Khoa CNTT TR B GIÁO D C VÀ ÀO T O NG I H C KHOA H C T NHIÊN TP.HCM KHOA CÔNG NGH THÔNG TIN B MÔN M NG MÁY TÍNH cd LU N V N T T NGHI P TÀI: NGHIÊN C U M T S V N V B OM T NG D NG WEB TRÊN INTERNET GVHD: Th.S MAI V N C NG SVTH : NGUY N DUY TH NG - 9912074 NGUY N MINH THU - 9912156 KHÓA H C: 1999-2003 Khoa CNTT L ic m n Sau g n tháng n l c th c hi n, lu n v n nghiên c u “Các k thu t t n công b o m t ng d ng Web Internet” ph n hoàn thành Ngoài s c g ng h t c a b n thân, chúng em nh n đ tr Tr c s khích l r t nhi u t phía nhà ng, th y cơ, gia đình b n bè c h t chúng xin cám n ba m đ ng viên t o m i u ki n t t đ chúng h c t p hoàn thành lu n v n t t nghi p Chúng em xin cám n th y cô tr ng i H c Khoa H c T Nhiên truy n đ t nh ng ki n th c quý báu cho chúng em su t trình h c t p chúng em xin bày t lòng chân thành sâu s c đ n th y Mai V n C t n tình h c bi t, ng, ng i ng d n giúp đ chúng em trình làm lu n v n t t nghi p Xin cám n t t c b n bè đ ng viên, giúp đ chúng tơi q trình h c t p hoàn thành t t lu n v n t t nghi p Khoa CNTT L i nh n xét …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet M CL C GI I THI U……………………………………………………………………………… T ch c c a lu n v n…………………………………………………………………… PH N TH Ch NH T: C S LÍ THUY T……………………………………………… 11 ng 1: Gi i th u I KHÁI NI M NG D NG WEB……………………………… …………………… 13 II MÔ T HO T Ch ng d ng Web…………………………………………………… 12 NG C A M T NG D NG WEB……… ………………… 16 ng 2: Các khái ni m, thu t ng liên quan ………………………………………… 18 I HACKER……………………………………………………………………………… 19 II HTTP HEADER…………………………………………………………………… 19 III SESSION…………………………….……………………………………………… 21 IV COOKIE…………………………………………………………………………… 22 V PROXY……………………………………………………………………………… 25 Ch ng 3: Gi i thi u s l c v k thu t t n công ng d ng Web………………… 26 I KI M SOÁT TRUY C P WEB……………………………………………………… 27 I.1 Thâm nh p h th ng qua c a sau………………………………………………… 27 II CHI M H U PHIÊN LÀM VI C………………………………………………… 27 II.1 n đ nh phiên làm vi c…………………………………………………………… 27 II.2 ánh c p phiên làm vi c………………………………………………………… 27 III L I D NG CÁC THI U SÓT TRONG VI C KI M TRA D LI U NH P H P L ……….…………………………………………………………………………… 27 III.1 Ki m tra tính đ n c a d li u b ng ngơn ng phía trình t………… 28 III.2 Tràn b đ m…………… ……………………………………………………… 28 III.3 Mã hóa URL…………………………………………………………………… 28 III.4 Kí t Meta……………………………………………………………………… 28 t qua đ ng d n…………………………………………………………… 29 III.6 Chèn mã l nh th c thi trình t n n nhân……………………………… 29 III.7 Thêm câu l nh h th ng………………….…………………………………… 29 III.5 V Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet III.8 Chèn câu truy v n SQL…………………….…………………………………… 30 III.9 Ngơn ng phía máy ch ……………… 30 III.10 Kí t r ng….………………………………………………………………… 30 III.11 Thao tác tham s truy n………………………………………………… 30 IV L THÔNG TIN……………………………………………………………… 31 V T CH I D CH V ………………….…………………………………………… 31 PH N TH HAI: CÁC K THU T T N CÔNG VÀ B O M T NG D NG WEB 33 ng 4: Thao tác tham s truy n………………………………………………… 34 I THAO TÁC TRÊN URL…………………………………………………………… 35 I.1 Khái ni m………………………………………………………………………… 35 Ch I.2 M t s bi n pháp kh c ph c……………………………………………………… 36 II THAO TÁC TRÊN BI N N FORM……………………………………………… 36 II.1 Khái ni m………………………………………………………………………… 36 II.2 M t s bi n pháp kh c ph c…………………………………………………… 38 III THAO TÁC TRÊN COOKIE……………………………………………………… 39 III.1 Khái ni m ……………………………………………………………………… 39 III.2 M t s bi n pháp kh c ph c…………………………………………………… 40 IV THAO TÁC TRONG HTTP HEADER…………………………………………… 41 IV.1 Khái ni m……………………………………………………………………… 41 IV.2 M t s bi n pháp kh c ph c…………………………………………………… 42 Ch ng 5: Chèn mã l nh th c thi trình t n n nhân (Cross Side Scripting)…… 43 I K THU T T N CÔNG CROSS-SITE SCRIPTING (XSS)……………………… 44 NG PHÁP T N CÔNG XSS TRUY N TH NG………………………… 46 III M T S WEBSITE TÌM TH Y L H NG XSS……………………………… 50 IV T N CÔNG XSS B NG FLASH………………………………………………… 51 V CÁCH PHÒNG CH NG…………………………………………………………… 54 II PH Ch ng 6: Chèn câu truy v n SQL (SQL Injection)…………………………………… 56 I KHÁI NI M SQL INJECTION…………………………………………………… 57 II GI I THI U MƠ HÌNH C S 57 D LI U……………………………………… Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet III CÁC CÁCH T N CÔNG………………………………………………………… 58 III.1 K thu t t n công SQL Injection……………………………………………… 58 III.2 T n công d a vào câu l nh SELECT…………………………………………… 60 III.3 T n công d a vào câu l nh HAVING………………………………………… 62 III.4 T n công d a vào câu l nh k t h p UNION…………………………………… 62 III.5 T n công d a vào l nh INSERT……………………………………………… 69 III.6 T n công d a vào STORED PROCEDURE…………………………………… 70 III.7 Nâng cao……………………………………………………………………… 70 III.7.1 Chu i kí t khơng có d u nháy đ n………………………………………… 70 III.7.2 T n công t ng……………………………………………………………… 71 III.7.3 Tránh s ki m soát………………………………………………………… 74 III.7.4 Dùng Extended Stored Procedure…………………………………………… 75 III.7.4.1 Dùng Extended Stored Procedure có s n h th ng SQL Server… 75 III.7.4.2 Dùng Extended Stored Procedure t t o………………………………… 76 III.7.4.3 Nh p t p tin v n b n vào b ng…………………………………………… 77 IV CÁCH PHÒNG CH NG………………………………………………………… 77 IV.1 Ki m tra d li u……………………………………………………………… 78 IV.2 Khoá ch t SQL Server (SQL Server Lockdown)…………………………… 81 ng 7: Chi m h u phiên làm vi c (Session Management)………………………… 83 I T NG QUAN V SESSION ID…………………………………………………… 84 II N NH PHIÊN LÀM VI C…………………………………………………… 85 II.1 T n công Session ID tham s URL………………………………………… 88 II.2 T n công Session ID bi n n form……………………………………… 89 II.3 T n cơng Session ID cookie……………………………………………… 89 II.4 Cách phịng ch ng……………………………………………………………… 91 III ÁNH C P PHIÊN LÀM VI C………………………………………………… 92 III.1 T n cơng ki u d đốn phiên làm vi c (Prediction sessionID)………………… 93 III.2 T n công ki u vét c n phiên làm vi c (Brute force ID)……………………… 93 III.3 T n công ki u dùng đo n mã đ đánh c p phiên làm vi c…………………… 94 Ch Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet III.4 Cách phòng ch ng……………………………………………………………… 94 III.5 S khác bi t gi a đánh c p phiên làm vi c (session hijacking) n đ nh phiên làm vi c (session fixation)…………………………………………………………… 94 ng 8: Tràn b đ m (Buffer Overflow)…………………………………………… 97 I KHÁI NI M………………………………………………………………………… 98 II S 99 Ch T CH C C A B NH ………………………………………………… II.1 Stack…………………………………………………………………………… 100 II.2 Push Pop……………………………………………………………………… 101 II.3 Cách làm vi c c a hàm………………………………………………………… 102 II.4 Shell code……………………………………………………………………… 104 NG D NG WEB……………… 106 IV CÁC CÁCH PHÒNG CH NG…………………………………………………… 106 III M T S CÁCH GÂY TRÀN B Ch M QUA ng 9: T ch i d ch v (DoS)……………………………………………………… 108 I KHÁI NI M………………………………………………………………………… 109 II NH NG KH N NG B T N CÔNG B NG DOS……………………………… 109 III CÁC K THU T T N CÔNG…………………………………………………… 110 III.1 Khái ni m v Tcp b t tay ba chi u……………………………………………… 110 III.2 L i d ng TCP th c hi n ph ng pháp SYN flood truy n th ng……………… 112 III.3 T n công vào b ng thông……………………………………………………… 113 III.3.1 Ki u t n công th 1………………………………………………………… 113 III.3.2 Ki u t n công th 2………………………………………………………… 113 III.4 Ki u t n công vào tài nguyên h th ng………………………………………… 117 IV BI N PHÁP PHÒNG CH NG…………………………………………………… 117 ng 10: M t s k thu t t n cơng khác…………………………………………… 119 I Mà HĨA URL (URL Encoding) …………………………………………………… 120 I.1 Khái ni m………………………………………………………………………… 120 I.2 M t s bi n pháp phòng ch ng………………………………………………… 121 Ch NG D N………………………………………… 121 II.1 Khái ni m……………………………………………………………………… 121 II KI U T N CÔNG V T Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet II.2 M t s bi n pháp phòng ch ng………………………………………………… 122 R NG………………………………………… 123 III.1 Khái ni m……………………………………………………………………… 123 III.2 M t s bi n pháp phòng ch ng………………………………………………… 123 III T N CƠNG D A VÀO KÍ T PHÍA TRÌNH CH ………………………………………………… 123 IV.1 Khái ni m……………………………………………………………………… 123 IV.2 Cách t n công…………………………………………………………………… 125 IV.3 Bi n pháp phịng ch ng………………………………………………………… 125 IV NGƠN NG Ch ng 11: T ng k t q trình t n cơng c a Hacker………………………………… 127 M C H T NG C A M C TIÊU………………… 128 NG D NG WEB…………………………………………………… 131 III T N CÔNG……………………………………………………………………… 132 I THU TH P THÔNG TIN II KH O SÁT ng 12: T ng k t bi n pháp phòng ch ng…………………………………… 134 I V I NH NG NHÀ QU N TR M NG…………………………………………… 135 II V I NH NG NHÀ THI T K NG D NG WEB……………………………… 137 NG D NG WEB…………………………………… 139 NG TRÌNH WEB CHECKER……………………………… 140 Ch III V I NG PH N TH IS D NG BA: CH Ch ng 13: Ch ng trình Web Checker……………………………………………… 141 I C T CH NG TRÌNH WEB CHECKER…………………………………… 142 I.1 T ng quan……………………………………………………………………… 142 I.2 Yêu c u………………………………………………………………………… 142 I.2.1 Yêu c u ch c n ng…………………………………………………………… 142 I.2.1 Yêu c u phi ch c n ng……………………………………………………… 143 NG TRÌNH WEB CHECKER……………………………… 143 ng trình Web Checker………………………………………… 143 II KI N TRÚC CH II.1 Ki n trúc ch ng trình v i trình ch Web………………………………… 144 T………………………………………………………………………… 145 III.1 Ngôn ng cài đ t……………………………………………………………… 145 ng pháp cài đ t…………………………………………………………… 145 II.2 Giao ti p gi a ch III CÀI III.2 Ph Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet III.2.1 S d ng mơ hình giao di n d ng Dialog…………………………………… 145 III.2.2 S d ng ActiveX Control (Microsoft Web Browser)……………………… 145 III.2.3 S d ng giao di n l p trình Window Socket 2……………………………… 146 III.2.4 M t s l p hàm đ ng trình………………… 146 ng trình cách s d ng…………………………………………… 151 III.3 Mơ t ch c cài đ t ch ng trình……………………………………………………… 151 III.3.2 Cách s d ng……………………………………………………………… 152 III.3.1 Màn hình ch IV ÁNH GIÁ CH NG TRÌNH…………………………………………………… IV.1 Nh ng v n đ đ t đ 153 c……………………………………………………… 153 IV.2 Nh ng v n đ h n ch ………………………………………………………… 153 K T LU N…………………………………………………………………………… 155 C…………………………………………………… 156 NG PHÁT TRI N…………………………………………………………… 157 L C……………………………………………………………………………… 158 I NH NG V N II H PH T Khoa CNTT Nghiên c u m t s v n đ v b o m t ng d ng Web Internet GI I THI U Ngày nay, Internet đ c ph bi n r ng rãi, t ch c, cá nhân đ u có nhu c u gi i thi u thơng tin c a xa l thơng tin c ng nh th c hi n phiên giao d ch tr c n V n đ n y sinh ph m vi ng d ng c a ng d ng Web ngày m r ng kh n ng xu t hi n l i b t n công cao, tr thành đ i t cho nhi u ng ng i t n cơng v i m c đích khác ôi khi, c ng ch đ n gi n đ th tài ho c đùa b n v i ng i khác Cùng v i s phát tri n không ng ng c a Internet d ch v Internet, s l v t n công Internet c ng t ng theo c p s nhân Trong ph ng ng ti n thông tin đ i chúng ngày nh c nhi u đ n nh ng kh n ng truy nh p thơng tin c a Internet, tài li u chuyên môn b t đ u đ c p nhi u đ n v n đ b o đ m an tồn d li u cho máy tính đ c k t n i vào m ng Internet Theo s li u c a CERT (Computer Emegency Response Team - " tính"), s l ng v t n công Internet đ i c p c u máy c thông báo cho t ch c h n 200 vào n m 1989, kho ng 400 vào n m 1991, 1400 vào n m 1993, 2241 vào n m 1994, n m 2001 5315 v Nh ng v t n công nh m vào t t c máy tính có m t Internet, máy tính c a t t c công ty l n nh AT&T, IBM, tr ng đ i h c, c quan nhà n c, t ch c quân s , nhà b ng M t s v t n cơng có quy mơ kh ng l (có t i 100.000 máy tính b t n cơng) H n n a, nh ng s ch ph n n i c a t ng b ng M t ph n r t l n v t n cơng khơng đ -Trang 7- c thơng báo, nhi u lý do, Khoa CNTT Ch ng 13: Ch ng trình Web Checker • K t qu : Li t kê k t qu sau ki m tra g m v trí ki m tra an tồn hay khơng an tồn nh ng l h ng mà v trí m c ph i • L i khuyên: N u phát hi n l i s hi n th cách phịng ch ng l i ch n tên l i bên ph n k t qu III.3.2 Cách s d ng Ng i dùng gõ đ a ch vào ho c liên k t đ n trang web c n ki m tra Sau ch n nút ki m tra, ch ng trình s hi n th k t qu l i khuyên cách phòng ch ng l h ng b m c ph i Hình 13.III.3.2-1: Màn hình thơng báo k t qu -Trang 152- Khoa CNTT Ch ng 13: Ch Ch ng trình Web Checker ng trình s đánh d u tr c ti p vào trang Web v trí đ c ki m tra (màu xanh an tồn, màu đ khơng an toàn) IV ánh giá ch Nh ng v n đ đ t đ ng trình c nh ng v n đ h n ch c a ch ng trình sau th nghi m m ng o Internet: IV.1 Nh ng v n đ đ t đ • Thơng phát hi n m t s c l i b o m t nh Manipulation, URL Manipulation c a m t SQL Injection, Form Field ng d ng Web Interbet đ minh h a cho ph n lý thuy t c a k thu t • Th hi n rõ ràng, tr c quan k t qu v trí ki m tra a g i ý v bi n pháp phòng ch ng đ i v i l i b o m t phát hi n • đ c Ví d 13.IV.1-1: Ch ng trình phát hi n đ c l i b o m t v SQL Injection c a ng d ng Web (www.progenic.com) C th liên k t đ n n i dung tin t c không đ c ki m tra d li u nh p http://www.progenic.com/out/?id=5’ IV.2 Nh ng v n đ h n ch • Do s d ng c ch đ n gi n ki m th đánh giá k t qu nh n đ nên ch ng trình khơng th phát hi n l i b o m t ph c t p • Hi u qu đ t đ c th p đ i v i ng d ng có cách thi t k l -Trang 153- c, Khoa CNTT Ch ng 13: Ch ng trình Web Checker Ví d 13.IV.2-1: Ch ng trình khơng phát hi n l i v i ng d ng Web (www.thanglongmetalwares.com/sanpham.asp) m c dù ng d ng có l i b o m t SQL Injection Nguyên nhân th t b i ng d ng l u tr câu truy v n đ i t ng c a form nên ch ng trình ki m tra form s làm thay đ i câu truy v n nên làm thay đ i ho t đ ng c a ng d ng Web -Trang 154- * FROM Khoa CNTT K t lu n K T LU N N i dung: I Nh ng v n đ đ t đ II H c ng phát tri n -Trang 155- Khoa CNTT K t lu n K T LU N cd I NH NG V N T C Theo yêu c u đ t ban đ u “Nghiên c u k thu t t n công b o m t ng d ng Web”, cho đ n th i m hi n t i, lu n v n đ t đ c n i dung sau: • Tìm hi u k thu t t n công ng d ng Web bao g m k thu t o Thao tác tham s truy n nh URL, bi n n form, cookie, HTTP header o Chèn mã l nh th c thi trình khách Cross-site Scripting o Chèn câu truy v n SQL o ánh chi m phiên làm vi c c a ng i dùng o Tràn b đ m o T ch i d ch v o Các k thu t khác nh : Mã hóa URL, v tđ ng d n, kí t r ng, ngơn ng phía trình ch ,… • Các bi n pháp b o m t t s k t h p gi a nhà qu n tr m ng, nhà thi t k d ng Web ng • V ch ng i dùng ng trình “Web Checker” đ t m t s n i dung c b n sau: o Ki m tra m t trang Web có kh n ng b t n công b ng nh ng k thu t chèn câu l nh SQL, thay đ i tham s hay khơng o Ch ng trình cho phép ng m t trình t thơng th i dùng th c hi n giao ti p v i trình ch gi ng nh ng -Trang 156- Khoa CNTT K t lu n II H NG PHÁT TRI N Trong ph m vi m t lu n v n đ i h c, lu n v n c b n đ t đ c yêu c u đ t Tuy nhiên, k t qu khiêm t n h n ch v tài li u th i gian Trong th i gian t i, n u có u ki n, lu n v n s c g ng phát tri n thêm nh ng n i dung sau: • Tìm hi u thêm v k thu t t n công đ đ a ph Web ng pháp b o m t ng d ng m c đ sâu h n • Tìm hi u v v n đ b o m t sâu h n, không ch d ng Web mà phát tri n h n v n đ b o m t • Khai tri n ch m c đ m t ng d ng h th ng m ng d ch v ng trình phát hi n l h ng t t h n, nhi u ph ng di n k thu t • Phát tri n ch ng trình nh m t Proxy gi a trình ch v i trình t M i yêu c u t trình t hay tr l i t trình ch đ u ph i qua ch ch ng trình B t c ng trình ki m tra th y kh n ng t n cơng t trình t, ch t ch i yêu c u đóng k t n i -Trang 157- ng trình s Khoa CNTT Ph l c Ph l c N i dung: A HTTP header B URL Encoding C Server Side Include -Trang 158- Khoa CNTT Ph l c Ph l c A: HTTP HEADER • Các tham s thơng th ng tham s có th dùng c HTTP request HTTP response Tên Giá tr ví d Cache-Control max-age=10 Connection Close Date Tue, 11 Jul 2000 18:23:51 GMT Pragma no-cache Trailer Date Transfer-Encoding Chunked Upgrade SHTTP/1.3 Via HTTP/1.1 Proxy1, HTTP/1.1 Proxy2 Warning 112 Disconnected Operation • Các tham s ch có th dùng HTTP Request Tên Giá tr ví d Accept text/html, image/* Accept-Charset iso8859-5 Accept-Encoding gzip, compress Accept-Language en, fr Authorization [credentials] Content-Encoding Gzip Expect 100-continue From user@microsoft.com -Trang 159- Khoa CNTT Ph l c Host www.microsoft.com If-Match entity_tag001 If-Modified-Since Tue, 11 Jul 2000 18:23:51 GMT If-None-Match entity_tag001 If-Range entity_tag001 hay Tue, 11 Jul 2000 18:23:51 GMT If-Unmodified-Since Tue, 11 Jul 2000 18:23:51 GMT Max-Forwards Proxy-Authorization [credentials] Range Bytes=100-599 Referer http://www.microsoft.com/resources.asp TE trailers User-Agent Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) • Các tham s ch có th dùng HTTP Response Tên Giá tr ví d Accept-Ranges None Age 2147483648(2^31) ETag b38b9-17dd-367c5dcd Last-Modified Tue, 11 Jul 2000 18:23:51 GMT Location http://localhost/redirecttarget.asp Proxy-Authenticate [challenge] Retry-After Tue, 11 Jul 2000 18:23:51 GMT hay 60 Server Microsoft-IIS/5.0 Vary Date WWW-Authenticate [challenge] -Trang 160- Khoa CNTT Ph l c • Các tham s th c th có th dùng HTTP request HTTP response Các tham s cho bi t thơng tin v ph n thân, ví d nh chu n mã hoá đ Tên Giá tr ví d Allow GET, HEAD Content-Encoding Gzip Content-Language En Content-Length 8445 Content-Location http://localhost/page.asp Content-MD5 [md5-digest] Content-Range Bytes 2543-4532/7898 Content-Type text/html Expires Tue, 11 Jul 2000 18:23:51 GMT Last-Modified Tue, 11 Jul 2000 18:23:51 GMT -Trang 161- c s d ng Khoa CNTT Ph l c Ph l c B: URL ENCODING Kí t Mã Hexa %90 À %c0 ð %f0 ‘ %91 Á %c1 ñ %f1 %62 ’ %92  %c2 ò %f2 c %63 “ %93 à %c3 ó %f3 %34 d %64 ” %94 Ä %c4 ô %f4 %35 e %65 • %95 Å %c5 õ %f5 %06 %36 f %66 – %96 Ỉ %c6 ö %f6 %07 %37 g %67 — %97 Ç %c7 ÷ %f7 backspace %08 %38 h %68 ˜ %98 È %c8 ø %f8 %09 %39 i %69 ™ %99 É %c9 ù %f9 linefeed %0a : %3a j %6a š %9a Ê %ca ú %fa %0b ; %3b k %6b › %9b Ë %cb û %fb %0c < %3c l %6c œ %9c Ì %cc ü %fc c return %0d = %3d m %6d %9d Í %cd ý %fd %0e > %3e n %6e ž %9e Ỵ %ce ỵ %fe %0f ? %3f o %6f %9f Ï %cf ÿ %ff %10 @ %40 p %70 %a0 Ð %d0 %11 A %41 q %71 ¡ %a1 Ñ %d1 %12 B %42 r %72 ¢ %a2 Ị %d2 %13 C %43 s %73 £ %a3 Ó %d3 %14 D %44 t %74 %a4 Ô %d4 %15 E %45 u %75 ¥ %a5 Õ %d5 %16 F %46 v %76 | %a6 Ö %d6 %17 G %47 w %77 Đ %a7 %18 H %48 x %78 ă %a8 ỉ %d8 %19 I %49 y %79 © %a9 Ù %d9 %1a J %4a z %7a ª %aa Ú %da %1b K %4b { %7b « %ab Û %db ỉ tab %00 %30 ` %60 %01 %31 a %61 %02 %32 b %03 %33 %04 %05 -Trang 162- %d7 Khoa CNTT Ph l c %1c L %4c | %7c ¬ %ac Ü %dc %1d M %4d } %7d ¯ %ad Ý %dd %1e N %4e ~ %7e đ %ae ị %de %1f O %4f %7f %af ß %df space %20 P %50 %80 ° %b0 %e0 ! %21 Q %51 %81 ± %b1 %e1 " %22 R %52 ‚ %82 ² %b2 â %e2 # %23 S %53 ƒ %83 ³ %b3 ã %e3 $ %24 T %54 „ %84 ´ %b4 ä %e4 % %25 U %55 … %85 µ %b5 å %e5 & %26 V %56 † %86 ¶ %b6 ỉ %e6 ' %27 W %57 %87 à %b7 ỗ %e7 ( %28 X %58 ˆ %88 ¸ %b8 è %e8 ) %29 Y %59 ‰ %89 ¹ %b9 é %e9 * %2a Z %5a Š %8a º %ba ê %ea + %2b [ %5b ‹ %8b » %bb ë %eb , %2c \ %5c Œ %8c ¼ %bc ì %ec - %2d ] %5d %8d ½ %bd í %ed %2e ^ %5e %8e ắ %be ợ %ee / %2f _ %5f %8f ¿ %bf ï %ef € Ž -Trang 163- Khoa CNTT Ph l c Ph l c C: SERVER SIDE INCLUDE Câu l nh SSI đ c chia làm ph n: + Câu l nh + Câu l nh u n Câu l nh Ví d Tham s Gi i thích CONFIG Sizefmt, datefmt u n kích th c file ngày COOKIE Get, alt, if, then , ch COUNT t ng s k t n i ECHO reqheader, here c u, bi n Cmd th c thi câu l nh EXEC FLASHMOD FSize INCLUDE ifheader, else trang hi n hành nh ng tham s Câu l nh u n -Trang 164- Khoa CNTT Ph l c COUNTER ELSE Name ENDIF Name ENDLOOP Name EXITLOOP equals equals Name IF LOOP -Trang 165- Khoa CNTT Tài li u tham kh o TÀI LI U THAM KH O • Hacking Exposed, Stuart McClure, Joel Scambray, George Kurtz • RFC2617, J.Franks, P Hallam-Baker, J.Hostetler, S Lawrence, P Leach, A Luotonen, L Stewart – 06/1999 • http://www.sqlsecurity.com/ • http://www.nextgenss.com/papers/ • http://www.owasp.org/ • http://www.4guysfromrolla.com/webtech/ • http://www.guardent.com/ • http://www.idefense.com/ • http://www.jmu.edu/computing/info-security/engineering/issues/ • http://www.microsoft.com/technet/support/ • http://www.microsoft.com/technet/security/ • http://community.whitehatsec.com/ • http://www.codeproject.com/ -Trang 166-