BACH KHOA | TP HCM BẢO VỆ MỘT WEBSITE Khoa Khoa Học & Kỹ Thuật Máy Tính Trường Đại học Bách Khoa Tp Hồ Chí Minh www.cse.hcmut.edu.vn Hồng Thanh Ngọc Bảo - 50600117 Bùi Đăng Khánh - 50601060 Nguyễn Thanh Sơn - 50602042 NỘI DUNG BACH KHOA | TP HCM  Các rủi ro website  Các phương pháp bảo vệ website  Một số công cụ hỗ trợ bảo vệ website Khoa Khoa Học & Kỹ Thuật Máy Tính Trường Đại học Bách Khoa Tp Hồ Chí Minh www.cse.hcmut.edu.vn Hồng Thanh Ngọc Bảo - 50600117 Bùi Đăng Khánh - 50601060 Nguyễn Thanh Sơn - 50602042 Các rủi ro website BACH KHOA | TP HCM  Lợi dụng thiếu sót việc kiểm tra liệu nhập hợp lệ (Input validation)  Chiếm hữu phiên làm việc (Session Management)  Từ chối dịch vụ (Denial of Services (DoS))  Kiểm soát truy cập web (Web Access Control)  Để lộ thông tin (Informational) Khoa Khoa Học & Kỹ Thuật Máy Tính Trường Đại học Bách Khoa Tp Hồ Chí Minh www.cse.hcmut.edu.vn Hoàng Thanh Ngọc Bảo - 50600117 Bùi Đăng Khánh - 50601060 Nguyễn Thanh Sơn - 50602042 Input Validation BACH KHOA | TP HCM  Thao tác tham số truyền (Parameter manipulation)  Chèn mã lệnh thực thi trình duyệt nạn nhân (Cross – site Scripting)  Chèn câu truy vấn SQL (SQL Injection)  Các kỹ thuật khác: Buffer OverFlow, URL Encoding, OS Command Injection… Khoa Khoa Học & Kỹ Thuật Máy Tính Trường Đại học Bách Khoa Tp Hồ Chí Minh www.cse.hcmut.edu.vn Hồng Thanh Ngọc Bảo - 50600117 Bùi Đăng Khánh - 50601060 Nguyễn Thanh Sơn - 50602042 Input Validation BACH KHOA | TP HCM Thao tác tham số truyền  Thao tác URL:  Ví dụ: http://www.nganhang.com/example?user=thang&newpass=123 http://www.nganhang.com/example?user=admin&newpass=123  Khắc phục:  Sử dụng chế bảng băm (Hash Table)  Mã hóa thơng tin Khoa Khoa Học & Kỹ Thuật Máy Tính Trường Đại học Bách Khoa Tp Hồ Chí Minh www.cse.hcmut.edu.vn Hoàng Thanh Ngọc Bảo - 50600117 Bùi Đăng Khánh - 50601060 Nguyễn Thanh Sơn - 50602042 Input Validation BACH KHOA | TP HCM Thao tác tham số truyền  Thao tác biến ẩn Form:  Thông tin chuyển đổi thơng qua biến ẩn form, gọi Hidden Form Field  Ví dụ: