- Tương tự “'and 1=convert(int(select to p1 đb_name())) ”:buỘc server gửi kết quả lổi vì lệnh truy vấn khơng thực hiện được, trong đĩ cĩ đưa ra cả
2, HƯỚNG PHÁT TRIỂN
s* Trong phạm vi khĩa luận tốt nghiệp, khĩa luận cơ bản đã đạt được các yêu SP P Ỳ cầu đặt ra.
* Tuy nhiên, các kết quả cịn khá khiêm tốn do hạn chế về tài liệu và thời gian. Trong thời gian tới, nếu cĩ điều kiện, khĩa luận sẽ cố gắng phát triển thêm nhỮng nội dung sau:
o_ Tìm hiểu thêm về các kĩ thuật tấn cơng để đưa ra phương pháp bảo mật ứng dụng Web ở mức đỘ sâu hơn.
o Tìm hiểu về vấn đề bảo mật sâu hơn, khơng chỉ dừng ở mức độ một ứng dụng Web mà phát triển hơn vần đề bảo mật ở các hệ
thống mạng và dịch vụ.
o Khai triển chương trình phát hiện lỗ hổng tốt hơn, trên nhiều phương diện kỹ thuật.
Phát triển chương trình như một Proxy giỮa trình chủ với các trình duyệt. Mọi yêu cầu từ trình duyệt hay trả lời từ trình chủđều phải đi qua chương trình. Bất cứ khi
nào chương trình kiểm tra thấy khả năng tấn cơng từ trình duyệt, chương trình sẽ
từ chối yêu cầu đĩ và đĩng kết nối.
TÀI LIỆU THAM KHAO
Tiếng Việt
[1]. Lê Đình Duy, Bảo vệ ứng dụng web chống tấn cơng kiểu Sạl Injection, kỷ yếu hội thảo CNTT - 2004, ĐHKHTN Tp.HCM.
[2] Nguyễn Duy Thăng, Nguyễn Minh Thu, Nghiên cứu một số vấn đề về bảo mật, CNTT - 2003, ĐHKHTN Tp.HCM.
Tiếng nước ngồi
[3]. Justin Clarke, SQL Injection Attacks and Defense, Syngress, 2009. Trang Web L4]. http:/wwwW.owasp.org/index.php/SQL_Injection [5]. http://www.sqÌsecurity.com/FAQs/SQLTInjectionEFAQ/tabid/56/Default.aspx [6].hitp://www.sensepost.com/labs/papers/sql_inserdon/SQLinserdon2002_whitepap er.pdf L7].http:/www.3c.com.vn/Story/vn/traodoikinhnghiem/leganninhmang/2007/11/3039 1.himl [8]. http:/rusach.thuvienkhoahoc.com/wikl/CROSS-SIIE_ SCRIPLING L9]. hp://congdongit.org/security/1016-phong-ngua-tan-cong-tu-choiï-dich-vu.html
MỤC LỤC LỜI CẢM ƠN LỜI CẢM ƠN
LỜI CAM ĐOAN DANH MỤC VIẾT TẮT DANH MỤC HÌNH ẢNH
Hình 1.1 Một số ứng dụng web thường cĩ kiến trúc...-.-¿--:---..-.cs.xs+ 3
CHƯ ƠNG 2...L Q.0 H0 SE S2 5n 55x 16
KỸ THUẬT TẤN CƠNG VÀO CÁC LỖ HỔNG TRÊN WEBSITE VÀ CÁCH PHỊNG CHỐNG
"mm... 16
Hình 2.1 Giao diện báo điện tử VietNamNet bị tấn cơng...-.--:-.«: 19 Hình 2.2 Quá trình thực hiện XSS...-- .¿ L1 211 22222221 211111 ng ng yi 31
Hình 2.3 Quá trình tấn cơng người dùng bằng kỹ thuật ấn định session... 34 Hình 2.4 Tấn cơng Session ID trên tham số URL...-- ---¿---::-c5c--5s:z52 35 Hình 2.5 Cơ chế thiết lập kết nối trước khi truyền số liệu...---.. 38 Hình 2.6 Tấn cơng DoS truyền thống...---¿-¿---222:2.22EL.EEkEEsEEkzsEsEsrsss 39 NÌÌili22TE-Li và s89), ... 40 Hình 2.8 Tấn cơng DrDOS...-. ---: ---- ¿ ¿2L L 2222 2E E15 E13 1131 1 E31 E53 3E S551 S253 55x xcca 41 3.1 MỤC TIÊU THỨ NGHIỆM...-2.222. 22222 222222222522 2222222e. 53
Hình 3.2 Server trả kết quả lỗi chứa cả tên server... .-.-¿--¿----sccscsssccscsseccs 57
Hình 3.4 Table đầu tiên trong information_schema...-. ... -¿-.-:--.c.<xcssscc2 S/
Hình 3.5 Server trả kết quả lỗi chứa cả tên table tiếp theo...:----.«: 57 Hình 3.6 Server trả kết quả lỗi chứa cả tên table kế tiếp dtproperties... 58 Hình 3.7 Tất cả table name đã được lấy...-.---¿:s-c..cscs.kssessssssssssesrs 58 Hình 3.8 Server trả về tên column đầu trong table dtproperties... 59