Đây là đồ án nói về PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN THEO KỸ NGHỆ HƯỚNG YÊU CẦU TRONG PHÁT TRIỂN WEB, đồ án nêu đầy đủ và chi tiết. Nếu có nhu cầu mua source code liên hệ l19htm4ngmail.com để mua trọn bộ đồ án nhé.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN THEO KỸ NGHỆ HƯỚNG YÊU CẦU TRONG PHÁT TRIỂN WEB Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: NoName Lớp: AT C Người hướng dẫn: Hà Nội, 2019 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN THEO KỸ NGHỆ HƯỚNG U CẦU TRONG PHÁT TRIỂN WEB Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: NoName Lớp: AT C Người hướng dẫn: Hà Nội, 2019 MỤC LỤC Mục lục Danh mục từ viết tắt Danh mục hình vẽ Danh mục bảng .8 Lời cảm ơn .9 Lời nói đầu 10 Chương 1: Tổng quan an toàn ứng dụng web .12 1.1 Khái niệm mơ hình hoạt động ứng dụng web .12 1.1.1 Khái niệm 12 1.1.2 Mô hình hoạt động 12 1.2 Nguy an toàn ứng dụng web 13 1.2.1 Rò rỉ liệu 14 1.2.2 Bùng nổ mã độc 15 1.2.3 Sử dụng trí tuệ nhân tạo .15 1.2.4 Phát triển áp dụng 5G bắt đầu mở rộng 16 1.2.5 Sử dụng thiết bị IoT để công DDoS 16 1.2.6 Tấn công nhắm vào việc truyền liệu 16 1.3 Một số lỗ hổng bảo mật web phổ biến 17 1.3.1 Tấn công XSS 17 1.3.2 Tấn công CSRF 18 1.3.3 Tấn công SQL Injection 19 1.3.4 Tấn công từ chối dịch vụ .20 1.3.5 Một số công khác 20 1.4 Những yếu tố đảm bảo an toàn ứng dụng web 21 1.5 Đánh giá an toàn ứng dụng web 22 1.6 Tổng kết chương 23 Chương 2: Đảm bảo an toàn phát triển web theo kỹ nghệ hướng yêu cầu 24 2.1 Quy trình phát triển web theo kỹ nghệ hướng yêu cầu 24 2.1.1 Thu thập thông tin xác định yêu cầu 25 2.1.2 Lập kế hoạch .25 2.1.3 Phân tích, thiết kế .25 2.1.4 Lập trình .26 2.1.5 Kiểm thử 27 2.1.6 Triển khai bảo trì 27 2.2 An toàn giai đoạn xác định, phân tích yêu cầu 27 2.2.1 Yêu cầu bảo mật cốt lõi .28 2.2.2 Yêu cầu bảo mật chung .30 2.2.3 Yêu cầu hoạt động 31 2.2.4 Kết luận .31 2.3 An toàn giai đoạn thiết kế 32 2.3.1 Giai đoạn thiết kế an toàn 32 2.3.2 Lợi ích đem lại 32 2.3.3 Thực tiễn việc thiết kế an toàn 33 2.4 An toàn giai đoạn lập trình 34 2.4.1 Giảm thiêu rủi ro trình code .34 2.4.2 Bảo vệ mã nguồn 37 2.4.3 Viết unit test 37 2.5 An toàn giai đoạn kiểm thử .39 2.5.1 Mục tiêu kiểm thử bảo mật 39 2.6 An tồn triển khai, bảo trì 40 2.6.1 Cảnh giác với thông báo lỗi 40 2.6.2 Cài đặt tường lửa ứng dụng web 41 2.6.3 Bảo trì ứng dụng web 42 2.7 Tổng kết chương 42 Chương 3: Thực nghiệm xây dựng đảm bảo an toàn Ứng dụng web theo kỹ nghệ hướng yêu cầu .44 3.1 Mơ tả tốn .44 3.1.2 Nhược điểm hệ thống quản lý thư viện truyền thống 44 3.1.3 Lợi ích quản lý thư viện website 44 3.1.4 Các chức chương trình 45 3.1.5 Yêu cầu an tồn thơng tin .45 3.2 Phân tích yêu cầu 46 3.2.1 Nền tảng sử dụng 46 3.2.2 Xác thực người dùng 47 3.2.3 Mã hố, xác thực thơng tin Client Server 48 3.2.4 Chống công SQL Injection 48 3.2.5 Chống công CSRF 49 3.2.6 Chống công XSS 50 3.2.7 Chống spam request 50 3.3 Thiết kế hệ thống 50 3.3.1 Thiết kế sở liệu 50 3.3.2 Thiết kế chức 54 3.4 Lập trình xây dựng đảm bảo an toàn cho hệ thống .59 3.4.1 Sử dụng Repository Design Pattern 59 3.4.2 Kiểm soát liệu 60 3.4.3 Quản lý tài khoản người dùng 61 3.4.4 Xây dựng hệ thống an toàn 62 3.5 Kiểm thử đánh giá hệ thống 70 3.5.1 Kiểm thử lỗi XSS 70 3.5.2 Kiểm thử lỗi SQL Injection 70 3.5.2 Kiểm thử lỗi CSRF 70 3.6 Bảo trì 71 3.6.1 Ghi log ứng dụng 71 3.6.2 Kiểm tra bảo mật thường xuyên 71 3.6.3 Sao lưu liệu thường xuyên .72 3.7 Tổng kết chương 72 Kết luận 73 Tài liệu tham khảo .74 Phụ lục 76 DANH MỤC TỪ VIẾT TẮT Từ viết tắt ATTT CNTT CSDL CSRF HĐH LAN MVC ORM OWASP PDO SDLC VPN WAN WDLC XSS Tiếng anh Cross-site Request Forgery Local Area Network Model – view – controller Object Relational Mapping Tiếng việt/mơ tả An tồn thơng tin Cơng nghệ thơng tin Cơ sở liệu Lỗ hổng bảo mật Hệ điều hành Mạng máy tính cục Kỹ thuật chuyển đổi liệu hệ thống khác Open Web Application Security Một tổ chức phi lợi nhuận Project PHP Data Objects Lớp truy xuất sở liệu Software Development Life Quy trình phát triển phần Cycle mềm Virtual Private Network Mạng dành riêng Wide Area Network Mạng diện rộng WAN Web development life cycle Vòng đời phát triển web Cross-Site Scripting Lỗ hổng bảo mật DANH MỤC CÁC HÌNH VẼ Hình 1.1 Quá trình hoạt động ứng dụng web .12 Hình 2.1 Quy trình phát triển ứng dụng web .24 Hình 3.1 Sơ đồ phân cấp chức .45 Hình 3.2 Cơ chế xác thực thơng qua middleware 47 Hình 3.3 Lược đồ sở liệu 51 Hình 3.4 Sơ đồ chức đăng nhập 54 Hình 3.5 Sơ đồ chức cập nhật thơng tin 54 Hình 3.6 Sơ đồ chức khôi phục mật .55 Hình 3.7 Sơ đồ chức đổi mật 55 Hình 3.8 Sơ đồ chức mượn sách .56 Hình 3.9 Sơ đồ chức tìm kiếm sách 56 Hình 3.10 Sơ đồ chức xem chi tiết sách 56 Hình 3.11 Sơ đồ chức xem sách mượn .57 Hình 3.12 Sơ đồ chức thêm sách .57 Hình 3.13 Sơ đồ chức thêm người dùng 58 Hình 3.14 Sơ đồ chức quản lý người dùng 58 Hình 3.15 Validate đổi mật 61 Hình 3.16 Thơng báo lỗi validate 61 Hình 3.17 Danh sách route user 62 Hình 3.18 Danh sách route admin 62 Hình 3.19 Sử dụng throttle giới hạn truy cập .63 Hình 3.20 Giao thức HTTP 64 Hình 3.21 Giao thức HTTP bị cơng .65 Hình 3.22 Hoạt động giao thức SSL 66 Hình 3.23 Minh hoạ chống SQL Injection 69 Hình 3.24 Minh hoạ XSS .70 Hình 3.25 Minh hoạ SQL Injection 70 Hình 3.26 Minh hoạ lỗi CSRF .70 Hình 3.27 Xem chi tiết log 71 DANH MỤC CÁC BẢNG Bảng 4.1 Độc giả (users) 51 Bảng 4.2 Quản trị viên (admins) 52 Bảng 4.3 Sách (books) 52 Bảng 4.4 Danh mục (categories) 52 Bảng 4.5 Phiếu mượn (tickets) .53 Bảng 4.6 Chi tiết phiếu mượn (ticket_details) .53 Bảng 4.7 Lấy lại mật (password_resets) 53 LỜI CẢM ƠN Trong trình nghiên cứu làm đồ án Em xin gửi lời cảm ơn chân thành tri ân sâu sắc thầy cô trường Học viện Kỹ thuật Mật mã đặc biệt thầy giáo hướng dẫn TS nhiệt tình hướng dẫn bảo em trình thực đề tài Những góp ý, định hướng thầy, cô bạn giúp cho em nâng cao trình độ hiểu biết chun mơn cải thiện kiến thức mà em thiếu Để từ em vận dụng hồn thành đồ án tốt nghiệp Mặc dù cố gắng hoàn thành đồ án phạm vi khả cho phép chắn không tránh khỏi thiết sót Em mong nhận thơng cảm, góp ý q thầy bạn để đồ án chỉnh sửa hoàn thiện Hà Nội, ngày tháng 06 năm 2019 Sinh viên thực NoNam 3.5.2 Kiểm thử lỗi SQL Injection Hình 3.25 Minh hoạ SQL Injection Khi người dùng cố tình nhập sai câu tìm kiếm ‘or 1=1’ nhằm hiển thị tất danh sách bị chặn lại tham số ràng buộc PDO sử dụng liệu truyền vào cấu query trích dẫn, câu truy vấn phá hoại khơng cịn tác dụng Kết trả khơng tìm thấy ghi phù hợp Hình 3.25 3.5.2 Kiểm thử lỗi CSRF Hình 3.26 Minh hoạ lỗi CSRF Nếu form gửi request ajax thiếu token CSRF, Middleware VerifyCsrfToken chặn trả trang thông báo lỗi 419 khơng tiếp tục thực request 3.6 Bảo trì 3.6.1 Ghi log ứng dụng Việc ghi lại log hệ thống điều cần thiết nên làm Nó khơng giúp dễ dàng nhận lỗi thời điểm định, sử dụng để debug lỗi Mà cần khảo sát lỗi xảy trình, nhìn vào file log dễ dàng đưa nhận xét xác Chẳng hạn gặp lỗi không rõ ràng, lúc bị lúc khơng, khó để đưa phán đốn xác khơng dựa vào file log Hình 3.27 Xem chi tiết log Mặc định tập tin ghi log ứng dụng web thường rối khó đọc, gây khó khăn cho người lập trình viên việc debug Để khắc phục vấn đề này, ứng dụng thiết lập thêm phần quản lý logs Hình 3.27 Việc quản lý logs chia theo cảnh báo ghi log theo ngày Giúp quản trị viên theo dõi hoạt động ứng dụng có lỗi xảy phát kịp thời sửa chưa, tránh gây trải nghiệm không tốt tới người dùng 3.6.2 Kiểm tra bảo mật thường xuyên Việc bảo vệ trang web khỏi hacker ưu tiên hàng đầu Đối với điều hành trang web chí cịn quan trọng doanh nghiệp thương mại điện tử xử lý liệu cá nhân khách hàng Một nhiệm bảo trì trang web quan trọng lên kế hoạch để bảo mật Cần kiểm tra xem tất tảng, plugin tập lệnh cập nhật hay chưa? Vì thông thường nhà phát triển phát hành cập nhật để cải thiện bảo mật vá lỗi mà họ tìm thấy Thường xuyên kiểm tra để phát dấu hiệu bất thường, có kế hoạch quét virus định kỳ 3.6.3 Sao lưu liệu thường xuyên Sau ứng dụng web triển khai mạng bị tin tặc xấu dịm ngó Mục đích thích phá phách đánh cắp liệu nhạy cảm xố tồn liệu Để tránh trường hợp xảy ra, nên có kế hoạch lưu liệu hàng tháng hàng quý Nếu có lỗi xảy gây mát liệu có lưu để phục hồi 3.7 Tổng kết chương Từ việc nghiên phương pháp đảm bảo an toàn phát triển web, chương thực nghiệm vận dụng tốt phương pháp nghiên cứu để xây dựng lên trang quản lý thư viện đảm bảo an tồn bảo mật với quy mơ nhỏ Chống lại lỗi bảo mật thường gặp Các phương pháp bảo mật vận dụng xuyên suốt q trình phát triển, giúp đảm bảo an tồn từ khâu thiết kế triển khai Giúp việc phát triển code nhanh mà đảm bảo yêu cầu bảo mật Đây bước đệm ban đầu để giai đoạn phát triển hoàn thiện mặt tính tính bảo mật KẾT LUẬN Sau thời gian nghiên cứu tìm hiểu đồ án xây dựng hoàn thiện Hoàn thành mục tiêu đề xây dựng phương pháp đảm bảo an toàn theo kỹ nghệ hướng yêu cầu phát triển web Ngồi đồ án cịn áp dụng phương pháp nghiên cứu để áp dụng vào xây dựng web quản lý thư viện với kỹ thuật an toàn Trang web sau xây dựng giải đảm bảo số vấn đề an tồn mã hố liệu đường truyền xác thực client, server thông qua sử dụng giao thức SSL Chống lỗi bảo mật SQL Injection, XSS, CSRF, phân quyền, xác thực người dùng,… Các chức vận hành môi trường thật hoạt động tốt ổn định, đảm bảo tính logic hiệu sử dụng Đảm bảo tính an tồn bảo mật cao Do thời gian thực đề tài tương đối hạn chế nên trang web tránh thiếu sót định Vì mục tiêu đồ án nghiên cứu phương pháp đảm bảo an toàn phát triển web nên phần thực nghiệm khơng trọng nhiều vào xây dựng tính cho trang web Chỉ xây dựng tính đăng nhập, cập thông tin, tạo người dùng tra cứu,… Chủ yếu tập chung vào phần thiết lập bảo mật, cách giảm thiểu lỗi trình xây dựng trang web từ khâu phân tích u cầu đến khâu hồn thiện sản phẩm nên tính bị hạn chế nhiều Để trang web hồn thiện mặt tính an toàn vấn đề bảo mật Hướng phát triển nghiên cứu thêm áp dụng thêm phương pháp bảo mật vào trang web Áp dụng thêm phương pháp đảm bảo an toàn server thiết lập thêm tường lửa để đảm bảo an tồn Hồn thiện đầy đủ tính phía độc giả phía quản trị viên, tối ưu code cho đơn giản, dễ đọc, dễ hiểu giảm thiểu lỗi Vì ngày sử dụng điện thoại thông minh sống hàng ngày Nên hướng phát triển tối ưu trang web dạng responsive cho người sử dụng desktop mobile Tăng tính tiện dụng linh hoạt việc quản lý, tra cứu lưu trữ TÀI LIỆU THAM KHẢO [ Acunetix, “Acunetix,” [Trực tuyến] 1] https://www.acunetix.com/websitesecurity/web-app-security/ Available: [ B Lâm, “Vnexpress,” 2018 [Trực tuyến] Available: https://vnexpress.net/so2] hoa/87-trieu-nguoi-dung-facebook-bi-lo-thong-tin-ca-nhan-3732466.html [ M Hải, “Tuoitre,” 2019 [Trực tuyến] Available: 3] https://congnghe.tuoitre.vn/google-bi-khai-tu-20190403085224605.htm [ Cystack, “cystack,” 2018 [Trực tuyến] Available: 4] https://resources.cystack.net/news/an-toan-thong-tin-2018-mot-nam-nhin-lai/ [ BT, “ANTV,” 2019 [Trực tuyến] Available: http://www.antv.gov.vn/tin-tuc/xa5] hoi/hon-45000-may-tinh-tai-viet-nam-nhiem-ma-doc-dao-tien-ao-269357.html [ vietsunshine, “vietsunshine,” 2018 [Trực tuyến] Available: 6] https://www.vietsunshine.com.vn/2018/12/21/symantec-du-bao-xu-huong-anninh-mang-2019-va-xa-hon-nua/ [ symantec, “Formjacking: Major Increase in Attacks on Online Retailers,” 2018 7] [Trực tuyến] Available: https://www.symantec.com/blogs/threatintelligence/formjacking-attacks-retailers [ Microsoft, Microsoft SDL: Return-on-Investment, Microsoft 8] [ Development and implementation of secure web applications, Infrastructure, 9] Centre for the Protection of National, 2011 [ Security In The Software Lifecycle, 2006, Department of Homeland Security 10] [ H T Quyen, “CSRF CSRF Protection Laravel,” 2018 [Trực tuyến] 11] Available: https://kipalog.kaopiz.com/posts/CSRF-va-CSRF-Protection-trongLaravel [ M BLOG, “Cách Laravel chống SQL Injection, CSRF, XSS,” 2018 [Trực 12] tuyến] Available: https://minhbangchu.blogspot.com/2016/07/cach-laravelchong-sql-injection-csrf.html [ N T Duc, “HTTP vs HTTPS: Làm để website bảo mật với SSL,” 13] 2017 [Trực tuyến] Available: https://viblo.asia/p/http-vs-https-lam-the-nao-dewebsite-bao-mat-hon-voi-ssl-jvElaLbxZkw [ D T Duyen, “Lợi ích lưu ý viết Unit test,” 2019 [Trực tuyến] 14] Available: https://viblo.asia/p/unit-test-la-gi-loi-ich-va-nhung-luu-y-khi-vietunit-test-YWOZr20NZQ0 [ N T Anh, Xây dựng ứng dụng web an toàn, 2013 15] PHỤ LỤC Phụ lục 1: Mã nguồn đảm bảo an toàn liệu đầu vào class AdminUserAddRequest extends FormRequest { public function rules() { return [ 'email' => 'required|email', 'phone' => 'required|numeric', 'mssv' => 'required|alpha_num', 'name' => 'required|min:8|max:30', 'class' => 'required|alpha_num', ]; } public function messages() { return [ 'email.required' => 'Trường bắt buộc nhập', 'phone.required' => 'Trường bắt buộc nhập', 'mssv.required' => 'Trường bắt buộc nhập', 'name.required' => 'Trường bắt buộc nhập', 'name.min' => 'Tiêu đề tối thiểu kí tự', 'name.max' => 'Tiêu đề nhập tối đa 30 kí tự', 'class.required' => 'Trường bắt buộc nhập', 'email.email' => 'Sai định dạng email', 'phone.numeric' => 'Số điện thoại bao gồm số', 'mssv.alpha_num' => 'Mã sinh viên bao gồm chữ số', 'class.alpha_num' => 'Lớp học bao gồm chữ số' ]; } public function authorize() { return true; } } class AdminBookRequest extends FormRequest { public function rules(Request $request) { return [ 'bok_category_id' => 'bail|required|numeric', 'bok_title' => 'bail|required|min:10|max:70|unique:books,bok_title,' $request->id, 'bok_description' => 'bail|required', 'bok_content' => 'bail|required', 'bok_author' => 'bail|required', 'bok_pushlisher' => 'bail|required', 'bok_company' => 'bail|required', 'bok_price_real' => 'bail|required|numeric', 'bok_size' => 'bail|required', 'bok_weight' => 'bail|required', 'bok_page' => 'bail|required', ]; } public function messages() { return [ 'bok_category_id.required' => 'Bạn chưa chọn chuyên mục', 'bok_category_id.numeric' => 'Chuyên mục bắt buộc số', 'bok_title.required' => 'Bạn chưa nhập nội dung', 'bok_title.min' => 'Tiêu đề tối thiểu 10 kí tự', 'bok_title.max' => 'Tiêu đề nhập tối đa 70 kí tự', 'bok_title.unique' => 'Cuốn sách tồn tại', 'bok_description.required' => 'Bạn chưa nhập nội dung mô tả', 'bok_content.required' => 'Bạn chưa nhập nội dung xem trước', 'bok_author.required' => 'Bạn chưa nhập tác giả', 'bok_pushlisher.required' => 'Bạn chưa nhập nhà phát hành', 'bok_company.required' => 'Bạn chưa nhập nhà xuất bản', 'bok_price_real.required' => 'Bạn chưa nhập giá tiền', 'bok_price_real.numeric' => 'Giá tiền bao gồm số', 'bok_size.required' => 'Bạn chưa nhập kích thước', 'bok_weight.required' => 'Bạn chưa nhập trọng lượng', 'bok_page.required' => 'Bạn chưa nhập số trang', ]; } public function authorize() { return true; } } Phục lục 2: Mã nguồn đảm bảo an tồn q trình lấy lại mật public function resetPassword(Request $request) { //1 Checktoken $reset_password = PasswordReset::where('token', $request->token)->first(); if (!$reset_password) { abort(404); } $expire = Carbon::parse($reset_password->created_at)->diffInMinutes(now()); $viewDataError = [ 'type' => 'alert', 'alert' => 'Người dùng, token không hợp lệ' ]; if ($expire > 5) { return view('auth.reset_password')->with($viewDataError); } //2 Checkemail $user = $this->userRepository->findOneById($request->id); if (!$user || ($user->email != $reset_password->email)) { return view('auth.reset_password')->with($viewDataError); } $viewDataSuccess = [ 'id' => $user->id, 'token' => $request->token, 'type' => 'change_password', ]; return view('auth.reset_password')->with($viewDataSuccess); } public function storeChangePassword(Request $request) { //1 Checktoken $reset_password = PasswordReset::where('token', $request->token)->first(); if (!$reset_password) { abort(404); } $expire = Carbon::parse($reset_password->created_at)->diffInMinutes(now()); $viewDataError = [ 'type' => 'alert', 'alert' => 'Người dùng, token không hợp lệ' ]; if ($expire > 5) { return view('auth.reset_password')->with($viewDataError); } //2 Checkemail $user = $this->userRepository->findOneById($request->id); if (!$user || ($user->email != $reset_password->email)) { return view('auth.reset_password')->with($viewDataError); } //3 Save password $user = $this->userRepository->updateById($request->id, [ 'password' => bcrypt($request->new_password), ]); if (!$user) { $this->alertError(); return redirect()->back(); } //4 Xố token PasswordReset::where('token', $request->token)->delete(); $this->alertSuccess('Đổi mật thành cơng'); return redirect()->route('get.user_login.index'); } Xác nhận người hướng dẫn …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Hà nội, ngày NGƯỜI HƯỚNG DẪN KHOA HỌC TS tháng năm 2019 NGƯỜI THỰC HIỆN NoName ... quan an toàn ứng dụng web .12 1. 1 Khái niệm mơ hình hoạt động ứng dụng web .12 1. 1 .1 Khái niệm 12 1. 1.2 Mơ hình hoạt động 12 1. 2 Nguy an toàn ứng dụng web 13 ... triển ứng dụng web an toàn nhỏ, đáp ứng yêu cầu bảo mật theo giai đoạn CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN ỨNG DỤNG WEB 1. 1 Khái niệm mơ hình hoạt động ứng dụng web 1. 1 .1 Khái niệm Ứng dụng web phần mềm... công DDoS 16 1. 2.6 Tấn công nhắm vào việc truyền liệu 16 1. 3 Một số lỗ hổng bảo mật web phổ biến 17 1. 3 .1 Tấn công XSS 17 1. 3.2 Tấn công CSRF 18 1. 3.3 Tấn công