QUY TRÌNH KIỂM TRA ĐẢM BẢO AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB

30 1.4K 3
QUY TRÌNH KIỂM TRA ĐẢM BẢO AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

QUY TRÌNH KIỂM TRA ĐẢM BẢO AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB Nội dung chính • I. Giới thiệu chung về Web • II. Quy trình kiểm tra đảm bảo ATTT cho ứng dụng web • III. Các công cụ sử dụng để khai thác và bảo vệ ứng dụng web I. Giới thiệu chung về Web • 1. Khái niệm web ▫ World Wide Web (www), gọi tắt là web, là một không gian thông tin toàn cầu mà mọi người có thể truy nhập (gửi và nhận thông tin) qua các máy tính nối với mạng Internet. ▫ Web là 1 dịch vụ trên mạng Internet I. Giới thiệu chung về Web • 2. Mô hình hoạt động của Web I. Giới thiệu chung về Web • 3. Các thành phần của mô hình ▫ 3.1 Trình duyệt web  Trình duyệt web (web browser) là một phần mềm ứng dụng cho phép người sử dụng xem và tương tác với các văn bản, hình ảnh, đoạn phim, nhạc, trò chơi và các thông tin khác ở trên một trang web của một địa chỉ web trên mạng toàn cầu hoặc mạng nội bộ.  Trình duyệt web cho phép người sử dụng truy cập các thông tin trên các trang web một cách nhanh chóng và dễ dàng, nó đọc định dạng HTML, CSS, XML, … để hiển thị, do vậy một trang web có thể hiển thị khác nhau trên các trình duyệt khác nhau.  Một số trình duyệt web hiện nay bao gồm Internet Explorer, Mozilla Firefox, Safari, Google Chrome, Opera,… I. Giới thiệu chung về Web • 3. Các thành phần của mô hình ▫ 3.2 Địa chỉ URL (Uniform Resource Locator)  Địa chỉ URL được dùng để tham chiếu tới tài nguyên trên Internet.  Một URL gồm các thành phần sau:  Giao thức (ví dụ: http, ftp) nhưng cũng có thể là một cái tên khác (ví dụ: news, mailto).  Tên miền  Cổng (ví dụ: 80, 8080)  Đường dẫn tuyệt đối chỉ đến tên file (ví dụ: thumuc/trang/…).  http://www.mic.gov.vn:80/Trang/default.aspx  \____/ \_____________/ \_/ \______________/  | | | |  | Tên miền | Đường dẫn tuyệt đối  Giao thức Cổng I. Giới thiệu chung về Web • 3. Các thành phần của mô hình  3.3 Giao thức http và https:  HTTP (Hypertext Transfer Protocol) là giao thức thuộc lớp ứng dụng trong mô hình tham chiếu OSI.  Hoạt động thông thường ở port 80 và là giao thức hướng kết nối.  HTTPS = HTTP + SSL/TLS I. Giới thiệu chung về Web • 3. Các thành phần của mô hình  3.3 Giao thức http và https:  GET: Phương thức lấy một đối tượng hoặc tài nguyên nào đó trên Server.  POST: Phương thức mà Client sử dụng để gửi thông tin đến các Server.  PUT: Phương thức dùng để Client upload dữ liệu lên Server.  DELETE: Phương thức giúp Client xoá các đối tượng, tài nguyên từ các Server.  HEAD: Phương thức xác minh rằng một đối tượng có tồn tại hay không. I. Giới thiệu chung về Web • 3. Các thành phần của mô hình ▫ 3.4 Web Server – Máy chủ Web ▫ Web Server là máy chủ cài đặt các chương trình phục vụ các ứng dụng web. Web Server có khả năng tiếp nhận yêu cầu từ các trình duyệt web và gửi phản hồi đến máy khách những trang web thông qua môi trường mạng Internet qua giao thức HTTP hoặc các giao thức khác I. Giới thiệu chung về Web • 3. Các thành phần của mô hình ▫ 3.5 Web Application - Ứng dụng web  Web Application là nơi các kịch bản hay mã nguồn phát triển ra ứng dụng web được thực thi. Lớp này sẽ biên dịch các mã nguồn tương ứng và thực hiện các truy vấn đến cơ sở dữ liệu dựa vào mã nguồn ứng dụng.  Trong giai đoạn khởi đầu của website, có rất nhiều ngôn ngữ lập trình được sử dụng như: JSP, ASP, PHP, ASP.NET, Nhưng hiện tại có hai ngôn ngữ được dùng phổ biến là PHP và ASP.NET. [...]... liệu được sử dụng hiện nay như: MS SQL Server, Oracle, MySQL, Postgres II Quy trình kiểm tra đảm bảo ATTT cho ứng dụng web 1 Kiểm tra quản lý cấu hình 2 Kiểm tra xác thực tài khoản 3 Kiểm tra quản lý phiên làm việc 4 Kiểm tra phân quy n tài khoản 5 Kiểm tra xác duyệt thông tin 6 Kiểm tra khả năng tấn công từ chối dịch vụ 1 Kiểm tra quản lý cấu hình 1.1 Kiểm tra mã hóa SSL/TLS • Kiểm tra xem hệ thống... tràn bộ nhớ đệm không 6 Kiểm tra khả năng tấn công từ chối dịch vụ 6.4 Kiểm tra tấn công từ chối dịch vụ gây cạn kiệt tài nguyên của ứng dụng • Nếu ứng dụng Web cho phép người dùng được phép tùy chỉnh số đối tượng được tạo trên ứng dụng thì phải kiểm tra xem hệ thống có khả năng bị vét cạn tài nguyên hay không 6.5 Kiểm tra tấn công làm giảm hiệu năng của ứng dụng • Nếu ứng dụng Web cho phép người dùng... thì kiểm tra xem ứng dụng có bị giảm hiệu năng hay không khi tăng giá trị lặp lên 6.6 Kiểm tra tấn công từ chối dịch vụ gây ngập ổ cứng với các dữ liệu log • Kiểm tra xem ứng dụng web có khả năng bị lỗi ngập ổ cứng với các dữ liệu lỗi hay không 6 Kiểm tra khả năng tấn công từ chối dịch vụ 6.7 Kiểm tra khả năng giải phóng tài nguyên của ứng dụng • Kiểm tra khả năng quản lý giải phóng tài nguyên của ứng. .. đoạn XML sai cú pháp thông qua điền thông tin của ứng dụng để gây lỗi nhằm thu thập thông tin 5.6 Kiểm tra kiểu tấn công chèn các lệnh thực thi phía máy chủ • Kiểm tra xem kẻ tấn công có khả năng chèn các câu lệnh thực thi phía máy chủ thông qua điền thông tin của Website để lấy thông tin về máy chủ hay không 5 Kiểm tra xác duyệt thông tin 5.7 Kiểm tra kiểu tấn công chèn các câu truy vấn theo cú pháp... https Thông thường quan tâm đến khả năng hỗ trợ https của ứng dụng 2.2 Kiểm tra liệt kê user • Sử dụng những thông báo khác nhau trong ứng dụng để có thể tập hợp được danh sách các tài khoản trong ứng dụng, thường quan tâm đến những tài khoản quản trị hơn Mục đích cuối cùng là lập ra được danh sách những tài khoản của ứng dụng 2.3 Kiểm tra tài khoản khách hoặc mặc định • Kiểm tra mật khẩu mặc định,... 3.5 Kiểm tra các lỗi giả lập yêu cầu liên kết chéo • Kiểm tra xem ứng dụng có thể chống lại CSRF hay không 4 Kiểm tra phân quy n tài khoản 4.1 Kiểm tra khả năng truy cập file, thư mục (Path Traversal) • Kiểm tra xem hệ thống có bị lỗi Path Traversal hay không Lỗi này cho phép truy xuất đến những file mà đáng ra ta không có có quy n truy xuất đến 4.2 Kiểm tra khả năng vượt qua các lược đồ phân quy n... • Kiểm tra lược đồ phân quy n đã hợp lý chưa, có cho phép người sử dụng quy n của những nhóm khác, hay cấp độ quy n khác hay không Ví dụ như khả năng truy xuất sau khi đăng xuất, khả năng truy xuất vào những tài nguyên mà không cần xác thực 4.3 Kiểm tra khả năng nâng quy n • Kiểm tra khả năng thay đổi các tham số để người dùng có thể sử dụng những quy n cao hơn 5 Kiểm tra xác duyệt thông tin 5.1 Kiểm. .. được thiết kế giống SQL Việc kiểm tra nhằm xác định Website có khả năng bị kẻ tấn công ăn cắp thông tin về CSDL thông qua việc chèn câu truy vấn Xpath vào điền thông tin của ứng dụng 5.8 Kiểm tra kiểu tấn công vào mail máy chủ (SMTP server) • Kiểm tra Website có bị tấn công không khi kẻ tấn công gửi dữ liệu nguy hiểm thông qua mẫu thư đóng góp ý kiến lên máy chủ 5.9 Kiểm tra kiểu tấn công chèn các đoạn... tra này nhằm đánh giá website có khả năng lọc các đoạn mã nguy hiểm hay không 5.3 Kiểm tra kiểu tấn công kịch bản thông qua mô hình đối tượng tài liệu • Kẻ tấn công tìm cách chèm các đoạn mã vào trang HTML phía người dùng bằng cách sử dụng mô hình DOM, việc kiểm tra này để đánh giá ứng dụng có khả năng lọc các đoạn mã nguy hiểm hay không 5 Kiểm tra xác duyệt thông tin 5.4 Kiểm tra kiểu tấn công chèm... Injection) • Kiểm tra xem website có khả năng chống lại kiểu tấn công vào CSDL hay không khi mà kẻ tấn công tìm cách chèn các câu truy vấ dữ liệu vào các phần điền thông tin phía người dùng nhằm ăn cắp thông tin về dữ liệu 5.5 Kiểm tra kiểu tấn công chèn XML vào ứng dụng (XML Injection) • Kiểm tra Website có bị lỗ hổng hay không khi mà kẻ tấn công tìm cách chèn đoạn XML sai cú pháp thông qua điền thông tin . QUY TRÌNH KIỂM TRA ĐẢM BẢO AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB Nội dung chính • I. Giới thiệu chung về Web • II. Quy trình kiểm tra đảm bảo ATTT cho ứng dụng web • III. Các công cụ sử dụng. được sử dụng hiện nay như: MS SQL Server, Oracle, MySQL, Postgres II. Quy trình kiểm tra đảm bảo ATTT cho ứng dụng web 1. Kiểm tra quản lý cấu hình 2. Kiểm tra xác thực tài khoản 3. Kiểm tra quản. khác ở trên một trang web của một địa chỉ web trên mạng toàn cầu hoặc mạng nội bộ.  Trình duyệt web cho phép người sử dụng truy cập các thông tin trên các trang web một cách nhanh chóng và dễ

Ngày đăng: 03/07/2014, 10:56

Từ khóa liên quan

Mục lục

  • Slide 1

  • Nội dung chính

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • I. Giới thiệu chung về Web

  • II. Quy trình kiểm tra đảm bảo ATTT cho ứng dụng web

  • 1. Kiểm tra quản lý cấu hình

  • 1. Kiểm tra quản lý cấu hình

  • 1. Kiểm tra quản lý cấu hình

  • 1. Kiểm tra quản lý cấu hình

  • 2. Kiểm tra xác thực tài khoản

  • 2. Kiểm tra xác thực tài khoản

  • 2. Kiểm tra xác thực tài khoản

  • 3. Kiểm tra quản lý phiên làm việc

  • 3. Kiểm tra quản lý phiên làm việc

  • 4. Kiểm tra phân quyền tài khoản

  • 5. Kiểm tra xác duyệt thông tin

  • 5. Kiểm tra xác duyệt thông tin

  • 5. Kiểm tra xác duyệt thông tin

  • 5. Kiểm tra xác duyệt thông tin

  • 6. Kiểm tra khả năng tấn công từ chối dịch vụ

  • 6. Kiểm tra khả năng tấn công từ chối dịch vụ

  • 6. Kiểm tra khả năng tấn công từ chối dịch vụ

  • III. Các công cụ sử dụng để khai thác và bảo vệ ứng dụng web

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan