BÁO CÁO SQL INJECTION VÀ CÁC CÁCH TẤN CÔNG PHỔ BIẾN MỤC LỤC MỞ ĐẦU 1.Tính cấp thiết đề tài 2.Mục đích nghiên cứu 3.Đối tượng phạm vi nghiên cứu 4.Phương pháp nghiên cứu 5.Ý nghĩa khoa học thực tiễn đề tài 6.Bố cục luận văn CHƯƠNG 1: GIỚI THIỆU VỀ SQL INJECTION 1.1 Đặc trưng ứng dụng sử dụng sở liệu 1.2 Tầm quan trọng câu lệnh sql hệ thống web 1.3.Khái niệm sql injection CHƯƠNG 2: SQL INJECTION VÀ CÁC CÁCH TẤN CÔNG PHỔ BIẾN 11 2.1 Dạng công vượt qua kiểm tra đăng nhập 11 2.2 Dạng công sử dụng câu lệnh SELECT 13 2.3 Dạng công sử dụng câu lệnh INSERT 15 2.4 Dạng công sử dụng Stored-procedures 16 2.5 Dạng công sử dụng Blind SQL Injection 16 CHƯƠNG 3: PHÒNG CHỐNG SQL INJECTION 18 3.1.Kiểm soát chặt chẽ liệu đầu vào 18 3.2 Sử dụng lớp giao tiếp trừu tượng 19 3.3 Thiết lập đối tượng giả làm mồi nhử 20 3.4 Thiết lập cấu hình an tồn cho hệ quản trị sở liệu 20 KẾT LUẬN 21 KẾ HOẠCH DỰ KIẾN TRIỂN KHAI ĐỀ TÀI 25 TÀI LIỆU THAM KHẢO 26 MỞ ĐẦU 1.Tính cấp thiết đề tài Sự phát triển vượt bậc công nghệ web đem lại nhiều thuận lợi cho người sử dụng nhà phát triển.Nhưng với phát triển ứng dụng web trở thành mục tiêu ưu thích kể cơng.Các hình thức cơng đa dạng thay đổi nội dung trang web,tấn công từ chối dịch vụ khiến cho việc truy cập trang web khơng thể thực khó thực hiện,chiếm quyền điều khiển trang web… Mục tiêu hacker khác nhau,có thể cơng xuất phát từ thiện chí,nhằm tìm điểm yếu thơng báo cho nhà quản trị hệ thống.Nghiêm trọng cơng để phục vụ cho mục đích xấu tống tiền trang web,lấy cắp liệu nhạy cảm thơng tin thể tín dụng,mua hàng thơng qua tài khoản người khác… Trong hình thức cơng cơng cách chèn mã lệnh (injection) phổ biến Tấn công website kỹ thuật SQL injection từ lâu mối quan tâm bảo mật hàng đầu nhà phát triển web chủ sở hữu website Giờ đây, công ngày trở nên khó phát ngăn chặn hơn.Số lượng vụ công nhằm vào sở liệu (CSDL) web lên tới số kỹ lục Tháng năm 2006,theo số liệu thống kê hãng bảo mật SecureWorks cho biết phát tới 8.000 vụ công lên sở liệu ngày Như vậy, số tăng thêm trung bình từ 100 đến 200 vụ công ngày so với số tháng đầu năm 2006.Con số SecureWorks thống kê từ hệ thống sở liệu 1.300 khách hàng sử dụng giải pháp dịch vụ bảo mật hãng SecureWorks cho biết tin tặc - chủ yếu sử dụng máy tính Nga, Trung Quốc, Brazill, Hungary Hàn Quốc dùng chung phương pháp có tên SQL Injection vụ công vào sở liệu.Một vụ công SQL Injection tiếng vụ cơng vào CardSystems Solutions - hãng chuyên lưu trữ sở liệu toán thẻ tín dụng Tin tặc sử dụng giải pháp công SQL Injection để chiếm quyền điều khiển hệ thống sở liệu CardSystems chuyển toàn sở liệu ngồi Đã có khoảng 40 triệu thẻ tín dụng rơi vào tay chúng gây thiệt hại hàng triệu USD SQL Injection kiểu cơng có mục tiêu cụ thể thường mục tiêu đơn lẻ cho vụ cơng Chính mà vụ cơng thường không gây ý rộng rãi virus hay sâu máy tính.Âm thầm thiệt hại vụ công lại lớn Nếu máy chủ sở liệu bị tin tặc chiếm quyền kiểm sốt có khối lượng lớn thơng tin cá nhân tài người dùng rơi vào tay chúng Và thành cơng nói nguồn thơng tin mà tin tặc thu nhiều nhiều so với công phishing Tin tặc công giả mạo để lừa người sử dụng cung cấp thơng tin cá nhân tài Tỉ lệ thành công vụ công SQL Injection thường cao Mới vào tháng năm 2011,Công ty bảo mật web Armorize thông báo phát kiểu công với cách thức SQL injection hàng loạt Kiểu cơng lợi sử dụng hình thức đơn giản mạng ngang hàng (peer-to-peer) để làm cho mạng bị tổn hại khó gỡ xuống Về mặt lịch sử, công web hàng loạt đơn giản: Mã viết ngôn ngữ truy vấn có cấu trúc (SQL) gửi đến sở liệu web phụ trợ (back-end) nhờ sử dụng lỗ hổng mã website Khi lỗ hổng bảo mật nằm ứng dụng thông thường, cơng làm hại hàng ngàn website lúc.Trong phiên kiểu công, thay chèn vào website đoạn mã lệnh tĩnh đơn trỏ trình duyệt truy cập đến số website tải mã độc hại, kẻ công tạo đoạn mã lệnh động dẫn khách truy cập tới máy chủ web bị xâm nhập từ trước Kỹ thuật làm cho việc lập danh sách đen (blacklisting) khó khăn nhiều Trên thực tế phát triển mạnh mẽ giờ,từng ngày công nghệ thông tin kiểu công hacker ngày tinh vi,phức tạp khó ngăn chặn.Xuất phát từ lý trên,tơi chọn đề tài “ công kiểu SQL injectiontác hại phịng chống” làm đề tài nghiên cứu 2.Mục đích nghiên cứu  Giúp hiểu ứng dụng website, mối đe dọa vấn đề an tồn thơng tin làm việc ứng dụng web hàng ngày, hiểu rõ kỹ thuật công bảo mật web  Xác định nguyên nhân,nhận diện xác đối tượng động cơ,cách thức kể công xâm nhập vào sở liệu.Xác định mục tiêu,mối nguy hiểm thường trực an ninh ứng dụng web tổ chức  Hiểu rõ khái niệm sql injection phương thức hoạt động hacker thông qua lỗ hổng  Biết sử dụng phương pháp công cụ để kiểm tra an ninh bảo mật ứng dụng web nhằm có cách phịng chống hiệu 3.Đối tượng phạm vi nghiên cứu Tìm hiểu kỹ thuật công phổ biến sql injection.Cách bảo mật phịng thủ kiểu cơng cách tổng quan 4.Phương pháp nghiên cứu  Tiếp cận ngơn ngữ truy vấn có cấu trúc SQL  Nghiên cứu kỹ thuật công sql injection thơng qua lỗ hổng bảo mật từ đưa giải pháp phịng chống có hiệu 5.Ý nghĩa khoa học thực tiễn đề tài Theo tài liệu Hacking Exposed Web 2.0 đánh giá Mức độ phổ biến phương pháp công kiểu sql injection cao( 8/10), đơn giản để thực hiện( 8/10), lỗi bảo mật phổ biến nhất,xác xuất gặp lỗi bảo mật cao tác động SQL Injection tới hệ thống nguy hiểm( 9/10) Chính thế, nên tổng thể nguy đánh giá 9/10 Đây thật lỗ hổng bảo mật đáng quan tâm đến Dựa vào lỗi SQL Injection, hacker làm việc sau:  Có thể lấy nhiều thơng tin quan trọng sở liệu hệ thống web account password admin web site, hay thông tin quan trọng thẻ tín dụng khách hàng ngân hàng đó…  Có thể thêm, xóa, sửa sở liệu đối tượng bị công theo ý muốn  Có thể tạo backdoor cho lần cơng sau  Có thể đánh sập hồn tồn hệ thống  Có thể dùng phương pháp công DoS Các công sql injection thường nhắm đến sở liệu mang tính thương mại,các website thành phố chí website phủ,hầu hết website bị cơng thuộc loại đáng tin cậy,hợp pháp an toàn tuyệt đối mắt người dùng Xuất phát từ thực tế việc nghiên cứu đề tài hoàn toàn cấp thiết 6.Bố cục luận văn Mở Đầu: Chương 1: Giới thiệu SQL Injection Chương 2: SQL Injection cách công phổ biến Chương 3: Phòng chống SQL Injection Kết Luận: Kế hoạch dự kiến triển khai đề tài Tài liệu tham khảo CHƯƠNG 1: GIỚI THIỆU VỀ SQL INJECTION 1.1 Đặc trưng ứng dụng sử dụng sở liệu Hiện ứng dụng phổ biến chiếm thị phần doanh thu cao ứng dụng hổ trợ tính quản lý.Dữ liệu thứ sống cịn hoạt động nghiệp vụ tại.Chính lý đó, ứng dụng nghiệp vụ xây dựng mơ hình phát triển gắn liền với sở liệu An toàn liệu đặt nặng lên tính an tồn bảo mật ứng dụng Web kết nối tới sở liệu Các mơ hình phát triển ứng dụng Web sử dụng phổ biến 3-tier, ngồi cịn có số cải tiến, mở rộng mơ hình nhằm mục đích riêng Mơ hình ứng dụng 3-tier Các mơ hình ln có số điểm chung, database server làm nhiệm vụ lưu trữ liệu, database hồi đáp truy vấn liệu xây dựng theo chuẩn (ví dụ SQL) Mọi thao tác xử lý liệu input, output database server ứng dụng web tầng Logic xử lý Các vấn đề an ninh phát sinh đa phần nằm tầng 1.2 Tầm quan trọng câu lệnh sql hệ thống web Cơ sở liệu(database) coi "trái tim" hầu hết website Nó chứa đựng liệu cần thiết để website chạy lưu trữ thơng tin phát sinh q trình chạy Nó lưu trữ thơng tin cá nhân , thẻ tín dụng , mật khách hàng , user chí Administrator Để lấy thơng tin cần thiết từ sở liệu câu lệnh SQL đảm đương trách nhiệm thực yêu cầu truy vấn đưa từ phía người sử dụng: người dùng đăng nhập vào hệ thống, lấy thơng tin web… cần sử dụng câu lệnh SQL, hay nói cách khác, câu lệnh SQL đóng vai trị quan trọng hệ thống web 1.3.Khái niệm sql injection SQL Injection kỹ thuật điền vào đoạn mã SQL bất hợp pháp cho phép khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng Lỗ hổng bảo mật xuất ứng dụng khơng có đoạn mã kiểm tra chuỗi ký tự thoát nhúng câu truy vấn SQL định kiểu đầu vào không rõ ràng hay lỗi cú pháp SQL lập trình viên khiến cho đoạn mã ngoại lai xử lý ngồi ý muốn Nó ví dụ rủi ro ngơn ngữ lập trình hay ngơn ngữ kịch nhúng ngôn ngữ khác Tấn công SQL injection cịn hiểu hình thức cơng chèn bất hợp pháp đoạn mã SQL SQL Injection dạng công dễ thực hiện, hầu hết thao tác người công cần thực với trình duyệt web, kèm theo ứng dụng proxy server Chính đơn giản học cách tiến hành công Lỗi bắt nguồn từ mã nguồn ứng dụng web khơng phải từ phía database, thành phần ứng dụng mà người dùng tương tác để điều khiển nội dung (ví dụ : form, tham số URL, cookie, tham số referrer, user-agent, …) sử dụng để tiến hành chèn truy vấn có hại Để hiểu rõ sql injection xem ví dụ minh họa sau: Khi người sử dụng truy cập vào website tin tức click vào tin có mã số đường dẫn gửi tới máy chủ có nội dung sau: Khi đó,để cung cấp nội dung tin số trả cho người sử dụng,website truy vấn tới sở liệu để lấy tin.Câu truy vấn SQL người lập trình viết có cấu trúc sau: SELECT* FROM News WHERE Newsld =”+N_ID+” Trong trường hợp với yêu cầu lấy tin số biến N_ID=1.Kết câu truy vấn SQL thật tới sở liệu là: SELECT* FROM News WHERE Newsld =1 Do sơ xuất lập trình viên lập trình,khơng kiểm tra tính hợp lệ N_ID trước thực thi câu truy vấn SQL,hacker lợi dụng để chèn câu truy vấn nguy hiểm tới sở liệu Chúng ta thấy phần bơi đậm hình minh họa câu truy vấn độc hại hacker chèn vào.Câu truy vấn thực thi với câu truy vấn người lập trình viết khiến thông tin sở liệu bị xóa SELECT * FROM News WHERE NewsId = 1; DELETE FROM NEWS WHERE NewsId=2 Dưới sơ đồ kết nối ví dụ trên: Minh họa cho truy vấn thông thường tới website Minh họa cho hệ thống tồn lỗ hổng SQL Injection Minh họa cho hệ thống không tồn lỗ hổng SQL Injection Như thấy,lỗi SQL Injection xẩy website khơng lập trình tốt,bản chất điểm yếu sql injection xuất từ trình xử lý liệu input người dùng bên mã nguồn, thời gian bảo trì mã nguồn thường kéo dài nên lỗi sql injection chậm khắc phục triệt để 10 Cũng có thắc mắc làm biết tên bảng liệu mà thực thao tác phá hoại ứng dụng web bị lỗi SQL injection Cũng đơn giản, SQL Server, có hai đối tượng sysobjects syscolumns cho phép liệt kê tất tên bảng cột có hệ thống Ta cần chỉnh lại câu lệnh SELECT, ví dụ như: " UNION SELECT name FROM sysobjects WHERE xtype = 'U' liệt kê tên tất bảng liệu 2.3 Dạng công sử dụng câu lệnh INSERT Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng kí thành cơng, người dùng xem hiệu chỉnh thơng tin SQL injection dùng hệ thống khơng kiểm tra tính hợp lệ thơng tin nhập vào Ví dụ: câu lệnh INSERT có cú pháp dạng: INSERT INTO TableName VALUES('Value One','Value Two', 'Value Three') Nếu đoạn mã xây dựng câu lệnh SQL có dạng: Thì chắn bị lỗi SQL injection, ta nhập vào trường thứ ví dụ như: ' + (SELECT TOP FieldName FROM TableName) + ' Lúc câu truy vấn là: INSERT INTO TableName VALUES(' ' + (SELECT TOP FieldName FROM TableName) + ' ', 'abc', 'def') Khi đó, lúc thực lệnh xem thông tin, xem bạn yêu cầu thực thêm lệnh là: SELECT TOP FieldName FROM TableName 15 2.4 Dạng công sử dụng Stored-procedures Stored Procedure sử dụng lập trình web với mục đích nhằm giảm phức tạp ứng dụng tránh công kỹ thuật sql injection.Tuy nhiên kẻ cơng vấn lợi dụng stored procedure để công vào hệ thống.Việc công gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống ‘sa’ Ví dụ: stored procedure sp_login gồm hai tham số username password, kẻ công nhập: Username : thanhcong Password : ‘ ; shutdown- Lệnh gọi stored procedure sau: Exec sp_login ‘thanhcong’,‘’;shutdown- -’ Lệnh shutdown thực dừng sql server 2.5 Dạng công sử dụng Blind SQL Injection Một số ứng dụng Web thiết kế xử lý lỗi tốt kẻ công thấy thông báo lỗi chứa thông tin nhạy cảm Do việc công cách sử dụng từ khố UNION hay cơng dựa vào thơng báo lỗi thực Trong trường hợp kẻ cơng sử dụng kỹ thuật Blind SQL Injection Có hai dạng Blind SQL Injection:  Normal Blind: Không thấy phản hồi từ trang Web kẻ cơng thấy kết thơng qua mã trạng thái HTTP kết câu truy vấn Cách công Normal Blind thường thực cách sử dụng câu điều kiện If cơng vào mệnh đề Where  Totally Blind: Hồn tồn không thấy phản hồi từ trang Web Khi kẻ cơng sử dụng số hàm hệ thống phân tích trả lời từ trang Web để tìm lỗ hổng Ví dụ: Kẻ cơng sử dụng câu truy vấn sau: 16 ProductID = 1;waitfor delay ‘0:0:10’— Nếu thời gian phản hồi từ trang web trể bình thường 10 giây có nghĩa trang web có lỗ hổng Mặc dù SQL chuẩn ANSI ISO đưa ra, nhiên, có nhiều phiên khác ngơn ngữ SQL Và phần lớn chương trình sở liệu có phần mở rộng thêm vào riêng họ, so với chuẩn SQL Do đó, cơng sở liệu khác website viết ngôn ngữ lập trình khác nhau, phải sử dụng nhiều phương pháp công khác Tuy nhiên, câu lệnh chương trình sở liệu phần lớn phải theo chuẩn đưa ra.Chính dạng cơng nêu hacker sử dụng phổ biến hiệu hầu hết sở liệu 17 CHƯƠNG 3: PHÒNG CHỐNG SQL INJECTION Như vậy, thấy lỗi SQL injection khai thác bất cẩn lập trình viên phát triển ứng dụng web xử lí liệu nhập vào để xây dựng câu lệnh SQL Tác hại từ lỗi SQL injection tùy thuộc vào môi trường cách cấu hình hệ thống Nếu ứng dụng sử dụng quyền dbo (quyền người sở hữu sở liệu owner) thao tác liệu, xóa tồn bảng liệu, tạo bảng liệu mới, … Nếu ứng dụng sử dụng quyền ‘sa’ (quyền quản trị hệ thống), điều khiển toàn hệ quản trị sở liệu với quyền hạn rộng lớn tạo tài khoản người dùng bất hợp pháp để điều khiển hệ thống bạn.Để phòng chống có số biện pháp sau: 3.1.Kiểm sốt chặt chẽ liệu đầu vào Điểm yếu sql injection bắt nguồn từ việc xử lý liệu từ người dùng khơng tốt,do vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống sql injection Để phịng tránh nguy xảy ra, bảo vệ câu lệnh SQL cách kiểm soát chặt chẽ tất liệu nhập nhận từ đối tượng Request (Request, Request.QueryString, Request.Form, Request.Cookies, and Request.ServerVariables) Ví dụ, giới hạn chiều dài chuỗi nhập liệu, xây dựng hàm EscapeQuotes để thay dấu nháy đơn dấu nháy đơn như: Trong trường hợp liệu nhập vào số, lỗi xuất phát từ việc thay giá trị tiên đoán liệu số chuỗi chứa câu lệnh SQL bất hợp pháp Để tránh 18 điều này, đơn giản kiểm tra liệu có kiểu hay khơng hàm IsNumeric() Ngồi xây dựng hàm loại bỏ số kí tự từ khóa nguy hiểm như: ;, , select, insert, xp_, … khỏi chuỗi liệu nhập từ phía người dùng để hạn chế cơng dạng này: 3.2 Sử dụng lớp giao tiếp trừu tượng Khi thiết kế ứng dụng doanh nghiệp thường có yêu cầu đặt định nghĩa lớp (layer) mơ hình n-tier, ví dụ lớp trình diễn (presentation), lớp nghiệp vụ (business), lớp truy cập liệu (data access) cho lớp trừu tượng với lớp Trong phạm vi nội dung xét, lớp trừu tượng phục vụ truy cập liệu Tùy theo cơng nghệ sử dụng mà ta có lớp chuyên biệt Hibernate Java, hay framework truy cập database (database driver) ADO.NET, JDBC, PDO Các lớp giao tiếp cho phép truy cập liệu an tồn mà khơng làm lộ kiến trúc chi tiết bên ứng dụng 19 Một ví dụ lớp truy cập liệu thiết kế có tính tốn, tất câu lệnh thao tác với database có sử dụng liệu bên ngồi phải thơng qua câu lệnh tham số hóa Đảm bảo điều kiện ứng dụng truy cập tới database thông qua lớp truy cập liệu này, ứng dụng không sử dụng thông tin cung cấp để xây dựng truy vấn SQL động database Một điều kiện đảm bảo kết hợp phương thức truy cập database với việc sử dụng stored procedure database Những điều kiện giúp cho database an toàn trước công 3.3 Thiết lập đối tượng giả làm mồi nhử Chiến thuật đưa nhằm cảnh báo cho quản trị viên nguy cơng cố tình tìm cách khai thác liệu nhạy cảm password Phương pháp nên phối hợp với việc đặt tên đối tượng khó đốn Để thực phương pháp này, ta sinh bảng chứa cột có tính nhạy cảm mà dễ đốn, ví dụ password, credit_no, liệu bảng liệu giả, thông tin truy cập, có thơng báo gửi cho quản trị viên 3.4 Thiết lập cấu hình an tồn cho hệ quản trị sở liệu Cần có chế kiểm sốt chặt chẽ giới hạn quyền xử lí liệu đến tài khoản người dùng mà ứng dụng web sử dụng Các ứng dụng thông thường nên tránh dùng đến quyền ‘dbo’ hay ‘sa’ Quyền bị hạn chế, thiệt hại Ngồi cần tắt tất thông báo lỗi không cần thiết web server Hacker lợi dụng thông báo lỗi để khai thác thông tin hệ thống, phục vụ cho công SQL Injection Tóm lại để ứng dụng thật tránh công SQL Injection cần triển khai số việc sau:  Khơng trả trang lỗi có thơng tin nhạy cảm  Cải thiện liệu nhập vào tốt có khả loại bỏ cơng  Hạn chế tối đa quyền truy vấn  Thường xuyên kiểm tra, quét ứng dụng công cụ  Dùng chắn tốt cho lớp tương tác 20 KẾT LUẬN “Tấn công kiểu sql injection-tác hại phịng chống” khơng phải đề tài lạ,nhưng mang tính thực tế cao,nhất giai đoạn Việt Nam tiến hành sách cơng nghiệp, hóa đại hóa đất nước,đẩy mạnh cơng nghệ thơng tin,đưa tin học vào sống,việc thiết lập website riêng,quản lý bảo vệ chúng cho công ty trở nên nhu cầu thiết yếu Với tính nghiêm trọng cơng,tính dễ thực công khiến cho SQL Injection trở thành mối hiểm họa nghiêm trọng giao dịch thương mại điện tử ứng dụng Web phát triển thiếu an toàn Hiện nay, việc nghiên cứu SQL Injection có hệ thống tồn diện hơn, mối nguy hiểm giảm đi, số liệu thống kê gần cho thấy vấn đề chưa giải triệt để Mục đích đề tài tập trung phân tích bản, cách hình thành kỹ thuật công công SQL Injection tới ứng dụng Web, thông qua đề xuất giải pháp phát triển ứng dụng Web an toàn cho nhà phát triển ứng dụng Web.Tơi hy vọng đề cập cung cấp nhìn tổng thể, cho cộng đồng nhà phát triển ứng dụng web sau 21 22 23 Dù cố gắng nghiên cứu trình độ kinh nghiệm cịn hạn chế nên khơng tránh khỏi thiếu sót.Vì tơi mong nhận góp ý thầy cô giáo bạn.Tôi xin chân thành cảm ơn 24 KẾ HOẠCH DỰ KIẾN TRIỂN KHAI ĐỀ TÀI STT Thời gian Nội dung nghiên cứu Kết dự kiến 07/11/2011 đến 12/11/2011 - Tìm hiểu ứng dụng sở liệu thiết kế Hiểu kỹ thuật công sql web injection mức độ - Nghiên cứu hình thức nguy hiểm kiểu công chèn mã lệnh lỗ hổng công bảo mật sql injection 12/11/2011 đến 17/11/2011 Đưa phương pháp phòng - Nghiên cứu hình thức chống dựa cơng sql injection kiểu cơng tìm hiểu 17/11/2011 đến 21/11/2011 Chỉnh sửa hoàn thiện đề tài Kết luận văn nghiên cứu 25/11/2011 Hoàn thành luận văn 25 ... kỹ thuật công phổ biến sql injection. Cách bảo mật phịng thủ kiểu cơng cách tổng quan 4.Phương pháp nghiên cứu  Tiếp cận ngơn ngữ truy vấn có cấu trúc SQL  Nghiên cứu kỹ thuật công sql injection. .. thiệu SQL Injection Chương 2: SQL Injection cách cơng phổ biến Chương 3: Phịng chống SQL Injection Kết Luận: Kế hoạch dự kiến triển khai đề tài Tài liệu tham khảo CHƯƠNG 1: GIỚI THIỆU VỀ SQL INJECTION. .. thời gian bảo trì mã nguồn thường kéo dài nên lỗi sql injection chậm khắc phục triệt để 10 CHƯƠNG 2: SQL INJECTION VÀ CÁC CÁCH TẤN CƠNG PHỔ BIẾN Các cơng nhắm tới lớp database ứng dụng web xét