Nghiên cứu bảo mật thông tin cho hệ thống website.

- NG QUAN V AN NINH AN TOÀN NG DNG WEB.
- Các công ngh dùng trong ng dng web.
- Các rng gp trong ng dng web.
- Mt s cách gây tràn b m qua ng dng web.
- Tình hình ng dng công ngh n 2011-2015.
- ng dng ni b.
- Hong ca HTTP.
- phát trin không ngng ca các ng dng web và dn dn khái nim ng d.
- bm an toàn thông tin cho ng dng web, thông tin ci s dng.
- nhng li ca ng dng web, ci qun tri lp trình ng dng web.
- Xây dng nên quy trình phc v cho vic kim tra và phát him yu an toàn thông tin trong ng dng web, t.
- Lum i các ni dung sau Tng quan v an ninh an toàn ng dng web.
- phòng th trong ng dng web.
- c kim tra k nhng cng không tránh khi nhng sai sót, rt mong nhn c s.
- NG QUAN V AN NINH AN TOÀN NG DNG WEB 1.1.
- Các công ngh dùng trong ng dng web 1.2.1.
- Hot ng thông  cng (port) 80 và là giao thc ng kt ni.
- nh các giao thc và các ng dng cn thi.
- ng bng mt URI (Uniform Resource Identifier).
- Client có th s dng thông ip HEAD khi mun xác minh rng mt i ng có tn ti hay không.
- Hong ca giao thc SSL im c bn ca c thit k c lp vi tng ng dng.
- c s dng rng rãi trong nhiu ng dng khác nhau trên mông Internet.
- hi ng dng ch phi c chng thc bi mt i ng lp th ba (CA) thông qua giy chng thc in t (digital certificate) da trên mt mã công khai (ví d RSA).
- an toàn ca nó và các kh nng áp dng trong các ng dng nhy cm, c bit là các ng dng v thng mi và thanh toán in t Hình 1.19.
- Ngoài ra, các ng dng còn.
- ng dng khách yêu cu có chng thc in t (digital certificate) xác thc ca ng dng ch (web server).
- Sau khi kim tra chng ch in t ca máy ch (s dng thut toán mt mã công khai, nh RSA ti trình máy trm), ng dng máy trm s dng các thông tin trong chng ch in t.
- hai ng dng i khóa chính (master key.
- làm c s cho vic mã hóa lung thông tin/d liu qua li gia hai ng dng ch khách.
- Applet cho phép các nhà phát trin vit các ng dng nh nhúng vào trang web.
- chúng s c chy trên mt ng d ng thi phc v các CGI script.
- Flash cho phép các nhà thit k to các ng dng hot h ng.
- Có rt nhiu doanh nghing dng thanh toán trc tuyn vào công vic kinh doanh, giao d.
- chuyng ngm truy cp ci s dn các web cha.
- c n nhng v.
- Sau 5 ngày s c, thit h n hàng chc t i mi din ca t c coi là s c v h thng nghiêm trng nht tng xy ra vi VCCORP t n nay, thu hút hàng trit quan tâm ca cng mng.
- Các rng gp trong ng dng web 1.4.1.
- Mt s ng ln ng dng ch s dng các c ch lc phía trình duyt.
- Các c ch kim tra phía trình duyt rt d dàng c t qua, và ng dng web xem nh khôc bo v bi c ch này.
- tn công ng dng wc tiên, hacker thit lp mt ng gia trình duyt và máy ch ng dng web.
- cho phép hacker sa i d liu truy cp và chèn các mã tn công c khi gi n ng dng web.
- a s nhng chc nng này khôc thit k t lúc u mà c xây dng kèm theo tùy tính nng ca ng 27 dng.
- Xác thc i dùng trên ng dng w.
- ng dng wng phi theo dõi và duy trì phiên truy cp ca i dùng nhm phân bit các truy cp t i dùng khác nhau.
- Li Cross Site Scripting (XSS) Li Cross ng c gi tt là XSS) xy ra khi mt ng dng web b li dng.
- 28 Mt hacker có th s dng l hng này.
- Li tràn b m Hacker s dng li tràn b m nhm nh ng n dòng lnh thc thi ca ng dng web.
- dài t mc cho phép mà hàm x lý ca ng dng có th x lý.
- Li Injection Li Injection cho phép hacker li dng l hng trong ng dng web làm phng tin.
- Rt nhiu ng dng web s dng các hàm ca h iu hành và các chng trình ngoài.
- Khi ng dng web s dng d liu t i dùng.
- thiu an toàn a s các ng dng web cn lu tr d liu nhy cm, trong c s d liu hoc trong mt tp tin nào.
- Các c ch mã hóa ng c s dng.
- Tn công t chi dch v ng dng web rt d b tn thg do các cuc tn công t chi dch v (DoS).
- tn công ng dng.
- Mt dng khác ca tn công DoS ng dng web da trên các li trong chc nng ca ng dng.
- tài nguyên h thng bao gm: bng thông, s ng truy cp ng thi c s d liung trng  cng ng b nh RAM, threads, và các ngun tài nguyên khác liên ng dng.
- Tn công t chi dch v Hình 1.25 mô t mt cuc tn công t chi dch v ng dng web in hình.
- bo mt ca ng dng.
- Do là nn tng cung cp các chc nng cp thp c bn cho ng dng.
- Nhng vn.
- Trong i a s các công ty, nhóm phát trin ng dng wng tách bit vi nhóm h tr trin khai trang web trên máy ch.
- iu này có th dn n nhng im yu nghiêm trng trên ng dng c to ra t các l hng  máy ch.
- Nhng t.
- Có th nói các tham s truyn là u mi cho mi hot ng ca hacker trong quá trình tn công ng dng.
- Ví d 2.1.1-1: Có mt trang web ng dng cho phép thành viên.
- chng li kiu i ni dung mt chui URL, ng dng có th áp dng bin pháp sau: 36  ng dng s dng c ch bm (hash table).
- Khóa này s c lu trên server cùng vi bin username trong i tng bng bm.
- Nu tng ng vi bn ghi trong d liu thì hp l.
- Còn nu không thì server bit rng ngi dùng.
- thao tác trong x lí ng dng.
- Các cooc lu tr i nhng file d liu nh dng texc ng dng to.
- lu tr nhng thông tin ci dùng khi s dng ng dng và nhng d liu khác ca session.
- phá hoi ng dng.
- Khi ng dng cn kim tra thông tin ca mi dùng, ng dng s dùng sessionID c.
- Vì th, mc dù HTTP Header không phi là tham s truyn ca mt ng dng nhng mi thôu c lu tr vào nó c khi chuyn i.
- Khái nim Thông ch có trình duyt và trình ch là i HTTP Header, còn hu ht các ng dng web thì không.
- Vì th mt vài ng dng s kim tra thành phn này.
- m bo rng nó c gi t trang web ca ng dng.
- Khái nim SQL Injection SQL Injection là cách li dng nhng l hng trong quá trình lp trình web v phn truy xut c s d liu.
- có th iu khin toàn b h thng ng dng.
- dng bng.
- tName Khái nim Quote Injection Nhng hi s c nh c ng dng cho vào gia hai d ng hp Quote injection.
- ly thông tin t.
- cp hay thit lp c nhng thông tin quan trng nh cookies, mt khuào mã ngun ng dng w.
- chúng c chy nh là mt phn ca ng dng web và có chc nng cung cp hoc thc hin nhng iu hacker mun.
- Hacker s li dng s kim tra lng lo t ng dng và hiu bit hn ch ca i dùng cng nh bit.
- cp thông tin.
- n công XSS truyn thng ng dng wng lu tr thông tin quan trng  cookie.
- Cookie là mu thông tin mà ng dng lu trên.
- cng ca i s dng.
- Nhng ch ng dng thit lp ra cookie thì mi có th c nó.
- ch i dùng ang trong phiên làm vic ca ng dng thì hacker mi có c hi.
- d i dùng ng nhp sau khi tìm ra l hng trên ng dng.
- Quá trình thc hin XSS 4 K t p vào ng dng vi cookie vp i dùng vào logfile ng dng web.
- i dùng ng dng web c phân phi qua email hay trang web Tóm tt các c thc hin.
- dng mt ng dng web có l hng XSS.
- khai thác l hng trên ng dng hotwired.lycos.com, hacker có th thc hin nh sau: Look at this! Mt phng hp d.
- t ra là có th i lp trình s bo v ng dng web ca mình bng cách lc nhng ký t c bit nh ó th tránh ng hp dùng du.
- 0x002F  Ví d 2.4.2-3: Cách dùng mã hexa trong ng dng web Look at this!

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt