Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Lời cảm ơn Sau gần tháng nỗ lực thực hiện, luận văn nghiên cứu “tìm hiểu chế để bảo mật hệ thống thương mại điện tử - web security ” phần hoàn thành Ngoài cố gắng thân, tơi nhận khích lệ nhiều từ phía nhà trường, thầy cơ, gia đình bạn bè Trước hết xin cám ơn ba mẹ động viên tạo điều kiện tốt để học tập hoàn thành luận văn tốt nghiệp Em xin cám ơn thầy cô trường Đại Học Kỷ Thuật Công Nghệ truyền đạt kiến thức quý báu cho em suốt trình học tập Đặc biệt, em xin bày tỏ lòng chân thành sâu sắc đến thầy Huỳnh Quốc Bảo, người tận tình hướng dẫn giúp đỡ em trình làm luận văn tốt nghiệp Xin cám ơn tất bạn bè động viên, giúp đỡ tơi q trình học tập hồn thành tốt luận văn tốt nghiệp SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 1  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc     MỤC LỤC TỔ CHỨC LUẬN VĂN CHƯƠNG 1: TÌM HIỂU ỨNG DỤNG WEB 1.1 Kiến trúc ứng dụng web 1.2 Hoạt động ứng dụng web 10 1.3 Kết nối với sở liệu 12 CHƯƠNG : TÌM HIỂU Q TRÌNH TẤN CƠNG CỦA HACKER 14 2.1 Các quy trình : 14 2.2 Kết luận 19 CHƯƠNG : TÌM HIỂU TẤN CƠNG CHÈN THAM SỐ 20 3.1 HTML Form Field Manipulation – thao tác biến ẩn form 21 3.1.1 Khái niệm 21 3.1.2 Kĩ thuật phòng chống 22 3.2 URL Manipulation – thao tác URL : 23 3.2.1 Khái niệm 23 3.2.2 Kĩ thuật phòng chống 24 3.3 HTTP Header Manipulation – thao tác HTTP header: 25 3.3.1 Khái niệm : 25 3.3.2 Kĩ thuật phòng chống 29 3.4 Hidden Manipulation - Thao tác vùng ẩn 29 3.4.1 Khái niệm 29 3.4.2 Cách phòng chống 29 CHƯƠNG : TẤN CÔNG TRÀN BỘ ĐỆM BUFFER OVERFLOW ATTACKS 31 4.1 Buffer Overflow Attacks 31 4.2 Cách phòng chống 32 SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 2  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc CHƯƠNG : CHÈN MÃ THỰC THI TRÊN TRÌNH DUYỆT CROSS SITE SCRIPTING 33 5.1 Khái niệm XSS 33 5.2 Phương thức hoạt động XSS 33 5.3 Truy tìm lổ hổng XSS ứng dụng web 36 5.4 Các bước thực công XSS : 37 5.5 Cách phòng chống 38 CHƯƠNG : TẤN CÔNG PHIÊN LÀM VIÊC 40 6.1 Sự đời khái niệm 40 6.1.1 Sự đời session 40 6.1.2 Khái niệm : 40 6.2 Cơ chế công phiên làm việc 41 6.2.1 Ấn định phiên làm việc( session fixation) 41 6.2.2 Đánh cắp phiên làm việc( session hijacking) 43 6.3 Cách phòng chống : 46 CHƯƠNG 7: CHÈN CÂU TRUY VẤN - SQL INJECTION 48 7.1 Khái niệm SQL injection 48 7.2 Các cách công 48 7.2.1 Dạng công vượt qua kiểm tra đăng nhập 48 7.2.2 Tấn công dưa vào câu lệnh SELECT 52 7.2.3 Tấn công dựa vào câu lệnh kết hợp UNION 53 7.2.4 Dạng công sử dụng câu lệnh INSERT 54 7.2.5 Dạng công sử dụng stored-procedures 55 7.3 Cách phòng tránh 56 7.3.1 Kiểm soát chặt chẽ liệu nhập vào 56 7.3.2 Thiết lập cấu hình an toàn cho hệ quản trị sở liệu 58 CHƯƠNG : TẤN CÔNG TỪ CHỐI DỊCH VỤ - DENY of SERVICES 59 8.1 Khái niệm Tcp bắt tay ba chiều: 59 8.2 Tấn công kiểu SYN flood 60 SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 3  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc 8.3 Kiểu công Land Attack 62 8.4 Kiểu công UDP flood 62 8.5 Flood Attack 62 8.6 Tấn công kiểu DDoS (Distributed Denial of Service) 63 8.7 Tấn công DRDoS (Distributed Reflection Denial of Service) – Tấn công từ chối dịch vụ phản xạ nhiều vùng 65 8.8 Tấn công nguồn tài nguyên khác 67 8.9 Các cách phòng chống 68 CHƯƠNG : NHỮNG KẾT LUẬN TRONG QUÁ TRÌNH PHÒNG CHỐNG 70 9.1 Nhiệm vụ nhà quản trị mạng 70 9.2 Nhiệm vụ người thiết kế ứng dụng web 71 9.3 Nhiệm vụ người sử dụng ứng dụng web 72 CHƯƠNG 10: GIỚI THIỆU CÁC GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG 73 10.1 Firewall (Bức tường lửa) 73 10.1.1 Giới thiệu firewall 73 10.1.2 Phân loại Firewall 73 10.1.3 Sản phầm Firewall 74 10.1.4 Chức Firewall 76 10.1.5 Các kỹ thuật dùng Firewall 77 10.2 Intrusion detection system (Hệ thống phát xâm nhập) 83 10.2.1 Khái niệm: 83 10.2.2 Mơ hình hoạt động 84 10.2.2.1 Chi tiết IDS 85 10.2.2.2 Đánh giá mức độ an toàn hệ thống: 86 10.2.2.3 Khả phát triển tương lai: 86 10.3 Intrusion Prevension System ( Hệ thống ngăn chặn xâm nhập) 87 10.3.1 Khái niệm: 87 10.3.1.1 Chức năng: 87 10.3.1.2 Mô hình lý luận: 88 SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 4  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc 10.3.2 Mơ hình hoạt động: 88 10.3.3 Các thành phần IPS: 89 10.3.3.1 Phân tích hoạt động liên thành phần: 89 10.3.3.2 Đánh giá mức độ an toàn hệ thống: 90 10.3.3.3 Khả phát triển tương lai: 90 CHƯƠNG 11: DEMO THỰC TẾ CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA “IPCOP” 91 11.1 Giới thiệu 91 11.2.Triển khai IPCOP firewall/ IDS 94 11.3 Quản trị IPCOP firewall/IDS 103 KẾT LUẬN 113 TÀI LIỆU THAM KHẢO 114  SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 5  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc GIỚI THIỆU Ngày nay, nhờ có internet, sống người cải thiện nhiều, trao đổi thông tin nhanh thuận tiện Thương mại điện tử giới có xu hướng phát triển mạnh Kỹ thuật số giúp người tiết kiệm đáng kể chi phí chi phí vận chuyển trung gian, chi phí giao dịch… đặc biệt giúp tiết kiệm nguồn nhân lực thời gian để người đầu tư vào hoạt động khác Do đó, lợi nhuận người kiếm gia tăng gấp bội Không thế, thương mại điện tử cịn giúp người tìm kiếm tự động theo nhiều mục đích khác nhau, tự động cung cấp thơng tin theo nhu cầu sở thích người… Giờ đây, người ngồi nhà để mua sắm thứ theo ý muốn Khi Internet phổ biến rộng răi, tổ chức, cá nhân có nhu cầu giới thiệu thơng tin ḿình xa lộ thông tin thực phiên giao dịch trực tuyến Vấn đề nảy sinh phạm vi ứng dụng ứng dụng Web ngày mở rộng khả xuất lỗi bị công cao, trở thành đối tượng cho nhiều người cơng với mục đích khác Như phá hoại , đánh cắp thông tin mật , ăn cắp tài khoản ,làm uy tín công ty … gây nhiều tổn hại nặng nề Đôi khi, đơn giản để thử tài đùa bỡn với người khác không lường trước hậu SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 6  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Trong phương tiện thông tin đại chúng ngày nhắc nhiều đến khả truy nhập thông tin Internet, tài liệu chun mơn bắt đầu đề cập nhiều đến vấn đề bảo đảm an toàn liệu cho máy tính kết nối vào mạng Internet Cơng nghệ Web phát triển nhanh chóng , nhiên theo thị hiếu, chủ yếu trọng đến yếu tố thẩm mĩ, yếu tố tốc độ , tiện dụng … nên dẫn đến nhiều khuyết điểm bảo mật độ an toàn Sự công không nằm khuôn khổ vài kỹ thuật đă phát hiện, mà linh động tăng lên tùy vào sai sót nhà quản trị hệ thống người lập trình ứng dụng người sử dụng Luận văn thực hịên với mục đích tìm hiểu, phân tích lỗ hổng bảo mật ứng dụng web để qua đề xuất phương án khắc phục Song song đó, luận văn DEMO chương trình mã nguồn mở dựa chế firewall IDS hữu ích cho người quản trị bảo mật hệ thống SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 7  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc TỔ CHỨC LUẬN VĂN Luận văn chia thành 11 chương Chương tìm hiểu giới thiệu ứng dụng web bản, vấn đề làm tảng cho kiến thức công lổi bảo mật Từ chương đến chương : Tìm hiểu q trình phương pháp cơng hacker, từ tìm biện pháp phịng chống khắc phục Chương đến chương 10: Rút kết luận q trình bảo mật phịng chống chung giới thiệu giải pháp, công nghệ bảo mật firewall, IDS, IPS… cho nhà quản trị hệ thống Chương cuối thực Demo triển khai cấu hình firewall IPCOP hệ thống mạng máy tính ảo Thử nghiệm phương pháp cơng, sau dùng hệ thống IDS tích hợp sẵn IPCOP để phát cơng SVTH: Lê Bá Q – MSSV: 02DHCT078 Trang 8  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc CHƯƠNG 1: TÌM HIỂU ỨNG DỤNG WEB Web application ứng dụng, thường bao gồm tập hợp script cư trú Web server tương tác với database hay nguồn nội dung động khác (dynamic content) Ứng dụng nhanh chóng sử dụng rộng rãi cho phép nhà cung cấp dịch vụ khách hàng chia sẻ vận dụng thông tin theo độc lập thông qua sở hạ tầng Internet Một vài ví dụ web application như: cơng cụ search, Webmail, shopping cart portal system 1.1 Kiến trúc ứng dụng web Về bản, ứng dụng web bao gồm vài thành phần, thành phần web server, nội dung ứng dụng có web server, tiêu biểu nơi lưu trử dử liệu cuối cho giao diện truy cập ứng dụng Đây mục tiêu ứng dụng Kiến trúc ứng dụng web tạo thành phần sau : - Web server - Nội dung ứng dụng (Application content) - Lưu trữ dử liệu (datastore) 1.1.1 Web server Web server dịch vụ chạy máy tính phục vụ nội dung web Dịch vụ tiểu biểu lắng nghe cổng 80 cho giao thức http cổng 443 ( https) Đôi webserver chạy cổng không chuẩn Microsoft’s Internet Imformation Server(IIS) Apache ví dụ webserver hiên Nó SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 9  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Hầu hết việc truyền thông web servers sử dụng Hyper Text Tranfer Protocol (giao thức truyền siêu văn - HTTP) yêu cầu tiền tố đặt trước “ http://” Các thơng tin HTTP tìm thấy RFC 2616 RFC 1945 Ý tưởng ứng dụng web chạy giao thức SSL webserver truy cập giao thức HTTPS( Hyper Text Transfer Protocol Secure) với tiếp đầu ngữ “ https://” Thơng tin tìm thấy từ RFC 2818 1.1.2 Application Content ( nội dung ứng dụng ) Nội dung ứng dụng chương trình tác động để lấy yêu cầu sử dụng tham số gởi trình duyệt để thực chức Nội dung ứng dụng tồn tai webserver Nội dung ứng dụng nội dung không cố định hay nội dung lập trình logic hay nội dung mà thực hành động khác dựa tham số gởi từ client Theo cách này, chương trình thực thi biên dịch khác lớn Ví du, PHP trình biên dịch ghi vào hệ nhị phân máy chủ web tác động kịch PHP biên dịch máy chủ web CGI chương trình lưu trú thư mục đặ biệt máy chủ web yêu cầu tạo trang đó, máy chủ web thực thi lệnh Trong số trường hợp, chương trình thư mục CGI trở thành kịch PERL Những trường hợp máy chủ web thực phiên dịch PERL mà xử lý đặc điểm chức kịch 1.1.3.The Data Store ( lưu trữ dử liệu) Data Store đặc trưng sở dử liệu, thứ, flat files, lệnh xuất dử liệu, thứ mà ứng dụng truy cập để nhận lưu trử dử liệu Data store lưu trú máy tính hồn tồn khác so với web server chạy Web server data store không cần thiết phải network, cần tiếp cận qua kết nối mạng 1.2 Hoạt động ứng dụng web SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 10  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Bước cấu hình thơng số cho mạng ISDN Do sử dụng ADSL nên ta chọn Disable ISDN Sau xác định thêm thông tin TCP/IP RED interface, dãy địa động cấp cho client, địa DNS, gateway, mật mã đăng nhập hệ thống website quản trị khởi động lại hệ thống • Vào mục Network Configuration type Chọn kiểu cấu hình mạng GREEN + ORANGE + RED • Chọn Drivers and card assignments để vào chức dị tìm card mạng Lúc cài đặt card mạng cho vùng ORANGE, RED cách làm giống vùng GREEN • Vào mục Address settings, chọn RED để đặt IP cho card mạng vùng SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 100  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc RED, tương tự với ORANGE • Vào mục DNS and Gateway settings để cấu hình Default Gateway DNS Server dùng để kết nối Internet Cấu hình Default Gateway IP Router ADSL (192.168.1.254 ), địa DNS tuỳ theo ISP (ví dụ: FPT 210.245.31.10 210.245.31.130 – VDC 203.162.4.190 203.162.4.191) Cầu hình DHCP, mạng dùng IP tĩnh để trống mục Enable bấm OK SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 101  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Tiếp theo đặt mật cho tài khoản root Mật quản trị, ta hỏi mật truy cập vào trang web quản trị IPCOP SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 102  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Đến trình cài đặt hoàn tất Bấm OK để khởi động lại máy tính 11.3 Quản trị IPCOP firewall/IDS Chúng ta quản trị IPCOP giao diện web từ máy tính hệ thống mình, ngoại trừ Vì firewall nên ta tháo bỏ thiết bị ngoại vi chuột, bàn phím hình khỏi IPCOP Firewall để tiết kiệm chi phí nâng cao tính bảo mật Từ máy tính dùng để quản trị, nhập vào địa sau http://IPCOP:81 http://192.168.1.1:81 tùy theo địa mạng firewall để đăng nhập vào hình quản trị Trong giao diện web quản trị hệ thống IPCOP Firewall, cơng cụ có menu điều khiển như: System, Status, Network, Services, Firewall Trước truy cập chức điều khiển IPCOP, ta cần đăng nhập với tài khoản admin SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 103  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc SYSTEM Trong trình đơn có cơng cụ: • Home: quay trang quản trị • Updates: cập nhật vá cho firewall • Password để thay đổi thơng tin tài khoản quản trị • SSH Access để bật/tắt SecureShell để kết nối đến IPCOP tiện ích SSH Client Putty tiến hành thay đổi trực tiếp tập tin cấu hình firewall • Shutdown: cho phép shutdown reboot hệ thống Ngồi lập lịch shutdown/reboot định kỳ • Backup để lưu tồn thơng tin cấu hình IPCOP phịng có cố xảy Và ta chọn GUI Settings để thay đổi giao diện trang web quản trị IPCOP thành tiếng Việt Updates Ở phần Available Updates thấy có cập nhật mới, truy cập vào website www.IPCOP.org tải tập tin cập nhật lưu chúng máy dùng để quản trị Sau chọn nút Browse phần Install new update để chọn tập tin Upload chúng lên firewall, tiến trình cài đặt tự động thực thi Tùy theo cập nhật mà có cần reboot hệ thống firewall hay không SSH Access SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 104  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Để cho phép quản trị IPCOP firewall/router mức sâu, cần phải thiết lập SSH Server thông qua menu SSH Access chọn enable (mặc định disable) SSH server IPCOP sử dụng port 222 cần phải kết nối SSH Client đến port 222 thay port 22 thơng thường, ví dụ: $ ssh –p 222 root@192.168.1.192 với 192.168.1.192 địa mạng firewall GUI Settings Để chuyển sang giao diện tiếng Việt, chọn GUI Settings chọn Vietnamese phần Select the language you wish IPCOP to display in chọn Save SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 105  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Backup Bấm nút Create chọn Backup to floppy đưa đĩa mềm định dạng Linux vào Dòng lệnh định dạng đĩa mềm hệ thống Linux: #fdfomat /dev/fd0 (có thể chạy thơng qua SSH Client) Nếu khơng có ổ đĩa mềm chọn bấm Export để tạo tập tin backup lưu vào thư mục máy tính Nên chọn Encrypted để nạp lại file backup cách bấm Browse, chọn tập tin backup bấm Import dat để khơi phục cấu hình Shutdown Bấm Reboot để khởi động lại Shutdown để tắtmáy tính chạy IPCOP Ngồi lập lịch để IPCOP tự Reboot hay Shutdown mục Shedule IPCOP reboots STATUS Khi hệ thống hoạt động, cần xem xét trạng thái firewall, dịch vụ chạy, trình sử dụng nhớ, đĩa 2.1 Giám sát dịch vụ SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 106  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Cần đảm bảo tất dịch vụ trạng thái Running, ngoại trừ dịch vụ NTP Server VPN, riêng dịch vụ DHCP tuỳ theo cấu hình có kích hoạt chức DHCP Server hay không 2.2 Giám sát nhớ, đĩa cứng 2.3 Giám sát kết nối SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 107  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc FIREWALL 3.1 Port Forwarding Là nơi định cho IPCOP dẩn gói tin có port xác định đến host cung cấp dịch vụ port Ví dụ : Web server có địa 192.168.11.2 cung cấp dịch vụ HTTP cổng 80 Khi cấu hình port forwarding , gói tin port 80 đến firewall firewall dẩn đến địa 192.168.11.2 3.2 External Access SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 108  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Chỉ định host hay networks phép truy cập đến firewall theo số port định trước Ví dụ đây, dòng thứ cho phép tất host địa truy cập đến firewall cổng 445 ( giao thức SSL) SERVICES Đây menu dùng để quản lý dịch vụ Web Proxy, Instruction Detect, DHCP 4.1 Proxy • Enable on Green: kích hoạt chức proxy mạng Green Bắt buộc phải chọn mục SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 109  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc • Transparent on Green: kích hoạt thuộc tính suốt Proxy Nếu bật chức client khơng cần đặt thống số Proxy trình duyệt mà cần đặt Gefault Gateway DNS Server địa IP máy tính IPCOP kết nối Internet • Proxy Port: đặt tuỳ ý (nên đặt 800) • Log Enable: kích hoạt chức ghi log (nên bật) • Cache size: đặt khoảng 50 – 100 MB (tuỳ dung lượng đĩa cứng) • URL filter: kích hoạt chức lọc URL (cần phải cài đặt plugin URL Filter) • Upstream proxy: proxy nối với proxy cấp cao nhập thơng số proxy cấp vào 4.2 Instrution Detection Dịch vụ Network Instruction Detect System dựa Snort để phòng ngừa phát trường hợp công Mặc định hệ thống IDS hoạt động RED Interface, nên kích hoạt cho GREEN ORANGE interface theo thống kê có đến 80% trường hợp công đặc biệt nghe với phần mềm dsniff có nguồn gốc từ nội SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 110  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Có thể đăng ký tài khoản miễn phí website http://www.snort.org để tạo Oink Code Để update rule database cho Snort, chọn Sourcefire VRT rules for registered users, sau nhập chuỗi “ f6cd266df2e5310d76a922ad5365e0175aa56fd0 ” lấy vào ô Oink Code bấm nút Save để lưu lại Sau bấm Download new ruleset để update cho Snort 4.3 IDS Log : Nơi báo cáo phát gói tin bắt phù hợp nội dung rules cài sẵn nhằm cảnh báo cho người quản trị xâm nhập hay dấu hiệu bắt đầu xâm nhập Ví dụ ta khai báo rules sau : alert icmp any any -> 192.168.1.1 any (dsize: >6500;msg: "ping of dead";sid:5000;) Nghĩa gói tin giao thức ICMP xuất phát từ địa port bất kì, đến địa 192.168.1.1 port bất ki Nếu gói tin có kích thước lớn 6500, hệ thống thơng báo với Admin thông điệp “ping of dead” IDS cảnh báo : SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 111  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc Tương tự với rules : alert tcp any any -> 192.168.1.1 80 (Content: "|25 32 37|"; msg: "phat hien dau nhay don tren URL, can than loi SQL injection ";sid:1234560;depth:1024;) Khi HTTP request đến webserver Trong gói tin có chứa |25 32 37| IDS nhận có user dùng kí tự ‘ để khai thác lổi SQL injection SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 112  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc KẾT LUẬN I NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC Theo yêu cầu đặt ban đầu “Tìm hiểu chế để bảo mật hệ thống thương mại điện tử - WEB SECURITY”, thời điểm tại, luận văn đạt nội dung sau: • Tìm hiểu kỹ thuật công ứng dụng Web bao gồm kỹ thuật - Thao tác tham số truyền URL, biến ẩn form, cookie, HTTP header - Chèn mã lệnh thực thi trình khách Cross-site Scripting - Chèn câu truy vấn SQL - Đánh chiếm phiên làm việc người dùng - Từ chối dịch vụ DoS • Bên cạnh trình bày biện pháp khắc phục tương ứng • Tìm hiểu hệ thống bảo mật firewall, IDS, IPS Bên cạnh triển khai demo hệ thống tường lửa IPCOP sử dụng SNORT để phát ngăn chặn công II HƯỚNG PHÁT TRIỂN ĐỀ TÀI Trong phạm vi luận văn đại học, luận văn đạt yêu cầu đặt Tuy nhiên, kết khiêm tốn hạn chế thời gian khả hạn chế 01 thành viên Trong thời gian tới, có điều kiện, luận văn cố gắng phát triển thêm nội dung sau: - Tìm hiểu thêm kỹ thuật công để đưa phương pháp bảo mật ứng dụng Web mức độ sâu - Các rules IDS luận văn viết theo mức độ đơn giản chưa thể áp dụng vào thực tế Cần phải viết thật cụ thể mức phân tích chi tiết gói tin SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 113  Đề tài: “Web-security” Bảo GVHD: ThS Huỳnh Quốc công nghiên cứu thêm công nghệ IPS - Cần phải nghiên cứu thêm phương pháp thuật toán mã hóa giải mã phương pháp phổ biến tương đối an toàn TÀI LIỆU THAM KHẢO • Hacking Exposed, Network Security Secrets & Solutions Stuart McClure, Joel Scambray, George Kurtz , McGraw-Hill Professional 2005 • Web Application Vulnerabilities Detect, Exploit, Prevent PUBLISHED BYSyngress Publishing, Inc.Elsevier, Inc Burlington, MA 01803 • Thăng, N.D & Thu, N.M (2003).Vấn đề bảo mật ứng dụng web internet Luận văn đại học Đại học Khoa Học Tự Nhiên TPHCM • Duy L.D SQL injection – tác hại phịng tránh • http://www.security.com.vn/ • http://www.idefense.com/ • http://www.sqlsecurity.com/ • http://www.snort.org/ • http://www.IPCOP.org/ • http://www.owasp.org/ • http://www.baomatthongtin.com/ • http://viethacker.org/ • http://www.hvaonline.net/ • http://www.quantrimang.com.vn/ Và số tài liệu khác … SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 114  ... mật hệ thống SVTH: Lê Bá Quý – MSSV: 02DHCT078 Trang 7  Đề tài: ? ?Web- security? ?? Bảo GVHD: ThS Huỳnh Quốc TỔ CHỨC LUẬN VĂN Luận văn chia thành 11 chương Chương tìm hiểu giới thiệu ứng dụng web. .. đích tìm hiểu, phân tích lỗ hổng bảo mật ứng dụng web để qua đề xuất phương án khắc phục Song song đó, luận văn DEMO chương trình mã nguồn mở dựa chế firewall IDS hữu ích cho người quản trị bảo mật. .. pháp, cơng nghệ bảo mật firewall, IDS, IPS… cho nhà quản trị hệ thống Chương cuối thực Demo triển khai cấu hình firewall IPCOP hệ thống mạng máy tính ảo Thử nghiệm phương pháp cơng, sau dùng hệ thống