NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET

20 133 0
  • Loading ...
    Loading ...
    Loading ...

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 30/10/2016, 11:34

Khoa CNTT BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG MÁY TÍNH DE LUẬN VĂN TỐT NGHIỆP ĐỀ TÀI: NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET GVHD: Th.S MAI VĂN CƯỜNG SVTH : NGUYỄN DUY THĂNG - 9912074 NGUYỄN MINH THU - 9912156 KHÓA HỌC: 1999-2003 Khoa CNTT Lời cảm ơn Sau gần tháng nỗ lực thực hiện, luận văn nghiên cứu “Các kĩ thuật công bảo mật ứng dụng Web Internet” phần hoàn thành Ngoài cố gắng thân, chúng em nhận khích lệ nhiều từ phía nhà trường, thầy cô, gia đình bạn bè Trước hết chúng xin cám ơn ba mẹ động viên tạo điều kiện tốt để chúng học tập hoàn thành luận văn tốt nghiệp Chúng em xin cám ơn thầy cô trường Đại Học Khoa Học Tự Nhiên truyền đạt kiến thức quý báu cho chúng em suốt trình học tập Đặc biệt, chúng em xin bày tỏ lòng chân thành sâu sắc đến thầy Mai Văn Cường, người tận tình hướng dẫn giúp đỡ chúng em trình làm luận văn tốt nghiệp Xin cám ơn tất bạn bè động viên, giúp đỡ trình học tập hoàn thành tốt luận văn tốt nghiệp Khoa CNTT Lời nhận xét …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet MỤC LỤC GIỚI THIỆU……………………………………………………………………………… Tổ chức luận văn…………………………………………………………………… PHẦN THỨ NHẤT: CƠ SỞ LÍ THUYẾT……………………………………………… 11 Chương 1: Giới thệu Ứng dụng Web…………………………………………………… 12 I KHÁI NIỆM ỨNG DỤNG WEB……………………………… …………………… 13 II MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB……… ………………… 16 Chương 2: Các khái niệm, thuật ngữ liên quan ………………………………………… 18 I HACKER……………………………………………………………………………… 19 II HTTP HEADER…………………………………………………………………… 19 III SESSION…………………………….……………………………………………… 21 IV COOKIE…………………………………………………………………………… 22 V PROXY……………………………………………………………………………… 25 Chương 3: Giới thiệu sơ lược kĩ thuật công Ứng dụng Web………………… 26 I KIỂM SOÁT TRUY CẬP WEB……………………………………………………… 27 I.1 Thâm nhập hệ thống qua cửa sau………………………………………………… 27 II CHIẾM HỮU PHIÊN LÀM VIỆC………………………………………………… 27 II.1 Ấn định phiên làm việc…………………………………………………………… 27 II.2 Đánh cắp phiên làm việc………………………………………………………… 27 III LỢI DỤNG CÁC THIẾU SÓT TRONG VIỆC KIỂM TRA DỮ LIỆU NHẬP HỢP LỆ……….…………………………………………………………………………… 27 III.1 Kiểm tra tính đắn liệu ngôn ngữ phía trình duyệt………… 28 III.2 Tràn đệm…………… ……………………………………………………… 28 III.3 Mã hóa URL…………………………………………………………………… 28 III.4 Kí tự Meta……………………………………………………………………… 28 III.5 Vượt qua đường dẫn…………………………………………………………… 29 III.6 Chèn mã lệnh thực thi trình duyệt nạn nhân……………………………… 29 III.7 Thêm câu lệnh hệ thống………………….…………………………………… 29 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet III.8 Chèn câu truy vấn SQL…………………….…………………………………… 30 III.9 Ngôn ngữ phía máy chủ……………… 30 III.10 Kí tự rỗng….………………………………………………………………… 30 III.11 Thao tác tham số truyền………………………………………………… 30 IV ĐỂ LỘ THÔNG TIN……………………………………………………………… 31 V TỪ CHỐI DỊCH VỤ………………….…………………………………………… 31 PHẦN THỨ HAI: CÁC KĨ THUẬT TẤN CÔNG VÀ BẢO MẬT ỨNG DỤNG WEB 33 Chương 4: Thao tác tham số truyền………………………………………………… 34 I THAO TÁC TRÊN URL…………………………………………………………… 35 I.1 Khái niệm………………………………………………………………………… 35 I.2 Một số biện pháp khắc phục……………………………………………………… 36 II THAO TÁC TRÊN BIẾN ẨN FORM……………………………………………… 36 II.1 Khái niệm………………………………………………………………………… 36 II.2 Một số biện pháp khắc phục…………………………………………………… 38 III THAO TÁC TRÊN COOKIE……………………………………………………… 39 III.1 Khái niệm ……………………………………………………………………… 39 III.2 Một số biện pháp khắc phục…………………………………………………… 40 IV THAO TÁC TRONG HTTP HEADER…………………………………………… 41 IV.1 Khái niệm……………………………………………………………………… 41 IV.2 Một số biện pháp khắc phục…………………………………………………… 42 Chương 5: Chèn mã lệnh thực thi trình duyệt nạn nhân (Cross Side Scripting)…… 43 I KĨ THUẬT TẤN CÔNG CROSS-SITE SCRIPTING (XSS)……………………… 44 II PHƯƠNG PHÁP TẤN CÔNG XSS TRUYỀN THỐNG………………………… 46 III MỘT SỐ WEBSITE TÌM THẤY LỖ HỔNG XSS……………………………… 50 IV TẤN CÔNG XSS BẰNG FLASH………………………………………………… 51 V CÁCH PHÒNG CHỐNG…………………………………………………………… 54 Chương 6: Chèn câu truy vấn SQL (SQL Injection)…………………………………… 56 I KHÁI NIỆM SQL INJECTION…………………………………………………… 57 II GIỚI THIỆU MÔ HÌNH CƠ SỞ DỮ LIỆU……………………………………… 57 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet III CÁC CÁCH TẤN CÔNG………………………………………………………… 58 III.1 Kĩ thuật công SQL Injection……………………………………………… 58 III.2 Tấn công dưa vào câu lệnh SELECT…………………………………………… 60 III.3 Tấn công dưa vào câu lệnh HAVING………………………………………… 62 III.4 Tấn công dưa vào câu lệnh kết hợp UNION…………………………………… 62 III.5 Tấn công dưa vào lệnh INSERT……………………………………………… 69 III.6 Tấn công dưa vào STORED PROCEDURE…………………………………… 70 III.7 Nâng cao……………………………………………………………………… 70 III.7.1 Chuỗi kí tự dấu nháy đơn………………………………………… 70 III.7.2 Tấn công tầng……………………………………………………………… 71 III.7.3 Tránh kiểm soát………………………………………………………… 74 III.7.4 Dùng Extended Stored Procedure…………………………………………… 75 III.7.4.1 Dùng Extended Stored Procedure có sẵn hệ thống SQL Server… 75 III.7.4.2 Dùng Extended Stored Procedure tự tạo………………………………… 76 III.7.4.3 Nhập tập tin văn vào bảng…………………………………………… 77 IV CÁCH PHÒNG CHỐNG………………………………………………………… 77 IV.1 Kiểm tra liệu……………………………………………………………… 78 IV.2 Khoá chặt SQL Server (SQL Server Lockdown)…………………………… 81 Chương 7: Chiếm hữu phiên làm việc (Session Management)………………………… 83 I TỔNG QUAN VỀ SESSION ID…………………………………………………… 84 II ẤN ĐỊNH PHIÊN LÀM VIỆC…………………………………………………… 85 II.1 Tấn công Session ID tham số URL………………………………………… 88 II.2 Tấn công Session ID biến ẩn form……………………………………… 89 II.3 Tấn công Session ID cookie……………………………………………… 89 II.4 Cách phòng chống……………………………………………………………… 91 III ĐÁNH CẮP PHIÊN LÀM VIỆC………………………………………………… 92 III.1 Tấn công kiểu dự đoán phiên làm việc (Prediction sessionID)………………… 93 III.2 Tấn công kiểu vét cạn phiên làm việc (Brute force ID)……………………… 93 III.3 Tấn công kiểu dùng đoạn mã để đánh cấp phiên làm việc…………………… 94 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet III.4 Cách phòng chống……………………………………………………………… 94 III.5 Sự khác biệt đánh cắp phiên làm việc (session hijacking) ấn định phiên làm việc (session fixation)…………………………………………………………… 94 Chương 8: Tràn đệm (Buffer Overflow)…………………………………………… 97 I KHÁI NIỆM………………………………………………………………………… 98 II SƠ ĐỒ TỔ CHỨC CỦA BỘ NHỚ………………………………………………… 99 II.1 Stack…………………………………………………………………………… 100 II.2 Push Pop……………………………………………………………………… 101 II.3 Cách làm việc hàm………………………………………………………… 102 II.4 Shell code……………………………………………………………………… 104 III MỘT SỐ CÁCH GÂY TRÀN BỘ ĐỆM QUA ỨNG DỤNG WEB……………… 106 IV CÁC CÁCH PHÒNG CHỐNG…………………………………………………… 106 Chương 9: Từ chối dịch vụ (DoS)……………………………………………………… 108 I KHÁI NIỆM………………………………………………………………………… 109 II NHỮNG KHẢ NĂNG BỊ TẤN CÔNG BẰNG DOS……………………………… 109 III CÁC KĨ THUẬT TẤN CÔNG…………………………………………………… 110 III.1 Khái niệm Tcp bắt tay ba chiều……………………………………………… 110 III.2 Lợi dụng TCP thực phương pháp SYN flood truyền thống……………… 112 III.3 Tấn công vào băng thông……………………………………………………… 113 III.3.1 Kiểu công thứ 1………………………………………………………… 113 III.3.2 Kiểu công thứ 2………………………………………………………… 113 III.4 Kiểu công vào tài nguyên hệ thống………………………………………… 117 IV BIỆN PHÁP PHÒNG CHỐNG…………………………………………………… 117 Chương 10: Một số kĩ thuật công khác…………………………………………… 119 I MÃ HÓA URL (URL Encoding) …………………………………………………… 120 I.1 Khái niệm………………………………………………………………………… 120 I.2 Một số biện pháp phòng chống………………………………………………… 121 II KIỂU TẤN CÔNG VƯỢT ĐƯỜNG DẪN………………………………………… 121 II.1 Khái niệm……………………………………………………………………… 121 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet II.2 Một số biện pháp phòng chống………………………………………………… 122 III TẤN CÔNG DỰA VÀO KÍ TỰ RỖNG………………………………………… 123 III.1 Khái niệm……………………………………………………………………… 123 III.2 Một số biện pháp phòng chống………………………………………………… 123 IV NGÔN NGỮ PHÍA TRÌNH CHỦ………………………………………………… 123 IV.1 Khái niệm……………………………………………………………………… 123 IV.2 Cách công…………………………………………………………………… 125 IV.3 Biện pháp phòng chống………………………………………………………… 125 Chương 11: Tổng kết trình công Hacker………………………………… 127 I THU THẬP THÔNG TIN Ở MỨC HẠ TẦNG CỦA MỤC TIÊU………………… 128 II KHẢO SÁT ỨNG DỤNG WEB…………………………………………………… 131 III TẤN CÔNG……………………………………………………………………… 132 Chương 12: Tổng kết biện pháp phòng chống…………………………………… 134 I VỚI NHỮNG NHÀ QUẢN TRỊ MẠNG…………………………………………… 135 II VỚI NHỮNG NHÀ THIẾT KẾ ỨNG DỤNG WEB……………………………… 137 III VỚI NGƯỜI SỬ DỤNG ỨNG DỤNG WEB…………………………………… 139 PHẦN THỨ BA: CHƯƠNG TRÌNH WEB CHECKER……………………………… 140 Chương 13: Chương trình Web Checker……………………………………………… 141 I ĐẶC TẢ CHƯƠNG TRÌNH WEB CHECKER…………………………………… 142 I.1 Tổng quan……………………………………………………………………… 142 I.2 Yêu cầu………………………………………………………………………… 142 I.2.1 Yêu cầu chức năng…………………………………………………………… 142 I.2.1 Yêu cầu phi chức năng……………………………………………………… 143 II KIẾN TRÚC CHƯƠNG TRÌNH WEB CHECKER……………………………… 143 II.1 Kiến trúc chương trình Web Checker………………………………………… 143 II.2 Giao tiếp chương trình với trình chủ Web………………………………… 144 III CÀI ĐẶT………………………………………………………………………… 145 III.1 Ngôn ngữ cài đặt……………………………………………………………… 145 III.2 Phương pháp cài đặt…………………………………………………………… 145 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet III.2.1 Sử dụng mô hình giao diện dạng Dialog…………………………………… 145 III.2.2 Sử dụng ActiveX Control (Microsoft Web Browser)……………………… 145 III.2.3 Sử dụng giao diện lập trình Window Socket 2……………………………… 146 III.2.4 Một số lớp hàm cài đặt chương trình………………… 146 III.3 Mô tả chương trình cách sử dụng…………………………………………… 151 III.3.1 Màn hình chương trình……………………………………………………… 151 III.3.2 Cách sử dụng……………………………………………………………… 152 IV ĐÁNH GIÁ CHƯƠNG TRÌNH…………………………………………………… 153 IV.1 Những vấn đề đạt được……………………………………………………… 153 IV.2 Những vấn đề hạn chế………………………………………………………… 153 KẾT LUẬN…………………………………………………………………………… 155 I NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC…………………………………………………… 156 II HƯỚNG PHÁT TRIỂN…………………………………………………………… 157 PHỤ LỤC……………………………………………………………………………… 158 Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet GIỚI THIỆU Ngày nay, Internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu giới thiệu thông tin xa lộ thông tin thực phiên giao dịch trực tuyến Vấn đề nảy sinh phạm vi ứng dụng ứng dụng Web ngày mở rộng khả xuất lỗi bị công cao, trở thành đối tượng cho nhiều người công với mục đích khác Đôi khi, đơn giản để thử tài đùa bỡn với người khác Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Trong phương tiện thông tin đại chúng ngày nhắc nhiều đến khả truy nhập thông tin Internet, tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an toàn liệu cho máy tính kết nối vào mạng Internet Theo số liệu CERT (Computer Emegency Response Team - "Đội cấp cứu máy tính"), số lượng vụ công Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994, năm 2001 5315 vụ Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính tất công ty lớn AT&T, IBM, trường đại học, quan nhà nước, tổ chức quân sự, nhà băng Một số vụ công có quy mô khổng lồ (có tới 100.000 máy tính bị công) Hơn nữa, số phần tảng băng Một phần lớn vụ công không thông báo, nhiều lý do, -Trang 7- Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet kể lo bị uy tín, đơn giản người quản trị hệ thống không hay biết công nhằm vào hệ thống họ Điển hình công vào phần mềm thương mại IBM tháng 3/2001, hai hacker tìm thấy lỗ hổng ứng dụng mà với trình duyệt Web lấy tài khoản người dùng, chí người quản trị Không số lượng công tăng lên nhanh chóng, mà phương pháp công ngày tinh vi có tổ chức Mặt khác, việc quản trị hệ thống mạng đòi hỏi nhà quản trị hệ thống có kiến thức kinh nghiệm hệ thống mạng chắn, yếu quản lý tạo nhiều điều kiện cho hacker khai thác Cũng theo CERT, công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng-mật (UserID/password) sử dụng số lỗi chương trình hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, nhiên công vào thời gian gần bao gồm thao tác giả mạo địa IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa (telnet rlogin), cài trojan hay worm để kiểm soát hay điều khiển máy tính…vì thế, nhu cầu bảo vệ thông tin Internet cần thiết nhằm mục đích bảo vệ liệu, bảo vệ thông tin người dùng bảo vệ hệ thống Khi nói đến vấn đề bảo mật, hầu hết chuyên gia bảo mật trọng đến an toàn hệ thống mạng hệ điều hành Để bảo vệ cho hệ thống, phương pháp thường chọn sử dụng firewall Tuy nhiên, theo tuyên bố CSI/FBI : 78% nơi bị hại có sử dụng firewall 59% bị công thông qua Internet, cụ thể theo báo cáo CSI/FBI Computer Crime Security Survey tổng số thiệt hại ứng dụng Web bị công từ năm 1997 đến năm 2000 626 triệu đôla Mỹ -Trang 8- Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet Với công cụ tự động tìm lỗ hổng giúp nhiều cho nhà lập trình Web ngăn chặn toàn công nghệ Web phát triển nhanh chóng (chủ yếu trọng đến yếu tố thẩm mĩ, yếu tố tốc độ…) nên dẫn đến nhiều khuyết điểm phát sinh Sự công không nằm khuôn khổ vài kĩ thuật phát hiện, mà linh động tăng lên tùy vào sai sót nhà quản trị hệ thống người lập trình ứng dụng Luận văn thực hịên với mục đích tìm hiểu, phân tích lỗ hổng bảo mật ứng dụng web (cùng với chương trình minh họa) để qua đề xuất phương án sửa chữa Song song đó, luận văn thực chương trình “Tự động phát lỗ hổng ứng dụng Web” giúp ích cho nhà lập trình Web kinh nghiệm tránh sai sót trình tạo ứng dụng Tổ chức luận văn Luận văn gồm 13 chương chia thành phần: Phần thứ nhất: CƠ SỞ LÍ THUYẾT Phần gồm có chương: + Chương : Giới thiệu ứng dụng Web + Chương : Một số khái niệm, thuật ngữ liên quan + Chương 3: Sơ lược kĩ thuật công ứng dụng Web Phần thứ hai:CÁC KĨ THUẬT TẤN CÔNG VÀ BIỆN PHÁP PHÒNG CHỐNG Phần gồm có chương từ chương đến chương 12 chương đầu bàn luận kĩ thuật công, cuối chương biện pháp phòng chống cho kĩ thuật Chương 11 nói trình công hacker đến chương 12 nội dung biện pháp phòng chống chung -Trang 9- Khoa CNTT Nghiên cứu số vấn đề bảo mật ứng dụng Web Internet Phần thứ ba : CHƯƠNG TRÌNH “WEB CHECKER” Là gồm chương cuối trình bày, giải thích chương trình Kết thúc luận văn phần kết luận, tóm lược lại vấn đề trình bày số hướng phát triển tương lai danh mục tài liệu tham khảo -Trang 10- Khoa CNTT Phần I: Cơ sở lý thuyết PHẦN THỨ NHẤT CƠ SỞ LÍ THUYẾT -Trang 11- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web Chương GIỚI THIỆU ỨNG DỤNG WEB Nội dung: I Khái niệm ứng dụng Web II Mô tả cách hoạt động ứng dụng Web -Trang 12- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web CHƯƠNG 1: GIỚI THIỆU ỨNG DỤNG WEB DE Luận văn thực nhằm tìm hiểu kĩ thuật công trang Web đề cách phòng chống Do đó, chương luận văn giới thiệu sơ lược số khái niệm tảng để xây dựng nội dung cho phần sau I KHÁI NIỆM ỨNG DỤNG WEB Ứng dụng Web ứng dụng chủ/khách sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác Trình khách dành cho người sử dụng thường trình duyệt Web Internet Explorer hay Netscape Navigator Cũng chương trình đóng vai trò đại lý người dùng hoạt động trình duyệt tự động Người dùng gửi nhận thông tin từ trình chủ thông qua việc tác động vào trang Web Các chương trình trang trao đổi mua bán, diễn đàn, gửi nhận e-mail… Tốc độ phát triển kỹ thuật xây dựng ứng dụng Web phát triển nhanh Trước ứng dụng Web thường xây dựng CGI (Common Gateway Interface) chạy trình chủ Web kết nối vào sở liệu đơn giản máy chủ Ngày ứng dụng Web thường viết Java (hay ngôn ngữ tương tự) chạy máy chủ phân tán, kết nối đến nhiều nguồn liệu Một ứng dụng web thường có kiến trúc gồm: -Trang 13- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web Hình 1.I-1 Kiến trúc ứng dụng Web • Lớp trình bày: Lớp có nhiệm vụ hiển thị liệu cho người dùng, có thêm ứng dụng tạo bố cục cho trang web • Lớp ứng dụng: nơi xử lý ứng dụng Web Nó xử lý thông tin người dùng yêu cầu, đưa định, gửi kết đến “lớp trình bày” Lớp thường cài đặt kỹ thuật lập trình CGI, Java, NET , PHP hay ColdFusion, triển khai trình chủ IBM WebSphere, WebLogic, Apache, IIS… • Lớp liệu: thường hệ quản trị liệu (DBMS) chịu trách nhiệm quản lý file liệu quyền sử dụng Mô hình hóa hoạt động ứng dụng Web: -Trang 14- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web Hình 1.I-2 Mô hình hoạt động ứng dụng Web Trong đó: • Trình khách ( hay gọi trình duyệt): Internet Explorer, Netscap Navigator • Trình chủ: Apache, IIS, … • Hệ quản trị sở liệu: SQL Server, MySQL, DB2, Access… Bên cạnh đó, giải pháp dùng để bảo vệ hệ thống mạng thường sử dụng tường lửa, có vai trò lớp rào chắn bên hệ thống mạng, chức firewall kiểm soát luồng thông tin máy tính Có thể xem firewall lọc thông tin, xác định cho phép máy tính có truy xuất đến máy tính khác hay không, hay mạng có truy xuất đến mạng hay không Người ta thường dùng firewall vào mục đích: • Cho phép cấm dịch vụ truy xuất -Trang 15- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web • Cho phép cấm dịch vụ từ bên truy nhập vào • Kiểm soát địa truy nhập, cấm địa truy nhập Firewall hoạt động dựa gói IP kiểm soát việc truy nhập máy người sử dụng II.MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB Đầu tiên trình duyệt gửi yêu cầu (request) đến trình chủ Web thông qua lệnh GET, POST… giao thức HTTP, trình chủ lúc cho thực thi chương trình xây dựng từ nhiều ngôn ngữ Perl, C/C++… trình chủ yêu cầu diễn dịch thực thi trang ASP, JSP… theo yêu cầu trình khách Tùy theo tác vụ chương trình cài đặt mà xử lý, tính toán, kết nối đến sở liệu, lưu thông tin trình khách gửi đến…và từ trả cho trình khách luồng liệu có định dạng theo giao thức HTTP, gồm phần: • Header mô tả thông tin gói liệu thuộc tính, trạng thái trao đổi trình duyệt WebServer • Body phần nội dung liệu mà Server gửi Client, file HTML, hình ảnh, đoạn phim hay văn Theo mô hình hình 1.I-2, với firewall, luồng thông tin trình chủ trình khách luồng thông tin hợp lệ Vì thế, hacker tìm thấy vài lỗ hổng ứng dụng Web firewall không hữu dụng việc ngăn chặn hacker Do đó, kĩ thuật công vào hệ thống mạng ngày dần tập trung vào sơ suất (hay lỗ hổng) trình tạo ứng dụng nhà phát triển Web công trực tiếp vào hệ thống mạng, hệ điều hành Tuy nhiên, hacker -Trang 16- Khoa CNTT Chương 1: Giới thiệu Ứng dụng Web lợi dụng lỗ hổng Web để mở rộng công vào hệ thống không liên quan khác -Trang 17-
- Xem thêm -

Xem thêm: NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET, NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET, NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET

Từ khóa liên quan