Đang tải... (xem toàn văn)
Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)
ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHATTHANAM PHOUCHANTHVONG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DỮ LIỆU ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên – 2020 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG KHATTHANAM PHOUCHANTHAVONG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP PHỊNG CHỐNG TẤN CÔNG DỮ LIỆU ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ Chuyên ngành: Khoa học máy tính Mã số chuyên ngành: 8480101 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Hướng dẫn khoa học: TS Nguyễn Đức Bình Thái Nguyên – 2020 I LỜI CẢM ƠN Trước hết xin gửi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học TS Nguyễn Đức Bình dẫn khoa học, định hướng nghiên cứu tận tịnh hướng dẫn tơi suốt q trình làm luận văn Tôi xin cảm ơn thầy khoa Công nghệ thông tin, thầy cô giáo trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái Nguyên cung cấp cho kiến thức vô quý báu cần thiết suốt thời gian học tập trường để tơi thực hồn thành tốt luận văn Tơi xin bày tỏ lịng biết ơn sâu sắc tới Chính phủ Lào Chính phủ Việt Nam, Bộ Giáo dục Thể thao Lào, Bộ Giáo dục Đào tạo Việt Nam tạo điều kiện cấp suất học bổng cao học cho Xin trân trọng cảm ơn sâu sắc tới Ban Lãnh đạo Bộ giáo dục thể thao Lào tạo điều kiện ủng hộ tơi Với thời gian nghiên cứu cịn hạn chế, ngơn ngữ cịn khiêm tốn, luận văn khơng tránh khỏi thiếu sót, tơi mong nhận ý kiến đóng góp chân thành từ thầy giáo, đồng nghiệp bạn bè Cuối cùng, xin cảm ơn gia đình bạn bè, người ủng hộ động viên tôi, giúp yên tâm có tâm lý thuận lợi để tơi nghiên cứu luận văn Tuy nhiên giới hạn mặt thời gian kiến thức nên luận văn chắn khơng tránh khỏi sai sót ngồi ý muốn Tôi mong nhận thông cảm đóng góp ý kiến thầy giáo, đồng nghiệp bạn bè Thái Nguyên, tháng 11 năm 2020 HỌC VIÊN Khatthnam PHOUCHANTHAVONG II LỜI CAM ĐOAN Tôi xin cam đoan toàn nội dung văn tự sưu tầm, tra cứu xếp cho phù hợp với nội dung yêu cầu đề tài Nội dung luận văn chưa cơng bố hay xuất hình thức không chép từ cơng trình nghiên cứu Tất phần mã nguồn chương trình tơi tự thiết kế xây dựng, có sử dựng số thư viện chuẩn thuật toán tác giả xuất cơng khai miễn phí mạng Internet Thái Nguyên, tháng 11 năm 2020 Tác giả luận văn Khatthanam PHOUCHANTHAVONG III MỤC LỤC LỜI CẢM ƠN I LỜI CAM ĐOAN II MỤC LỤC III DANH SÁNH HÌNH VẼ VI DANH SÁCH TỪ VIẾT TẮT VII MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI BẢO MẬT THÔNG DỤNG .3 1.1 Khái niệm chung thương mại điện tử 1.1.1 Sự đời phát triển Internet .3 1.1.2 Khái niệm thương mại điện tử 1.1.3 Hệ thống hoạt động thương mại điện tử .5 1.2 Tổng quan ứng dụng Website 1.2.1 Khái niệm ứng dụng Website 1.2.2 Cách thức hoạt động .7 1.2.3 Các dịch vụ ứng dụng Website 1.3 Tổng quan an ninh mạng 1.3.1 Khái niệm an toàn an ninh mạng 1.3.2 Sự cần thiết phải bảo vệ thông tin 1.4 Các thuật ngữ liên quan 10 1.4.1 Hacker 10 1.4.2 HTTP Header .10 1.4.3 Session 12 1.4.4 Cookie 13 1.4.5 Proxy .15 IV CHƯƠNG CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN 16 2.1 Đặc trưng Website thương mại điện tử 16 2.2 Tổng quan Local Attack 17 2.2.1 Giới thiệu Local Attack 17 2.2.2 Phương thức công Local Attack .17 2.3 Tấn công từ chối dịch vụ (denial of service) 19 2.3.1 DOS (Denial of Service) .19 2.3.2 DDoS (Distributed Denial of Service) 20 2.4 Tấn công SQL Injection 24 2.4.1 SQL Injection gì? 24 2.4.2 SQL Injection vấn đề an ninh sở liệu 24 2.5 Các phương pháp công SQL Injection phổ biến 27 2.5.1 Tấn công khai thác liệu thơng qua tốn tử UNION .28 2.5.2 Tìm số cột kiểu liệu cột 28 2.5.3 Tìm cột có khả “chứa” thơng tin khai thác 28 2.5.4 Khai thác thông qua câu lệnh điều kiện 30 2.5.5 Blind SQL Injection – phương thức công nâng cao .31 2.5.6 Vấn đề qua mặt lọc tham số đầu vào 31 2.5.7 Sử dụng byte NULL .32 2.6 Tấn công Cross Site Scripting (XSS) 32 2.6.1 Hoạt động XSS .33 2.6.2 Phương pháp công 34 CHƯƠNG MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DỮ LIỆU WEBSITE THƯƠNG MẠI ĐIỆN TỬ .35 3.1 Mơ hình đề xuất 35 3.2 Các giải pháp đề xuất cụ thể .36 3.2.1 Giải pháp phòng chống Local Attack 36 V 3.2.2 Giải pháp phịng chống cơng SQL Injection 38 3.2.3 Xây dựng truy vấn theo mơ hình tham số hóa 40 3.2.4 Chuẩn hóa liệu 44 3.2.5 Giải pháp bảo mật liệu với mã hóa AES .44 3.3 Demo ứng dựng Website thương mại điện tử ứng dụng giải pháp phịng chống cơng liệu 48 3.3.1 Xây dựng website thương mại điện tử khóa học 48 3.3.2 Mã hoá liệu bên hệ quản trị sở liệu 50 3.3.3 Một số giao diện chức Admin .52 3.4 Đánh giá kết 55 KẾT LUẬN VÀ ĐỀ NGHỊ .56 TÀI LIỆU THAM KHẢO 57 VI DANH SÁNH HÌNH VẼ Hình 1: Mơ hình ứng dụng thương mại điện tử giai đoạn chuỗi giá trị Hình 2: Kiến trúc ứng dụng Website .6 Hình 3: Mơ hình hoạt động ứng dụng Website Hình 1: Sơ đồ phân loại mơ hình cơng DDoS .21 Hình 2: Kiến trúc attack-network kiểu Agent – Handler 22 Hình 3: Kiến trúc attack-network kiểu IRC-Base 23 Hình 4: Thống kê 10 điểm yếu phổ biến (2008) 25 Hình 5: Thống kê 10 điểm yếu phổ biến (2009) 25 Hình 6: Thống kê thời gian trung bình khắc phục điểm yếu (2008) .26 Hình 7: Thống kê thời gian trung bình khắc phục điểm yếu (2009) .26 Hình 8: Thống kê điểm yếu thường khai thác 2019 27 Hình 9: Tìm cột mang liệu .29 Hình 10: Khai thác thông tin username 29 Hình 1: Mơ hình đề xuất .35 Hình 2: Hàm prepare MySQL .41 Hình 3: Trang chủ website thương mại điện tử khóa học .48 Hình 4: Một số sản phẩm website thương mại điện tử khóa học 49 Hình 5: Một số sản phẩm website thương mại điện tử khóa học 50 Hình 6: Bảng điểm (point) sau mã hõa liệu với AES 50 Hình 7: Giao diện sau đăng nhập 53 Hình 8: Giao diện thêm khóa học 53 Hình 9: Giao diện Danh sách khóa học 54 Hình 10: Giao diện Danh sách lớp học 54 VII DANH SÁCH TỪ VIẾT TẮT Ý nghĩa TT Chữ viết tắt TMĐT Thương mại điện tử HTML Hyper text markup language JSP JavaServer Pages ASP Active Server Pages DBMS Database Managerment System ODBC Database Connectivity DOS Denial of Service DDoS Distributed Denial of Service IRC Internet Relay Chat 10 IPS Intrusion Prevention System 11 XSS Cross-Site Scripting MỞ ĐẦU Thương mại điện tử (TMĐT) việc tiến hành phần hay toàn hoạt động thương mại phương tiện điện tử qua môi trường Internet giúp hoạt động thương mại thực nhanh hơn, hiệu hơn, giúp tiết kiệm chi phí mở rộng khơng gian kinh doanh Với vai trị ảnh hưởng rộng lớn, đặc biệt liên quan đến tài nhiều lĩnh vực hoạt động kinh tế, website TMĐT với đặc điểm chứa nhiều thông tin giá trị, đặc biệt mặt tài Điều dẫn tới website TMĐT mục tiêu công bất hợp pháp nhằm khai thác liệu có giá trị Cơng nghệ thông tin Thương mại điện tử xâm nhập vào góc cạnh đời sống xã hội nói chung doanh nghiệp nói riêng Đối với doanh nghiệp, Thương mại điện tử góp phần hình thành mơ hình kinh doanh mới, giảm chi phí, nâng cao hiệu kinh doanh Đối với người tiêu dùng, Thương mại điện tử giúp mua sắm thuận tiện hàng hóa dịch vụ thị trường nơi giới Để doanh nghiệp phát triển mơi trường cơng nghệ có tốc độ phát triển doanh nghiệp phải nắm rõ thơng tin để vận hành thương mại điện tử vào tổ chức Thế giới ngày có nhiều tiến mạnh mẽ công nghệ thông tin (CNTT) từ tiềm thông tin trở thành tài nguyên thực sự, trở thành sản phẩm hàng hoá xã hội tạo thay đổi to lớn lực lượng sản xuất, sở hạ tầng, cấu trúc kinh tế, tính chất lao động cách thức quản lý lĩnh vực xã hội Trong năm gần đây, ứng dụng công nghệ thông tin ngày phát triển Đặc biệt ứng dụng Website, người nghe làm việc ứng dụng Website Website trở nên phổ biến trở thành phần quan trọng người doanh nghiệp, công ty Bên cạnh lý an tồn bảo mật cho ứng dụng Website vấn đề nan giải người Với lý trên, em lựa chọn đề tài “Nghiên cứu số giải pháp phòng chống công liệu website thương mại điện tử” để làm đề tài luận văn cho Em thấy đề tài mang tính thực tế cao, giúp cho nhà quản trị Website 44 3.2.4 Chuẩn hóa liệu Chúng ta đề cập đến số thao tác qua mặt lọc, phương thức phổ biến mã hóa input định dạng gửi cho ứng dụng mà sau input giải mã theo định dạng hacker mong muốn Ví dụ, ta có số mã hóa dấu nháy đơn sau: Bảng 1: Một số mã hóa dấu nháy đơn Biểu diễn Hình thức mã hóa %27 Mã hóa URL(URL encoding) %2527 Mã hóa kép URL(double URL encoding), trường hợp dấu % %27 mã hóa %u0027 Biểu diễn dạng ký tự Unicode %u02b9 Biểu diễn dạng ký tự Unicode %ca%b9 Biểu diễn dạng ký tự Unicode ' Thuộc tính HTML ' Thuộc tính HTML dạng hexa ' Thuộc tính HTML dạng decimal Khơng phải tất hình thức biểu diễn thơng dịch thành dấu nháy đơn mong muốn mà tùy thuộc vào điều kiện cụ thể (ví dụ giải mã mức ứng dụng, giải mã WAF hay Web server, ) Nói chung khó dự đốn kết việc thơng dịch dạng mã hóa Chính lý trên, để thuận lợi cho trình kiểm tra liệu đầu vào đầu ra, tác giả đề xuất xây dựng mô hình chuẩn hóa liệu dạng đơn giản Một mơ hình xem xét như, ban đầu giải mã dạng URL, sau giải mã dạng HTML, thực vài lần, phát dấu hiệu nghi vấn, từ chối liệu 3.2.5 Giải pháp bảo mật liệu với mã hóa AES Thuật tốn AES cho phép thực thi hiệu phần mềm phần cứng Trong phạm vi luận văn này, tác giả đề xuất thực thi AES sử dụng dạng phần mềm nhằm đảm bảo với nhu cầu Website thương mại điện tử 45 Hiện nay, Internet có nhiều mã nguồn thực thi thuật toán AES nhiều tác giả viết nhiều dạng ngơn ngữ lập trình khác Tuy nhiên, tác giả sử dụng số mã nguồn thuật toán cung cấp https://csrc.nist.gov/archive/aes/ đặc tả thuật tốn AES, mã nguồn chương trình thực thi, véc-tơ kiểm tra thuật tốn, Bên cạnh đó, tác giả đề xuất sử dụng thư viện hàm mật mã tương thuộc dự án OpenSSL [20] áp dụng xây dựng ứng dụng thương mại điện tử Web có sử dụng mã hóa AES Thuật tốn AES Nguyên tắc Mã hóa AES sử dụng liệu đầu vào key hệ Hex, rõ key phải chuyển đổi từ hệ ASCII sang hệ Hex Tùy thuộc vào độ dài key sử dụng 128bit, 196bit 256 bit mà AES có cách mã hóa với số lần lặp khác Cụ thể Độ dài khóa(Nk) Kích thước khối (Nb) Số lần lặp AES 128 4 10 AES 196 12 AES 256 14 Bước 1: Khởi động vòng lặp AddRoundKey — Mỗi cột trạng thái kết hợp với khóa theo thứ tự từ đầu dãy khóa Bước 2: Vòng lặp SubBytes — phép (phi tuyến) byte trạng thái byte khác theo bảng tra (Rijndael S-box) ShiftRows — dịch chuyển, hàng trạng thái dịch vòng theo số bước khác MixColumns — trình trộn làm việc theo cột khối theo phép biến đổi tuyến tính 46 AddRoundKey Bước 3: Vòng lặp cuối SubBytes ShiftRows AddRoundKey Tìm hiểu cách thức giải mã AES Việc giải mã trình tương tự q trình mã hóa Tuy nhiên, thứ tự hàm biến đổi áp dụng khác so với thuật tốn mã hóa Trong dạng danh sách khóa thuật tốn giữ nguyên Về bản, sô đặc điểm AES cho phép có thuật tốn giải mã tương đương có thứ tự áp dụng hàm biến đổi giống với thuật tốn mã hóa (tất nhiên biến đổi cách làm ngược chúng) Điều làm cách thay đổi danh sách khóa Lợi ích việc mã hóa liệu Thấy rõ lợi ích bảo mật thông tin trước mối nguy hại hacker, phần mềm gián điệp Mã hóa liệu phương pháp bảo mật liệu phổ biến hiệu nhất, nhiều tổ chức, cá nhân tin tưởng Thực tế, việc mã hóa liệu khơng thể ngăn việc liệu bị đánh cắp, ngăn việc người khác đọc nội dung tập tin đó, bị biến sang thành dạng ký tự khác, hay nội dung khác Nhược điểm mã hóa liệu Tốn tài nguyên CPU cho xử lý đơn vị liệu, số trường hợp làm chậm trình xử lý đơi người ta cần cân đối tính bảo mật tốc độ xử lý, độ trễ hệ thống liên quan Không có vậy, liệu sau mã hóa thường có dung lượng lớn hơn, làm cho trình lưu trữ truyền tải tốn 47 Ứng dụng q trình mã hóa giải mã hệ thống đề xuất Hình 3: Dữ liệu mã hóa với AES Hình 4: Dữ liệu giải mã với AES 48 3.3 Demo ứng dựng Website thương mại điện tử ứng dụng giải pháp phịng chống cơng liệu 3.3.1 Xây dựng website thương mại điện tử khóa học Xây dựng website thương mại điện tử để giới thiệu khóa học với chức năng: Hiển thị thơng tin khóa học, chi tiết khóa học, giỏ hàng, quản lý khoá học, đăng nhập, tin tức, liên hệ Hình 3: Trang chủ website thương mại điện tử khóa học Trên trang website thương mại điện tử khóa học gồm trang: Trang chủ, Sản phẩm, Liên hệ, Thông tin, Tin tức Xác Định Chức Năng Trang WEB Có tác nhân: • Khách hàng: Là người thăm website, họ xem, tìm kiếm đặt hàng sản phẩm • Thành viên: Là người thăm website đăng ký trở thành thành viên Ngồi việc có chức giống khách hàng, họ tiến hành đăng bình luận, đánh giá sản phẩm tiến hành toán sản phẩm đặt hàng • Người quản trị (admin): Người quản trị website đăng nhập vào hệ thống nhằm mục đích quản lý thơng tin liệu website, có tồn quyền thêm xóa sửa sở liệu Yêu Câu Chức Năng 49 - Tra cứu sản phẩm thêm sản phẩm vào giỏ hàng - Đăng nhập, quản lý thông tin cá nhân sau đăng nhập - Tra cứu xem viết giới thiệu sản phẩm - Quản lý sản phẩm - Quản lý danh mục sản phẩm - Quản lý người dung - Quản lý giỏ hàng Yêu Cầu Phi Chức Năng - Tương thích với thiết bị có độ phân giải hình khác máy tính, máy tính bảng, smartphone - Website phải có dung lượng không lớn, tốc độ xử lý nhanh - Bảo mật thông tin thành viên - Đảm bảo an toàn liệu chạy website trực tuyến - Dễ dàng cho người sử dụng, giao diện thân thiện, truy cập dễ dàng Cách mua sản phẩm website thương mại điện tử khóa học - Vào trang sản phẩm chọn sản phẩm vào giỏ hàng bạn Hình 4: Một số sản phẩm website thương mại điện tử khóa học 50 - Vào giỏ hàng sau chọn sản phẩm mua Click đồng ý tốn Hình 5: Một số sản phẩm website thương mại điện tử khóa học 3.3.2 Mã hố liệu bên hệ quản trị sở liệu Bộ liệu mã hóa trước ghi vào sở liệu giải mã sau đọc từ sở liệu Quá trình không làm ảnh hưởng đến thao tác xử lý liệu hệ quản trị MySQL Bảng điểm (point) sau mã hõa liệu với AES Hình 6: Bảng điểm (point) sau mã hõa liệu với AES 51 Bảng người học (student) sau mã hóa liệu với AES Ngồi để thực giải pháp phải xây dựng hệ thống khóa để mã hóa liệu chế quản lý khóa bí mật Đối với quan hệ liệu tạo khóa bí mật để mã hóa liệu quan hệ Các khố lưu khóa bí mật bảng lấy để thực việc mã hóa/giải mã Việc mã hóa giải mã AES thực thơng qua hàm encryptString() Laravel