3.4.Câu hỏi ôn tập
1) Nêu các lỗ hổng trong cấu hình máy chủ web
2) Nêu các biện pháp bảo mật máy chủ web bằng cấu hình. 3) Nêu các lỗ hổng trong phần mềm máy chủ web.
4) Nêu các biện pháp đảm bảo an toàn phần mềm máy chủ web. 5) Nêu các cơ chế xác thực hỗ trợ bởi giao thức HTTP.
6) Nêu các cơ chếđảm bảo an toàn xác thực ứng dụng web.
93 8) Nêu các biện pháp bảo mật phiên làm việc.
9) Nêu các biện pháp bảo mật hệ thống file của website. 10) Mơ tả kiến trúc trình duyệt web
11) Nêu các vấn đề bảo mật trình duyệt web.
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
------------------oOo-----------------
HỒNG XN DẬU
BÀI GIẢNG
AN TỒN ỨNG DỤNG WEB
VÀ CƠ SỞ DỮ LIỆU
94
CHƢƠNG 4. BẢO MẬT TRONG PHÁT TRIỂN VÀ TRIỂN KHAI ỨNG DỤNG WEB TRIỂN KHAI ỨNG DỤNG WEB
Chương 4 đề cập một sốhướng tiếp cận trong phát triển và triển khai ứng dụng web an toàn trong phần đầu. Phần cuối của chương trình bày một số mơ hình và phương
pháp phát triển phần mềm an toàn.
4.1. Các hƣớng tiếp cận trong phát triển và triển khai ứng dụng web an toàn
4.1.1. Giới thiệu
Nhƣ đã đề cập trong CHƢƠNG 1 ứng dụng web là một trong các ứng dụng phổ biến nhất và cũng là ứng dụng có số lƣợng lỗ hổng và tấn công khai thác lớn nhất trên mạng Internet. Do vậy, để đảm bảo an toàn, các biện pháp bảo mật cần đƣợc thực hiện trong suốt vòng đời ứng dụng web, trong giai đoạn phát triển và triển khai, và trong quá trình hoạt động của ứng dụng. Trong giai đoạn phát triển và triển khai, các biện pháp bảo mật cần đƣợc triển khai từ khâu phân tích, thiết kế, lập trình, kiểm thử, triển khai và bảo trì. Trong quá trình hoạt động các hƣớng dẫn và biện pháp bảo mật cần đƣợc áp dụng trong các khâu giám sát, vá lỗi và nâng cấp,…
Hình 4.1 biểu diễn quan hệ giữa mức chi phí khắc phục lỗi theo thời điểm lỗi đƣợc phát hiện và khắc phục. Theo đó, các lỗi đƣợc phát hiện sớm và khắc phục ở các khâu
Xác định u cầu/Thiết kế (Requirements/Design) địi hỏi chi phí nhỏ hơn rất nhiều so với các lỗi đƣợc phát hiện muộn và khắc phục ở các khâu Kiểm thử Beta (Beta Testing), hoặc Phát hành (Release). Ngoài chi phí lớn, việc khắc phục, sửa chữa lỗi ở các khâu cuối của quá trình phát triển phần mềm thƣờng có độ phức tạp rất cao và đơi khi việc sửa lỗi triệt để và tồn diện khơng thể thực hiện đƣợc.