BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Họ tên tác giả: Nguyễn Hải Điềm ĐỀ TÀI NGHIÊN CỨU – XÂY DỰNG GIẢI PHÁP PHỊNG VỆ CHO MỘT SỐ HÌNH THỨC TẤN CƠNG – NGUY CƠ TRÊN CÁC ỨNG DỤNG WEB LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN Người hướng dẫn TS Nguyễn Khanh Văn Hà Nội 2013 MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI CẢM ƠN LỜI CAM ĐOAN MỞ ĐẦU Lý chọn đề tài: Mục đích nghiên cứu: Đối tượng phạm vi nghiên cứu: Phương pháp nghiên cứu: Kết cấu luận văn: CHƯƠNG 10 LÝ THUYẾT VỀ ỨNG DỤNG WEB 10 1.1 Giới thiệu mô tả hoạt động ứng dụng web 10 1.1.1 Giới thiệu ứng dụng web 10 1.1.2 Hoạt động ứng dụng web 11 1.2 Vấn đề bảo mật ứng dụng web 12 CHƯƠNG CÁC HÌNH THỨC TẤN CÔNG 14 VÀ GIẢI PHÁP PHÒNG VỆ CHO CÁC ỨNG DỤNG WEB 14 2.1 Kỹ thuật công ứng dụng Web 14 2.1.1 Giai đoạn 1: Thu thập thông tin 14 2.1.2 Giai đoạn 2: Phân tích hành động 15 2.1.3 Giai đoạn 3: Dừng xoá dấu vết 15 2.2 Thao tác tham số truyền 16 2.2.1 Thao tác URL 16 2.2.1.1 Khái niệm 16 2.2.1.2 Giải pháp phòng chống 16 2.2.2 Thao tác biến Ẩn form 17 2.2.2.1 Khái niệm 17 2.2.2.2 Giải pháp phòng chống 18 2.2.3 Thao tác cookie 18 Trang 2.2.3.1 Khái niệm 18 2.2.3.2 Giải pháp phòng chống 19 2.2.4 Thao tác HTTP Header 20 2.2.4.1 Khái niệm 20 2.2.4.2 Giải pháp phòng chống 21 2.3 Chèn mã lệnh thực thi trình duyệt khách Cross-site Scripting 21 2.3.1 Kỹ thuật công Cross-site Scripting (XSS) 21 2.3.2 Phương pháp công XSS truyền thống 22 2.3.3 Kỹ thuật công XSS truyền thống 22 2.3.4 Một số website Việt Nam tìm thấy lỗ hổng XSS 24 2.3.5 Tấn công XSS flash 25 2.3.6 Cách phòng chống chung 26 2.4 Chèn câu truy vấn SQL (SQL Injection) 27 2.4.1 Khái niệm SQL Injection 27 2.4.2 Các cách công 28 2.4.2.1 Kĩ thuật vượt qua kiểm tra lúc đăng nhập 28 2.4.2.2 Tấn công dựa vào câu lệnh SELECT 30 2.4.2.3 Tấn công dựa vào lệnh INSERT 30 2.4.2.4 Tấn công dựa vào STORED PROCEDURE 31 2.4.3 Cách phòng chống 31 2.5 Tấn công từ chối dịch vụ DOS( Denical of Service) 33 2.5.1 Khái niệm công từ chối dịch vụ DOS: 33 2.5.2 Các cách công DOS 34 2.5.2.1 Khái niệm TCP bắt tay ba chiều 34 2.5.2.2 Lợi dụng TCP thực phương pháp SYN flood truyền thống 34 2.5.2.3 Tấn công vào băng thông 36 2.5.3 DRDoS(Distributed Reflection Denail of Service) - Tấn công từ chối dịch vụ phản xạ nhiều vùng: 37 2.5.4 Kiểu công vào tài nguyên hệ thống 38 2.5.5 Cách phòng tránh kỹ thuật công DOS 39 CHƯƠNG THỰC NGHIỆM KỸ THUẬT TẤN CÔNG SQL INJECTION 41 3.1 Yêu cầu 41 3.2 Demo kỹ thuật công SQL Injection: 41 KẾT LUẬN 47 Trang TÀI LIỆU THAM KHẢO 49 PHỤ LỤC 50 Trang DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT Từ viết tắt Ý nghĩa HTTP HyperText Transfert Protocol HTML HyperText Markup Language URL Uniform Resource Locator SQL Structured Query Language XSS Cross-site scripting STT Trang DANH MỤC HÌNH VẼ Hình 1.1: Kiến trúc ứng dụng Web 10 Hình 1.2: Mơ hình hoạt động ứng dụng Web 11 Hình 2.1: Các bước công hacker vào ứng dụng Web 14 Hình 2.2: Form giỏ hàng chứa biến ẩn 17 Hình 2.3: Quá trình thực XSS 23 Hình 2.4: Trang Facebook bị giả mạo 24 Hình 2.5: Một số website Việt Nam tìm thấy lỗ hổng XSS 25 Hình 2.6: Đường link có chứa virus 26 Hình 2.7: Những lỗ hổng ứng dụng web thường thấy 28 Hình 2.8: Một trang Log In 29 Hình 2.9: Một form đăng ký thành viên 31 Hình 2.10: Cách thức hoạt động TCP 34 Hình 2.11: Tấn công Dos truyền thống 35 Hình 2.12: Kiểu cơng Dos vào băng thông 36 Hình 2.13: Kiểu cơng DDos 37 Hình 2.14: Kiểu công DRDos 38 Hình 3.1: Trang Web bị dính lỗi SQL Injection 41 Hình 3.2: Dùng oder by kiểm tra số cột Table 42 Hình 3.3: Dùng oder by kiểm tra số cột Table 42 Hình 3.4: Dùng Union select kiểm tra 43 Hình 3.5: Sửa câu lệnh Union select 43 Hình 3.5: Kiểm tra Version chạy Web 44 Hình 3.6: Tìm tên Table 44 Hình 3.7: Tìm trường bảng Admin 45 Hình 3.8: Trang MD5cracker.org 46 Hình 3.9: Đăng nhập thành cơng quyền quản trị Web 46 Trang LỜI CẢM ƠN Em xin chân thành cảm ơn thầy, cô Viện Công nghệ thông tin & truyền thông, Đại học Bách Khoa Hà Nội tận tình giảng dạy, bảo, trang bị kho kiến thức khổng lồ, dìu dắt em đứng vững đường trinh phục tri thức hồi bão Đặc biệt em xin chân thành cảm ơn nhiệt tình hướng dẫn, giúp đỡ TS Nguyễn Khanh Văn suốt thời gian thực Luận văn tốt nghiệp Do kinh nghiệm nghiên cứu thời gian hạn chế nên đề tài cịn nhiều thiếu sót Em mong nhận góp ý, phê bình q thầy bạn để đề tài em hoàn thiện Xin chân thành cảm ơn! Trang LỜI CAM ĐOAN Tơi xin cam đoan luận văn hồn tồn tơi thực Các đoạn trích dẫn, số liệu luận văn dẫn nguồn xác cao theo độ hiểu biết tôi./ Hà Nội, Ngày tháng năm 2013 Học viên Nguyễn Hải Điềm Trang MỞ ĐẦU Lý chọn đề tài: Trong kỷ nguyên công nghệ thông tin nay, internet phát triển mạnh mẽ với phạm vi ứng dụng Web ngày phổ biến đáp ứng nhu cầu người dùng “lỗ hổng” xuất nhiều mục tiêu bị công cao Tấn công ứng dụng Web việc hacker khai thác nhằm mục đích phá hoại hay phục vụ yêu cầu riêng Không hoạt động riêng lẻ, hacker thường tập trung thành nhóm có tổ chức, có mục đích hoạt động nguồn lực dồi Không công website cá nhân, doanh nghiệp mà xu hướng hacker nhằm vào mục tiêu lớn tập đoàn, tổ chức danh tiếng, quan phủ nhằm gây thiệt hại tài sản, thông tin kinh doanh uy tín đơn vị Ví dụ trang Web tập đoàn lớn như: Amazon, Sony, Boeing, FBI, CIA hay website phủ Mỹ, Nhật, Hàn Quốc, Việt Nam… không ngoại lệ hacker Không số lượng cơng tăng lên nhanh chóng, mà phương pháp công ngày tinh vi Mặt khác, việc quản trị hệ thống mạng đòi hỏi nhà quản trị hệ thống có kiến thức kinh nghiệm hệ thống mạng chắn, không tạo nhiều điều kiện cho hacker khai thác Mục đích nghiên cứu: Luận văn thực với mục đích tìm hiểu, phân tích hình thức cơng - nguy ứng dụng web (cùng với thực nghiệm kỹ thuật cơng ứng dụng Web chính) để qua đề xuất phương án phịng chống, sửa chữa Đối tượng phạm vi nghiên cứu: Phạm vi đối tượng nghiên cứu hẹp luận văn: * Phần lý thuyết: ứng dụng website Việt Nam nước với khả nguy bị công kỹ thuật : Trang - Thao tác tham số truyền URL, biến ẩn form, cookie, HTTP header - Chèn mã lệnh thực thi trình duyệt khách Cross-site Scripting - Chèn câu truy vấn SQL (SQL Injection) - Từ chối dịch vụ (DoS, DDos) * Phần thực hành: Thực nghiệm kỹ thuật công ứng dụng web SQL Injection Phương pháp nghiên cứu: Thu thập, phân tích, nghiên cứu tài liệu thông tin liên quan đến đề tài Có hướng đề xuất giải pháp phịng chống trang web có nguy bị cơng kỹ thuật công luận văn Kết cấu luận văn: Luận văn bao gồm chương: - Chương 1: Lý thuyết ứng dụng web Giới thiệu chung ứng dụng web, khái niệm hoạt động ứng dụng web Internet - Chương 2: Các hình thức cơng ứng dụng web giải pháp phịng chống Chương trình bày tổng qt kỹ thuật công ứng dụng web cách phòng chống - Chương 3: Thực nghiệm kỹ thuật cơng ứng dụng web SQL Injection qua nắm bắt kỹ thuật trình tự để kiểm tra trang web có khả bị cơng hay không Trang Dùng Union select: http://www.saigoncable.com.vn/noidung/Sanpham.php?id=-1 union select 1,2,3,4,5,6 Hình 3.4: Dùng Union select kiểm tra Lỗi amin mã hóa từ khóa SQL Ta sửa sau: http://www.saigoncable.com.vn/noidung/Sanpham.php?id=-1 uNion seLect 1,2,3,4,5,6 Hình 3.5: Sửa câu lệnh Union select Trang 43 - Tiếp theo ta kiểm tra để xác định Version chạy Web: http://www.saigoncable.com.vn/noidung/Sanpham.php?id=-1 uNion seLect 1,2,3,@@Version,5,6 Hình 3.5: Kiểm tra Version chạy Web Ta tìm tên table có database: http://www.saigoncable.com.vn/noidung/Sanpham.php?id=-1 uNion seLect 1,2,3,grOup_concat(Table_name),5,6 fRom infomation_schema.tabLes where tAble_schema = database() Hình 3.6: Tìm tên Table Trang 44 Ta tiến hành tìm trường bảng admin sau: Hình 3.7: Tìm trường bảng Admin - Theo hình 3.7 tơi lấy liệu dạng mã hóa Username: admin Password: 21232f297a57a5a743894a0e4a801fc3 - Việc khai thác SQL Injection đến bước tìm đường dẫn đăng nhập quản trị mật nằm dạng mã hóa, ta cần phải tiến hành giải mã với MD5cracker.org Giải mã Password: 21232f297a57a5a743894a0e4a801fc3=admin Trang 45 Hình 3.8: Trang MD5cracker.org Tơi đăng nhập thành cơng quyền quản trị website với Username: admin; Password: admin Hình 3.9: Đăng nhập thành cơng quyền quản trị Web Ngồi ra, hacker cịn sử dụng công cụ hỗ trợ (tool) để tiến hành khai thác ứng dụng web lỗi Trang 46 KẾT LUẬN Trong thời gian vừa qua ứng dụng Web bị cơng nhiều có tổ chức, quy mơ lớn số nguyên nhân sau: - Sự gia tăng số lượng ứng dụng Web cá nhân, doanh nghiệp, tổ chức, quan phủ nhằm hội nhập với xu hướng thơng tin hóa tồn cầu - Thương mại điện tử ngày phát triển mạnh phân phối qua Web (HTTP) - Sự bùng nổ hình thức cơng ứng dụng Web Khối lượng kiến thức công cụ phục vụ (Tool) hỗ trợ nhiều dễ dàng tiếp cận sử dụng, với người dùng thông thường - Sự lây lan nhanh chóng khủng khiếp loại virus, worm, trojan… internet, hệ thống mạng, máy chủ, máy tính nhân thiết bị cá nhân - Các bất cập yếu hệ thống tường lửa bảo vệ hệ thống mạng, máy chủ phát ngăn chặn hình thức cơng - Ý thức cá nhân, tổ chức, quan vấn đề bảo mật phịng tránh nguy bị cơng ứng dụng Web Trong nguyên nhân trên, nguyên nhân ý thức việc đáng lưu tâm Vì nguyên nhân tiền đề cho nguyên nhân khác có hội nhen nhóm phát triển Như vậy, quan, đơn vị chức cá nhân cần nhận thức tầm quan trọng quan tâm đến vấn đề bảo mật mạng I NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC Cho đến thời điểm tại, luận văn đạt nội dung nhiều nguồn tài liệu chủ yếu dựa vào tài liệu internet: * Tìm hiểu kĩ thuật cơng ứng dụng Web bao gồm kĩ thuật - Thao tác tham số truyền URL, biến ẩn form, cookie, HTTP header - Chèn mã lệnh thực thi trình khách Cross-site Scripting - Chèn câu truy vấn SQL - Từ chối dịch vụ (DoS, DDos) Trang 47 * Thực nghiệm kỹ thuật công ứng dụng SQL Injection : - Kiểm tra trang Web có khả bị công kĩ thuật chèn câu lệnh SQL Tác giả thực công thành công không thành công Tuy công đơn giản qua tác giả hiểu chất công lỗi bảo mật ứng dụng web II HƯỚNG PHÁT TRIỂN Trong phạm vi luận văn Cao học, đạt yêu cầu đặt Tuy nhiên, kết khiêm tốn hạn chế tài liệu thời gian Trong thời gian tới, có điều kiện, tác giả luận văn cố gắng phát triển thêm nội dung sau: - Tìm hiểu thêm kĩ thuật công để đưa phương pháp bảo mật ứng dụng Web mức độ sâu - Tìm hiểu vấn đề bảo mật sâu hơn, không dừng mức độ ứng dụng Web mà phát triển vấn đề bảo mật hệ thống mạng dịch vụ smartphone - Áp dụng kiến thức phòng chống công ứng dụng web vào công việc thực tế Trang 48 TÀI LIỆU THAM KHẢO A Tài liệu Tiếng Việt: [1] Tác giả Đặng Hải Sơn-Trung tâm ứng cứu khẩn cấp máy tính Việt Nam.Lỗi bảo mật ứng dụng web cách khắc phục [2] Tác giả Lê Đình Duy-Khoa CNTT-Trường ĐH Khoa Học Tự Nhiên TP.HCM Tấn cơng kiểu SQL Injection-Tác hại phịng tránh [3] Tác giả Võ Đỗ Thắng-Trung tâm An ninh mạng Athena Web Application Attack & Defense [4] Tác giả Mask-NBTA XSS B Tài liệu Tiếng Anh: [5] Author Kewin Spett, SQL Injection, SPI Dynamics, 2005 [6]Author Stephen Kost,”An Introduction to SQL Injection Attacks For Oracle Developers”, MIT Publisher, 2009 [7] Author Marsel Nizamutdinov (2005), Hacker Web Exploitation Uncovered, A-LIST C Tài liệu Internet: [8] http://en.wikipedia.org/wiki/Cross-site_scripting [9] http://vi.wikipedia.org/wiki/SQL_injection [10] http://www.codeproject.com [11] http://athena.edu.vn/ [12] CEH V7 Module 13_Hacking WebApplication http://ceh.vn/@4rum/showthread.php?tid=4586 [13] CEH V7 Module 14_Sql Injection http://ceh.vn/@4rum/showthread.php?tid=4586 Trang 49 PHỤ LỤC CÁC CƠNG CỤ QT LỖ HỔNG WEBSITE Cơng cụ qt lỗi website Paros Paros Java dựa công cụ tuyệt vời miễn phí vơ giá kiểm toán ứng dụng web, kiểm tra gỡ lỗi Mặc dù Paros tiếng giới bảo mật ứng dụng web, biết đến giới phát triển web nói chung Paros cơng cụ tuyệt vời chắn nên quen thuộc với ứng dụng web bảo vệ chuyên nghiệp Tuy nhiên, khả Paros mở rộng an ninh tranh luận cho sử dụng nhà phát triển web tốt Paros dễ dàng mangle u cầu, làm cơng việc tuyệt vời kiểm tra HTTP giao thông xác định vấn đề Paros công cụ tuyệt vời cho việc theo dõi nguyên nhân gây máy chủ web vơ hạn chuyển hướng vịng lặp, sai cookie, vấn đề khó nắm bắt khác ổ đĩa bạn điên bạn trang bị trình duyệt web.Tất nhiên, dễ dàng mà Paros kiểm tra thao tác giao thông hợp pháp cho phép kiểm tra thâm nhập để sử dụng Paros để thao tác giao thông cách độc hại Paros công cụ tuyệt vời cho thâm nhập mù thử nghiệm phát triển chứng khái niệm khai thác ứng dụng web Hiện Paros kiểm tra vấn đề sau: HTTP PUT cho phép: kiểm tra xem tùy chọn PUT kích hoạt vào thư mục máy chủ - Thư mục lập mục: kiểm tra xem thư mục duyệt - Tập tin lỗi thời tồn tại: Kiểm tra xem có tồn tập tin lỗi thời Cross Site Scripting: Kiểm tra xem XSS cho phép thơng số truy vấn Chính sách qt Paros: Trang 50 Chính sách Paros Acunetix WVS – Công cụ kiểm tra lỗi website Acunetix WVS (Web Vulnerability Scanner) chương trình tự động kiểm tra ứng dụng Web để tìm kiếm lỗ hổng bảo mật SQL Injection, hay Cross-Site Scripting,… tìm kiếm sách mật đăng nhập phương thức xác thực vào Web Site Như thường thấy, lỗi bảo mật Việt Nam tập trung vào lỗ hổng nguy hiểm mà cơng cụ Scan cao cấp quét thấy Nhưng hầu hết admin dường quên mất, đến lỗ hổng dễ phát Hiện nay, giới có cơng cụ qt lỗi bảo mật tiếng là: Shadow Security Scanner, Retina Network Security Scanner, Metasploit cao cấp phải có độ hiểu biết định Nmap, Netcat Trang 51 Giao diện Acunetix WVS Cửa sổ bên trái cung cấp cho ta dãy công cụ: Web Scanner, Site Crawer, Target Finder, Subdomain Scanner , cần nhấp chuột vào cơng cụ để AWV thực nhiệm vụ Ưu điểm Tool tương tác trực quan mà khơng phải nhớ dịng lệnh Nmap Netcat … Acunetix WVS công cụ quét lỗi cho ứng dụng Web dựa sở liệu rộng lớn cập nhật thường xuyên, với thuật toán heuristic đáp ứng chế họat động phức tạp môi trường Web Acunetix WVS tự động kiểm tra lổ hỗng thông dụng cross site scripting, sql injection mối nhạy cảm khác web site truy cập trình duyệt, hay ứng dụng xây dụng kỹ thuật tiên tiến AJAX để thực điều Acunetix WVS dựa nhiều phương pháp cơng cụ tích hợp để: - Crawling (lấy về) toàn website gồm tất liên kết site tập tin robots.txt sau hiển thị tịan cấu trúc cách chi tiết Trang 52 - Sau tiến trình cwarling khám phá tình trạng ứng dụng web, Acunetix WVS tự động phát động đợt công lập trình sẳn dựa lổ hổng, giống web site bị hacker công thực sự, phân tích trang vị trí nhập liệu với kết hợp khác liệu đầu vào website - Sau tìm lổ hổng, Acunetix WVS thơng báo “Alerts Node”, alert gồm thông tin lỗi mối nguy hiểm gặp phải “dĩ nhiên” kèm theo khuyến nghị cách thức khắc phục - Sau tiến trình kiểm tra hịan tất, lưu lại thành tập tin để phân tích sau này, với công cụ báo cáo chuyên nghiệp giúp cho web master dễ dàng tổng hợp kết kiểm tra khác ứng dụng Web Một số danh sách lỗ hổng bảo mật kiểm tra Acunetix WVS: - Code Excution - File Inclusion - Script soure Code Disclosure - CRLF Injection - Cross Frame Scripting(XFS) - PHP Code Injection - XPath Injection - Full Path Disclosure - LDAP Injection - Cookie Manipulation Bên cạnh Web master tiến hành thao tác penetration test thủ công input validation, authentication attacke, buffer overflows Công cụ Haij Advanced SQL Injection Haij công cụ SQL Injection tự động giúp kiểm tra nhập để tìm khai thác lỗ hổng SQL Injection trang web Nó tận dụng lợi ứng dụng web dễ bị tổn thương Bằng cách sử dụng phần mềm người dung thực back-end sở liệu vân tay, bảng lấy người sử dụng DBMS password, bảng lấy cột liệu từ Trang 53 sở liệu, chạy câu lệnh SQL chí truy cập vào hệ thống tập tin thực lệnh hệ điều hành Sức mạnh Haij mà làm cho khác từ công cụ tương tự phương pháp tiêm noa Tỷ lệ thành công 95% Injection mục tiêu dễ bị tổn thương sử dụng Haij Người dùng thân thiện GUI (Graphical User Interface) Havij thiết lập tự động phát làm cho dễ dàng để sử dụng cho tất người sử dụng chí nghiệp dư Giao diện Haij Tool DoS – Panther2 Trang 54 - Tấn công từ chối dịch vụ dựa tảng UDP Attack thiết kế dành riêng cho kết nối 28.8 – 56 Kbps - Nó có khả chiếm tồn băng thơng kết nối - Nó có khả chiếm băng thơng mạng nhiều phương pháp ví thực q trình Ping cực nhanh gây cơng DoS DoS Tools – UDP Flood - UDPFlood chương trình gửi gói tin UDP - Nó gửi ngồi gói tin UDP tới địac hỉ IP port khơng cố định - Gói tin có khả đoạn mã văn hay số lượng liệu sinh ngẫu nhiên hay từ file - Được sử dụng để kiểm tra khả đáp ứng Server Bkav WebScan: Kiểm tra lỗ hổng web miễn phí Bkav thức mắt dịch vụ kiểm tra đánh giá lỗ hổng an ninh website - Bkav WebScan, dịch vụ chạy điện toán đám mây Bkav Trang 55 ba hãng sản xuất phần mềm diệt virus giới cung cấp dịch vụ (cùng với McAfee Comodo) Theo thống kê Bkav, tính từ đầu năm 2012 đến nay, trung bình ngày có tới website Việt Nambị cơng, tương ứng với 2.000 website bị hack năm Hầu hết nguyên nhân vụ hack website tồn nhiều lỗ hổng Còn Mỹ, theo báo cáo Nhà Trắng, 41.000 cơng nhằm vào hệ thống mạng Chính phủ Mỹ năm 2010 Ông Nguyễn Minh Đức, Giám đốc Bộ phận an ninh mạng Công ty Bkav cho biết: "Trong tháng thử nghiệm phiên Beta Bkav WebScan, 1.063 quản trị hệ thống quan, doanh nghiệp diễn đàn đăng ký tham gia kiểm tra lỗ hổng website Hệ thống giúp phát có tới 70% website tham gia thử nghiệm tồn lỗ hổng Các quản trị đưa vào kiểm tra 2.086 website, 399.638 lỗ hổng tìm thấy, 19.981 lỗi có mức độ nguy hiểm cao SQL injection, XSS, Xpath injection " Hệ thống kiểm tra lỗ hổng Bkav WebScan Để tiến hành kiểm tra website, người quản trị không cần phải cài đặt phần mềm hệ thống mà cần truy cập webscan.bkav.com thực quét Bkav WebScan hỗ trợ kiểm tra đồng thời nhiều website Trang 56 Nhà sản xuất cho biết, dịch vụ kiểm tra lỗ hổng Bkav WebScan cung cấp miễn phí Trường hợp cần dùng gói dịch vụ nâng cao, bao gồm thông tin chi tiết lỗi website hướng dẫn khắc phục, người dùng phải trả phí Trang 57 ... thiệu ứng dụng web 10 1.1.2 Hoạt động ứng dụng web 11 1.2 Vấn đề bảo mật ứng dụng web 12 CHƯƠNG CÁC HÌNH THỨC TẤN CƠNG 14 VÀ GIẢI PHÁP PHÒNG VỆ CHO CÁC ỨNG DỤNG WEB. .. trang web có khả bị cơng hay không Trang CHƯƠNG LÝ THUYẾT VỀ ỨNG DỤNG WEB 1.1 Giới thiệu mô tả hoạt động ứng dụng web 1.1.1 Giới thiệu ứng dụng web Một ứng dụng web hay webapp trình ứng dụng mà... STT Trang DANH MỤC HÌNH VẼ Hình 1.1: Kiến trúc ứng dụng Web 10 Hình 1.2: Mơ hình hoạt động ứng dụng Web 11 Hình 2.1: Các bước công hacker vào ứng dụng Web 14 Hình 2.2: Form giỏ