Những vấn đề đạt được và những vấn đề hạn chế của chương trình sau khi đã thử
nghiệm trên mạng ảo và trên Internet:
IV.1. Những vấn đề đạt được
• Thông phát hiện một số lỗi bảo mật như SQL Injection, Form Field
Manipulation, URL Manipulation của một Ứng dụng Web trên Interbet để
minh họa cho phần lý thuyết của các kỹ thuật đó.
• Thể hiện rõ ràng, trực quan kết quả các vị trí đã kiểm tra.
• Đưa ra các gợi ý về biện pháp phòng chống đối với lỗi bảo mật phát hiện
được.
Ví dụ 13.IV.1-1: Chương trình đã phát hiện được lỗi bảo mật về SQL Injection của ứng dụng Web (www.progenic.com). Cụ thể là các liên kết đến nội dung tin tức không được kiểm tra dữ liệu nhập.
http://www.progenic.com/out/?id=5’ ...
IV.2. Những vấn đềhạn chế
• Do sử dụng cơ chế khá đơn giản là kiểm thử và đánh giá kết quả nhận được, nên chương trình không thể phát hiện các lỗi bảo mật phức tạp.
Chương 13: Chương trình Web Checker
Ví dụ 13.IV.2-1: Chương trình đã không phát hiện ra lỗi với ứng dụng Web
(www.thanglongmetalwares.com/sanpham.asp) mặc dù ứng dụng có lỗi bảo mật
SQL Injection. Nguyên nhân thất bại là do ứng dụng lưu trữ câu truy vấn trong các đối tượng của form nên khi chương trình kiểm tra form sẽ làm thay đổi câu truy vấn nên đã làm thayđổi hoạt động của ứng dụng Web.
<form method="post" action="Sanpham.asp" name="Sanpham">
<input type="hidden" name="strSQL" value="SELECT * FROM Products Where Language = 1 ORDER BY Date DESC">
<input type="hidden" name="Page" value="1"> ...
Kết luận
KẾT LUẬNNội dung: Nội dung:
I. Những vấn đềđạt được II. Hướng phát triển
Kết luận
KẾT LUẬN
DE