SQL injection tấn công và cách phòng tránh

- 1 TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI TÓM TẮT LUẬN VĂN THẠC SĨ ĐỀ TÀI SQL INJECTION – TẤN CÔNG VÀ CÁCH PHÒNG TRÁNH Tác giả: Vũ Ngọc Tuấn, khóa CNTT2013B Người hướng dẫn: TS.
- LÝ DO THỰC HIỆN ĐỀ TÀI Cùng với sự phát triển mạnh mẽ ứng dụng công nghệ thông tin, các cuộc tấn công, xâm nhập trái phép vào hệ thống mạng vào hệ thống mạng của các cơ quan nhà nƣớc, các tổ chức, doanh nghiệp và cá nhân để phá hoại hoặc thu thập lấy cắp thông tin ngày càng gia tăng.
- Theo Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), từ tháng 12-2014 đến tháng 12-2015, đã có 31.585 sự cố an ninh thông tin tại Việt Nam, gồm 5.898 sự cố lừa đảo, 8.850 sự cố tấn công thay đổi giao diện và 16.837 sự cố cài mã độc.
- Mới đây nhất ngày Hacker đã tấn công vào hệ thống công nghệ thông tin của Vietnam Airlines tại sân bay quốc tế Nội Bài và Tân Sơn Nhất, chiếm quyền kiểm soát trang mạng chính thức của Vietnam Airlines và chuyển sang trang mạng xấu ở nƣớc ngoài.
- Nhƣ vậy vấn đề bảo mật Web đang là mối quan tâm hàng đầu không những của các doanh nghiệp mà còn là mối quan tâm của hầu hết các quốc gia trên thế giới vì các kỹ thuật tấn công vào ứng dụng Web ngày càng trở nên tinh vi, phức tạp.
- Trong biểu đồ thống kê trên ta thấy SQL Injection cũng đƣợc coi là một lỗ hổng phổ biến và nghiêm trọng trong an ninh 2 ứng dụng Web và đây cũng vẫn đang là vấn đề nhận đƣợc rất nhiều quan tâm của các nhà nghiên cứu, các nhà phát triển ứng dụng Web, các tổ chức doanh nghiệp, cơ quan hành chính.
- Bên cạnh những khó khăn do cơ sở hạ tầng mạng còn yếu kém, sự phát triển không ngừng của các công cụ và phƣơng pháp tấn công khiến cho việc phòng, chống các hình thức tấn công ứng dụng Web trở thành một vấn đề rất nan giải.
- Một thực tại hiện này là hầu hết các lập trình viên vẫn chƣa nhận thức đƣợc vấn đề lập trình ứng dụng Web an toàn, ngoài ra rất nhiều giải pháp đã đƣợc công bố và áp dụng nhƣng vẫn chƣa đủ tốt.
- Đây cũng chính là lý do mà tác giả chọn đề tài “SQL Injection – tấn công và cách phòng tránh” để nghiên cứu.
- MỤC ĐÍCH NGHIÊN CỨU CỦA LUẬN VĂN Luận văn này nhằm mục đích phân loại các kỹ thuật mà kẻ tấn công thƣờng sử dụng để tấn công SQL Injection lên các ứng dụng Web, từ đó đƣa ra các khuyến nghị để các nhà phát triển ứng dụng có thể dự đoán trƣớc các nguy cơ tấn công để kịp thời đƣa ra các biện pháp ngăn chặn những hành động, nguy cơ gây mất an toàn thông tin từ bên trong cũng nhƣ bên ngoài ứng dụng Web đối với từng loại SQL Injection…Đồng thời luận văn cũng đƣa ra các phƣơng pháp mà nhà phát triển ứng dụng thƣờng sử dụng để phát hiện các loại lỗ hổng SQL Injection, đƣa ra những cảnh báo và giúp cho những ngƣời mới lập trình có cái nhìn tổng quan và nhận thức đƣợc tầm quan trọng của việc đảm bảo an toàn thông tin cho ứng dụng Web trong xây dựng, phát triển và vận hành ứng dụng Web.
- Trên cơ sở đó luận văn cũng nghiên cứu và đề xuất các công cụ cho việc phát hiện và cảnh báo lỗ hổng SQL Injection.
- Đối tƣợng và phạm vi nghiên cứu: Giúp chúng ta có thể hiểu hơn về các ứng dụng website, các mối đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc trên môi trƣờng ứng dụng web, hiểu rõ hơn về kỹ thuật tấn công Sql injection.
- Nghiên cứu, tìm hiểu các kỹ thuật tấn công SQL Injection, xây dựng website demo để tấn công kiểm thử, nghiên 3 cứu các công cụ phát hiện lỗ hổng bảo mật từ đó đƣa ra phƣơng pháp phòng thủ đối với từng loại tấn công.
- CẤU TRÚC LUẬN VĂN Nội dung chính của luận văn gồm có 4 chƣơng sau: CHƢƠNG I: TỔNG QUAN VỀ ỨNG DỤNG WEB VÀ SQL INJECTION CHƢƠNG II: KIỂM TRA CÁC LỖ HỔNG SQL INJECTION CHƢƠNG III: CÁC KỸ THUẬT TẤN CÔNG SQL INJECTION CHƢƠNG IV: MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG SQL INJECTION IV.
- PHƯƠNG PHÁP NGHIÊN CỨU - Tổng hợp, tìm hiểu, nghiên cứukỹ thuật tấn công SQL Injection từ nhiều nguồn tài liệu khác nhau.
- Phân tích, đánh giá các kỹ thuật tấn công sql injection.
- Tìm hiểu, nghiên cứu và đề xuất công cụ quét và khai thác lỗ hổng website.
- Đƣa ra giải pháp và các công cụ phòng chống đối với từng loại tấn công sql injection.
- Xây dựng website demo tấn công kiểm thử trƣớc và sau khi áp dụng các phƣơng pháp phòng chống sql injection.
- KẾT LUẬN SQL Injection luôn đƣợc đánh giá là một trong những lỗ hổng bảo mật web nguy hiểm nhất trong nhiều năm qua không chỉ ở Việt Nam mà còn trên toàn thế giới.
- Do đó, đối với những ngƣời lập trình web cần hiểu rõ nguyên nhân và cách khắc phục sao cho hiệu quả, đối với những ngƣời quản trị cần hiểu sâu về hệ thống và có những cấu hình cần thiết để trách nguy cơ và giảm thiểu tác hại trong trƣờng hợp ứng dụng web có lỗi có thể khai thác SQL Injection.
- Các kỹ thuật tấn công Sql Injection mà tác giả đề cập trong luận văn, tùy vào những trƣờng hợp cụ thể mà có những cách áp dụng khác nhau.
- 4 Luận văn đã đƣa ra đƣợc những nghiên cứu về các dạng tấn công, đột nhập cũng nhƣ cách thức tấn công dựa trên sự tìm hiểu, phân tích, đánh giá thông tin, những khảo sát thực tế để từ đó tìm tòi, đƣa ra các giải pháp cụ thể cho việc phòng chống tấn công ứng dụng web.
- Đã tiến hành thử nghiệm đƣợc việc tấn công ứng dụng web và phát hiện tấn công ứng dụng web bằng giải pháp phát hiện tấn công ứng dụng web để từ đó đƣa ra đƣợc các giải pháp phòng tránh cũng nhƣ khắc phục lỗi

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt