III. Cài đặt
Chương 13: Chương trình Web Checker
CHƯƠNG 13: CHƯƠNG TRÌNH WEB CHECKER
DE
I. ĐẶC TẢ CHƯƠNG TRÌNH WEB CHECKER
I.1. Tổng quan
Chương trình “Web Checker” là một ứng dụng dùng để minh họa cho một số kĩ
thuật tấn công đã được trình bày ở phần trên như SQL Injection, Form Field Manipulation và URL Manipulation, mà trọng tâm là SQL Injection.
Từ ý tưởng đó, chương trình sẽ có khả năng kiểm tra ứng dụng Web có mắc phải lỗi bảo mật SQL injection, Form Field Manipulation, URL Manipulation hay không. Bằng cách ứng dụng sẽ nhận trang web cần kiểm tra từ người sử dụng, rồi tự động tìm thông tin của trang Web và tạo ra các yêu cầu gửi đến trình chủ. Sau
đó nhận, phân tích kết quả trả vềđể đánh giá, kiểm tra và thông báo cho người sử
dụng.
I.2. Yêu cầu
Từ những ý tưởng trên,ứng dụng có những yêu cầu như sau:
I.2.1. Yêu cầu chức năng
• Chức năng duyệt Web.
• Kiểm tra, phát hiện một số lỗ hổng bảo mật của ứng dụng Web như: o Chèn câu truy vấn SQL (SQL Injection)
o Thao tác trên tham số truyền (Parameter Manipulation)
• Đánh dấu, thông báo kết quả kiểm tra.
Chương 13: Chương trình Web Checker
I.2.2. Yêu cầu phi chức năng
• Dễ sử dụng: ứng dụng phải cung cấp một giao diện trực quan, rõ ràng, dễ
sử dụng.
II.KIẾN TRÚC CHƯƠNG TRÌNH WEB CHECKER
II.1. Kiến trúc chương trình Web Checker
Chương trìnhđược chia làm hai tầng:
•Tầng 1 (giao diện) có nhiệm vụ:
o Duyệt Web (cung cấp trang cần kiểm tra). o Hiển thị kết quả kiểm tra
• Tầng 2 (xử lý) có nhiệm vụ:
o Lấy trang Web được yêu cầu kiểm tra
o Tạo các mẫu thử (lấy dữ liệu kiểm tra kết hợp với thông tin từ trang Web,
đóng gói thành HTTP request) gửi đến trình chủ. o Xử lý thông tin trả lời từ trình chủđưa ra kết quả.
Chương 13: Chương trình Web Checker
Hình 13.II.1-1: Kiến trúc phân tầng của ứng dụng Web Checker
II.2. Giao tiếp giữa chương trình với trình chủ Web
Giao tiếp giữa ứng dụng với trình chủ là giao tiếp giữa client và server. Trong đó trình chủ là server cònứng dụng là client kết nối đến server theo kiểu stream socket.
Chương 13: Chương trình Web Checker