Đang tải... (xem toàn văn)
Nghiên cứu một số hình thức tấn công website phổ biến và các giải pháp phòng chống
LỜI CÁM ƠN !"#$%&' ()&*'$+,-,.#/('012/3!# '4 5678 9/:;/1<<=>?Nguyễn Vũ$+@ A$?,BC/#<D8 E,(FG?A/-/H' $+35IJ51F(K 8 Em xin chân thành cảm ơn ! ELMNON4POMP Q5 Nguyễn Mậu San "# RSTUVWX "1?+Y1/J-Z5&[\E""] 6J4+#^JK<K#^<F_ #+J-#J<K3?#K$`<><^- >#a01!>J527b#c5Kd +J8 "#'4)&EF#5>5e &8e/&52,fg/<$ $I6 55,fg/<8g/<#^F3/15#^JF 7# d $5>,&F8h-Yb, /@2,fg/<5>d $8 )?b,#-,->iNghiên cứu một số hình thức tấn công Website phổ biến và các giải pháp phòng chốngj A89>!K1aF7#( g/<YD5&dAI$/ ,&F8IaF!#>#5& <8 EJ,/F!k \$Mk"375/@52,fg/<8 \$PkE2A2>5FF/@g/<8 \$Nk"#0,A2>5FF/@8 \DlmNguyễn Vũ+nnm0n oFpoq0q4qmmmo8 "# MỤC LỤC LỜI CÁM ƠN .I LỜI MỞ ĐẦU II DANH MỤC HÌNH ẢNH .IV DANH MỤC TỪ VIẾT TẮT V CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEBSITE 1 1.1. Tổng quan về ứng dụng Website .1 1.1.1. Khái niệm ứng dụng Website 1 1.1.2. Cách thức hoạt động 2 1.1.3. Các dịch vụ và ứng dụng trên nền Website .3 1.2. Tổng quan về an ninh mạng 4 1.2.1 Khái niệm về an toàn và an ninh mạng .4 1.2.2 Sự cần thiết phải bảo vệ thông tin .5 1.3. Các thuật ngữ liên quan .5 1.3.1. Hacker 5 1.3.2. Http Header 5 1.3.3. Session .7 1.3.4. Cookie .7 1.3.5. Proxy .9 CHƯƠNG II: NGHIÊN CỨU CÁC HÌNH THỨC TẤN CÔNG VÀ GIẢI PHÁP BẢO MẬT WEBSITE .10 2.1 SQL Injection .10 2.1.1. Tìm hiểu về SQL Injection 10 2.1.2 Cách Phòng Tránh SQL Injection .19 2.2 Local Attack .23 2.2.1. Tìm hiểu về Local Attack 23 2.2.2. Tấn công bằng Local Attack .24 2.2.3. Phương pháp phòng chống Local Attack .27 2.3. Cross Site Scripting (XSS) .33 2.3.1. Tìm hiểu về XSS .33 2.3.2. Tấn công bằng XSS 33 2.3.3 Phương pháp phòng chống XSS 38 2.4. Tấn công từ chối dịch vụ 39 2.4.1. Tìm hiểu về DOS 39 2.4.2. Các kĩ thuật tấn công bằng DOS 40 2.4.3. Phương pháp phòng chống DOS, DDOS 44 CHƯƠNG III: TRIỂN KHAI CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ GIẢI PHÁP BẢO MẬT WEBSITE .45 3.1. SQL Injection 45 3.2. Local attack .50 KẾT LUẬN 52 TÀI LIỆU THAM KHẢO .57 "# rsE*Ut\*uE*vE* "#5 DANH MỤC TỪ VIẾT TẮT TTQ T#Tw#Q#5< x*x *F#x#F#<<# *""x *F#""#<w#x# sQx s5Q#5#x< yQQ \#<<QQ#F rzQ rzwQ#5 Q{R Q##,{#R \|T \|}T#w "#5 kE2J<DA2>g/<F3/15FFF;D CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEBSITE 1.1. Tổng quan về ứng dụng Website. 1.1.1. Khái niệm ứng dụng Website ~,fg/<J2,fd•0<G,f2*""x $5?$,l&D08 g/<Ji#}/j#-T#?&' A5,&F5<F_,(5fd,&F[?&/> 2A]0Y#@F^/>0€/>2a8 g/<@F`F#8,&F,K}/<c ,K#<F_,(5f8888-J }/<FYN1D/k •\FY[,]8 •E$#'g/<[<]8 •EJ,#8 UJ2,f}/$Y01#ak Hình 1.1: Kiến trúc một ứng dụng Website Q)"*kE‚U@Q Trang 1 kE2J<DA2>g/<F3/15FFF;D 1.1.2. Cách thức hoạt động UA-Jd2,fg/<k Hình 1.2: Mô hình hoạt động của ứng dụng Website. "#Yk •"#A0[; #A,&]kT#9F##ƒ#ƒ\# •"#AdksFTTQ„8 •*&7#(<^,'&kQ{RQ#5#UQ{RrhPs<<„8M8P8 h-YJFF,l/5&J&D-$$`<G ,f/2$GYY5#;$?F#=/J&D- 5A24!dw#}0<'!8\Y w#}$J/J Y(5F…FJ!Y $`#>1J!00J-Y$`#> 1-008 E$$,lw#}5f!k •\F…Fe>',(5f#>#8 •\F…Fe>',(5f6/#@F5#8 •<(C#@F>(C#@F8 ƒ#}-J,K#YTx,Y0<5&#@Fd$ <G,f8 Q)"*kE‚U@Q Trang 2 kE2J<DA2>g/<F3/15FFF;D #A,&<ZGJ[#7<]1#Adg/< 7&/|9"xzQ"„d2*""x#AdaY KJ$#A$`,K6'$x#\•\††„e #Ad/J,‚,(K#sQx‡Qx„d#A 08 "l5fd$#A$`eYGb!01D 1<^,'&$,#A0G1„56Y#5#A 0M,'&Y(,-2*""xYPFk •*,#5Y,'&5J!#-#3 '#A,&5g/Q#5#8 •h,FJ,,'&Q#5#G5\YYJw *"URJAJ-FJ54//>0A8 "A^AM8M5?w#}'#Ad5#A 0`F&8)A110#A>5.3#2,f g/<Aw#}0;',f#5&4e0#8rY0c @>5J&D-,@F#5'<<> [.3]#7#A-2,fd'F#g/<> #K1F5&D-&8"0#IY`,f .3g/^#J<K>dA5&D07 08 1.1.3. Các dịch vụ và ứng dụng trên nền Website )?&&g/<0CJ#>F /8E'2,f51#g/<0C$` J Fdg/<'a$` F51#g/<8 \Y#>F-#g/<$|}#,[Gb54/] |<F#,<<[Gb/!]9„ UJ<D$dF2,f-#}/k • U $Y#A,&5/-C#A,&-F8 • x$`@F@5Aa-#<#5#8 • R<L<Pˆ•‰8 Q)"*kE‚U@Q Trang 3 kE2J<DA2>g/<F3/15FFF;D • r‚,/0F,'&$8 • \Y#@F a CYT# • \F!#0#Š<5?F-#,<0F8 1.2. Tổng quan về an ninh mạng. 1.2.1 Khái niệm về an toàn và an ninh mạng "#702J@'$`<G,f/& FF/@5@b$`<G,f'!Fd,&F' 7# 0:/(#@F/^a5/5&YD-3e d8E'/&FF/$#'&Y#(#d<+/( 0Ye0…5-1#@F5@b105K&+$` $'8)?<KF3/1d!5F$&#&G #@F,'&I38&1FfF#&D!$` 01D5?--!F…F&D<Š /,'&8 \-!Dl101D-!#@F JT#8Ue,lF$FF/5&,'&+30 0&5-5BD$/@8 h^5A!Y5<D7?d,'&a$`<G,f #$ 0!-dJ<D8U5!-5T#JF 01d,&F8QKFfJda#!1F f40,&F5#^5?&51/J &$&D&5?$,l5,‚, 01D8 UJ&D!,>fKJ/5&,'& #&D6'$,lY7#@F&D8UJ&D! #-[J&DFFD];:#‹,'&5&DY$`/5& 0C6#@F(F$;6#@F6#F…F56ee 3,'#A#'&D8s-0F J<F_7#A!<<K01`Fd<F_57#A Y.#`J!<7(8U-$?$`K&d1/( Q)"*kE‚U@Q Trang 4 kE2J<DA2>g/<F3/15FFF;D !<57#A4e#@F#F…F5- 3ed-e,'&8 1.2.2 Sự cần thiết phải bảo vệ thông tin "#J,&FJ32YAFY1D$` /5&$k •r'&8 •"k$&D5$#8 •r1d8 E10e5>A0eFF<KDA -1,&F0:k •"D0…F!8 •"D0…8 •v$^1&D8 •v$^1,,K!d,&F8 •U>J0,8 1.3. Các thuật ngữ liên quan. 1.3.1. Hacker *0#J@',lC'0ŠF-&D-8 *0#$'5!8*0#0-#0Z^& D$*0#-'$5&&7#(,'& '@F#A„* <G,f012dA#5&A;50 .3d&D-8UJ<D*0#C,6-5&F&5/ .A$`'/@$F#$#A $` $g*[*0#Y#=]8UJ<D0#,K5'.3K& 5&0#F…F‹f!F-$`#'$/( $h0*[*0#I]8 )A!>F3/1d@'0##F#A/@54<Z<G ,fi0#ji0Š>j8 1.3.2. Http Header *""x,#F[,#]d#A05#AdG 8E'#A0G#Ad$` *""x#7<<[ Q)"*kE‚U@Q Trang 5
