Những tập tin và ứng dụng trên hệ thống chứa những thông tin quan trọng như mã nguồn một trang Web hay tập tin chứa mật khẩu của người dùng trên hệ thống luôn là
mục tiêu của hacker. Ngoài ra những lời chú thích trong mã nguốn cũng là nguồn thông tin hữu ích cho hacker.
Hacker sử dụng trả lời HTTP từ hệ thống để xác định một tập tin hay ứng dụng có
tồn tại hay không. Ví dụ 1.IV-1:
• HTTP 200 : tập tin tồn tại
• HTTP 404: tập tin không tồn tại.
V.TỪ CHỐI DỊCH VỤ(Denial of service (DoS)
Một khối lượng lớn yêu cầu được gửi cho ứng dụng trong một khoảng thời gian nhất định khiến hệ thống không đáp ứng kịp yêu cầu dẫn đến hệ thống bị phá vỡ.
Vì khuôn khổ và thời gian của luận văn là có hạn nên luận văn chỉ thực hiện tìm hiểu
một số kĩ thuật phổ biến và khả năng phá hoại một hệ thống mạng với mức độ cao. Và trong các chương ở phần thứ hai, luận văn sẽ trình bày kĩ hơn từng kĩ thuật sau : • Thao tác trên tham số truyền
• Chèn mã lệnh thực thi trên trình duyệt • Chèn câu truy vấn SQL
Chương 3: Giới thiệu sơ lược về các kĩ thuật tấn công • Tràn bộ đệm • Từ chối dịch vụ • Một vài kĩ thuật khác o Kí tự rỗng o Mã hóa URL
o Lợi dụng truy xuất đường dẫn đến một tập tin o Ngôn ngữ phía trình chủ
Phần II: Các kĩ thuật tấn công và bảo mậtứng dụng Web
PHẦN THỨ HAI
CÁC KĨ THUẬT TẤN CÔNG VÀ
Chương 4: Thao tác trên tham số truyền
Chương 4
THAO TÁC TRÊN THAM SỐ TRUYỀN
Nội dung:
I. II.
Thao tác trên URL
Thao tác trong biến ấn form III. Thao tác trên cookie
Chương 4: Thao tác trên tham số truyền
CHƯƠNG 4:THAO TÁC TRÊN THAM SỐ TRUYỀN
Thao tác trên tham số truyền là kĩ thuật thay đổi thông tin quan trọng trên cookie, URL
hay biến ẩn của form. Kĩ thuật Cross-Site Scripting, SessionID, SQL Injection, Buffer
Overflow…cũng cần dùng đến các tham số này để hoàn thiện các bước tấn công của hacker. Có thể nói các tham số truyền là đầu mối cho mọi hoạt động của hacker trong quá trình tấn công ứng dụng. Vì thế đây là nội dung chương đầu tiên được đề cập trong phần thứ hai, mục đích cũng là để hỗ trợ tốt hơn phần trình bày các chương kế tiếp.