Đang tải... (xem toàn văn)
bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email bảo mật web và email
ĐẠI HỌC ĐÀ NẴNG TRƢỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN KHOA:CÔNG NGHỆ NGÀNH :CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNG LỚP: 08N BÁO CÁO MÔN MẠNG MÁY TÍNH TÊN ĐỀ TÀI : Bảo Mật Web Và Email ( Web And Email Security) Tên Sv Nhóm: Võ Hữu Phƣơng Phạm Văn Mỹ Lã Xuân Tâm Nguyễn Hồng Sự Giáo Viên Hƣớng Dẫn:Huỳnh Ngọc Thọ Đà Nẵng: Tháng 09/2009 Bảo mật web và email-Đề tài môn “Mạng máy tính” 2 MỤC LỤC CHƢƠNG I: BẢO MẬT WEB 3 I. TÌM HIỂU VỀ ỨNG DỤNG WEB 3 I.1 Web là gì? 3 I.2 Ứng dụng Web là gì? 4 I.3 Web Server: 5 I.4 Ngôn ngữ lập trình Web 6 I.4.1 PHP 6 I.4.2 HTML (HyperText Markup Language): 6 I.4.3 XML : 6 I.5 Các hệ cơ sở dử liệu: 8 I.5.1 My SQL: 8 I.5.2 SQL : 9 I.5.3 ACCESS : 9 II. BẢO MẬT WEB 9 II.1. Bảo mật là gì? 9 II.2. Từ phía ngƣời tấn công 11 II.2.1 Thu thập thông tin chung: 12 II.2.3 Dò tìm lỗi: 13 a) SQL Injections 13 b) Session Hijacking 14 c) XSS (Cross-Site Scripting) 15 d) Local Attack 17 e) Dùng các loại trojan, virus 17 f) DOS và DDOS, DRDOS 17 g) Xóa dấu vết 19 II.3. Từ phía ngƣời phòng thủ (Administrator) 19 II.3.1 Phân quyền hợp lí 19 II.3.2 Ẩn Mình-(Hide Path): 20 II.3.3 Không hiển thị lỗi nếu phát sinh 20 II.3.4 Bật safe-mode (chế độ an toàn) và vô hiệu các hàm nguy hiểm 20 II.3.5 Phân quyền account truy cập cơ sở dữ liệu MySQL 20 II.3.6 Mã hoá các file chứa thông tin nhạy cảm 21 II.3.7 Ngăn download source code khi server gặp sự cố: 21 II.3.8 Vô hiệu hoá biên dịch mã PHP trong thƣ mục chỉ định 21 II.3.9 Thƣờng xuyên cập nhật vá lỗi cho : 21 CHƢƠNG II: Bảo Mật Email 22 II. Cấu trúc chung của một địa chỉ email 22 III. Các chức năng có thể có của một hộp thƣ điện tử: 22 IV. Phƣơng thức hoạt động của một hệ thống thƣ điện tử 23 V. Các giao thức 24 VI. Bảo mật 25 VI.1 Biết các trò lừa đảo 25 VI.2 Tạo một địa chỉ vĩnh viễn 25 VI.3 Hợp nhất các địa chỉ 26 Bảo mật web và email-Đề tài môn “Mạng máy tính” 3 VI.4 Không chuyển tay địa chỉ của bạn giống nhƣ một chiếc kẹo 26 VI.5 Không sử dụng "Reply All" một cách mù quáng 26 VI.6 BCC là bạn của bạn 27 VI.7 Nội dung các dòng chủ đề 27 VI.8 Mỗi thƣ một chủ đề 27 VI.9 Sự vắn tắt là cốt lõi trong cách nói hóm hỉnh 27 VI.10 Gửi văn bản thô nếu ngờ vực 27 VI.11 Chạy phần mềm chống virus 28 VI.12 Tránh các đính kèm lớn 28 VI.13 Đính kèm những gì bạn đã hứa 28 VI.14 Không mở các đính kèm hoặc kích vào các liên kết không mong đợi 28 VI.15 Xóa sự vƣợt giới hạn trong các reply 29 VI.16 Không sử dụng caps lock tất cả 29 VI.17 Biết đám đông của bạn 29 VI.18 Không gửi email với nội dung giận dữ 29 VI.19 Recall/Undo một thƣ đã gửi 29 VI.20 Đƣa ra các luật lệ làm việc trên hòm thƣ của bạn 30 VI.21 Không email những gì bạn có thể IM (hoặc tin nhắn hoặc Twitter) 30 VI.22 Đôi khi tuyên bố “phá sản email” 30 VI.23 Tránh những thông tin bí mật 31 VI.24 Tạo một chữ ký hữu dụng 31 VII. Quản lý Email an toàn với Virus, Spam và các thủ thuật 31 VII.1 "Lọc" thƣ rác spam 31 VII.2 Giữ "sạch" hộp thƣ inbox 32 VII.3 Tắt bỏ cửa sổ Preview 32 VII.4 Tạo danh sách email 32 VII.5 Quét virus trong thƣ 32 VII.6 Gửi file kích thƣớc lớn 32 VII.7 Kiểm tra thƣ qua Web 32 CHƢƠNG I: BẢO MẬT WEB I. TÌM HIỂU VỀ ỨNG DỤNG WEB I.1 Web là gì? World Wide Web, gọi tắt là Web hoặc WWW, mạng lƣới toàn cầu là một không gian thông tin toàn cầu mà mọi người có thể truy nhập (đọc và viết) qua các máy tính nối với mạng Internet. Thuật ngữ này thường được hiểu nhầm là từ đồng nghĩa với chính thuật ngữ Internet. Nhưng Web thực ra chỉ là một trong các dịch vụ chạy trên Internet, chẳng hạn như dịch vụ thư điện tử. Web được phát minh và đưa vào sử dụng vào khoảng năm 1990, 1991 bởi viện sĩ Viện Hàn lâm Anh Tim Berners-Lee và Robert Cailliau (Bỉ) tại CERN, Geneva, Switzerland Bảo mật web và email-Đề tài môn “Mạng máy tính” 4 Các tài liệu trên World Wide Web được lưu trữ trong một hệ thống siêu văn bản (hypertext), đặt tại các máy tính trong mạng Internet. Người dùng phải sử dụng một chương trình được gọi là trình duyệt web (web browser) để xem siêu văn bản. Chương trình này sẽ nhận thông tin (documents) tại ô địa chỉ (address) do người sử dụng yêu cầu (thông tin trong ô địa chỉ được gọi là tên miền (domain name)), rồi sau đó chương trình sẽ tự động gửi thông tin đến máy chủ (web server) và hiển thị trên màn hình máy tính của người xem. Người dùng có thể theo các liên kết siêu văn bản (hyperlink) trên mỗi trang web để nối với các tài liệu khác hoặc gửi thông tin phản hồi theo máy chủ trong một quá trình tương tác. Hoạt động truy tìm theo các siêu liên kết thường được gọi là duyệt Web. I.2 Ứng dụng Web là gì? Trong kỹ thuật phần mềm, một Ứng dụng web (hay web application) là một trình ứng dụng mà có thể tiếp cận qua web thông qua mạng như Internet hay Itranet. Ứng dụng web phổ biến nhờ vào sự có mặt vào bất cứ nơi đâu của một chương trình. Khả năng cập nhật và bảo trì ứng dụng Web mà không phải phân phối và cài đặt phần mềm trên hàng ngàn máy tính là lý do chính cho sự phổ biến của nó. Ứng dụng web được dùng để hiện thực Webmail, bán hàng trực tuyến, đấu giá trực tuyến, wiki, diễn đàn thảo luận, Weblog, MMORPG, Hệ quản trị quan hệ khách hàng và nhiều chức năng khác. Một ưu thế đặc biệt của việc xây dựng ứng dụng Web để hỗ trợ những tính năng chuẩn của trình duyệt đó là chúng sẽ hoạt động như mong muốn bất kể hệ điều hành hay phiên bản hệ điều hành nào được cài trên máy khách cho trước. Thay vì tạo ra những chương trình khách cho MS Windows, Mac OS X, GNU/Linux, và những hệ điều hành khác, ứng dụng có thể được viết chỉ một lần và triển khai mọi nơi. Tuy nhiên, sự hiện thực không được ổn định của HTML, CSS, DOM và những đặc tính trình duyệt khác có thể gây ra rắc rối trong việc phát triển và hỗ trợ ứng dụng web. Thêm vào đó, khả năng cho người dùng điều chỉnh nhiều cài đặt hiển thị cho trình duyệt của họ (như chọn kích thước font, màu sắc, và kiểu chữ, hoặc tắt tính năng script) có thể can thiệp vào sự ổn định của ứng dụng web Cấu trúc 1 ứng dụng web Dù có nhiều biến thể, một ứng dụng Web thông thường được cấu trúc như một ứng dụng ba lớp. Ở dạng phổ biến nhất, một trình duyệt Web là lớp thứ nhất, một bộ máy sử dụng một vài công nghệ nội dung Web động (như ASP, ASP.NET, CGI, ColdFusion, JSP/Java, PHP, Python, hoặc Ruby On Rails) là lớp giữa, và một cơ sở dữ liệu là lớp thứ ba. Trình duyệt sẽ gửi yêu cầu đến lớp giữa, lớp giữa sẽ phục vụ bằng cách tạo ra truy vấn và cập nhật cơ sở dữ liệu và tạo ra giao diện người dùng. Bảo mật web và email-Đề tài môn “Mạng máy tính” 5 Hình I. 1 I.3 Web Server: Web Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hàng dữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác. (các mã Script, các chương trình, và các file Multimedia) Web Server có khả năng gửi đến máy khách những trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP - giao thức được thiết kế để gửi các file đến trình duyệt Web (Web Browser), và các giao thức khác. Tất cả các Web Server đều có một địa chỉ IP (IP Address) hoặc cũng có thể có một Domain Name. Giả sử khi bạn đánh vào thanh Address trên trình duyệt của bạn một dòng http://www.abc.com sau đó gõ phím Enter bạn sẽ gửi một yêu cầu đến một Server có Domain Name là www.abc.com. Server này sẽ tìm trang Web có tên là index.htm rồi gửi nó đến trình duyệt của bạn. Bất kỳ một máy tính nào cũng có thể trở thành một Web Server bởi việc cài đặt lên nó một chương trình phần mềm Server Software và sau đó kết nối vào Internet.Khi máy tính của bạn kết nối đến một Web Server và gửi đến yêu cầu truy cập các thông tin từ một trang Web nào đó, Web Server Software sẽ nhận yêu cầu và gửi lại cho bạn những thông tin mà bạn mong muốn. Giống như những phần mềm khác mà bạn đã từng cài đặt trên máy tính của mình, Web Server Software cũng chỉ là một ứng dụng phần mềm. Nó được cài đặt, và chạy trên máy tính dùng làm Web Server, nhờ có chương trình này mà người sử dụng có thể truy cập đến các thông tin của trang Web từ một máy tính khác ở trên mạng (Internet, Intranet). Web Server Software còn có thể được tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để có thể truy cập và kết xuất thông tin từ CSDL lên các trang Web và truyền tải chúng đến người dùng. Server phải hoạt động liên tục 24/24 giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụ cho việc cung cấp thông tin trực tuyến. Vị trí đặt server đóng vai trò quan trọng trong chất lượng và tốc độ lưu chuyển thông tin từ server và máy tính truy cập. Bảo mật web và email-Đề tài môn “Mạng máy tính” 6 I.4 Ngôn ngữ lập trình Web I.4.1 PHP Năm 1994 rasmus lerdorf dua một doạn perl script vào trang web đề theo giỏi ai đang đọc tài liệu của ông.dần dẩn người ta thích đoạn cript này và bác đầu san xuất một gói công cụ mang ten personal home pages dó là tên đầu tiên của php. Ông đã viết một số cơ chế nhúng kết hợp với các công cụ khác để phân tích các biểu mẩu html hay phiên dịch biểu mẫu và dạc tên là PHP2 được gọi là PHP/FI. PHP/FI vào năm 1995 Nhóm phát triển rasmus lerdorf , andigutmans, Zeev suraski đã loại bỏ những điểm yếu của php2 và thêm một số hàm API cho phép các lập trình viên khác bổ xung những tính năng của ngôn ngử để viết những module cho nó .vào tháng 11/1997 phiên bản php3 ra đời Cuối năm 1998, PHP đã có khoảng 10 triệu người sử dụng và hàng trăm triệu Website đã báo cáo là có sử dụng PHP Vào năm 1999 phiên bản php4 đã ra dới vói tính năng nỗi trội.hỗ trợ nhiều web server mới phiên http. I.4.2 HTML (HyperText Markup Language): Đây là một ngôn ngữ đơn giản được sử dụng trong các tài liệu siêu văn bản nó chỉ là các tài liệu văn bản bình thường nhưng có chứa các thành phần đặc biệt gọi là các thẻ (hoặc các cặp thẻ) đánh dấu. Dựa theo các cặp thẻ này mà trình duyệt có thể biết được nó phải thực hiện cái gì. Cấu trúc của 1 thẻ trong HTML bao gồm: Dấu "<". Nếu là thẻ đóng thì sẽ bắt đầu bằng "</" - Tên thẻ - Các tham số khác nếu có. Nếu là thẻ đóng thì không cần tham số - Dấu ">". Cấu trúc của một file HTML có dạng: <HTML> <HEAD> <TITLE></TITLE> </HEAD> <BODY> phần thân tài liệu </BODY> </HTML> Toàn bộ nội dung chính của trang HTML được đặt trong cặp thẻ <BODY></BODY> I.4.3 XML : Là ngôn ngử mở rộng đƣợc phát triển trên tính đơn giản, dể dùng của HTML và tính phức tạp và đa chức năng của SGML. XML được thiết kế để cho phép máy tính có thể trao đổi tài liệu với nhau thông qua Web mà không làm mất đi ý nghĩa của dữ liệu. Bảo mật web và email-Đề tài môn “Mạng máy tính” 7 Một tài liệu XML bao gồm một tập các cặp thẻ được lồng vào nhau. Mỗi thẻ có một cặp các thuộc tính và giá trị Cấu trúc của một tài liệu XML: Một tài liệu XML có thể được chia thành hai phần chính, mỗi phần có thể có các thành phần theo quy định khác nhau: - Phần Prolog: Chứa các khai báo cho tài liệu XML. Phần này có thể chứa các định đạng như: Các chỉ thị xử lý, định nghĩa kiểu cho tài liệu, chú thích, phiên bản đang sử dụng, cách thức mã hóa dữ liệu, báo cáo các chỉ thị xử lý cho ứng dụng. - Phần thân chứa nội dung dữ liệu, bao gồm một hay nhiều phần tử, mỗi phần tử được chứa trong một cặp thẻ. Phần tử đầu tiên của tài liệu được gọi là phần tử gốc (root element). Một tài liệu XML được coi là hợp khuôn dạng (well-form) nếu nó tuân thủ các quy tắc sau: • Các khai báo XML cần được đặt tại dòng đầu tiên của tài liệu, chẳng hạn như khai báo phiên bản hay các chỉ thị xử lý XML. • Mỗi tài liệu XML chỉ có một thành phần gốc (root) chứa mọi thành phần khác trong tài liệu. Các thành phần có thể đứng trước phần tử gốc là chú thích, chỉ thị xử lý và định nghĩa DTD (nếu khai báo ở phần khởi đầu của tài liệu). • Mỗi phần tử của tài liệu phải được nằm trong một cặp thẻ. Nếu là phần tử rỗng thì thẻ phải được kết thúc bằng "/>". Ví dụ: "<image/>" • Các thành phần trong tài liệu XML, khác thành phần gốc đều nằm giữa cặp thẻ gốc và phải lồng nhau một cách hợp lý, tức là không có thành phần phủ, tập hợp thẻ này không được phép chồng lên thẻ kia, mỗi tập trong phải nằm trong tập hợp lớn hơn kế tiếp. • Các cặp thẻ phải được viết chính xác như nhau kể cả chữ hoa hay chữ thường. • Các giá trị của các thuộc tính đều phải nằm giữa hai ngoặc kép. Ví dụ: hide=true là không hợp lệ, mà phải là hide="true". I.4.4 ASP (active server pages) Vào những thập niên 90 một Kì thuật mới của microsoft là kết hợp html với các đoạn script, các thanh phần sử lí server trên cùng 1 file được gọi là ASP Về bản chất, ta có thể coi ASP như là một ngôn ngữ thông dịch vậy. Một trang ASP có thể sử dụng HTML, JScript và VBScript. Qua các đoạn mã nhúng này, ASP có thể truy cập đến các thành phần phía server. Các thành phần này có thể được viết trên bất kỳ ngôn ngữ nào hỗ trợ các thành phần COM của Microsoft Các thành phần này có thể được viết trên bất kỳ ngôn ngữ nào hỗ trợ các thành phần COM của Microsoft. Ƣu điểm : - Nó có thể làm được bất kỳ cái gì mà máy chủ có thể làm được với các thành phần COM. Sau khi được thi hành, ASP sẽ sản sinh ra một trang Web có khuôn dạng HTML và trả nó về cho Web server. - Soạn thào thêm nội dung vào website rất linh động Bảo mật web và email-Đề tài môn “Mạng máy tính” 8 - Đáp ứng truy vấn người dùng hoặc dử liệu được gởi từ HTML - Giảm thiểu lưu thông mạng - Trả về trang HTML nên người dùng có thể xem ở bất kì trình duyệt web nào Nhƣợc điểm: - Một bất lợi lớn đối với ASP là nó chỉ có thể hoạt động trên các họ Web server của Microsoft (bao gồm PWS trên Win9x hay IIS trên WinNT/2000/XP) I.4.5 Javascript Theo phiên bản hiện hành, là một ngôn ngữ lập trình kịch bản dựa trên đối tượng được phát triển từ các ý niệm nguyên mẫu. Ngôn ngữ này được dùng rộng rãi cho các trang web, nhưng cũng được dùng để tạo khả năng viết script sử dụng các đối tượng nằm sẵn trong các ứng dụng. Nó vốn được phát triển bởi Brendan Eich tại Hãng truyền thông Netscape với cái tên đầu tiên Mocha, rồi sau đó đổi tên thành LiveScript, và cuối cùng thành JavaScript JavaScript có cú pháp tương tự C, nhưng nó gần với Self hơn Java. .js là phần mở rộng thường được dùng cho tập tin mã nguồn JavaScript. Phiên bản mới nhất của JavaScript là phiên bản 1.5, tương ứng với ECMA- 262 bản 3. ECMAScript là phiên bản chuẩn hóa của JavaScript. Trình duyệt Mozilla phiên bản 1.8 beta 1 có hỗ trợ không đầy đủ cho E4X - phần mở rộng cho JavaScript hỗ trợ làm việc với XML, được chuẩn hóa trong ECMA-357. JavaScript được dùng để thực hiện một số tác vụ không thể thực hiện được với chỉ HTML như kiểm tra thông tin nhập vào, tự động thay đổi hình ảnh, Ở Việt Nam, JavaScript còn được ứng dụng để làm bộ gõ tiếng Việt JavaScript có thể được sử dụng trong tập tin PDF của Adobe Acrobat và Adobe Reader JavaScript là một ngôn ngữ lập trình dựa trên nguyên mẫu với cú pháp phát triển từ C. I.5 Các hệ cơ sở dử liệu: Cơ sở dử liệu là một hệ thống tập hợp của các tập tin dược thiết kế nhầm giảm thiểu việc lập lại dử liệu Các tập tin trong cơ sở dử liệu là một thành phần của một bộ chương trình nhằm tạo lập quản lí và truy xuất các tập tin cơ sở dử liệu Hệ quản trị cơ sở dử liệu (database managements system ) viết tắc là DBMS là bộ phần mềm của những công cụ có sẳn do một số nhà sản xuất phần mềm cung cấp. I.5.1 My SQL: MySQL là một phần mềm quản trị CSDL mã nguồn mở, miễn phí nằm trong nhóm LAMP (Linux - Apache -MySQL - PHP) Một số đặc điểm của MySQL MySQL là một phần mềm quản trị CSDL dạng server-based (gần tương đương với SQL Server của Microsoft). MySQL quản lý dữ liệu thông qua các CSDL, mỗi CSDL có thể có nhiều bảng Bảo mật web và email-Đề tài môn “Mạng máy tính” 9 quan hệ chứa dữ liệu. MySQL có cơ chế phân quyền người sử dụng riêng, mỗi người dùng có thể được quản lý một hoặc nhiều CSDL khác nhau, mỗi người dùng có một tên truy cập (user name) và mật khẩu tương ứng để truy xuất đến CSDL. Khi ta truy vấn tới CSDL MySQL, ta phải cung cấp tên truy cập và mật khẩu của tài khỏan có quyền sử dụng CSDL đó. Nếu không, chúng ta sẽ không làm được gì cả. I.5.2 SQL : Mô hình cơ sở dữ liệu (CSDL) quan hệ - RDBMS, do E.F Codd đưa ra vào đầu thập kỷ 70. Từ đó đến nay, nó liên tục phát triển trở thành mô hình CSDL phổ biến bậc nhất. Mô hình quan hệ gồm các thành phần sau: Tập hợp các đối tượng và / hoặc các mối quan hệ Tập hợp các xử lý tác động tới các quan hệ Ràng buộc dữ liệu đảm bảo tính chính xác và nhất quán. SQL (Structured Query Language, đọc là "sequel") là tập lệnh truy xuất CSDL quan hệ. Ngôn ngữ SQL được IBM sử dụng đầu tiên trong hệ quản trị CSDL System R vào giữa những năm 70. Hệ ngôn ngữ SQL đầu tiên (SEQUEL2) được IBM công bố vào tháng 11 năm 1976. Năm 1979, tập đoàn Oracle giới thiệu thương phẩm đầu tiên của SQL. SQL cũng được cài đặt trong các hệ quản trị CSDL như DB2 của IBM và SQL/DS. Ngày nay, SQL được sử dụng rộng rãi và đuợc xem là ngôn ngữ chuẩn để truy cập CSDL quan hệ. Chuẩn SQL Năm 1989, viện tiêu chuẩn quốc gia Hoa Kỳ (ANSI) công nhận SQL là ngôn ngữ chuẩn để truy cập CSDL quan hệ trong văn bản ANSI SQL89. Năm 1989, tổ chức tiêu chuẩn quốc tế (ISO) công nhận SQL ngôn ngữ chuẩn để truy cập CSDL quan hệ trong văn bản ISO 9075-1989. Tất cả các hệ quản trị CSDL lớn trên thế giới cho phép truy cập bằng SQL và hầu hết theo chuẩn ANSI. I.5.3 ACCESS : Là công cụ hiệu quả cho các ứng dụng quản lí hồ sơ dử liệu quan hệ hệ với nhau .tập hợp các hồ sơ dử liệu này gọi là cơ sở dử liệu quan hệ. Access rất tốt cho việc tổ chức và quản lí các cơ sở dử liệu lớn bạn có thể tạo một trang web với access thông qua công nghệ asp. II. BẢO MẬT WEB II.1. Bảo mật là gì? Trong thế giới thay đổi từng ngày trong việc truyền thông dữ liệu toàn cầu, những kết nối Internet rẻ tiền và tốc độ ngày một nhanh hơn thì việc bảo mật hệ thống là một vấn đề hết sức hữu ích. Bảo mật là một đòi hỏi thiết yếu bởi vì những máy tính mang tính toàn cầu đang ngày càng trở nên kém an toàn. Thử tưởng tượng một gói dữ liệu khi di chuyển từ điểm A sang điểm B, gói dữ liệu này có thể Bảo mật web và email-Đề tài môn “Mạng máy tính” 10 đi qua nhiều điểm trên mạng và nếu như tại một máy nào đó người sử dụng có thể lấy thông tin trên gói dữ liệu này và biết các thông tin chi tiết của máy gửi, họ có thể sử dụng các kỹ thuật cao để truy nhập bất hợp pháp vào máy gửi và có thể phá hỏng máy này hoặc toàn bộ hệ thống tùy theo mức độ thao tác. Những thao tác mà các người sử dụng bất hợp pháp này có thể làm trên hệ thống là ăn cắp thông tin hệ thống, từ chối các dịch vụ sử dụng trên hệ thống. Mục đích của việc bảo mật là thông báo cho người sử dụng, phòng ban trong hệ thống biết các vấn đề về việc bảo vệ thông tin và kỹ thuật của họ. Các luật bảo mật cũng chỉ dẫn cho họ biết thông tin về các máy mà họ có thể gặp trong đường mạng. Trước hết phải nhận ra một điều là không có một hệ thống nào là hoàn toàn bảo mật tuyệt đối. Tất cả những gì mà nhà quản trị có thể làm là tăng thêm sự khó khăn cho người dùng khi họ có ý định thâm nhập hệ thống. Nhà quản trị hệ thống cần phải quyết định sự cân bằng giữa các mục đích, ý định sử dụng của hệ thống. Cần phải quyết định mức độ bảo mật cần thiết cho hệ thống của mình. Đối với các nhà cung cấp sản phẩm thì mục tiêu của họ là cung cấp càng nhiều các dịch vụ càng tốt, đơn giản hóa các việc sử dụng dịch vụ trong hệ thống, và nói chung là tất cả những gì mà họ có thể làm để cho sản phẩm có thể tiêu thụ nhiều. Việc này vô hình chung đã làm cho nhà quản trị hệ thống trở nên phức tạp hơn. Bởi vì các dịch vụ đa dạng má các nhà cung cấp phát triển có thể trở thành cổng sau cho các cracker có thể thâm nhập hệ thống. Như vậy, có thể mô tả sự tác động của việc này đối với các nhà quản trị như sau : Các dịch vụ chống lại các vấn đề bảo mật : như đã nói ở trên thì các dịch vụ mà các nhà cung cấp sản phẩm phát triển có thể cho phép người dùng sở hữu các nguồn tài nguyên trên hệ thống và dĩ nhiên là điều này hoàn toàn không đòi hỏi một chứng thực nào cả. Đây là một việc hết sức nguy hiểm cho hệ thống và nhiệm vụ của nhà quản trị là cần phải quyết định hạn chế các dịch vụ cần thiết trong hệ thống hơn là bảo mật cho các dịch vụ này. Dễ dàng trong sử dụng thì khó khăn trong bảo mật : một hệ thống mà dễ dàng cho phép sự thâm nhập của người dùng là một điều hết sức nguy hiểm cho việc bảo mật hệ thống. Nên có cơ chế chứng thực cho mỗi sử dụng, điều này có thể gây rắc rối trong việc sử dụng nhưng nó làm cho hệ thống trở nên an toàn hơn, đặc biệt nếu có thể thì nên áp dụng cơ chế chứng thực thường xuyên để tăng thêm phần bảo mật cho hệ thống. Kết quả của sự bảo mật chính là giảm sự mất mát thông tin : việc thiết lập các cơ chế bảo mật như sử dụng firewall, cơ chế chứng thực, nghiêm ngặt trong vấn đề sử dụng tương ứng sẽ làm giảm bớt sự mất mát thông tin, mất mát dịch vụ, … Điều này tương ứng với cái giá phải trả cho các nhà quản trị. 3 yếu tố đảm bảo an ninh thông tin: * Tính bảo mật: đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin [...]... sản phẩm 12 Bảo mật web và email- Đề tài môn “Mạng máy tính” II.2.3 Dò tìm lỗi: Dò tìm lỗi tự động: Dùng các công cụ quét và dò lỗi Website như Scrawlr, MaxQ, Selenium, Acunetix Web Vulnerability Scanner, … Hình I 4: giao diện của Acunetix Web Vulnerability Scanner Giao diện của Acunetix Web Vulnerability Scanner Dò tìm lỗi bằng tay: Vận dụng các kiến thức lập trình, hệ điều hành, bảo mật và mạng máy.. .Bảo mật web và email- Đề tài môn “Mạng máy tính” * Tính toàn vẹn: đảm bảo tính chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin * Tính sẵn sàng: đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần 3 tính chất quan trọng này được viết tắt bằng nhóm từ tiếng Anh: C.I.A, trong đó C là Confidentiality (tính bảo mật) ; I là Integrity... nhiều người vẫn nghĩ rằng việc đảm bảo an toàn, bảo mật nhằm giảm thiểu tối đa khả năng bị tấn công từ các tin tặc chỉ đơn thuần tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẽ chạy ứng dụng, mà quên mất rằng ngay cả bản thân ứng dụng chạy trên đó cũng tiềm ẩn một lỗ hổng bảo mật rất lớn Một trong số các lỗ hổng 13 Bảo mật web và email- Đề tài môn “Mạng máy tính”... trên Server và đặt một mật khẩu quản trị tƣơng đối kiên cố, liên hệ với nhà cung cấp dịch vụ để sửa lỗi 21 Bảo mật web và email- Đề tài môn “Mạng máy tính” CHƢƠNG II: Bảo Mật Email I Thƣ Điện Tử (Electronic Mail):là một hệ thống chuyển nhận thư từ qua các mạng máy tính .Email là một phương tiện thông tin rất nhanh Một mẫu thông tin (thư từ) có thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển... lại thường chỉ cho phép giới hạn tối đa từ 5-10MB, và do đó nó sẽ bỏ bớt phần dung lượng bị dư ra Dù vậy, bạn vẫn có một vài lựa chọn khác Như việc bạn có thể lưu file trên Web và nhắn người nhận đến tải chúng về Hiện Yahoo và Hotmail cho phép bạn lưu trữ khoảng 30MB dữ liệu trực tuyến trên site của họ VII.7 Kiểm tra thƣ qua Web 32 Bảo mật web và email- Đề tài môn “Mạng máy tính” Bạn không cần phải... riêng cho một user khi kết nối tới một website nào đó, web server dựa vào session ID để nhận ra user, và chấp nhận cho user này thực hiện các hành động mà user được quyền mà không phải xác nhận lần này qua lần khác 14 Bảo mật web và email- Đề tài môn “Mạng máy tính” Một ít về cookies: Có nhiều loại cookies, nhưng có 2 loại bạn cần tìm hiểu là persistent cookies và non-persistent cookies -Persistent cookies... một hoàn cảnh cụ thể - hầu như không đảm bảo rằng chủ đề của bạn sẽ nằm trong danh sách những người nhận thư Khi gửi đi một thư mới, không vào một thư cũ và nhấn Reply All (hoặc thậm chí 26 Bảo mật web và email- Đề tài môn “Mạng máy tính” Reply) Hãy bắt đầu từ đầu và sử dụng ổ địa chỉ liên lạc của riêng bạn Nếu không sẽ có ai đó mà bạn không dự định có thể trượt vào trong danh sách VI.6 BCC là bạn của... đó XSS không làm ảnh hưởng đến hệ thống website nằm trên server 15 Bảo mật web và email- Đề tài môn “Mạng máy tính” Mục tiêu tấn công của XSS không ai khác chính là những người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính bạn... bảo mật) ; I là Integrity (tính toàn vẹn); và A là Availability (tính sẵn sàng) Hình I 2 :Thống Kê Các Vụ Tấn Công Website II.2 Từ phía ngƣời tấn công 11 Bảo mật web và email- Đề tài môn “Mạng máy tính” Hình I 3 Phương thức tấn công II.2.1 Thu thập thông tin chung: Đây là việc đầu tiên cần phải làm, ta tìm kiếm các thông tin xung quanh Website -Chủ sở hữu trang Web, đội ngũ quản trị, điều hành -Địa chỉ... máy chủ Web, ngôn ngữ lập trình, hệ CSDL -Các cổng và dịch vụ tương ứng đang mở trên Server - Số lượt truy cập, băng thông hàng tháng của Website II.2.2 Khảo sát ứng dụng Web: bước tiếp theo là tập trung nghiên cứu Website -Website sử dụng ứng dụng Web nào? -Mã nguồn mở hay đóng? Phiên bản? -Nếu là mã nguồn mở thì download source code về để phân tích và kiểm tra, tìm đọc các thông tin về bug và exploit . 09/2009 Bảo mật web và email- Đề tài môn “Mạng máy tính” 2 MỤC LỤC CHƢƠNG I: BẢO MẬT WEB 3 I. TÌM HIỂU VỀ ỨNG DỤNG WEB 3 I.1 Web là gì? 3 I.2 Ứng dụng Web là gì? 4 I.3 Web Server:. điện tử. Web được phát minh và đưa vào sử dụng vào khoảng năm 1990, 1991 bởi viện sĩ Viện Hàn lâm Anh Tim Berners-Lee và Robert Cailliau (Bỉ) tại CERN, Geneva, Switzerland Bảo mật web và email- Đề. hành, ASP sẽ sản sinh ra một trang Web có khuôn dạng HTML và trả nó về cho Web server. - Soạn thào thêm nội dung vào website rất linh động Bảo mật web và email- Đề tài môn “Mạng máy tính”