khác để công kĩ thuật tiến hành làm lệch đường gói liệu Thay chuyển gói tin đến trang web máy chủ đằng lại chuyển đến máy tính kẻ cơng trước, sau máy tính kẻ cơng thực cơng việc chuyển gói tin tiếp Để làm điều này, kẻ cơng sử dụng kĩ thuật DNS Cache Poisming Kĩ thuật làm lệch đường gói 62 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 62 of 128 Header Page 63 of 128 tin liệu cách làm sai kết phân giải địa DNS Một lưu ý kĩ thuật công không phân biệt giao thức http hay https - URL Obfuscation attacks: Làm giả URL kỹ thuật mà bàn đến Trong kĩ thuật kẻ công làm giả URL trang web người truy cập cách đó, URL gửi cho người dùng thiếu tính cẩn thận nên người dùng truy cập vào trang web - Hidden Attacks  Attack sử dụng ngơn ngữ lập trình để chèn đoạn script vào sử dụng kí tự đặc biệt nhằm đánh lừa người dùng  Các cách thức sử dụng Hidden Attacks:  Ẩn frame: frame attacks làm ẩn trình duyệt dùng, qua attacks chèn vào đoạn mã độc  Ghi đè nội dung trang web thay đổi hình ảnh trang web Qua nội dung bị thay đổi, kẻ công chèn đoạn mã độc hại vào - Mal-ware Based phishing:  Dùng phần mềm độc hại để cơng máy tính người dùng ăn cắp liệu  Phương thức đòi hỏi phải có kiến thức lỗi bảo mật cần có cách giao tiếp tốt 3.14.6 Phòng chống - Thơng thường sử dụng firewall phần mềm diệt virus tránh khỏi lừa đảo trực tuyến Bạn hiển thị chứng số SSL web kê 63 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 63 of 128 Header Page 64 of 128 khai in sẵn ngân hàng thẻ tín dụng để có thêm phương pháp bảo mật - Ngoài kẻ cơng có xu hướng để lại số dấu hiệu email thông báo địa web Khi đọc email ý tới:  Các câu chào chung chung “Dear, Customer” Nếu ngân hàng gửi cho bạn thơng báo thức có tên đầy đủ bạn  Đe dọa tài khoản bạn yêu cầu người dùng phải có hành động  Yêu cầu thông tin cá nhân Hầu hết doanh nghiệp không yêu cầu cung cấp thông tin cá nhân thông qua điện thoại email  Những đường link khả nghi, đường link dài bình thường  Sai tả trầm trọng 3.15 AutoComplete Autocomplete chức trình duyệt cho phép ghi nhớ kí tự hay mật vào biểu mẫu trang web tự động điền lại cho lần truy cập sau Thực ra, người sử dụng máy tính cá nhân chức tiện lợi tiết kiệm thời gian nhập thông tin vào biểu mẫu hay nhập địa trang web thường xun ghé thăm, khơng phải nhớ nhiều mật đăng nhập vào tài khoản Tuy nhiên, Autocomplete lại khơng phù hợp hệ thống hay máy tính có nhiều người sử dụng, kẻ cơng lợi dụng chức để đăng nhập vào tài khoản cá nhân Bên cạnh đó, kẻ cơng biết người dùng tìm kiếm qua danh sách biểu mẫu trang web tìm kiếm, thật khơng hay thơng tin tìm kiếm có tính nhạy cảm 64 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 64 of 128 Header Page 65 of 128 Để xóa nội dung mà Autocomplete lưu trữ, từ cửa sổ trình duyệt Internet Explorer, chọn menu Tools/Internet option Chọn Tab Content sau kích chuột vào “Autocomplete”, cửa sổ pop up ra, tiếp tục kích vào nút “clear password” “clear form” Thao tác xóa hết địa trang web mà người dùng nhập vào địa cửa sổ trình duyệt Có thể tắt hoàn toàn chức Autocomplete tắt phần, cách hay sử dụng chức cho biểu mẫu trang web tìm kiếm gỡ bỏ chức tự động với mật để giữ bí mật cá nhân Đối với địa Web: kích hoạt, chức tự động lưu địa bạn viếng thăm, muốn vào lại, bạn không cần phải nhập tất ký tự dòng địa Đối với biểu mẫu: chức lưu trữ thông tin biểu mẫu HTML Form muốn nhập chuỗi ký tự Tên đăng nhập mật khẩu: Autocomplete lưu trữ tên đăng nhập mật khẩu, sử dụng chức này, lưu ý tới điều trình bày trên! Nếu muốn tắt phần chức kể trên, kích để xóa đánh dấu, ngược lại muốn kích hoạt chức đó, cần đánh dấu vào Khi muốn tắt tất phần, xóa tất đánh dấu Lưu ý : Tắt chức AutoComplete khơng có nghĩa xóa tất thông tin lưu trữ trước Nếu muốn xóa, thực thao tác mục kể 65 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 65 of 128 Header Page 66 of 128 3.16 Xây dựng chương trình ứng dụng 3.16.1 Đặc tả, yêu cầu - Tổng quan:  Website “webcheck.com” website dùng để minh họa số kĩ thuật công SQL Injection, Cross site scripting, AutoComplete, Broken Authentication using SQL Injection, Insecure direct object references, Unvalidated redirects and forward  Từ ý tưởng đó, website có khả kiểm tra ứng dụng web có mắc phải lỗi bảo mật hay không?Bằng cách ứng dụng nhận trang web cần kiểm tra từ người sử dụng, tự động tìm kiếm thơng tin trang web tạo yêu cầu gửi đến trình chủ Sau nhận, phân tích kết trả để đánh giá, kiểm tra thông báo cho người sử dụng - Yêu cầu :  Yêu cầu chức năng: o Kiểm tra, phát số lỗi bảo mật ứng dụng Web o Thông báo kết kiểm tra o Gợi ý biện pháp khắc phục lỗi phát  Yêu cầu phi chức năng:  Giao diện người dùng: o Phải có giao diện thân thiện, dễ sử dụng, màu sắc hài hòa làm bật hình ảnh, font chữ thống nhất, tiện lợi sử dụng o Phải nêu bật mạnh website tạo niềm tin cho khách hàng từ lần đầu truy cập o Có biểu mẫu đăng kí để trở thành thành viên 66 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 66 of 128 Header Page 67 of 128 o Chức tìm kiếm thơng tin qt lỗi bảo mật website cụ thể người dùng yêu cầu o Chức xem lịch sử lần quét thành viên  Giao diện người quản trị: o Đơn giản, dễ sử dụng o Không thể thiết mục như: quản lý thành viên, quản lý thông tin lỗi bảo mật, quản lý đăng nhập, quản lý thay đổi website  Về nghiệp vụ: o Người xây dựng hệ thống phải am hiểu lỗi bảo mật cách thức mà kẻ công sử dụng để công website o Người xây dựng hệ thống phải đặc biệt hiểu rõ thơng số kĩ thuật máy tính Có thể đưa nhìn tổng quát, sâu rộng sản phẩm  Về bảo mật: o Người quản trị có tồn quyền giữ bảo mật cho website mật riêng o Quản lý tên đăng nhập mật người dùng an tồn Thơng tin người dùng bảo mật  Về hệ thống: o Phần cứng: PC vi xử lý Pentium III, ram 128MB, ổ cứng 10G trở lên o Hệ điều hành: Window XP trở lên o Phần mềm hỗ trợ: APPSERV, SQLyog  Lựa chọn giải pháp: o Chương trình sử dụng ngôn ngữ PHP sở liệu MySQL 67 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 67 of 128 Header Page 68 of 128 o Các công cụ mà hệ thống sử dụng: gói Appserv cài đặt thành phần Apache, PHP, MySQL Apache => server PHP => ngơn ngữ lập trình MySQL => sở liệu Webbalier => quản lý statistic site Mercury => giả lập gửi email FileZilla => giả lập FPT server 3.16.2 Chức hệ thống Các tác nhân hệ thống gồm có: - Quản trị: thành viên quản trị hệ thống, có quyền chức như: tạo tài khoản, quản lý thông tin lỗi bảo mật, quản trị người dùng,… - Người dùng: hệ thống thành viên có chức năng: đăng kí, đăng nhập, tìm kiếm thơng tin website mà họ muốn, quét xem website có lỗi bảo mật hay khơng, phòng chống nguy bị cơng, xem lại lịch sử lần quét 68 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 68 of 128 Header Page 69 of 128 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Kết khóa luận gồm có: - Tìm hiểu phương pháp cơng website bao gồm:  Local Attack  AutoComplete  SQL Injection  Cross Site Scripting  DOS  Phishing  Broken Authentication and Session Management  Insecure Direct Object References  Cross Site Request Forquery  Security Misconfiguration  Failfure to Restrict URL Access  Insuffiercient Transpot Layer Protection  Unvalidated Redirects and Forwards - Các biện pháp bảo mật từ kết hợp nhà quản trị mạng, nhà thiết kế ứng dụng web người dùng: - Về website “ Web Check” đạt số nội dung sau:  Kiểm tra nội dung trang web có khả bị lỗi bảo mật: Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete, Direct Object References, SSL Certificate not true, Unvalidated Redirects 69 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 69 of 128 Header Page 70 of 128 Hướng phát triển Khóa luận đạt yêu cầu đặt Tuy nhiên, kết đạt khiêm tốn hạn chế tài liệu thời gian Trong thời gian tới, có điều kiện cần tiếp tục phát triển nội dung sau: - Tìm hiểu thêm phương pháp cơng để đưa biện pháp phòng chống mức độ sâu - Khai triển chương trình phát triển lỗi tốt hơn, nhiều phương diện kĩ thuật 70 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 70 of 128 Header Page 71 of 128 TÀI LIỆU THAM KHẢO Tiếng Việt [1] – Lê Đình Duy, “Bảo vệ ứng dụng web chống công kiểu SQL Injection”, kỷ yếu hội thảo CNTT-2004, DHKHTN Tp.HCM [2] – Phạm Hữu Khang, “Xây dựng ứng dụng web PHP & MySSQL”, nhà xuất Mũi Cà Mau, 2003 [3] – Đặng Hải Sơn, “Lỗi bảo mật ứng dụng web cách khắc phục”, trung tâm ứng cứu khẩn cấp máy tính [4] – Võ Đỗ Thắng, “Web Application Attack & Defense”, trung tâm an ninh mạng Athena [5] – Trịnh Nhật Tiến, “An toàn liệu”, giảng [6] – Nguyễn Anh Tuấn, “Bài giảng an ninh mạng”, trung tâm TH NN Trí Đức Tiếng anh [7] – Anthor Stephen Kost, “An Introduction to SQL Injection Attacks for oracle Developers” [8] – Anthor Kevin Spett, “SQL Injection – are you web Applications vulnerable” [9] - Anthor Sangteamtham, “How to Attack and fix Local File Disclosure” 71 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 71 of 128 ... CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 3.1 Giới thiệu chung phương pháp công website Diện mạo mối nguy ứng dụng internet thay đổi cách liên tục Nguyên nhân phát triển tiến kẻ công, ... hình bảo mật Việt Nam 15 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 18 3.1 Giới thiệu chung phương pháp công website 18 3.2 Broken Authentication and... thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Đối tượng phạm vi nghiên cứu - Cơ sở lý thuyết liên quan hoạt động website - Các kỹ thuật cơng website - Các giải pháp