Đưa ra những lời cảnh báo cho những người sử dụng Web rủi ro có thể xảy ra, đặc biệt nên chú ý khi cho phép trình duyệt thực thi ngôn ngữ trình khách trên máy của mình, vì khả năng lợi dụng ngôn ngữ này là rất lớn như trong kỹ thuật sessionID.
Sau khi sử dụng xong ứng dụng cần thoát ra khỏi hệ thống theo quy định (như Sigh-out của yahoo) để những nội dung quan trọng lưu dữ trong cookie bị hủy bỏ, tránh khả năng hacker vẩn tiếp tục dùng sessionID tồn tại đó để đăng nhập vaò hệ thống hợp lệ.
Quản lí tài khoản :
-Người dùng cần nhận thức được vai trò quan trọng trong việc bảo vệ tài khoản cảu mình. Các hoạt động bảo vệ tài khoản bao gồm việc bảo vệ mật khẩu, thay đổi mật khẩu định kỳ, đăng kí thời điểm… Sử dụng các phần mềm bảo vệ máy trạm của người sử dụng, log out khỏi hệ thống sau một thời gian time-out..
PHẦN V - KẾT LUẬN
1. NHỮNG VẤN ĐỀ ĐẠT ĐƯỢCTheo yêu cầu đặt ra ban đầu là “Nghiên cứu phát hiện và khai thác một số yếu điểm trên website”, cho đến thời điểm hiện tại, khóa luận đã đạt được các nội dung sau:
• Tìm hiểu các kỹ thuật tấn công ứng dụng Web bao gồm các kỹ thuật: • Thao tác trên tham số truyền như URL, biến ẩn form, cookie, HTTP header.
• Chèn mã lệnh thực thi trên trình khách Cross-site Scripting. • Chèn câu truy vấn SQL
• Đánh chiếm phiên làm việc của người dùng • Tràn bộ đệm
• Từ chối dịch vụ
• Các kỹ thuật khác như: Mã hóa URL, vượt đường dẫn, kí tự rỗng, ngôn ngữ phía trình chủ,…
Các biện pháp bảo mật từ sự kết hợp giữa nhà quản trị mạng, nhà thiết kế ứng dụng Web và người dùng
Về chương trình “Web Checker” đã đạt một số nội dung cơ bản sau:
• Kiểm tra một trang Web có khả năng bị tấn công bằng những kỹ thuật chèn câu lệnh SQL, thay đổi tham số hay không.
• Chương trình cho phép người dùng thực hiện giao tiếp với trình chủ giống như một trình duyệt thông thường.
2. HƯỚNG PHÁT TRIỂN
• Trong phạm vi khóa luận tốt nghiệp, khóa luận cơ bản đã đạt được các yêu cầu đặt ra.
• Tuy nhiên, các kết quả còn khá khiêm tốn do hạn chế về tài liệu và thời gian. Trong thời gian tới, nếu có điều kiện, khóa luận sẽ cố gắng phát triển thêm những nội dung sau:
- Tìm hiểu thêm về các kĩ thuật tấn công để đưa ra phương pháp bảo mật ứng dụng Web ở mức độ sâu hơn.
- Tìm hiểu về vấn đề bảo mật sâu hơn, không chỉ dừng ở mức độ một ứng dụng Web mà phát triển hơn vần đề bảo mật ở các hệ thống mạng và dịch vụ.
- Khai triển chương trình phát hiện lỗ hổng tốt hơn, trên nhiều phương diện kỹ thuật.
Phát triển chương trình như một Proxy giữa trình chủ với các trình duyệt. Mọi yêu cầu từ trình duyệt hay trả lời từ trình chủđều phải đi qua chương trình. Bất cứ khi nào chương trình kiểm tra thấy khả năng tấn công từ trình duyệt, chương trình sẽ từ chối yêu cầu đó và đóng kết nối.
TÀI LIỆU THAM KHẢO
Tiếng Việt
[1]. Lê Đình Duy, Bảo vệ ứng dụng web chống tấn công kiểu Sql Injection, kỷ yếu hội thảo CNTT – 2004, ĐHKHTN Tp.HCM.
[2] Nguyễn Duy Thăng, Nguyễn Minh Thu, Nghiên cứu một số vấn đề về bảo mật, CNTT – 2003, ĐHKHTN Tp.HCM.
Tiếng nước ngoài
[3]. Justin Clarke, SQL Injection Attacks and Defense, Syngress, 2009.
Trang Web [4]. http://www.owasp.org/index.php/SQL_Injection [5]. http://www.sqlsecurity.com/FAQs/SQLInjectionFAQ/tabid/56/Default.aspx [6].http://www.sensepost.com/labs/papers/sql_insertion/SQLinsertion2002_whitepaper .pdf
