- NG QUAN V AN NINH AN TOÀN NG DNG WEB. - Các công ngh dùng trong ng dng web. - Các rng gp trong ng dng web. - Mt s cách gây tràn b m qua ng dng web. - Tình hình ng dng công ngh n 2011-2015. - ng dng ni b. - Hong ca HTTP. - phát trin không ngng ca các ng dng web và dn dn khái nim ng d. - bm an toàn thông tin cho ng dng web, thông tin ci s dng. - nhng li ca ng dng web, ci qun tri lp trình ng dng web. - Xây dng nên quy trình phc v cho vic kim tra và phát him yu an toàn thông tin trong ng dng web, t. - Lum i các ni dung sau Tng quan v an ninh an toàn ng dng web. - phòng th trong ng dng web. - c kim tra k nhng cng không tránh khi nhng sai sót, rt mong nhn c s. - NG QUAN V AN NINH AN TOÀN NG DNG WEB 1.1. - Các công ngh dùng trong ng dng web 1.2.1. - Hot ng thông cng (port) 80 và là giao thc ng kt ni. - nh các giao thc và các ng dng cn thi. - ng bng mt URI (Uniform Resource Identifier). - Client có th s dng thông ip HEAD khi mun xác minh rng mt i ng có tn ti hay không. - Hong ca giao thc SSL im c bn ca c thit k c lp vi tng ng dng. - c s dng rng rãi trong nhiu ng dng khác nhau trên mông Internet. - hi ng dng ch phi c chng thc bi mt i ng lp th ba (CA) thông qua giy chng thc in t (digital certificate) da trên mt mã công khai (ví d RSA). - an toàn ca nó và các kh nng áp dng trong các ng dng nhy cm, c bit là các ng dng v thng mi và thanh toán in t Hình 1.19. - Ngoài ra, các ng dng còn. - ng dng khách yêu cu có chng thc in t (digital certificate) xác thc ca ng dng ch (web server). - Sau khi kim tra chng ch in t ca máy ch (s dng thut toán mt mã công khai, nh RSA ti trình máy trm), ng dng máy trm s dng các thông tin trong chng ch in t. - hai ng dng i khóa chính (master key. - làm c s cho vic mã hóa lung thông tin/d liu qua li gia hai ng dng ch khách. - Applet cho phép các nhà phát trin vit các ng dng nh nhúng vào trang web. - chúng s c chy trên mt ng d ng thi phc v các CGI script. - Flash cho phép các nhà thit k to các ng dng hot h ng. - Có rt nhiu doanh nghing dng thanh toán trc tuyn vào công vic kinh doanh, giao d. - chuyng ngm truy cp ci s dn các web cha. - c n nhng v. - Sau 5 ngày s c, thit h n hàng chc t i mi din ca t c coi là s c v h thng nghiêm trng nht tng xy ra vi VCCORP t n nay, thu hút hàng trit quan tâm ca cng mng. - Các rng gp trong ng dng web 1.4.1. - Mt s ng ln ng dng ch s dng các c ch lc phía trình duyt. - Các c ch kim tra phía trình duyt rt d dàng c t qua, và ng dng web xem nh khôc bo v bi c ch này. - tn công ng dng wc tiên, hacker thit lp mt ng gia trình duyt và máy ch ng dng web. - cho phép hacker sa i d liu truy cp và chèn các mã tn công c khi gi n ng dng web. - a s nhng chc nng này khôc thit k t lúc u mà c xây dng kèm theo tùy tính nng ca ng 27 dng. - Xác thc i dùng trên ng dng w. - ng dng wng phi theo dõi và duy trì phiên truy cp ca i dùng nhm phân bit các truy cp t i dùng khác nhau. - Li Cross Site Scripting (XSS) Li Cross ng c gi tt là XSS) xy ra khi mt ng dng web b li dng. - 28 Mt hacker có th s dng l hng này. - Li tràn b m Hacker s dng li tràn b m nhm nh ng n dòng lnh thc thi ca ng dng web. - dài t mc cho phép mà hàm x lý ca ng dng có th x lý. - Li Injection Li Injection cho phép hacker li dng l hng trong ng dng web làm phng tin. - Rt nhiu ng dng web s dng các hàm ca h iu hành và các chng trình ngoài. - Khi ng dng web s dng d liu t i dùng. - thiu an toàn a s các ng dng web cn lu tr d liu nhy cm, trong c s d liu hoc trong mt tp tin nào. - Các c ch mã hóa ng c s dng. - Tn công t chi dch v ng dng web rt d b tn thg do các cuc tn công t chi dch v (DoS). - tn công ng dng. - Mt dng khác ca tn công DoS ng dng web da trên các li trong chc nng ca ng dng. - tài nguyên h thng bao gm: bng thông, s ng truy cp ng thi c s d liung trng cng ng b nh RAM, threads, và các ngun tài nguyên khác liên ng dng. - Tn công t chi dch v Hình 1.25 mô t mt cuc tn công t chi dch v ng dng web in hình. - bo mt ca ng dng. - Do là nn tng cung cp các chc nng cp thp c bn cho ng dng. - Nhng vn. - Trong i a s các công ty, nhóm phát trin ng dng wng tách bit vi nhóm h tr trin khai trang web trên máy ch. - iu này có th dn n nhng im yu nghiêm trng trên ng dng c to ra t các l hng máy ch. - Nhng t. - Có th nói các tham s truyn là u mi cho mi hot ng ca hacker trong quá trình tn công ng dng. - Ví d 2.1.1-1: Có mt trang web ng dng cho phép thành viên. - chng li kiu i ni dung mt chui URL, ng dng có th áp dng bin pháp sau: 36 ng dng s dng c ch bm (hash table). - Khóa này s c lu trên server cùng vi bin username trong i tng bng bm. - Nu tng ng vi bn ghi trong d liu thì hp l. - Còn nu không thì server bit rng ngi dùng. - thao tác trong x lí ng dng. - Các cooc lu tr i nhng file d liu nh dng texc ng dng to. - lu tr nhng thông tin ci dùng khi s dng ng dng và nhng d liu khác ca session. - phá hoi ng dng. - Khi ng dng cn kim tra thông tin ca mi dùng, ng dng s dùng sessionID c. - Vì th, mc dù HTTP Header không phi là tham s truyn ca mt ng dng nhng mi thôu c lu tr vào nó c khi chuyn i. - Khái nim Thông ch có trình duyt và trình ch là i HTTP Header, còn hu ht các ng dng web thì không. - Vì th mt vài ng dng s kim tra thành phn này. - m bo rng nó c gi t trang web ca ng dng. - Khái nim SQL Injection SQL Injection là cách li dng nhng l hng trong quá trình lp trình web v phn truy xut c s d liu. - có th iu khin toàn b h thng ng dng. - dng bng. - tName Khái nim Quote Injection Nhng hi s c nh c ng dng cho vào gia hai d ng hp Quote injection. - ly thông tin t. - cp hay thit lp c nhng thông tin quan trng nh cookies, mt khuào mã ngun ng dng w. - chúng c chy nh là mt phn ca ng dng web và có chc nng cung cp hoc thc hin nhng iu hacker mun. - Hacker s li dng s kim tra lng lo t ng dng và hiu bit hn ch ca i dùng cng nh bit. - cp thông tin. - n công XSS truyn thng ng dng wng lu tr thông tin quan trng cookie. - Cookie là mu thông tin mà ng dng lu trên. - cng ca i s dng. - Nhng ch ng dng thit lp ra cookie thì mi có th c nó. - ch i dùng ang trong phiên làm vic ca ng dng thì hacker mi có c hi. - d i dùng ng nhp sau khi tìm ra l hng trên ng dng. - Quá trình thc hin XSS 4 K t p vào ng dng vi cookie vp i dùng vào logfile ng dng web. - i dùng ng dng web c phân phi qua email hay trang web Tóm tt các c thc hin. - dng mt ng dng web có l hng XSS. - khai thác l hng trên ng dng hotwired.lycos.com, hacker có th thc hin nh sau: Look at this! Mt phng hp d. - t ra là có th i lp trình s bo v ng dng web ca mình bng cách lc nhng ký t c bit nh ó th tránh ng hp dùng du. - 0x002F Ví d 2.4.2-3: Cách dùng mã hexa trong ng dng web Look at this!
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt