Đang tải... (xem toàn văn)
Giới thiệu bảo mật và mục tiêu bảo mật Cơ chế tấn công và ý đồ tấn công Các giải pháp bảo mật cơ bản Các lỗ hổng và sự tấn công phổ biến Mục đích kiểm tra và bảo mật Kiểm tra bảo mật Xem xét các kiểm tra khác Nguồn gốc phổ biến của các mối đe dọa an ninh Phần cứng, phần mềm bị lỗi Lỗi của con người Môi trường vật lý bảo mật kém, thiên tai, nguồn năng lượng hỏng hóc
SOFTWARE TESTING Đại học Quốc Gia Tp.HCM Trường ĐH Công Nghệ Thông Tin Giảng Viên: Nguyễn Đăng Khoa 1.Lê Chánh Tín 09520306 2.Lê Minh Thiện 09520284 3.Ngô Văn Vàng 09520452 4.Lê Phạm Minh Thông 09520288 5.Nguyễn Phát Tài 09520258 6.Nguyễn Quốc Thịnh 09520285 KIỂM TRA AN NINH WEB Giới thiệu bảo mật và mục tiêu bảo mật Cơ chế tấn công và ý đồ tấn công Các giải pháp bảo mật cơ bản Các lỗ hổng và sự tấn công phổ biến Mục đích kiểm tra và bảo mật Kiểm tra bảo mật Xem xét các kiểm tra khác NỘI DUNG ∗ Bảo mật là gì ? GIỚI THIỆU BẢO MẬT Nguồn gốc phổ biến của các mối đe dọa an ninh • Phần cứng, phần mềm bị lỗi • Lỗi của con người • Môi trường vật lý bảo mật kém, thiên tai, nguồn năng lượng hỏng hóc MỤC ĐÍCH BẢO MẬT Bảo vệ bản thân khỏi những mối nguy hại: • Bảo vệ dữ liệu (tính toàn vẹn, tính bảo mật, đảm bảo các thông tin cá nhân, tính sẵn có) • Bảo vệ tài nguyên hệ thống MỤC ĐÍCH BẢO MẬT Thu thập thông tin • Tìm kiếm thông tin về hệ thống • Tìm kiếm lỗ hổng ,cấu hình hệ thống, các phần mềm sử dụng Quét • Tiếp tục quá trình thu thập • Giả định thử nghiệm về hệ thống Tấn công • Quá trình hoạt động xâm nhập diễn ra • Cố gắng truy cập máy chủ, bẻ khóa, chạy truy vấn trên hệ thống mục tiêu CƠ CHẾ MỘT CUỘC TẤN CÔNG Để ăn cắp thông tin Để làm gián đoạn hệ thống Để gây rắc rối Để chơi cho vui Ý ĐỒ TẤN CÔNG Chiến lược đào tạo con người, chính sách của công ty an ninh, phản hồi từ doanh nghiệp Chiến lược đào tạo con người, chính sách của công ty an ninh, phản hồi từ doanh nghiệp Xác thực và ủy quyền Xác thực và ủy quyền Công nghệ bảo mật web khác Công nghệ bảo mật web khác Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện xâm phạm Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện xâm phạm GIẢI PHÁP BẢO MẬT CƠ BẢN ∗ Đào tạo con người ∗ Chính sách của công ty an ninh ∗ Phản hồi từ doanh nghiệp GIẢI PHÁP BẢO MẬT CƠ BẢN [...]... cậy ∗ Kiểm soát truy cập ∗ Tại sao cần bảo vệ tài nguyên KIỂM TRA BẢO MẬT ∗ Kiểm tra mã ứng dụng Backdoors Ngoại lệ và các thông báo Kiểm tra ID và Password KIỂM TRA BẢO MẬT Kiểm tra rò rỉ thông tin KIỂM TRA BẢO MẬT ∗ Kiểm tra sử dụng GET và POST ∗ Tấn công sử dụng tham số giả mạo KIỂM TRA BẢO MẬT ∗ Kiểm tra lỗi tràn bộ nhớ đệm KIỂM TRA BẢO MẬT ∗ Kiểm tra dữ liệu xấu KIỂM TRA BẢO MẬT ∗ Kiểm tra mở... hoạt động đáng ngờ Kiểm tra tương tác với các thành phần bên thứ 3 và các lỗ hỏng trọng tâm Kiểm tra việc triển khai KIỂM TRA BẢO MẬT ∗ Kiểm tra yêu cầu và thiết kế ∗ Kiểm tra mã ứng dụng ∗ Kiểm tra rò rỉ thông tin ∗ Kiểm tra việc sử dụng GET và POST ∗ Kiểm tra lỗi tràn bộ nhớ đệm ∗ Kiểm tra dữ liệu xấu ∗ Kiểm tra mở rộng KIỂM TRA BẢO MẬT Kiểm tra yêu cầu và thiết k : ∗ Yêu cầu là quan trọng ∗ Cơ sở... mạng MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM Một nhóm bảo mật bao gồm: ∗ Nhà hoạch định chính sách ∗ Quản trị mạng ∗ Nhà thiết kế phần mềm ∗ Kiểm tra phần mềm ∗ Chuyên gia an ninh va tư vấn MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM Trách Nhiệm Kiểm Tra: ∗ ∗ ∗ ∗ ∗ ∗ ∗ Kiểm tra việc thi hành bảo mật Kiểm tra yêu cầu và thiết kế Kiểm tra mã và lập trình Kiểm tra xâm nhập Kiểm tra thông tin đăng nhập và cảnh báo hoạt động...GIẢI PHÁP BẢO MẬT CƠ BẢN ∗ Xác Thực Và Ủy Quyền Mật khẩu Chứng thực giữa các thành phần và ứng dụng Mật mã hóa GIẢI PHÁP BẢO MẬT CƠ BẢN ∗ Công Nghệ Bảo Mật Web Khác Tăng cường an toàn Hypertext Transport IP Security (IPSec) Secure Sockets Layer (SSL) GIẢI PHÁP BẢO MẬT CƠ BẢN ∗ Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện xâm phạm Tường lửa, tường lửa dựa... thống phát hiện xâm nhập IDS NHỮNG LỖ HỔNG VÀ SỰ TẤN CÔNG PHỔ BIẾN Các Lỗ Hổng Phổ Biến: Tràn bộ đệm JavaScrip Cookies Spoofing Các chương trình CGI NHỮNG LỖ HỔNG VÀ SỰ TẤN CÔNG PHỔ BIẾN ∗ Các chương trình độc hại: Virus Worm Trojan Horse NHỮNG LỖ HỔNG VÀSỰ TẤN CÔNG PHỔ BIẾN ∗ Các Tấn Công Cơ Bản: Tấn công bằng cách lợi dụng đặc quyền truy cập Password cracking (bẻ mật khẩu)... Tấn công sử dụng tham số giả mạo KIỂM TRA BẢO MẬT ∗ Kiểm tra lỗi tràn bộ nhớ đệm KIỂM TRA BẢO MẬT ∗ Kiểm tra dữ liệu xấu KIỂM TRA BẢO MẬT ∗ Kiểm tra mở rộng KIỂM TRA BẢO MẬT ∗ Thử nghiệm với bảo vệ người dùng thông qua cài đặt trình duyệt ∗ Kiểm tra với tường lửa End . gồm: ∗ Nhà hoạch định chính sách. ∗ Quản trị mạng. ∗ Nhà thiết kế phần mềm ∗ Kiểm tra phần mềm ∗ Chuyên gia an ninh va tư vấn. MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM Trách Nhiệm Kiểm Tra: ∗ Kiểm tra. tâm. ∗ Kiểm tra việc triển khai. MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM ∗ Kiểm tra yêu cầu và thiết kế ∗ Kiểm tra mã ứng dụng ∗ Kiểm tra rò rỉ thông tin ∗ Kiểm tra việc sử dụng GET và POST ∗ Kiểm tra. mật. ∗ Kiểm tra yêu cầu và thiết kế. ∗ Kiểm tra mã và lập trình. ∗ Kiểm tra xâm nhập. ∗ Kiểm tra thông tin đăng nhập và cảnh báo hoạt động đáng ngờ. ∗ Kiểm tra tương tác với các thành phần bên