Các hình thức tấn công nền Web nhằm khai thác các dữ liệu nhạy cảm, có giá trị cao, đặc biệt là đối với các Website thương mại điện tử không phải là một đề tài mới, nhưng nó mang tính thực tế cao, nhất là trong giai đoạn hiện nay khi Việt Nam đang tiến hành các chính sách công nghiệp hóa hiện đại hóa đất nước, đẩy mạnh công nghệ thông tin, đưa tin học vào mọi lĩnh vực của cuộc sống. Vì vậy việc nghiên cứu, đưa ra các giải pháp nhằm bảo vệ Website trước các hình thức tấn công trở thành nhu cầu cấp thiết.
Đề tài đã cung cấp nội dung cơ sở lý luận và các nội dung cơ bản về đảm bảo an toàn dữ liệu cụ thể, phù hợp đối với Website. Bởi dưới góc nhìn chung SQL Injection vẫn là một trong số những lỗi phổ biến nhất, xác suất gặp phải khá cao, được khai thác nhiều do không cần nhiều công cụ hỗ trợ nhưng hậu quả mang lại khá lớn, thời gian khắc phục kéo dài và chưa triệt để.
Bên cạnh đó, nội dung luận văn đã giải quyết được phần nào về việc phân tích cơ bản, chỉ ra cách hình thành các kỹ thuật tấn công của một cuộc tấn công SQL Injection tới một ứng dụng Web, thông qua đó đề xuất một mô hình phát triển ứng dụng Web an toàn cho các nhà phát triển ứng dụng Web trong đó tập trung vào giải pháp đảm bảo và mã hóa an toàn dữ liệu của Website thương mại điện tử. Các giải pháp được đề xuất trong phạm vi luận văn này tuy chưa đảm bảo tính thời sự, mới nhất của tình hình các cuộc tấn công hiện tại, nhưng có thể hữu ích khi sử dụng để đề cập và cung cấp một cái nhìn tổng thể, căn bản nhất cho cộng đồng các nhà phát triển ứng dụng web hiện tại và sau này.
KẾT LUẬN VÀ ĐỀ NGHỊ Kết quả đạt được:
Sau một thời gian làm việc, nghiên cứu dưới sự hướng dẫn tận tình của thầy
giáo TS. Nguyễn Đức Bình, tôi đã đạt được các kết quả sau đây:
1. Tổng hợp được tương đối đầy đủ và chính xác khái niệm và kiến thức liên quan đến các hình thức tấn công và giải pháp phòng chống tấn công dữ liệu đối với Website nói chung và Website thương mại điện tử nói riêng.
2. Giới thiệu và trình bày một số phương pháp đảm bảo an toàn dữ liệu với phương thức tấn công Local Attack, tấn công SQL Injection, tấn công từ chối dịch vụ (Denial Of Service), tấn công khai thác dữ liệu thông qua toán tử UNION, tấn công Cross Site Scripting (XSS).
3. Cài đặt và cấu hình thử nghiệm hệ thống nhằm đảm bảo an toàn dữ liệu Website thương mại điện tử.
4. Xây dựng Website thương mại điện tử thử nghiệm có ứng dụng một số giải pháp phòng chống tấn công dữ liệu Web về các khóa học với một số chức năng cơ bản.
Hướng phát triển của luận văn:
Trong thời gian tới, tác giả sẽ tiếp tục nghiên cứu sâu hơn về các vấn đề của đảm bảo an toàn dữ liệu dịch vụ Web, đặc biệt sẽ nghiên cứu tìm hiểu sâu hơn việc ứng dụng môt số giải pháp bảo mật và an toàn thông tin chống tấn công SQL Injection.
Triển khai một số giải pháp đảm bảo an toàn chống tấn công SQL Injection cho Website thương mại điện tử thực tế.
TÀI LIỆU THAM KHẢO
TIẾNG VIỆT
[1]. TS. Hồ Văn Hương, Ths Đào Thị Ngọc Thuỳ, “Ứng dụng hệ thống kiểm soát truy
nhập mạng theo mô hình truy nhập một lần”, Tạp chí An toàn thông tin, số 1 (025) 2013.
[2]. TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, “Ký số và xác thực trên nền tảng
web”, Tạp chí An toàn thông tin, số 2 (026) năm 2013.
[3]. Lê Đình Duy (2004), Tấn công kiểu SQL Injection – Tác hại và phòng tránh, Kỷ yếu hội thảo Công nghệ thông tin 2004, Trƣờng Đại học Khoa học Tự nhiên Thành phố Hồ Chí Minh.
[4]. Võ Đỗ Thắng (2014), Web Application & Defense, Slide bài giảng, Trung tâm Đào tạo Quản trị mạng và an ninh mạng Athena
[5]. Trịnh Nhật Tiến. Giáo trình An toàn dữ liệu - Đại học Công Nghệ - ĐH Quốc Gia Hà Nội, 2008.
[6]. Giải pháp và công nghệ sử dụng tiền điện tử : Luận văn ThS / Đinh Vinh Quang [7]. Vnisa, Báo cáo hiện trạng ATTT tại Việt Nam 2010.
[8]. Thăng, N.D & Thu, N.M (2003).Vấn đề bảo mật ứng dụng web trên internet. Luận văn đại học. Đại học Khoa Học Tự Nhiên TPHCM
[9]. Duy L.D. SQL injection – tác hại và phòng tránh
[10]. Tấn công từ chối dịch vụ Dos,Ddos,DRDos. Tác giả Ng.Ng.Thanh Nghị-HVA [11]. Bài giảng An Ninh Mạng.Tác giả GV.Nguyễn Anh Tuấn-Trung tâm TH-NN Trí Đức(2018).
[12]. Tấn công kiểu SQL Injection-Tác hại và phòng tránh. Tác giả Lê Đình Duy- Khoa CNTT-Trường ĐH Khoa Học Tự Nhiên TP.HCM(2019).
[13]. Web Application Attack & Defense. Tác giả Võ Đỗ Thắng-Trung tâm An ninh mạng Athena(2018).
TIẾNG ANH
[14]. Asish Kumar Dalai and Sanjay Kumar Jena, Neutralizing SQL Injection Attack
Using Server Side Code Modification in Web Applications, Hindawi Security and Communication Networks, 2017
[15]. Holly Lynne McKinley, SANS Institude. SSL and TLS: A Beginners’ Guide.
2016
[16]. T. Dierks, E. Rescorla, The Transport Layer Security (TLS) Protocol, Version
1.2, 2008
[17]. Dr. Eric Cole, Dr. Ronald Krutz, and James W.Conley, Network Security Bible,
Wiley Publishing, Jan 2005.
[18]. Hacking Exposed, Network Security Secrets & Solutions Stuart McClure, Joel Scambray, George Kurtz ,McGraw-Hill Professional 2005
[19]. Web Application Vulnerabilities Detect, Exploit, Prevent PUBLISHED BYSyngress Publishing, Inc.Elsevier, Inc. Burlington, MA 01803
WEBSITE [20] http://www.redhat.com. [21] http://community.whitehatsec.com/home/resource/stats.html [21]. http://www.snort.org/ [23]. http://www.owasp.org/ [24]. www.openssl.org [25]. http://www.baomatthongtin.com/ [26]. http://viethacker.org/ [27]. http://www.hvaonline.net/ [28]. http://www.quantrimang.com.vn/ [29]. https://www.blackfog.com/blackfog-global-threat-statistics-q2-2019/.