Link tải luận văn miễn phí cho ae Kết nối
Luận văn ThS. Công nghệ phần mềm -- Trường Đại học Công nghệ. Đại học Quốc gia Hà Nội, 2012
Nghiên cứu về một vài loại xâu trên nền Web nổi tiếng hiện nay, nêu ra được tổng quan về an ninh của các ứng dụng web, cách thức tấn công và các công cụ giúp phát hiện lỗ hổng bảo mật trên các hệ thống Web. Từ đó đi nghiên cứu một loạt các công cụ phần mềm nhằm ngăn chặn sự tấn công của chúng, đảm bảo các ứng dụng web không bị ảnh hưởng bởi những lỗ hổng đó. Cuối cùng là việc đi sâu vào áp dụng các trường hợp cụ thể cho hệ thống trang web quản lý trường học: truongnha.com và đưa ra đánh giá và đưa ra khuyến cáo cho các nhà phát triển phần mềm tránh được những tổn thất do kẻ tấn công gây ra
CHƢƠNG 1 GIỚI THIỆU
Nội dung của chương 1 trình bày về tính cấp thiết, mục tiêu, bố cục của đề tài và tìm
hiểu chung những vấn đề về bảo mật anh ninh trên nền Web, đưa ra một vài nguyên
nhân gây ra mất an toàn an ninh trên các ứng dụng Web và các lỗ hổng thường thấy
nhiều nhất hiện nay.
1.1. Tính cấp thiết của đề tài
Vơ ́ i sƣ ̣ phá t triể n rấ t nhanh củ a cá c ƣ ́ ng dụ ng trên nề n Web, việc bảo mật an ninh
an toàn cho các trang Web là một lĩnh vực đặc biệt quan vì nó đƣ ợc truy cập mọi lúc
mọi nơi và bất kỳ ai. Tuy vậ y không phả i bấ t kỳ nhà phá t triể n phầ n mề m Web nà o
cũng chú tâm đến việc bảo mật anh ninh , vì vậ y nhiều ứng dụng Web vẫn tồn tại với
các nguy cơ an ninh/an toàn/bảo mật (security vularability) và gây ra nhiề u thiệ t hạ i
khi bị tấn công. Tuy nhiên việ c tì m kiế m và phá t hiệ n ra cá c nguy cơ an ninh thủ công
khá khó khăn trong khi đó có nhiều nguy cơ an ninh có thể phát hiện đƣợc bằng các
công cụ tƣ ̣ đô ̣ ng.
Bên cạnh đó, các loại nguy cơ an ninh không ít, và cũng có rất nhiều công cụ tự
động phát hiện nguy cơ bảo mật nên ngƣời phát triển phần mềm khi muốn kiểm tra
mức độ an ninh an toàn của trang web của mình cũng gặp phải nhiều khó khăn. Chính
vì vậy đề tà i này nghiên cƣ ́ u m ột số kiể u tấ n công đang ph ổ biến và cá c công cu ̣ tƣ ̣
đô ̣ ng phá t hiệ n nguy cơ an ninh an toàn đ ồng thời thử nghiệm chúng vào phần mềm
“Trƣờng Nhà” ở trang web
trang Web quản lý trƣờng học phổ thông và hiện đang đƣợc xây dựng bởi một đội phát
triển phần mềm. Chính vì vậy, đề tài sẽ đi thử nghiệm vào ứng dụng này để đƣa ra lỗ
hổng và một vài khuyến cáo cho đội phát triển phần mềm và từ đó kiểm tra đƣợc tính
đúng đắn của kết quả cũng nhƣ các khuyến cáo của luận văn đƣa ra.
Qua việc nghiên cứu và thử nghiệm này, đề tài đƣa ra các nguy cơ bảo mật và công
cụ để phát hiện/kiểm tra cho phần mềm Trƣờng Nhà. Từ đó để tài cũng tổng quát hóa
và đƣa ra các khuyến cáo cho các nhóm phát triển phần mềm nói chung và đặc biệt khi
sử dụng các công nghệ tƣơng tự nhƣ của Trƣờng Nhà (sử dụng khung ứng dụng
Django) về các nguy cơ bảo mật và các công cụ kiểm tra để các đơn vị phát triển phần
mềm có thể tham khảo, áp dụng vào cá c ƣ ́ ng dụ ng Web . Đề tài hy vọng sẽ giúp ngƣời
phát triển phần mềm có thêm hiểu biết về an ninh an toàn cũng nhƣ các công cụ nên sử
dụng để tăng cƣờng anh ninh, bảo mật cho hệ thống Web của mình.
1.2. Mục tiêu đề tài
Mục tiêu của đề tài là trình bày đƣợc tổ ng quan và cập nhật về các nguy cơ bảo
mật, các cách thức tấn công và các cách phát hi ện lô ̃ hô ̉ ng bả o mậ t trên cá c hệ thô ́ ng
Web và đi sâu và o một vài loại xâu trên nền Web nổi tiếng và nguy hiểm hiện nay. Từ
đó luậ n văn khả o sá t mộ t sô ́ công cụ phần mềm nhằm phát hiện các nguy cơ bảo mật
để giúp ngƣời lập trình có thể ngăn chặ n sự tấn công của chúng, giảm thiểu khả năng
các ứng dụng web bị ảnh hƣởng bởi những lỗ hổng đó. Cuô ́ i cu ̀ ng luậ n văn đi sâu và o
phát hiện lỗ hổng cho ứng dụng hệ thống quản lý trƣờng học :
dƣ ̣ a trên cá c công cu ̣ đo ́ .
1.3. Bố cục luận văn
Luận văn bao gồm các chƣơng sau:
Chƣơng 1: Tổng quan an toàn bảo mật trên nền Web: Chƣơng này giới thiệu về
vấn đề bảo mật, vai trò quan trọng của bảo mật trên nền web và cá c nguy cơ gây ra
bơ ̉ i việ c thiế u an toà n bả o mậ t cho ƣ ́ ng dụ ng web.
Chƣơng 2: Tấn công an toàn thông tin trong ứng dụng Web: Chƣơng này mô
tả về một vài kỹ thuật tấn công an toàn Web phổ biến (DoS/DDoS, XSS, SQL
injection), ví dụ và cách thức tấn công của chúng.
Chƣơng 3: Giới thiệu một vài công cụ tìm kiếm lỗ hổng bảo mật: Chƣơng nà y
giới thiệu một vài công cụ hỗ trợ trong việc tìm kiếm lỗ hổng trên nền Web. Bên
cạnh đó, chƣơng này cũng nêu lên cá ch thƣ ́ c là m việ c và cá c lô ̃ hô ̉ ng mà cá c ƣ ́ ng
dụng nà y có thể phá t hiệ n ra, đƣa ra đƣợc nhận xét về các công cụ.
Chƣơng 4: Thực nghiệm và phân tích kết quả: Thực nghiệm chạy một số công
cụ ở chƣơng 3 vào việc tìm các lỗ hổng cho ứng dụng Web là
và phân tích cách thức phƣơng pháp chạy để tìm ra lỗi. Chƣơng 4 cũng đƣa ra đƣợc
một vài khuyến cáo cho các nhà phát triển phần mềm.
Chƣơng 5: Kết luận và hƣớng phát triển: Chƣơng nà y đi trình bày nhƣ ̃ ng kế t
quả đạt đƣợc của luận văn và hƣớng phát triển trong tƣơng lai.
1.4. Tô ̉ ng quan về vấ n đề bảo mật trên nền Web
Ngày nay, vơ ́ i sự phát triển mạnh mẽ của công nghệ thông tin và đặc biệt là sự ra
đơ ̀ i hà ng loạ t củ a cá c trang Web đã mang l ại cho con ngƣời rất nhiều tiện ích cho cá c
doanh nghiệ p. Các hoạt động giao dịch trực tuyến nhƣ thƣơng mại điện tử hay thanh
toán trực tuyến ngày càng phổ biến và đƣơ ̣ c thƣ ̣ c hiệ n thông qua cá c ƣ ́ ng du ̣ ng Web. Ở
bất kỳ đâu, khi một máy tính có nối mạng internet, con ngƣơ ̀ i có thể thực hiện các giao
dịch của mình một cách thuận tiện và nhanh chóng . Mọi thông tin cu ̉ a ngƣơ ̀ i du ̀ ng sẽ
đƣơ ̣ c lƣu trên Web . Nếu nhƣ thông tin đó b ị sửa đổi với ý đồ xấu, câu truy vấn cơ sở
dữ liệu có thể bị thay đổi cấu trúc, từ đó kết quả trả về sẽ khác với ý muốn của ngƣời
lập trình, hoặ c nhƣ ̃ ng kẻ lạ c danh có thể đá nh cắ p thông tin , gây lên nhƣ ̃ ng thiệ t hạ i
lơ ́ n. Có thể thấy việc xây dựng các trang Web động cho phép xây dựng câu truy vấn động từ đầu vào do ngƣời sử dụng cung cấp, chúng tiềm ẩn một nguy cơ mất an toàn
cao nếu nhƣ không có một cơ chế kiểm tra dữ liệu đầu vào một cách chặt chẽ. Tóm lại,
các ứng dụng Web luôn luôn tiềm ần và có nguy cơ bị tấn công bởi các kẻ tấn công
vơ ́ i y ́ đô ̀ xấ u, vậ y nên vấ n đề bả o mậ t trên nề n Web luôn là cấ p thiế t.
1.5. Mộ t số nguyên nhân phổ biế n cho ƣ ́ ng du ̣ ng Web mâ ́ t tí nh an toa ̀ n
Khi mộ t ƣ ́ ng du ̣ ng Web mấ t đi tí nh an toà n , điề u đo ́ tƣơng đƣơng vơ ́ i việ c trang
web đo ́ sẽ co ́ khả năng tấ n công và gây thiệ t hạ i bơ ̉ i nhƣ ̃ ng y ́ đô ̀ xấ u cu ̉ a kẻ tấ n công .
Để khắ c phụ c cho cá c lỗ hổ ng đó , việ c trƣơ ́ c tiên cầ n là m là tì m ra nguyên nhân . Dƣơ ́ i
đây là mô ̣ t và i nguyên nhân có thể gây ra nhƣ ̃ ng điể m yế u đo ́ cho ƣ ́ ng du ̣ ng Web:
o Thiế u nhậ n thƣ ́ c về an toà n cho ƣ ́ ng dụ ng Web cu ̉ a ngƣơ ̀ i du ̀ ng và ngƣơ ̀ i lậ p
trình
o Thiế u cá c giải pháp bảo mật sẵn có.
o Sƣ ̣ thú c é p sả n phẩ m nhanh chó ng , dẫ n đế n cá c nhà lậ p trì nh là m nhanh và ẩ u ,
quên đi việ c á p dụ ng cá c giả i phá p cho bả o mậ t.
1.6. Thô ́ ng kê cá c loa ̣ i tâ ́ n công
Vấ n đề an toàn bảo mật cho một ứng dụng Web là một vấn đề hết sức quan trọng,
bởi nó ảnh hƣởng tới chất lƣợng an ninh của cả một hệ thống cơ quan. Với tình trạng
hiện tại khi hàng loạt các kẻ tấn công lợi dụng sơ hở của phần mềm để tấn công vào hệ
thống nhằm phá hủy, ăn cắp dữ liệu thì việc làm này lại càng cấp bách và cần thiết.
Theo thống kê Web Hacking Incident Database năm tƣ ̀ 1999 tơ ́ i 2011, chúng ta có thể
nhìn thấy tỷ lệ các phƣơng thức tấn công web theo dạng XSS, DoS và SQL injection
luôn đƣ ́ ng đầ u trong so sá nh nhƣ sau [12]: CHƢƠNG 2 MỘT SỐ NGUY CƠ AN NINH THƢỜNG GẶP
Chương này mô tả về một vài kỹ thuật tấn công an toàn Web phổ biến như:
DoS/DDoS, XSS, SQL injection, đưa ra ví dụ và cách thức tấn công của chúng.
2.1. Tấn công DoS
2.1.1. Giới thiệu về DoS
Một trong những cách thức tấn công trang web có từ lâu nhƣng đến giờ vẫn tồn tại
và gây ra nhiều thiệt hại cho các tổ chức mạng mà các kẻ tấn công thƣờng sử dụng rất
nhiều hiện nay là dạng tấn công từ chối dịch vụ (DoS). DoS là một phƣơng pháp tấn
công làm tê liệt hoàn toàn máy chủ, khiến ngƣời dùng không thể truy cập đƣợc.
Gần đây có rất nhiều trang web hay các tổ chức bị nhiễm dạng tấn công DoS, ví dụ
nhƣ trang web của Bkav đã bị tê liệt trong suốt mấy ngày vì bị tin tặc tấn công từ chối
dịch vụ DDoS. Microsoft (15 tháng 8 năm 2003) đã chịu đợt tấn công DoS cực mạnh
[1]. Gây ra những thiệt hại không nhỏ. Cuộc chiến chống lại những cuộc tấn công từ
chối dịch vụ DDoS đƣợc coi là vô cùng khó khăn.
Dos là một dạng tấn công nguy hiểm, mặc dù nó không truy cập vào dữ liệu của hệ
thống nhƣng nó có thể làm cho hệ thống không có khả năng sử dụng, hay làm cho hệ
thống rơi vào tình trạng chậm đáng kể, kẻ tấn công dùng mọi cách làm quá tải tài
nguyên của hệ thống.
2.1.2. Mục đích và các dạng tấn công DoS
Tấn công theo phƣơng pháp DoS nhằm mục đích sau:
Chiếm băng thông mạng và làm hệ thống mạng bị quá tải, khi đó hệ thống mạng
sẽ không có khả năng đáp ứng những dịch vụ khác cho ngƣời dùng bình thƣờng.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch
vụ.
Cố gắng ngăn chặn các dịch vụ không cho ngƣời khác có khả năng truy cập vào.
Khi tấn công DoS xảy ra ngƣời dùng có cảm giác khi truy cập vào dịch vụ đó
nhƣ bị:
Tắt mạng
Tổ chức không hoạt động
Tài chính bị mất
Các tài nguyên mà kẻ tấn công thƣờng sử dụng để tấn công nhƣ là: Băng thông
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Luận văn ThS. Công nghệ phần mềm -- Trường Đại học Công nghệ. Đại học Quốc gia Hà Nội, 2012
Nghiên cứu về một vài loại xâu trên nền Web nổi tiếng hiện nay, nêu ra được tổng quan về an ninh của các ứng dụng web, cách thức tấn công và các công cụ giúp phát hiện lỗ hổng bảo mật trên các hệ thống Web. Từ đó đi nghiên cứu một loạt các công cụ phần mềm nhằm ngăn chặn sự tấn công của chúng, đảm bảo các ứng dụng web không bị ảnh hưởng bởi những lỗ hổng đó. Cuối cùng là việc đi sâu vào áp dụng các trường hợp cụ thể cho hệ thống trang web quản lý trường học: truongnha.com và đưa ra đánh giá và đưa ra khuyến cáo cho các nhà phát triển phần mềm tránh được những tổn thất do kẻ tấn công gây ra
CHƢƠNG 1 GIỚI THIỆU
Nội dung của chương 1 trình bày về tính cấp thiết, mục tiêu, bố cục của đề tài và tìm
hiểu chung những vấn đề về bảo mật anh ninh trên nền Web, đưa ra một vài nguyên
nhân gây ra mất an toàn an ninh trên các ứng dụng Web và các lỗ hổng thường thấy
nhiều nhất hiện nay.
1.1. Tính cấp thiết của đề tài
Vơ ́ i sƣ ̣ phá t triể n rấ t nhanh củ a cá c ƣ ́ ng dụ ng trên nề n Web, việc bảo mật an ninh
an toàn cho các trang Web là một lĩnh vực đặc biệt quan vì nó đƣ ợc truy cập mọi lúc
mọi nơi và bất kỳ ai. Tuy vậ y không phả i bấ t kỳ nhà phá t triể n phầ n mề m Web nà o
cũng chú tâm đến việc bảo mật anh ninh , vì vậ y nhiều ứng dụng Web vẫn tồn tại với
các nguy cơ an ninh/an toàn/bảo mật (security vularability) và gây ra nhiề u thiệ t hạ i
khi bị tấn công. Tuy nhiên việ c tì m kiế m và phá t hiệ n ra cá c nguy cơ an ninh thủ công
khá khó khăn trong khi đó có nhiều nguy cơ an ninh có thể phát hiện đƣợc bằng các
công cụ tƣ ̣ đô ̣ ng.
Bên cạnh đó, các loại nguy cơ an ninh không ít, và cũng có rất nhiều công cụ tự
động phát hiện nguy cơ bảo mật nên ngƣời phát triển phần mềm khi muốn kiểm tra
mức độ an ninh an toàn của trang web của mình cũng gặp phải nhiều khó khăn. Chính
vì vậy đề tà i này nghiên cƣ ́ u m ột số kiể u tấ n công đang ph ổ biến và cá c công cu ̣ tƣ ̣
đô ̣ ng phá t hiệ n nguy cơ an ninh an toàn đ ồng thời thử nghiệm chúng vào phần mềm
“Trƣờng Nhà” ở trang web
You must be registered for see links
. Ứng dụng “Trƣờng Nhà” là mộttrang Web quản lý trƣờng học phổ thông và hiện đang đƣợc xây dựng bởi một đội phát
triển phần mềm. Chính vì vậy, đề tài sẽ đi thử nghiệm vào ứng dụng này để đƣa ra lỗ
hổng và một vài khuyến cáo cho đội phát triển phần mềm và từ đó kiểm tra đƣợc tính
đúng đắn của kết quả cũng nhƣ các khuyến cáo của luận văn đƣa ra.
Qua việc nghiên cứu và thử nghiệm này, đề tài đƣa ra các nguy cơ bảo mật và công
cụ để phát hiện/kiểm tra cho phần mềm Trƣờng Nhà. Từ đó để tài cũng tổng quát hóa
và đƣa ra các khuyến cáo cho các nhóm phát triển phần mềm nói chung và đặc biệt khi
sử dụng các công nghệ tƣơng tự nhƣ của Trƣờng Nhà (sử dụng khung ứng dụng
Django) về các nguy cơ bảo mật và các công cụ kiểm tra để các đơn vị phát triển phần
mềm có thể tham khảo, áp dụng vào cá c ƣ ́ ng dụ ng Web . Đề tài hy vọng sẽ giúp ngƣời
phát triển phần mềm có thêm hiểu biết về an ninh an toàn cũng nhƣ các công cụ nên sử
dụng để tăng cƣờng anh ninh, bảo mật cho hệ thống Web của mình.
1.2. Mục tiêu đề tài
Mục tiêu của đề tài là trình bày đƣợc tổ ng quan và cập nhật về các nguy cơ bảo
mật, các cách thức tấn công và các cách phát hi ện lô ̃ hô ̉ ng bả o mậ t trên cá c hệ thô ́ ng
Web và đi sâu và o một vài loại xâu trên nền Web nổi tiếng và nguy hiểm hiện nay. Từ
đó luậ n văn khả o sá t mộ t sô ́ công cụ phần mềm nhằm phát hiện các nguy cơ bảo mật
để giúp ngƣời lập trình có thể ngăn chặ n sự tấn công của chúng, giảm thiểu khả năng
các ứng dụng web bị ảnh hƣởng bởi những lỗ hổng đó. Cuô ́ i cu ̀ ng luậ n văn đi sâu và o
phát hiện lỗ hổng cho ứng dụng hệ thống quản lý trƣờng học :
You must be registered for see links
dƣ ̣ a trên cá c công cu ̣ đo ́ .
1.3. Bố cục luận văn
Luận văn bao gồm các chƣơng sau:
Chƣơng 1: Tổng quan an toàn bảo mật trên nền Web: Chƣơng này giới thiệu về
vấn đề bảo mật, vai trò quan trọng của bảo mật trên nền web và cá c nguy cơ gây ra
bơ ̉ i việ c thiế u an toà n bả o mậ t cho ƣ ́ ng dụ ng web.
Chƣơng 2: Tấn công an toàn thông tin trong ứng dụng Web: Chƣơng này mô
tả về một vài kỹ thuật tấn công an toàn Web phổ biến (DoS/DDoS, XSS, SQL
injection), ví dụ và cách thức tấn công của chúng.
Chƣơng 3: Giới thiệu một vài công cụ tìm kiếm lỗ hổng bảo mật: Chƣơng nà y
giới thiệu một vài công cụ hỗ trợ trong việc tìm kiếm lỗ hổng trên nền Web. Bên
cạnh đó, chƣơng này cũng nêu lên cá ch thƣ ́ c là m việ c và cá c lô ̃ hô ̉ ng mà cá c ƣ ́ ng
dụng nà y có thể phá t hiệ n ra, đƣa ra đƣợc nhận xét về các công cụ.
Chƣơng 4: Thực nghiệm và phân tích kết quả: Thực nghiệm chạy một số công
cụ ở chƣơng 3 vào việc tìm các lỗ hổng cho ứng dụng Web là
You must be registered for see links
và phân tích cách thức phƣơng pháp chạy để tìm ra lỗi. Chƣơng 4 cũng đƣa ra đƣợc
một vài khuyến cáo cho các nhà phát triển phần mềm.
Chƣơng 5: Kết luận và hƣớng phát triển: Chƣơng nà y đi trình bày nhƣ ̃ ng kế t
quả đạt đƣợc của luận văn và hƣớng phát triển trong tƣơng lai.
1.4. Tô ̉ ng quan về vấ n đề bảo mật trên nền Web
Ngày nay, vơ ́ i sự phát triển mạnh mẽ của công nghệ thông tin và đặc biệt là sự ra
đơ ̀ i hà ng loạ t củ a cá c trang Web đã mang l ại cho con ngƣời rất nhiều tiện ích cho cá c
doanh nghiệ p. Các hoạt động giao dịch trực tuyến nhƣ thƣơng mại điện tử hay thanh
toán trực tuyến ngày càng phổ biến và đƣơ ̣ c thƣ ̣ c hiệ n thông qua cá c ƣ ́ ng du ̣ ng Web. Ở
bất kỳ đâu, khi một máy tính có nối mạng internet, con ngƣơ ̀ i có thể thực hiện các giao
dịch của mình một cách thuận tiện và nhanh chóng . Mọi thông tin cu ̉ a ngƣơ ̀ i du ̀ ng sẽ
đƣơ ̣ c lƣu trên Web . Nếu nhƣ thông tin đó b ị sửa đổi với ý đồ xấu, câu truy vấn cơ sở
dữ liệu có thể bị thay đổi cấu trúc, từ đó kết quả trả về sẽ khác với ý muốn của ngƣời
lập trình, hoặ c nhƣ ̃ ng kẻ lạ c danh có thể đá nh cắ p thông tin , gây lên nhƣ ̃ ng thiệ t hạ i
lơ ́ n. Có thể thấy việc xây dựng các trang Web động cho phép xây dựng câu truy vấn động từ đầu vào do ngƣời sử dụng cung cấp, chúng tiềm ẩn một nguy cơ mất an toàn
cao nếu nhƣ không có một cơ chế kiểm tra dữ liệu đầu vào một cách chặt chẽ. Tóm lại,
các ứng dụng Web luôn luôn tiềm ần và có nguy cơ bị tấn công bởi các kẻ tấn công
vơ ́ i y ́ đô ̀ xấ u, vậ y nên vấ n đề bả o mậ t trên nề n Web luôn là cấ p thiế t.
1.5. Mộ t số nguyên nhân phổ biế n cho ƣ ́ ng du ̣ ng Web mâ ́ t tí nh an toa ̀ n
Khi mộ t ƣ ́ ng du ̣ ng Web mấ t đi tí nh an toà n , điề u đo ́ tƣơng đƣơng vơ ́ i việ c trang
web đo ́ sẽ co ́ khả năng tấ n công và gây thiệ t hạ i bơ ̉ i nhƣ ̃ ng y ́ đô ̀ xấ u cu ̉ a kẻ tấ n công .
Để khắ c phụ c cho cá c lỗ hổ ng đó , việ c trƣơ ́ c tiên cầ n là m là tì m ra nguyên nhân . Dƣơ ́ i
đây là mô ̣ t và i nguyên nhân có thể gây ra nhƣ ̃ ng điể m yế u đo ́ cho ƣ ́ ng du ̣ ng Web:
o Thiế u nhậ n thƣ ́ c về an toà n cho ƣ ́ ng dụ ng Web cu ̉ a ngƣơ ̀ i du ̀ ng và ngƣơ ̀ i lậ p
trình
o Thiế u cá c giải pháp bảo mật sẵn có.
o Sƣ ̣ thú c é p sả n phẩ m nhanh chó ng , dẫ n đế n cá c nhà lậ p trì nh là m nhanh và ẩ u ,
quên đi việ c á p dụ ng cá c giả i phá p cho bả o mậ t.
1.6. Thô ́ ng kê cá c loa ̣ i tâ ́ n công
Vấ n đề an toàn bảo mật cho một ứng dụng Web là một vấn đề hết sức quan trọng,
bởi nó ảnh hƣởng tới chất lƣợng an ninh của cả một hệ thống cơ quan. Với tình trạng
hiện tại khi hàng loạt các kẻ tấn công lợi dụng sơ hở của phần mềm để tấn công vào hệ
thống nhằm phá hủy, ăn cắp dữ liệu thì việc làm này lại càng cấp bách và cần thiết.
Theo thống kê Web Hacking Incident Database năm tƣ ̀ 1999 tơ ́ i 2011, chúng ta có thể
nhìn thấy tỷ lệ các phƣơng thức tấn công web theo dạng XSS, DoS và SQL injection
luôn đƣ ́ ng đầ u trong so sá nh nhƣ sau [12]: CHƢƠNG 2 MỘT SỐ NGUY CƠ AN NINH THƢỜNG GẶP
Chương này mô tả về một vài kỹ thuật tấn công an toàn Web phổ biến như:
DoS/DDoS, XSS, SQL injection, đưa ra ví dụ và cách thức tấn công của chúng.
2.1. Tấn công DoS
2.1.1. Giới thiệu về DoS
Một trong những cách thức tấn công trang web có từ lâu nhƣng đến giờ vẫn tồn tại
và gây ra nhiều thiệt hại cho các tổ chức mạng mà các kẻ tấn công thƣờng sử dụng rất
nhiều hiện nay là dạng tấn công từ chối dịch vụ (DoS). DoS là một phƣơng pháp tấn
công làm tê liệt hoàn toàn máy chủ, khiến ngƣời dùng không thể truy cập đƣợc.
Gần đây có rất nhiều trang web hay các tổ chức bị nhiễm dạng tấn công DoS, ví dụ
nhƣ trang web của Bkav đã bị tê liệt trong suốt mấy ngày vì bị tin tặc tấn công từ chối
dịch vụ DDoS. Microsoft (15 tháng 8 năm 2003) đã chịu đợt tấn công DoS cực mạnh
[1]. Gây ra những thiệt hại không nhỏ. Cuộc chiến chống lại những cuộc tấn công từ
chối dịch vụ DDoS đƣợc coi là vô cùng khó khăn.
Dos là một dạng tấn công nguy hiểm, mặc dù nó không truy cập vào dữ liệu của hệ
thống nhƣng nó có thể làm cho hệ thống không có khả năng sử dụng, hay làm cho hệ
thống rơi vào tình trạng chậm đáng kể, kẻ tấn công dùng mọi cách làm quá tải tài
nguyên của hệ thống.
2.1.2. Mục đích và các dạng tấn công DoS
Tấn công theo phƣơng pháp DoS nhằm mục đích sau:
Chiếm băng thông mạng và làm hệ thống mạng bị quá tải, khi đó hệ thống mạng
sẽ không có khả năng đáp ứng những dịch vụ khác cho ngƣời dùng bình thƣờng.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch
vụ.
Cố gắng ngăn chặn các dịch vụ không cho ngƣời khác có khả năng truy cập vào.
Khi tấn công DoS xảy ra ngƣời dùng có cảm giác khi truy cập vào dịch vụ đó
nhƣ bị:
Tắt mạng
Tổ chức không hoạt động
Tài chính bị mất
Các tài nguyên mà kẻ tấn công thƣờng sử dụng để tấn công nhƣ là: Băng thông
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links