. Lý do chọn đề tài Mạng (Internet) ngày càng phổ biến và quan trọng trong đời sống của con người, ngày càng có nhiều ứng dụng, hình thức kinh doanh và các hoạt động như quản lý tài chính, kinh doanh, giáo dục… dựa trên nền tảng này ra đời và phát triển. Điển hình trong đó là hình thức kinh doanh online (thương mại điện tử) ngày càng có vị thế trong thói quen sử dụng của con người. Và người dùng thường cung cấp những thông tin riêng tư thậm chí cơ mật cho những ứng dụng hay các trang web này như: số điện thoại, địa chỉ nhà, số tài khoản…Vì thế tấn công mạng nói chung và tấn công các trang web nói riêng ngày càng nhiều và tạo nên sự hoang mang, lo sợ trong lòng người sử dụng cũng như thiệt hại đến với các nhà kinh doanh trên nền tảng Internet này. Cho nên, nhóm đã lựa chọn đề tài nghiên cứu và báo cáo về “Tình hình bảo mật mạng và bảo mật thương mại điện tử trong những năm gần đây. Tìm hiểu về Web Application Analysis (Kali Linux)” nhằm cung cấp những thông tin về bảo mật mạng và TMĐT, đồng thời bổ sung kiến thức về các công cụ dùng để bảo mật trang web để người dùng có thể phòng tránh những lỗi logic trong quá trình tạo web. 2. Mục tiêu nghiên cứu Bài báo cáo này sẽ dựa trên các thông tin về bảo mật mạng và bảo mật TMĐT để tìm ra các biện pháp bảo vệ những vụ tấn công của hacker. Đồng thời tìm hiểu các công cụ trong Web Application Analysis để phát hiện, dò tìm các lỗ hổng trong một trang web mà hacker hay sử dụng lỗ hổng đó để tấn công. 2.1. Phương pháp nghiên cứu Trong bài báo cáo này, nhóm chúng em sẽ dùng các phương pháp nghiên cứu thực tiễn kết hợp nghiên cứu tài liệu đối với bảo mật mạng và bảo mật thương mại điện tử để tìm hiểu các nguy cơ, mối đe dọa và đưa ra các biện pháp ngăn chặn. Đối với Web Application Analysis, nhóm sử dụng phương pháp thực nghiệm và tiến hành thực thi các công cụ trong Web Application Analysis. 2.2. Bố cục Bài báo cáo tập trung giải quyết các vấn đề sau: 1. Tìm hiểu về bảo mật mạng và bảo mật điện tử trong những năm gần đây 2. Giới thiệu về DVWA (Damn Vulnerable Web Application) 3. Tìm hiểu về Web Application Analysis
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HCM KHOA KINH TẾ MÔN HỌC: BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ BÁO CÁO WEB APPLICATION ANALYSIS GVHD: Nguyễn Phan Anh Huy SVTH: Thân Lưu Luyến 17126033 Phan Thị Quỳnh Trang 17126067 Trương Thùy Quyên 17126051 Trần Long Phi 17126048 Hà Hữu Khương 16126029 Lớp thứ – Tiết 7,8,9 Tp Hồ Chí Minh, tháng 12 năm 2019 BẢNG PHÂN CÔNG NHIỆM VỤ ST T Nhiệm vụ Thực Kết Phụ trách mở đầu, kết luận, chương Thân Lưu Luyến Hoàn thành Phụ trách chương 1, chỉnh sửa Phan Thị Quỳnh Trang Hoàn thành Phụ trách chương Trương Thùy Quyên Hoàn thành Phụ trách chương Trần Long Phi Hoàn thành Phụ trách chương Hà Hữu Khương Hoàn thành ĐIỂM: …… NHẬN XÉT: …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ………………………………………………………………………………… GV CHẤM ĐIỂM NGUYỄN PHAN ANH HUY MỤC LỤC Mở đầu Lý chọn đề tài .4 Mục tiêu nghiên cứu 2.1 Phương pháp nghiên cứu .4 2.2 Bố cục CHƯƠNG I TÌM HIỂU VỀ BẢO MẬT MẠNG VÀ BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ TRONG NHỮNG NĂM GẦN ĐÂY 1.1 Tình hình bảo mật mạng năm gần .5 1.1.1 Khái niệm bảo mật mạng: 1.1.2 Những mối đe dọa hàng đầu bảo mật mạng: 1.2 Tình hình bảo mật thương mại điện tử năm gần 1.2.1 Vấn đề bảo mật riêng tư .10 1.2.2 Một số mối đe dọa bảo mật thương mại điện tử hàng đầu 10 1.3 Giải pháp cho bảo mật mạng nói chung bảo mật thương mại điện tử nói riêng ……………………………………………………………………………… 12 1.3.1 Nguyên lý thiết kế hệ thống bảo mật: 12 1.3.2 Các giải pháp đảm bảo an ninh mạng 12 CHƯƠNG II DVWA (DAMN VULNERABLE WEB APPLICATION) 21 2.1 Giới thiệu 21 2.2 Môi trường cài đặt 21 2.3 Các lỗ hỗng DVWA .22 2.4 Các mức độ bảo mật DVWA 23 CHƯƠNG III TÌM HIỂU VỀ WEB APPLICATION ANALYSIS 24 3.1 Khái niệm 24 3.2 Cách hoạt động web application .24 3.3 Lợi ích Web application 24 3.4 Các công cụ web application analysis 25 3.4.1 Burp suite 25 3.4.2 Commix .36 3.4.3 Httrack .48 3.4.4 Paros 52 3.4.5 Skipfish .53 3.4.6 Owasp-zap 54 3.4.7 Sqlmap 58 3.4.8 Webscarab 60 3.4.9 Wpscan 60 KẾT LUẬN .61 TÀI LIỆU THAM KHẢO 62 Mở đầu Lý chọn đề tài Mạng (Internet) ngày phổ biến quan trọng đời sống người, ngày có nhiều ứng dụng, hình thức kinh doanh hoạt động quản lý tài chính, kinh doanh, giáo dục… dựa tảng đời phát triển Điển hình hình thức kinh doanh online (thương mại điện tử) ngày có vị thói quen sử dụng người Và người dùng thường cung cấp thơng tin riêng tư chí mật cho ứng dụng hay trang web như: số điện thoại, địa nhà, số tài khoản…Vì cơng mạng nói chung cơng trang web nói riêng ngày nhiều tạo nên hoang mang, lo sợ lòng người sử dụng thiệt hại đến với nhà kinh doanh tảng Internet Cho nên, nhóm lựa chọn đề tài nghiên cứu báo cáo “Tình hình bảo mật mạng bảo mật thương mại điện tử năm gần Tìm hiểu Web Application Analysis (Kali Linux)” nhằm cung cấp thông tin bảo mật mạng TMĐT, đồng thời bổ sung kiến thức công cụ dùng để bảo mật trang web để người dùng phịng tránh lỗi logic trình tạo web Mục tiêu nghiên cứu Bài báo cáo dựa thông tin bảo mật mạng bảo mật TMĐT để tìm biện pháp bảo vệ vụ công hacker Đồng thời tìm hiểu cơng cụ Web Application Analysis để phát hiện, dị tìm lỗ hổng trang web mà hacker hay sử dụng lỗ hổng để cơng 2.1 Phương pháp nghiên cứu Trong báo cáo này, nhóm chúng em dùng phương pháp nghiên cứu thực tiễn kết hợp nghiên cứu tài liệu bảo mật mạng bảo mật thương mại điện tử để tìm hiểu nguy cơ, mối đe dọa đưa biện pháp ngăn chặn Đối với Web Application Analysis, nhóm sử dụng phương pháp thực nghiệm tiến hành thực thi công cụ Web Application Analysis 2.2 Bố cục Bài báo cáo tập trung giải vấn đề sau: Tìm hiểu bảo mật mạng bảo mật điện tử năm gần Giới thiệu DVWA (Damn Vulnerable Web Application) Tìm hiểu Web Application Analysis CHƯƠNG I TÌM HIỂU VỀ BẢO MẬT MẠNG VÀ BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ TRONG NHỮNG NĂM GẦN ĐÂY 1.1 Tình hình bảo mật mạng năm gần 1.1.1 Khái niệm bảo mật mạng: Bảo mật mạng bảo vệ hệ thống mạng nhằm tránh bị truy cập, sử dụng, tiết lộ, gián đoạn sửa đổi phá hoại trái phép nhằm đảm bảo tính tồn vẹn, tính bảo mật thơng tin tổ chức, doanh nghiệp Hoặc hiểu đơn giản trình thực biện pháp phòng chống lỗ hổng bảo mật virus có phần mềm, ứng dụng, website, server, liệu,… nhằm bảo vệ sở hạ tầng mạng 1.1.2 Những mối đe dọa hàng đầu bảo mật mạng: Công ty nghiên cứu tư vấn doanh nghiệp Gartner (Mỹ) dự báo rằng, chi phí cho an tồn thơng tin tồn giới vượt q 124 tỷ USD vào năm 2019 Việc hiểu trạng an toàn mạng điều quan trọng để bảo vệ tổ chức, doanh nghiệp khỏi phát triển liên tục công mạng Các chuyên gia an tồn mạng cơng ty giải pháp an tồn mạng Infradata (trụ sở Hà Lan) đưa nguy đe dọa an toàn mạng hàng đầu năm 2019 1.1.2.1 Tấn công chuỗi cung ứng cập nhật phần mềm: Nhiều ngành công nghiệp chứng kiến gia tăng vụ công chuỗi cung ứng năm 2017 2018 Trong năm 2017, hãng bảo mật Symantec quan sát số lượng công tăng 200% so với năm 2016 Trung bình tháng năm 2017 xảy 01 công chuỗi cung ứng, so với 04 công năm năm trước Tấn công chuỗi cung ứng cập nhật phần mềm mối đe dọa mạng bắt đầu lên, số lượng lây nhiễm mã độc cập nhật phần mềm phát triển nhanh chóng khơng dễ phát Những kẻ công thường nhắm mục tiêu vào khu vực lĩnh vực cụ thể, ví dụ công mã độc Petya/NotPetya Kiểu công thực cách cài mã độc vào gói phần mềm hợp pháp vị trí phân phối thơng thường nó, xảy q trình sản xuất nhà cung cấp phần mềm, vị trí lưu trữ bên thứ ba thơng qua chuyển hướng liệu Trong nhiều năm, Diễn đàn An tồn thơng tin (Information Security Forum – ISF) đưa cảnh báo lỗ hổng chuỗi cung ứng Các thơng tin có giá trị nhạy cảm thường chia sẻ với nhà cung cấp Khi thơng tin chia sẻ, kiểm soát trực tiếp, dẫn đến việc tăng nguy xâm phạm tính bảo mật, tính tồn vẹn tính sẵn sàng thông tin Năm 2019, tổ chức cần tập trung vào điểm yếu chuỗi cung ứng cập nhật phần mềm họ Không phải xâm phạm an tồn ngăn chặn trước, nhà cung cấp chuyên gia an toàn mạng cần phải chủ động Áp dụng quy trình mạnh mẽ, mở rộng lặp lại để có đảm bảo an tồn phù hợp với rủi ro mà tổ chức đối mặt Các tổ chức phải áp dụng giải pháp quản lý rủi ro thơng tin chuỗi cung ứng có quy trình quản lý nhà cung cấp mua sắm thiết bị Việc phịng tránh cơng chuỗi cung ứng cập nhật phần mềm cơng việc khó khăn Tuy nhiên, thực bước sau giúp hạn chế công: - Một là, Kiểm tra cập nhật mới, kể phiên hợp pháp, môi trường thử nghiệm nhỏ sandbox để phát hành vi đáng ngờ - Hai là, Giám sát hành vi hoạt động hệ thống giúp xác định hành vi không mong muốn cho phép ngăn chặn ứng dụng đáng ngờ trước thiệt hại xảy - Ba là, Phát thay đổi khơng mong muốn quy trình cập nhật phần mềm cách theo dõi trang web nhà sản xuất gói phần mềm 1.1.2.2 Tấn cơng lừa đảo: Hệ thống chống công lừa đảo Kaspersky kích hoạt 246.231.645 lần năm 2017, 91 triệu lần so với năm 2016 Với 76% doanh nghiệp báo cáo nạn nhân công lừa đảo năm 2018, khơng đáng ngạc nhiên nhiều nhà quản lý CNTT ghi nhận cơng lừa đảo mối đe dọa an tồn mạng lớn họ Tấn công lừa đảo loại công kỹ nghệ xã hội thiết kế để đánh cắp thông tin đăng nhập người dùng, thơng tin thẻ tín dụng loại thơng tin cá nhân, kinh doanh tài khác Những cơng đến từ nguồn trơng đáng tin cậy, mạo danh trang web, tổ chức ngân hàng phổ biến đáng tin, từ liên hệ cá nhân, nên công ngày trở nên tiên tiến hiệu Việc nhập thông tin đăng nhập, nhấp vào liên kết trả lời email lừa đảo với nội dung chứa chi tiết tài chính, thơng tin gửi trực tiếp đến nguồn độc hại Phịng tránh cơng thách thức lớn Nâng cao nhận thức việc triển khai chương trình nhận thức khơng gian mạng phương thức để giảm thiểu nguy trở thành nạn nhân công lừa đảo Bên cạnh đó, triển khai đánh giá nhận thức mối đe dọa khơng gian mạng bước khởi điểm tốt, nhằm tìm hiểu mức độ cảnh giác người dùng thủ đoạn công lừa đảo 1.1.2.3 Mã độc tống tiền Theo Gartner, mã độc tống tiền mối đe dọa lớn ảnh hưởng đến doanh nghiệp hai năm qua Nó khai thác lỗ hổng bao gồm thiếu phân đoạn mạng thiếu lưu Với trung bình khoảng 4.000 công mã độc tống tiền xảy ngày ước tính vào cuối năm 2019, 14 giây có cơng mã độc tống tiền vào doanh nghiệp, việc xây dựng phòng thủ chống lại mã độc tống tiền ưu tiên hàng đầu Mã độc tống tiền có khả làm liệu cơng ty vĩnh viễn, lây nhiễm đến liệu mã hóa hệ thống sở liệu bảo vệ, xóa làm hỏng tập tin, trừ nạn nhân trả tiền chuộc Để chống lại loại phần mềm độc hại này, cần đào tạo, huấn luyện nhân viên, kết hợp với việc sử dụng giải pháp bảo vệ điểm cuối đại Thay sử dụng hệ thống chống virus truyền thống, sử dụng giải pháp bảo vệ điểm cuối dựa điện toán đám mây Các tổ chức cần đưa chiến lược phục hồi, khôi phục sau bị công mã độc tống tiền lưu trữ liệu nhiều nơi 1.1.2.4 Tấn cơng có chủ đích APT Tấn cơng có chủ đích APT chiến dịch công mà tin tặc sử dụng kỹ thuật nâng cao nhắm vào mục tiêu cụ thể Các mục tiêu thường lựa chọn tổ chức doanh nghiệp lớn, quan an ninh, phủ Mã độc tồn mạng khoảng thời gian định, đánh cắp loại thông tin nhạy cảm khác thơng tin tài chính, thông tin đăng nhập, sáng chế thông tin tối mật, quan trọng tổ chức Tấn công APT thâm nhập thông qua tệp, email, mạng lỗ hổng ứng dụng, sau chèn mã độc vào mạng tổ chức Mạng coi bị xâm phạm, chưa bị vi phạm chưa phát Bằng cách lấy cắp thông tin đăng nhập, cơng APT lây nhiễm phần sâu mạng hệ thống, xâm phạm đến liệu lây nhiễm sang mạng kết nối với Các chứng công APT xóa bỏ tin tặc, mạng bị xâm phạm Tin tặc quay lại mạng lúc để tiếp tục xâm phạm liệu Mặc dù loại công khó phát hiện, hệ thống phịng chống công APT phân đoạn mạng thông minh giúp khám phá hành vi hoạt động bất thường mạng Các biện pháp an toàn mạng truyền thống phòng thủ chuyên sâu, tường lửa chống virus bảo vệ chống lại công APT, khiến tổ chức dễ bị vi phạm liệu 1.1.2.5 Tấn công botnet IoT từ chối dịch vụ phân tán (DDoS) Mạng thiết bị IoT bị xâm phạm điều khiển từ xa sử dụng để khởi chạy công quy mơ lớn, bao gồm hàng triệu thiết bị máy tính, tạo mạng botnet vô mạnh mẽ Loại công trở nên phổ biến công botnet Mirai Các botnet điều khiển mạng C&C Tin tặc điều khiển mạng C&C này, từ lợi dụng để khởi chạy công DDoS 10 - Tệp cookies.txt chứa thông tin cookie sử dụng để tải xuống trang web - Thư mục hts-cache chứa danh sách tệp trình thu thập thơng tin phát hiện; danh sách tập tin xử lý - Tệp hts-log.txt chứa lỗi, cảnh báo thơng tin khác báo cáo q trình thu thập liệu tải xuống trang web - Một tệp index.html chuyển hướng đến tệp mục gốc nằm thư mục tên máy chủ HTTrack có tùy chọn phong phú cho phép tùy chỉnh hành vi để phù hợp với nhu cầu Sau số sửa đổi hữu ích để xem xét: - -rN: đặt độ sâu cho N cấp liên kết để theo dõi - -%eN: Thiết lặp giới hạn độ sâu cho link bên - +[pattern]: Yêu cầu httrack cung cấp danh sách trắng hợp lệ URL, VD: +*google.com/* - -[pattern]: Yêu cầu httrack cung cấp danh sách đen (bỏ qua tải xuống) tất liên kết phù hợp với mơ hình - -F [user-agent]: Tùy chọn cho phép xác định tác nhân người dùng (định danh trình duyệt) mà muốn sử dụng để tải xuống trang web Thực hành - Bước 1: Tạo thư mục để lưu trữ trang web tải xuống Lệnh: mkdir /httrack_webscantest 50 - Bước 2: Thay đổi thư mục làm việc thành thư mục vừa tạo Lệnh: cd httrack_webscantest - Bước 3: Thực cơng cụ httrack Lệnh: httrack http://webscantest.com 51 Hồn thành 52 Trang web tải xong đây: - Bước 4: Để kiểm tra xem cơng cụ có hoạt động không, cần ngắt kết nối PC khỏi Internet, sau xóa liệu nhớ cache trình duyệt mở index.html Nó giống này: 53 Và dạo trang web, phiên ngoại tuyến tồn máy tính Nó phục vụ nhiều mục đích như: 3.4.4 Paros Một proxy HTTP / HTTPS dựa Java để đánh giá lỗ hổng ứng dụng web Nó hỗ trợ chỉnh sửa / xem tin nhắn HTTP cách nhanh chóng Các tính khác bao gồm nhện, chứng ứng dụng khách, chuỗi proxy, quét thông minh để tiêm XSS SQL… 3.4.5 Skipfish Định nghĩa: Skipfish công cụ bảo mật ứng dụng web tự động thiết kế để tìm kiếm lỗ hổng ứng dụng web, tìm thấy lỗ hổng trang web bạn trước hacker tìm thấy khai thác Đặc điểm: - Tốc độ cao: mã C túy, xử lý HTTP tối ưu hóa cao, dung lượng CPU tối thiểu - dễ dàng đạt 2000 yêu cầu giây với mục tiêu đáp ứng - Dễ sử dụng: heuristic để hỗ trợ nhiều khung web kỳ quặc trang web công nghệ hỗn hợp, với khả học tự động, tạo danh sách từ nhanh chóng tự động hồn thành 54 - Logic bảo mật tiên tiến: chất lượng cao, tỉ lệ kết sai thấp, kiểm tra bảo mật khác biệt, có khả phát loạt lỗ hổng tinh vi, bao gồm vectơ tiêm mù Thực hành - Bước 1: Ta mở tùy chọn skipfish Trong lệnh có: C tùy chọn xác định cookie tùy chỉnh O tùy chọn xác định thư mục đầu 55 3.4.6 Owasp-zap OWASP Zed Attack Proxy (ZAP) cơng cụ kiểm tra thâm nhập tích hợp dễ sử dụng để tìm lỗ hổng ứng dụng web Nó thiết kế để sử dụng người có nhiều kinh nghiệm bảo mật lý tưởng cho nhà phát triển người thử nghiệm chức năng, người thử nghiệm thâm nhập bổ sung hữu ích cho hộp cơng cụ kiểm tra bút có kinh nghiệm Thực hành - Bước 1: Thực owasp-zap từ terminal 56 Hoặc chọn Applications > Web Application Analysis > owasp-zap Đây OWASP-ZAP GUI: - Bước 2: Cách đơn giản nhất, ta sử dụng Automated Scan 57 - Bước 3: Ta nhập vào trang web muốn scan bắt đầu công: - Bước 4: Dù scan xong hay chưa, ta mở tab Alert để thấy lỗ hổng phát hiện: 58 Để thấy chi tiết, click vào thơng tin để xem 59 3.4.7 Sqlmap Định nghĩa: sqlmap công cụ kiểm tra thâm nhập mã nguồn mở, tự động hóa q trình phát khai thác lỗ hổng SQL tiếp quản máy chủ sở liệu Nó kèm với cơng cụ phát mạnh mẽ, nhiều tính thích hợp cho trình kiểm tra thâm nhập cuối loạt công tắc kéo dài từ dấu vân tay 60 sở liệu, tìm nạp liệu từ sở liệu, để truy cập hệ thống tệp thực thi lệnh hệ điều hành thông qua kết nối băng tần Đặc điểm: - Hỗ trợ đầy đủ cho hệ thống quản lý sở liệu MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase SAP MaxDB - Hỗ trợ đầy đủ sáu kĩ thuật SQL injection: boolean-based blind, time-based blind, error-based, UNION query, stacked queries out-of-band - Hỗ trợ kết nối trực tiếp với sở liệu mà không cần thông qua SQL injection, cách cung cấp thông tin đăng nhập DBMS, địa IP, cổng tên sở liệu - Hỗ trợ liệt kê người dùng, băm mật khẩu, đặc quyền, vai trò, sở liệu, bảng cột - Tự động nhận dạng định dạng băm mật hỗ trợ bẻ khóa chúng cách sử dụng công dựa từ điển - Hỗ trợ kết xuất hoàn toàn bảng sở liệu, loạt mục cột cụ thể theo lựa chọn người dùng Người dùng chọn kết xuất phạm vi ký tự từ mục nhập cột - Hỗ trợ tìm kiếm tên sở liệu cụ thể, bảng cụ thể tất sở liệu cột cụ thể tất bảng sở liệu Ví dụ, điều hữu ích để xác định bảng có chứa thơng tin ứng dụng tùy chỉnh cột có liên quan Tên tên chứa chuỗi tên mật - Hỗ trợ tải xuống tải lên tệp từ máy chủ sở liệu bên hệ thống tệp phần mềm sở liệu MySQL, PostgreSQL Microsoft SQL Server - Hỗ trợ thực lệnh tùy ý truy xuất đầu tiêu chuẩn chúng máy chủ sở liệu bên hệ điều hành phần mềm sở liệu MySQL, PostgreQuery Microsoft SQL Server - Hỗ trợ thiết lập kết nối TCP trạng thái ngồi băng máy cơng máy chủ sở liệu nằm hệ điều hành Kênh dấu nhắc lệnh tương tác, 61 phiên Meterpreter phiên giao diện người dùng đồ họa (VNC) theo lựa chọn người dùng - Hỗ trợ cho trình sở liệu leo thang đặc quyền người dùng thông qua lệnh Metasploit máy đo độ cứng Metasploit 3.4.8 Webscarab Định nghĩa: WebScarab thiết kế để trở thành công cụ cho cần để hoạt động ứng dụng dựa HTTP (S), cho phép nhà phát triển gỡ lỗi vấn đề khó khăn khác hay cho phép chuyên gia bảo mật xác định lỗ hổng theo cách mà ứng dụng thiết kế thực 3.4.9 Wpscan Định nghĩa: WPScan phần mềm tính WordPress WPScan trình qt lỗ hổng WordPress hộp đen sử dụng để quét cài đặt WordPress từ xa để tìm vấn đề bảo mật 62 KẾT LUẬN Qua tiểu luận ta thấy bảo mật mạng nói chung bảo mật thương mại điện tử nói riêng vấn đề hàng đầu tổ chức an ninh mạng Thông tin người dùng trang web thương mại, ứng dụng mạng xã hội ghi lại trở thành mồi cho hacker (nhóm hacker) Có số cách thức cơng điển hình như: Tấn cơng lừa đảo, mã độc tống tiền, DDoS, APT… trở thành ác mộng doanh nghiệp Các nhà phát triển cố gắng tạo phần mềm hay ứng dụng để chống lại công sử dụng Firewall, VLAN, phần mềm dị tìm (IDS) ngăn chặn (IPS) đối tượng nghi ngờ mã độc Và Web Application Analysis ứng dụng web vơ hữu ích giúp cho lập trình viên dị tìm lỗ hổng hay lỗi logic trang web tạo nhằm sửa chữa khắc phục tránh bị kẻ xấu lợi dụng công 63 TÀI LIỆU THAM KHẢO https://waren.vn/tin-tuc/bao-mat-mang-la-gi-nhung-yeu-to-can-co-cua-mot-kysu-bao-mat-mang-la-gi.html https://voer.edu.vn/m/mot-so-giai-phap-nham-dam-bao-an-toan-an-ninh-mangva-bao-mat-du-lieu/7fd336a8 http://www.cscom.vn/Giai-phap/0/Giai-phap-An-toan-va-bao-mat-Mang https://anninhmang.net/bao-mat/mot-giai-phap-bao-mat-thong-mang/ https://securitybox.vn/1280/3-van-de-ve-bao-mat-ma-nganh-thuong-mai-dientu-dang-dau-dau/ https://vsec.com.vn/vi/blogvn/hien-trang-an-toan-thong-tin-trong-thuong-maidien-tu-tai-viet-nam.html https://kalilinuxtutorials.com/burpsuite/ https://www.hackingarticles.in/commix-command-injection-exploiterbeginners-guide/ https://tools.kali.org/web-applications 10 https://cuongquach.com/dvwa-la-gi-damn-vulnerable-web-application.html 64 ... 24 3 .2 Cách hoạt động web application .24 3.3 Lợi ích Web application 24 3.4 Các công cụ web application analysis 25 3.4.1 Burp suite 25 3.4 .2 Commix ... 2. 2 Môi trường cài đặt 21 2. 3 Các lỗ hỗng DVWA .22 2. 4 Các mức độ bảo mật DVWA 23 CHƯƠNG III TÌM HIỂU VỀ WEB APPLICATION ANALYSIS 24 3.1 Khái niệm 24 ... 12 1.3.1 Nguyên lý thiết kế hệ thống bảo mật: 12 1.3 .2 Các giải pháp đảm bảo an ninh mạng 12 CHƯƠNG II DVWA (DAMN VULNERABLE WEB APPLICATION) 21 2. 1 Giới thiệu 21 2. 2