NGÔN NGỮ PHÍA TRÌNH CHỦ

Một phần của tài liệu luận văn tốt nghiệp nghiên cứu 1 số vấn đề về bảo mật ứng dụng web treen internet (Trang 137 - 140)

IV.1. Khái niệm

SSI là đoạn mã được nhúng vào trong trang Webđể yêu cầu trình chủ cungcấp thôngtinởmộtđiểmnàođótrongtrang.

Vídụ 10.IV.1-1:

-Trang123- KhoaCNTT

<!--#include file="test.asp"-->

Dònglệnhtrênnhúngnộidungfile“test.asp”vàotrongtrangWeb.

Tuy nhiên,SSIkhôngphảiđượchỗtrợ tronghầuhếtcáctrìnhchủ,ApachevàIIS là 2trình chủhỗ trợSSI. Trang Web cósửdụng SSIthường được lưudưới dạng .shtml hoặc.stm (làphần mở rộng của .html hay.htm) đểbáo hiệucho trình chủ biết trang này có sử dụng SSI để tiết kiệm thời gian xử lí cho trình chủ (không mấtthờigiantìmkiếm).

QuátrìnhthựchiệnxửlímộttrangWebyêucầu:

Nếukhôngcóbấtkìchỉthịnàokhác,trìnhchủchỉgửinộidungtrangWebcho trìnhduyệtnhưngvớimộtSSI,thìcôngviệctuầntựtheonhữngbướcnhưsau: • Trìnhchủnhậndữliệuvàphântíchdữliệu(tìmkiếmvàphânloạinhữngcâu

lệnhđặcbiệt)đểchỉthịthựchiện

• Dưatrênnhữngcâulệnhmàtrìnhchủtìmthấy,trìnhchủthựcthinhữngcâu lệnhđóđểtrảkếtquảchotrìnhduyệt.

• Trảkếtquảvềchotrìnhduyệt

Có3khảnăngthựchiện:

• Nhậnthôngtintừmộtfilevàchènvàotrongtrang • Gángiátrịchomộtsốbiến

• GọichươngtrìnhCGI

NộidungcâulệnhSSIxemtrongphầnphụlục.

-Trang124- KhoaCNTT

Chương 10: Một số kĩ thuật tấn công khác

IV.2. Cách tấn công

HackerlợidụngnhữngônhậpđểchènthêmvàođónộidungmộtcâulệnhSSI.

Vídụ 10.IV.2-1:

<!--#jdbc select="SELECT * FROM User" name="result" driver="org.gjt.mm.mysql.Driver"

url="jdbc:mysql://localhost:3306/project" -->

ThiếtlậpcâulệnhSelect

<!--#jdbc name="result" next="true" -->

Câulệnhnàydichuyểncontrỏđếndòngđầutiêntrongtậptin.

<!--#jdbc name="result" column="1" -->

Hiểnthịnộidungdòngđầutiên.

IV.3. Biện pháp phòng chống

Với ngườiquảntrị,cấuhìnhlạitrìnhchủsaochotrìnhchủkhônghỗtrợSSI. Với người lập trình, kiểm tra kĩ nội dung dữ liệu gửi từ người dùng. Loại bỏ nhữngkí tựnhư<> #-- !…Tuynhiên điềunàynên đượcthựchiện tạitrìnhchủ, không nênkiểmtra tínhđúngđắn củadữliệubằngngônngữphía trìnhkhách,vì khảnăngthayđổinộidungcủatrangWeb.

-Trang125- KhoaCNTT

Chương 11: Tổng kết quá trình tấn công của Hacker

Chương 11

TỔNG KẾT QUÁ TRÌNH TẤN CÔNG

CỦA HACKER

Nộidung:

I. ThuthậpthôngtinởmứchạtầngcủamụctiêuII. KhảosátứngdụngWeb

Một phần của tài liệu luận văn tốt nghiệp nghiên cứu 1 số vấn đề về bảo mật ứng dụng web treen internet (Trang 137 - 140)

Tải bản đầy đủ (DOCX)

(163 trang)
w