nên kết hợp với một địa chỉ IP. 4. Hãy đăng xuất chức năng có sẵn.
Phương Pháp Bảo Vệ Ứng Dụng WEB 119 119 www.viethanit.edu.vn • Cấu hình tất cả các cơ chế bảo mật và tắt tất cả các dịch vụ không sử dụng. • Thiết lập vai trò, quyền, tài khoản và vô hiệu hóa tất cả các tài khoản mặc định hoặc thay đổi mật khẩu mặc định. • Quét các lỗ hổng bảo mật và vá lỗi bảo mật bản mới nhất. • Thực hiện các loại hình, mô hình và xác nhận giá trị miền cho tất cả các dữ liệu nhập vào.
• Thực hiện lọc LDAP càng cụ thể càng tốt.
• Xác nhân và hạn chế lượng dữ liệu trả về cho người sử dụng.
• Thực hiện kiểm kiểm soát truy cập chặt chẽ.
• Thực hiện kiểm tra và phân tích nguồn.
• Xác nhận người dùng đầu vào khắc khe.
• PHP: Disable
allow_url_fopen and allow_url_include in php.ini
• PHP: Disable
register_globals and use E_strict
• PHP: Đảm bảo rằng tất cả các tập tin và chức năng(stream_*) là được kiểm tra cẩn thận.
120
www.viethanit.edu.vn
Thực hiện xác
nhận đầu vào Cấu hình tường lửa chặn gói ICMP
Tắt port và dịch vụ không cần thiết Làm Thế Nào Đề Phòng Chống Tấn Công Dịch Vụ WEB ? Cập nhật bản vá lỗi hiện tại Phân tích mã nguồn SQL injection Giảm thiểu ứng dụng trung gian Kết nối CSDL với tài
khoản không đặc quyền Sử dụng thủ tục lưu trữ và truy vấn tham số Cấp quyền tối thiểu với CSDL, bảng và các cột Vô hiệu hóa các lệnh
như XP_cmdshell Thực hiện kiểm tra và phân tích mã nguồn Thực hiện lọc LDAP càng kĩ càng tốt
Vô hiệu hóa thông báo lỗi chi tiết và sử dụng thông báo lỗi tùy chỉnh
Nội Dung Chính
Trang 121
Kiểm thử ứng dụng WEB Khái niệm về ứng dụng WEB
Mối đe dọa ứng dụng WEB Bộ công cụ bảo mật Bộ công cụ bảo mật
Các biện pháp đối phó Các phương pháp tấn công
Bộ công cụ tấn công ứng dụng WEB
122
www.viethanit.edu.vn