Đang tải... (xem toàn văn)
Hình bên dưới minh họa chi tiết mô hình ứng dụng Web ba tầng. Tầng đầu tiên thông thường là trình duyệt Web hoặc giao diện người dùng. Tầng thứ hai là công nghệ kỹ thuật tạo nội dung động như Java servlets (JSP) hay Active Server Pages (ASP). Còn tầng thứ ba là cơ sở dữ liệu chứa nội dung (như tin tức) và dữ liệu người dùng (như username, password, mã số bảo mật xã hội, chi tiết thẻ tín dụng)....
KHÁI NIỆM ỨNG DỤNG WEB Định nghĩa Phuong thức hoạt động :D Hình bên minh họa chi tiết mơ hình ứng dụng Web ba tầng Tầng thơng thường trình duyệt Web giao diện người dùng Tầng thứ hai công nghệ kỹ thuật tạo nội dung động Java servlets (JSP) hay Active Server Pages (ASP) Còn tầng thứ ba sở liệu chứa nội dung (như tin tức) liệu người dùng (như username, password, mã số bảo mật xã hội, chi tiết thẻ tín dụng) Hình Q trình hoạt động bắt đầu với yêu cầu tạo từ người dùng trình duyệt, gửi qua Internet tới trình chủ Web ứng dụng (Web application Server) Web ứng dụng truy cập máy chủ chứa sở liệu để thực nhiệm vụ yêu cầu: cập nhật, truy vấn thông tin nằm sở liệu Sau ứng dụng Web gửi thơng tin lại cho người dùng qua trình duyệt Hình Các vấn đề bảo mật Web Mặc dù phủ nhận cải tiến nâng cao đáng kể nay, vấn đề bảo mật ứng dụng Web khơng ngừng tăng lên Ngun nhân xuất phát từ đoạn mã không phù hợp Nhiều điểm yếu nghiêm trọng hay lỗ hổng cho phép hacker xâm nhập thẳng truy cập vào sở liệu tách lấy liệu nhạy cảm Nhiều sở liệu chứa thông tin giá trị (như chi tiết cá nhân, thơng tin tài chính) khiến chúng trở thành đích nhắm thường xuyên hầu hết hacker Mặc dù hoạt động công phá hoại website doanh nghiệp diễn thường xuyên, tin tặc thích tăng cường khả truy cập liệu nhạy cảm nằm trình chủ chứa database lợi nhuận khổng lồ từ vụ mua bán liệu đem lại Trong khung hoạt động mơ tả trên, bạn thấy thật dễ dàng cho hacker truy cập nhanh chóng thơng tin nằm sở liệu với chút sáng tạo Nếu may mắn chúng gặp lỗ hổng xuất phát từ cẩu thả hay lỗi người dùng ứng dụng Web Như nói, website phụ thuộc vào sở liệu để phân phối thông tin yêu cầu cho người dùng Nếu ứng dụng Web khơng an tồn (như có lỗ hổng, gặp phải kiểu kỹ thuật hacking đó), tồn sở liệu chứa thông tin nhạy cảm gặp nguy hiểm nghiệm trọng Một số hacker chèn mã độc hại vào ứng dụng Web có lỗ hổng để lừa đảo người dùng dẫn họ tới website phishing Kỹ thuật gọi Cross-site Scripting, dùng thân Web Server nơi chứa sở liệu khơng có lỗ hổng Một nghiên cứu gần 75% công mạng thực mức ứng dụng Web Hình • Website ứng dụng Web liên quan phải sẵn sàng 24/7 để cung cấp dịch vụ theo yêu cầu khách hàng, yêu cầu từ phía nhân viên, nhà cung cấp nhiều người liên quan khác • Tường lửa, SSL khơng thể bảo vệ ứng dụng Web trước hoạt động hacking, đơn giản truy cập vào website phải để chế độ public để ghé thăm website Tất hệ thống sở liệu đại (như Microsoft SQL Server, Oracle, MySQL) truy cập qua số cổng cụ thể (như cổng 80, 443) Nếu muốn, người kết nối trực tiếp tới sở liệu cách hiệu vượt qua chế bảo mật hệ điều hành Các cổng để mở nhằm cho phép liên lạc với hoạt động giao thông mạng hợp pháp, hình thành nên lỗ hổng lớn nguy hiểm • Các ứng dụng Web thường truy cập liệu cuối sở liệu khách hàng, điều khiển liệu có giá trị khó để tuyệt đối an tồn Lúc truy cập liệu thường khơng kèm script cho phép đóng gói truyền tải liệu Nếu hacker nhận điểm yếu script, dễ dàng mở lại lưu lượng sang khu vực khác chia lẻ bất hợp pháp chi tiết cá nhân người dùng, dù khơng chủ tâm làm điều • Hầu hết ứng dụng Web tự tạo, có kiểm tra trình độ so với phần mềm loại Do ứng dụng tùy biến thường dễ bị cơng Có thể nói ứng dụng Web cổng vào (gateway) sở liệu, ứng dụng tùy biến Chúng không phát triển với mức bảo mật tốt khơng phải qua kiểm tra bảo mật thơng thường Nói chung, bạn cần trả lời câu hỏi: “Phần website nghĩ an toàn lại mở cửa cho công?” “Dữ liệu đem vào ứng dụng khiến thực số điều khơng nên làm?” Đó cơng việc phần mềm rà sốt lỗ hổng Web Các kĩ thuật công ứng dụng web Những nguy công từ ứng dụng web Tổng kết Cách phòng chống +Đối với nhà quản trị mạng +Voi nha thiet ke ung dung web +Voi nguoi su dung ung dung web Công cụ bảo mật ứng dụng web Chương trình web checker Những vấn để đạt hạn chế Trong hầu hết trình duyệt, kí tự nên mã hố địa URL trước sử dụng Việc công theo SQL Injection dựa vào câu thông báo lỗi việc phịng chống hay không cho hiển thị thông điệp lỗi cho người dùng cách thay lỗi thông báo trang người phát triển thiết kế lỗi xảy ứng dụng Kiểm tra kĩ giá trị nhập vào người dùng, thay kí tự ‘ ; v v Hãy loại bỏ kí tự meta “',",/,\,;“ kí tự extend NULL, CR, LF, string nhận từ: - liệu nhập người dùng đệ trình - tham số từ URL - giá trị từ cookie Đối với giá trị numeric, chuyển sang integer trước thực câu truy vấn SQL, dùng ISNUMERIC để chắn số integer Dùng thuật toán để mã hoá liệu Kiểm tra liệu Kiểm tra tính đắn liệu vấn đề phức tạp thường chưa quan tâm mức ứng dụng Khuynh hướng việc kiểm tra tính đắn liệu cần thêm số chức vào ứng dụng, mà phải kiểm tra cách tổng qt nhanh chóng để đạt mục đích Những tóm tắt sau bàn việc kiểm tra tính đắn liệu, với ví dụ mẫu để minh hoạ cho vấn đề Có ba giải pháp tiếp cận vấn đề này: 1) Cố gắng kiểm tra chỉnh sửa để làm cho liệu hợp lệ 2) Loại bỏ liệu bất hợp lệ 3) Chỉ chấp nhận liệu hợp lệ Khóa chặt SQL server : Đây danh sách công việc cần làm để bảo vệ SQL server: Xác định phương pháp kết nối đến server: Dùng tiện ích Network Utility để kiểm tra có thư viện mạng dùng hoat động Kiểm tra tất tài khoản có SQL Server Chỉ tạo tài khoản có quyền thấp cho ứng dụng - Loại bỏ tài khoản không cần thiết - Đảm bảo tất tài khoản có mật hợp lệ, … Kiểm tra đối tượng tồn Nhiều extended stored procedure xố bỏ cách an tồn Nếu điều thực hiện, nên xem xét việc loại bỏ tập tin dll chứa mã extended stored procedure Xoá bỏ tất sở liệu mẫu “northwind” “pubs” Xóa stored procedure khơng dùng như: master xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask Kiểm tra tài khoản truy xuất đến đối tượng Đối với tài khoản ứng dụng dùng để truy xuất sở liệu cấp quyền hạn cần thiết tối thiểu để truy xuất đến đối tượng cần dùng Kiểm tra lớp sửa chữa server Có số cách công “buffer overflow”, “format string” thường ý đến lớp bảo vệ Kiểm tra phiên làm việc server Thay đổi "Startup chạy SQL Server" mức người dùng quyền hạn thấp SQL Server Security Xữ lí bị tràn đệm: Người thiết kế Web cần phải kiểm tra kĩ kích thước liệu trước sử dụng Dùng Referer HTTP Header để kiểm tra yêu cầu có phải xuất phát từ máy người dùng ... làm điều • Hầu hết ứng dụng Web tự tạo, có kiểm tra trình độ so với phần mềm loại Do ứng dụng tùy biến thường dễ bị công Có thể nói ứng dụng Web cổng vào (gateway) sở liệu, ứng dụng tùy biến Chúng... nguy công từ ứng dụng web Tổng kết Cách phòng chống +Đối với nhà quản trị mạng +Voi nha thiet ke ung dung web +Voi nguoi su dung ung dung web Công cụ bảo mật ứng dụng web Chương trình web checker... xuất phát từ cẩu thả hay lỗi người dùng ứng dụng Web Như nói, website phụ thuộc vào sở liệu để phân phối thông tin yêu cầu cho người dùng Nếu ứng dụng Web khơng an tồn (như có lỗ hổng, gặp phải