- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ. - NGHIÊN CỨU MỘT SỐ LỖ HỔNG THIẾU AN NINH TRONG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN, PHƢƠNG PHÁP VÀ CÔNG CỤ. - KIỂM SOÁT, XỬ LÝ LỖ HỔNG. - LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN. - Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104. - CÁC HIỂM HỌA VỀ AN NINH HỆ THỐNG THÔNG TIN. - TỔNG QUAN VỀ CÁC HIỂM HỌAError! Bookmark not defined.. - SQL Injection. - Tấn công từ chối dịch vụ (Denial of Service. - Lợi dụng các điểm yếu trong giao thức giao tiếp cơ sở dữ liệu (Database Communication Protocol Vulnerabilities. - 1.2 TỔNG QUAN VỀ CÁC LỖ HỔNG THIẾU AN NINH. - 1.2.1 Phân loại lỗ hổng theo mức độ. - Các lỗ hổng loại C. - Các lỗ hổng loại B. - Các lỗ hổng loại A. - 1.2.2 Phân loại lỗ hổng theo thành phần của hệ thống. - Lỗ hổng trong cấu hình. - Lỗ hổng trong giao thức mạng. - Lỗ hổng trong hệ điều hành. - Lỗ hổng trong ứng dụng. - MỘT SỐ LỖ HỔNG THIẾU AN NINH TRONG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN. - LỖ HỔNG BẢO MẬT TRONG GIAO THỨC TSL/SSL. - 2.1.2.Mô tả tấn công BEAST lên bộ giao thức SSL/TLS. - Ý tưởng tấn công do Wei Dai đề xuất chống lại chế độ mã khối CBC. - Tấn công lựa chọn giá trị biên (block-wise chosen-boundary attack. - Ứng dụng ý tưởng tấn công của Wei Dai để giải mã yêu cầu HTTPS. - Giải pháp khắc phục và ngăn chặn tấn công . - LỖ HỔNG BẢO MẬT GÂY RA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN (DDOS. - Tấn công từ chối dịch vụ phân tán DDoS(Distributed Denial of Service. - Các bước thực hiện một cuộc tấn công kiểu DdoS. - Phân loại tấn công kiểu DdoS. - Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service. - Biện pháp phòng chống tấn công từ chối dịch vụ. - Dựa trên giao thức mạng. - LỖ HỔNG BẢO MẬT GÂY RA TẤN CÔNG SQL INJECTION. - Tấn công SQL INJECTION. - Giới thiệu SQL INJECTION. - Các Dạng Tấn Công SQL Injection. - Cách Phòng Tránh SQL Injection. - Kiểm tra dữ liệu. - Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu . - MÔ PHỎNG TẤN CÔNG DẠNG SQL INJNECTION. - Tấn công vượt qua kiểm tra đăng nhập. - Tấn công xử dụng câu lệnh Union Select. - Bảng danh sách các dạng tấn công phổ biến trong năm . - Mô tả tấn công Beast...35. - Thực hiện tấn công lựa chọn biên với POST requers trong HTTPS...39. - Sơ đồ chính phân loại các kiểu tấn công DdoS...45. - Phân loại các kiểu tấn công DdoS...48. - Sơ đồ tấn công kiểu Amplification Attack...51. - Kiểu tấn công TCP SYS Attack...52. - Sơ đồ mô tả kiểu tấn công DRDOS...55. - Dấu hiệu một site bị lỗi SQL Injection...61. - 1 SSL Giao thức chuẩn an ninh thông tin nó tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt. - 2 Victim Đối tượng bị tấn công. - 3 HTTP Giao thức truyền tải siêu văn bản. - 4 HTTPS Giao thức truyền tải siêu văn bản an toàn có mã hóa 5 Timeout Là khoảng thời gian lớn nhất được thiết lạp trong 1. - 7 DDoS Tấn công từ chối dịch vụ phân tán. - Một kỹ thuật tấn công vào hệ cơ sở dữ liệu bằng cách chèn thêm các câu lệnh truy vấn. - Là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP. - Trong đó lưu trữ các thông tin nhạy cảm của ngườ sử dụng. - Công nghệ thông tin ngày nay đang phát triển rất mạnh, số lượng người sử dụng Internet ngày càng tăng, lưu lượng truyền tải thông tin yêu cầu ngày càng lớn và các hoạt động giao dịch trên mạng internet cũng phát triển theo, đặc biệt là trong hoạt động trao đổi thông tin giữa công dân với cơ quan hành chính nhà nước và giữa cơ quan hành chính nhà nước với nhau.. - Trước đây các cơ quan hành chính nhà nước cung cấp dịch vụ cho dân chúng tại trụ sở của mình, thì nay, nhờ vào công nghệ thông tin và viễn thông, các cơ quan hành chính nhà nước đã áp dụng nhiều công nghệ mới như: Mạng diện rộng, Internet, các phương tiện di động để quan hệ với công dân, giới doanh nghiệp. - Qua các cổng thông tin cho công dân (Citizen Portal) người dân nhận có thể tìm hiều đầy đủ các thông tin từ pháp luật, các dịch vụ công và các thông tin khác cần tìm hiểu. - mà không phải trực tiếp đến các trụ sở các cơ quan như trước đây.. - Tại các cơ quan hành chính, các dữ liệu về công văn, tài liệu được số hóa và lưu trữ tại chính các cơ quan và tại trung tâm dữ liệu (Data center) của đơn vị hoặc thành phố nhằm đảm bảo quá trình giao dịch hiệu quả nhằm nâng cao công tác quản lý các cơ quan hành chính nhà nước.. - Tuy nhiên việc trao đổi thông tin này sẽ không tránh khỏi một số đối tượng gián điệp truy cập trái phép vào các hệ thống thông tin số như các thông báo, các văn bản pháp luật, công văn. - Và việc đảm bảo an toàn thông tin luôn được đặt lên hàng đầu trong hành chính điện tử. - An toàn thông tin trong hành chính điện tử là các biện pháp nhằm đảm bảo tính bí mật cho thông tin, toàn vẹn dữ liệu, xác thực nguồn gốc an toàn, tôn trọng riêng tư, và đảm bảo tính sẵn sàng của an toàn thông tin.. - Vì vậy, việc kiểm soát và phát hiện các lỗ hổng thiếu an toàn an ninh trong hệ thống và các ứng dụng công nghệ thông tin là vô cùng quan trọng. - Từ đây các giải pháp an toàn thông tin cho hệ thống, cho các ứng dụng công nghệ thông tin là bài toán được đặt ra cho các cơ quan hành chính.. - Chính nhận thức về tầm quan trọng an toàn thông tin hành chính điện tử đã thôi thúc tôi thực hiện đề tài “Nghiên cứu một số lỗ hổng thiếu An ninh trong Ứng dụng công nghệ thông tin tại các cơ quan hành chính nhà nước, phương pháp và công cụ kiểm soát, xử lý lỗ hổng”.. - Chƣơng 1: Các hiểm họa về an ninh hệ thống thông tin.. - Chƣơng 2: Một số lỗ hổng thiếu an ninh trong ứng dụng công nghệ thông tin.. - Chƣơng 3: Mô phỏng một số lỗ hổng.. - [1] Ban cơ yếu chính phủ (2014), bài viết về tấn công BEAST.. - [2] Phân loại tấn công DDoS và các biện pháp phòng chống. - [3] Tấn công từ chối dịch vụ Dos,Ddos,DRDos. - Thanh Nghị-HVA [4] Tấn công mạng máy tính. - [5] Tấn công kiểu SQL Injection-Tác hại và phòng tránh. - [7] Trịnh Nhật Tiến, Giáo trình an toàn dữ liệu – Khoa công nghệ thông tin, Đại học Công nghệ, Đại học quốc gia Hà Nội.. - [8] An Introduction to SQL Injection Attacks For Oracle Developers.Author Stephen Kost. - [11] Kevin Spett, SQL Injection-Are you web Applications vulnerable.