Luận văn tốt nghiệp: Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet

Khoa CNTT BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG MÁY TÍNH D☜ LUẬN VĂN TỐT NGHIỆP ĐỀ TÀI: NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET GVHD: Th.S. MAI VĂN CƯỜNG SVTH : NGUYỄN DUY THĂNG - 9912074 NGUYỄN MINH THU - 9912156 KHÓA HỌC: 1999-2003 Khoa CNTT Lời cảm ơn Sau gần 6 tháng nỗ lực thực hiện, luận văn nghiên cứu “Các kĩ thuật tấn công và bảo mật ứng dụng Web trên Internet” đã phần nào hoàn thành. Ngoài sự cố gắng hết mình của bản thân, chúng em đã nhận được sự khích lệ rất nhiều từ phía nhà trường, thầy cô, gia đình và bạn bè. Trước hết chúng con xin cám ơn ba mẹ đã luôn động viên và tạo mọi điều kiện tốt để chúng con học tập và hoàn thành luận văn tốt nghiệp này. Chúng em xin cám ơn thầy cô trường Đại Học Khoa Học Tự Nhiên đã truyền đạt những kiến thức quý báu cho chúng em trong suốt quá trình học tập. Đặc biệt, chúng em xin bày tỏ lòng chân thành sâu sắc đến thầy Mai Văn Cường, người đã tận tình hướng dẫn và giúp đỡ chúng em trong quá trình làm luận văn tốt nghiệp. Xin cám ơn tất cả bạn bè đã và đang động viên, giúp đỡ chúng tôi trong quá trình học tập và hoàn thành tốt luận văn tốt nghiệp này. Khoa CNTT Lời nhận xét …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… Khoa CNTT Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet MỤC LỤC GIỚI THIỆU……………………………………………………………………………… 7 Tổ chức của luận văn……………………………………………………………………... 9 PHẦN THỨ NHẤT: CƠ SỞ LÍ THUYẾT………………………………………………. 11 Chương 1: Giới thệu Ứng dụng Web…………………………………………………….. 12 I. KHÁI NIỆM ỨNG DỤNG WEB………………………………..…………………… 13 II. MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB………..…………………... 16 Chương 2: Các khái niệm, thuật ngữ liên quan ………………………………………….. 18 I. HACKER……………………………………………………………………………… 19 II. HTTP HEADER……………………………………………………………………... 19 III. SESSION…………………………….……………………………………………… 21 IV. COOKIE…………………………………………………………………………….. 22 V. PROXY………………………………………………………………………………. 25 Chương 3: Giới thiệu sơ lược về các kĩ thuật tấn công Ứng dụng Web………………….. 26 I. KIỂM SOÁT TRUY CẬP WEB……………………………………………………… 27 I.1. Thâm nhập hệ thống qua cửa sau………………………………………………….. 27 II. CHIẾM HỮU PHIÊN LÀM VIỆC…………………………………………………... 27 II.1. Ấn định phiên làm việc…………………………………………………………… 27 II.2. Đánh cắp phiên làm việc…………………………………………………………. 27 III. LỢI DỤNG CÁC THIẾU SÓT TRONG VIỆC KIỂM TRA DỮ LIỆU NHẬP HỢP LỆ……….……………………………………………………………………………....... 27 III.1. Kiểm tra tính đúng đắn của dữ liệu bằng ngôn ngữ phía trình duyệt………….... 28 III.2. Tràn bộ đệm……………..………………………………………………………. 28 III.3. Mã hóa URL…………………………………………………………………….. 28 III.4. Kí tự Meta……………………………………………………………………….. 28 III.5. Vượt qua đường dẫn…………………………………………………………….. 29 III.6. Chèn mã lệnh thực thi trên trình duyệt nạn nhân……………………………….. 29 III.7. Thêm câu lệnh hệ thống………………….……………………………………... 29 Khoa CNTT Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet III.8. Chèn câu truy vấn SQL…………………….…………………………………… 30 III.9. Ngôn ngữ phía máy chủ………………................................................................ 30 III.10. Kí tự rỗng….…………………………………………………………………... 30 III.11. Thao tác trên tham số truyền…………………………………………………... 30 IV. ĐỂ LỘ THÔNG TIN………………………………………………………………. 31 V. TỪ CHỐI DỊCH VỤ………………….…………………………………………….. 31 PHẦN THỨ HAI: CÁC KĨ THUẬT TẤN CÔNG VÀ BẢO MẬT ỨNG DỤNG WEB.. 33 Chương 4: Thao tác trên tham số truyền………………………………………………… 34 I. THAO TÁC TRÊN URL…………………………………………………………….. 35 I.1. Khái niệm…………………………………………………………………………. 35 I.2. Một số biện pháp khắc phục………………………………………………………. 36 II. THAO TÁC TRÊN BIẾN ẨN FORM………………………………………………. 36 II.1. Khái niệm………………………………………………………………………… 36 II.2. Một số biện pháp khắc phục……………………………………………………... 38 III. THAO TÁC TRÊN COOKIE……………………………………………………… 39 III.1. Khái niệm ………………………………………………………………………. 39 III.2. Một số biện pháp khắc phục…………………………………………………….. 40 IV. THAO TÁC TRONG HTTP HEADER……………………………………………. 41 IV.1. Khái niệm……………………………………………………………………….. 41 IV.2. Một số biện pháp khắc phục…………………………………………………….. 42 Chương 5: Chèn mã lệnh thực thi trên trình duyệt nạn nhân (Cross Side Scripting)……. 43 I. KĨ THUẬT TẤN CÔNG CROSS-SITE SCRIPTING (XSS)………………………... 44 II. PHƯƠNG PHÁP TẤN CÔNG XSS TRUYỀN THỐNG…………………………... 46 III. MỘT SỐ WEBSITE TÌM THẤY LỖ HỔNG XSS………………………………... 50 IV. TẤN CÔNG XSS BẰNG FLASH…………………………………………………. 51 V. CÁCH PHÒNG CHỐNG…………………………………………………………… 54 Chương 6: Chèn câu truy vấn SQL (SQL Injection)……………………………………. 56 I. KHÁI NIỆM SQL INJECTION……………………………………………………... 57 II. GIỚI THIỆU MÔ HÌNH CƠ SỞ DỮ LIỆU………………………………………... 57 ... - tailieumienphi.vn