Đang tải... (xem toàn văn)
Nghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng web
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC SƠN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN ỨNG DỤNG WEB LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2018 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC SƠN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN ỨNG DỤNG WEB CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS LÊ HỮU LẬP HÀ NỘI - 2018 i LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình Tác giả luận văn Nguyễn Đức Sơn ii LỜI CÁM ƠN Lời em muốn gửi lời biết ơn chân thành tới PGS.TS Lê Hữu Lập, người tận tâm dẫn, định hướng cho em suốt trình học tập làm luận văn Trong suốt thời gian thực luận văn thầy tận tình bảo, tạo điều kiện cho em thời gian giúp đỡ quý báu kiến thức tài liệu tham khảo để em hồn thành đề cương, luận văn tốt nghiệp cách tốt Em muốn gửi lời biết ơn chân thành tới tồn thể thầy trường - người có kiến thức uyên bác, tâm huyết với học viên, gương sáng nghị lực, lòng say mê khoa học Xin gửi lời cám ơn gia đình, đồng nghiệp người bạn tốt tập thể lớp cao học M16CQIS01-B, người bạn đồng hành, giúp đỡ trình học tập thực luận văn Cuối em xin kính chúc thầy tồn thể học viên, sinh viên trường Học viện Công nghệ Bưu Chính Viễn Thơng sức khỏe dồi dào, sớm đạt thành công đường nghiệp Chúc Nhà trường phát triển bền vững, xứng đáng cờ đầu ngành, sớm vươn xa xứng tầm quốc tế Xin trân trọng cám ơn! Tác giả Nguyễn Đức Sơn iii MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN ii MỤC LỤC iii DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT v DANH SÁCH BẢNG, BIỂU vi DANH SÁCH HÌNH VẼ vii MỞ ĐẦU Chương 1: TỔNG QUAN AN TOÀN ỨNG DỤNG WEB 1.1 Thực trạng an toàn ứng dụng web 1.2 Các kỹ thuật công ứng dụng web 1.2.1 Tấn công từ chối dịch vụ 1.2.2 Tấn công SQL Inejection 1.2.3 Tấn công SSL 13 1.2.4 Tấn công XSS 14 1.2.5 Một số loại công khác 17 1.3 Ảnh hưởng công 18 1.3.1 Trên giới 18 1.3.2 Tại Việt Nam 21 1.4 Kết chương 23 Chương 2: NGHIÊN CỨU GIẢI PHÁP PHÒNG CHỐNG TẤN CƠNG WEB 24 2.1 Phòng chống cơng từ chối dịch vụ 24 2.1.1 Phòng chống cơng từ chối dịch vụ tổng quát 24 2.1.2 Biện pháp phòng chống cơng DDoS 25 2.2.1 Các biện pháp phòng chống mức lập trình 29 2.2.2 Các biện pháp phòng chống mức tảng 30 2.3 Phòng chống công SSL 32 2.3.1 Sử dụng kết nối an toàn HTTPS 32 2.3.2 Sử dụng tài khoản trực tuyến an toàn 33 2.3.3 Bảo mật thiết bị mạng 34 iv 2.3.4 Sử dụng chứng số tin cậy 34 2.4 Phòng chống cơng XSS 35 2.4.1 Lọc 36 2.4.2 Mã hóa đầu vào 37 2.4.3 Mã hóa đầu 37 2.4.4 Bảo mật trình duyệt 38 2.4.5 Sử dụng máy ảo 39 2.4.6 Bảo vệ Web Mail 39 2.4.7 Cẩn thận với độ dài chuỗi URL 40 2.5 Phân tích, đánh giá giải pháp phòng chống công web 40 Chương 3: ĐỀ XUẤT GIẢI PHÁP AN TOÀN AN NINH MẠNG CỦA TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI 43 3.1 Hệ thống web Trường Đại học Công nghệ Giao thông vận tải 43 3.2 Đề xuất giải pháp nâng cao độ an toàn an ninh cho trang web trường Đại học Công nghệ Giao thông vận tải 45 3.2.1 Đề xuất giải pháp chung 46 3.2.1 Đề xuất số giải pháp cụ thể 47 KẾT LUẬN 54 v DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT Từ viết tắt Tiếng anh Tiếng việt CA Certificate Authority Đơn vị chứng thực DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ DRDoS Distributed Reflection Denial of Service Tấn công từ chối dịch vụ phản xạ HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn HTTPS Hypertext Transfer Protocol Secure Giao thức truyền tải siêu văn bảo mật ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp internet IDS Intrucsion Detection System Hệ thống phát xâm nhập IP Internet Protocol Giao thức internet SGC Server Gated Cryptography Mã hóa máy chủ SIP Session Initiation Protocol Giao thức khởi tạo phiên SSL Secure Sockets Layer Tiêu chuẩn bảo mật TLS Transport Layer Security Bảo mật tầng giao vận UDP User Datagram Protocol Giao thức truyền tải người dùng URL Uniform Resource Locator Định vị tài nguyên thống XSS Cross Site Scripting Tấn công chèn mã vào website vi DANH SÁCH BẢNG, BIỂU Bảng 2.1: Các phương pháp mã hóa đầu chống XSS 38 vii DANH SÁCH HÌNH VẼ Hình 1.1 Top 10 cơng ứng dụng web quý 2017 Hình 1.2 Thuộc tính bảo ứng dụng web Hình 1.3 Tấn cơng SYN Flood Hình 1.4 Tấn cơng Reflected Attack Hình 1.5 Cơ chế công SQL Injection 10 Hình 1.6 Cơng cụ công SQL Injection thực thành công 13 Hình 1.7 Mơ hình cơng SSL 13 Hình 1.8 Cơ chế thực công XSS 15 Hình 2.1 Sử dụng phần mềm xác định mạng ảo hóa chức mạng 28 Hình 2.2 Sử dụng IDS đề phòng chống cơng DDoS 29 Hình 2.3 Sử dụng tưởng lửa để chống lại SQL Inejection 31 Hình 2.4 Kết nối an tồn kết nối khơng an tồn 32 Hình 2.5 Tùy chọn lưu thơng tin tài khoản trình duyệt 34 Hình 2.6 Chứng thực SSL 35 Hình 2.7 Sử dụng mã hóa PGP với E-mail 40 Hình 3.1 Cổng thơng tin điện tử utt.edu.vn 43 Hình 3.2 Chức tra cứu trình đăng ký học 44 Hình 3.3 Hệ thống thi trắc nghiệm 45 Hình 3.4 Cơng cụ Acunetix thống kê số lượng lỗ hổng 46 Hình 3.5 Cơng cụ NMap phát cổng mở 48 Hình 3.6 Cơng cụ NMap hệ thống chưa có tường lửa 48 Hình 3.7 Sử dụng Wireshark để giám sát gói tin 49 Hình 3.8 Các tính hữu ích, miễn phí Project Shield 49 Hình 3.9 Máy chủ qldt.utt.edu.vn không tường lửa bảo vệ 50 Hình 3.10 Thiết lập địa MAC tĩnh 51 Hình 3.11 Cơng cụ Cain bắt thơng tin nhạy cảm gửi tới máy chủ 51 Hình 3.12 Chức đăng ký học chưa kiểm soát chặt chẽ 52 MỞ ĐẦU Việc thiếu quan tâm đầu tư mức đến đảm an toàn hệ thống liệu phận chuyên trách dẫn đến vụ công vào website phổ biến Điều đồng nghĩa với việc liệu có nguy bị đánh cắp, hệ thống bị ngưng trệ bị khai thác trái phép lớn an ninh hệ thống không đảm bảo Vì cần phải tăng cường khả phòng, chống nguy cơng vào ứng dụng web biện pháp ngăn chặn, khắc phục kịp thời cố Việc sâu tìm hiểu dạng công vào website giúp cho hiểu lổ hổng cơng tác quản lý website, qua đưa giải pháp giúp nhà quản lý có biện pháp khắc phục, ngăn chặn thâm nhập từ bên ngồi, vai trò quan trọng việc triển khai ứng dụng cơng nghệ an tồn bảo mật Chính vây, học viên chọn đề tài “Nghiên cứu giải pháp đảm bảo an toàn ứng dụng web” làm đề tài luận văn Ngồi phần Mở đầu Kết luận, cấu trúc luận văn gồm chương với mô tả sơ lược nội dung chương sau: Chương - Tổng quan an toàn ứng dụng web: Chương luận văn nêu tổng quan thực trạng lỗ hổng an ninh web, kỹ thuật công, ảnh hưởng bị cơng Chương - Nghiên cứu giải pháp phòng chống công web: Chương luận văn tập trung nghiên cứu cách phòng chống số dạng cơng phổ biến Chương - Đề xuất giải pháp an tồn an ninh mạng trường Đại học Cơng nghệ Giao thông vận tải: Chương khảo sát, đánh giá, đề xuất giải pháp nâng cao độ an toàn an ninh mạng trường Đại học Công nghệ Giao thông vận tải 42 cứng phần mềm Cần có kiểm tra, giám sát thường xuyên có tư vấn chuyên gia Việc lựa chọn phương pháp cho phù hợp, vừa đảm bảo hiệu vừa giảm thiểu chi phí khơng phải vấn đề đơn giản Người quản trị cần xem xét phối hợp giải pháp phòng chống cơng mạng để tối ưu hóa hiệu quả, tránh triển khai giải pháp không cần thiết xung đột lẫn Bên cạnh cần có hướng dẫn, khuyến cáo đến người sử dụng để tránh rủi ro 43 Chương 3: ĐỀ XUẤT GIẢI PHÁP AN TOÀN AN NINH MẠNG CỦA TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI 3.1 Hệ thống web Trường Đại học Công nghệ Giao thông vận tải Là đơn vị giáo dục, hoạt động trường hỗ trợ số website: - Cổng thông tin điện tử utt.edu.vn: cổng thơng tin điện tử thức Trường Đại học Công nghệ Giao thông vận tải Chức hệ thống đăng tải thơng tin, thông báo, quy chế, mẫu biểu liên quan đến hoạt động Nhà trường Ngoài hệ thống hỗ trợ tra cứu tài liệu, tra cứu thông tin giảng viên, tra cứu điểm thi tuyển sinh Đa số chức hệ thống sử dụng mà khơng cần đăng nhập, chị số thông tin nội yêu cầu đăng nhập để tra cứu Hình 3.1 Cổng thơng tin điện tử utt.edu.vn 44 Mỗi đơn vị trường có site tự chịu trách nhiểm quản lý site đơn vị mình, đăng tải nội dung site mà khơng cần phê duyệt người quản trị hệ thống chung Đây sản phẩm Nhà trường tự xây dựng, phát triển chưa trọng nhiều cho việc phòng chống công mạng - Cổng thông tin đào tạo qldt.utt.edu.vn: cổng thông tin thông báo hoạt động liên quan đến người học (đăng ký học, tra cứu điểm, thời khóa biểu, lịch thi, học phí…) Đây hệ thống có lượt truy cập cao, thường xuyên cập nhật thơng tin, có cấu trúc phức tạp Hình 3.2 Chức tra cứu trình đăng ký học Hệ thống sản phẩm tập đoàn CMC cung cấp cho trường Đây sản phẩm đóng gói nên quản trị viên Nhà trường can thiệp vào cấu trúc hay sửa đổi chức Nếu xuất lỗi phải liên hệ với nhà sản xuất để khắc phục, việc nhiều thời gian ảnh hưởng đến hiệu suất hệ thống Việc áp dụng biện pháp phòng chống cơng mạng cho hệ thống nghèo nàn, dừng lại mức sử dụng chương trình diệt virus với vài tính lọc Hơn việc vận hành quy trình hoạt động chưa thực hợp lý, dễ dẫn đến rủi ro cho người dùng 45 - Hệ thống thi trắc nghiệm utt.test.vn: hệ thống phục vụ cho trình kiểm tra kỳ, thi kết thúc học phần Hình 3.3 Hệ thống thi trắc nghiệm Hệ thống Nhà trường tự xây dựng quản lý Các chức đơn giản, trình thử nghiệm Các hệ thống chức năng, cấu trúc, đặc thù khác Chính việc quản trị, đảm bảo an ninh an tồn cho hệ thống gặp khơng khó khăn Dưới lđề xuất số giải pháp nâng cao tính an tồn an ninh cho hệ thống 3.2 Đề xuất giải pháp nâng cao độ an toàn an ninh cho trang web trường Đại học Công nghệ Giao thông vận tải Hiện trạng: - Đội ngũ quản trị viên người chuyên trách, kinh nghiệm việc đảm bảo an toàn an ninh mạng - Hệ thống chưa bảo vệ bời ứng dụng, thiết bị chuyên dụng - Hạ tầng kỹ thuật chưa tối ưu, chưa đáp ứng nhu cầu sử dụng - Các hệ thống nhiều lổ hổng an ninh bị khai thác - Đối tượng khai thác đa phần chưa cảnh báo nguy an toàn an ninh - Số lượng lỗ hổng mức độ nghiêm trọng cao nhiều: 46 Hình 3.4 Cơng cụ Acunetix thống kê số lượng lỗ hổng 3.2.1 Đề xuất giải pháp chung - Sử dụng công cụ để phát lỗ hổng Nessus vulnerability scanner, xây dựng phương án khắc phục phù hợp Nếu xuất lỗ hổng lớn cần có tư vấn chuyên gia Công cụ phát triển kiểm nghiệm thời gian dài, đánh gía tốt, ổn định dễ sử dụng Chức cơng cụ bao gồm: • Qt lỗ hổng bảo mật đưa biện pháp khắc phục hệ thống có tảng Windows, Linux, Mac • Kiểm tra vá hệ điều hành Windows, Linux ứng dụng trình duyệt web, phần mềm, … • Đánh giá lỗ hổng loại thiết bị: Điện thoại chạy tảng Android, IOS, Windows Phone • Các thiết bị mạng khác: switch, router, access points, máy in,… • Hỗ trợ phân tích thiết bị ảo hóa • Cho phép cấu hình tự động qt theo lịch trình định • Phát phần mềm độc hại chạy hệ thống • Quét lỗ hổng ứng dụng web dựa OWASP • Audit file cấu hình thiết bị • Hỗ trợ Cloud: Audit cấu hình cloud public như: Amazon Web Services, Microsoft Azure and Rackspace 47 - Nâng cấp phiên phần mềm mà hệ thống sử dụng để cập nhật vá lỗi, tối ưu hóa ứng dụng: Windows Server Update Services 3.0 gói dịch vụ (thay cho Services 2.0 dùng), cập nhật chứng máy chủ Web VeriSign cho IIS: chứng trung gian VeriSign hết hạn dẫn đến kết nối không xác thực với trang web SSL (Chứng thẩm quyền xác thực International (Global) Server Intermediate VeriSign 128 bit hết hạn) - Sử dụng tường lửa web ModSecurity: Đây phần mềm nguồn mở hoạt động module máy chủ Apache thành phần độc lập ModSecurity sử dụng biểu thức quy việc bảo vệ máy chủ web từ công xác định trước dựa theo dấu hiệu cơng bất thường khác Bên cạnh đó, ModSecurity có khả lọc siêu ký tự người dùng chèn vào ứng dụng web, phù hợp với hệ thống web Nhà trường - Nâng cao lực quản trị viên, cập nhật thông tin để nắm bắt tình hình thực tiễn, đưa nhận định đắn, nâng cáo hiệu công việc - Hướng dẫn chi tiết, khuyến cáo người dùng phòng chống nguy an tồn thơng tin 3.2.1 Đề xuất số giải pháp cụ thể Đối với cổng thông tin điện tử utt.edu.vn Đóng số cổng dịch vụ khơng cần thiết (cổng 25 khơng dùng dịch vụ mail đóng lại), tránh trường hợp bị lợi dụng để tạo kết nối ngầm nhận gói tin khơng mong muốn (có thể bị cơng DDoS) Hiện có nhiều cổng mở (hình 3.5) 48 Hình 3.5 Cơng cụ Nmap phát cổng mở Sử dụng tường lửa WAF ModSecurity để nâng cao tính bảo mật, nâng cao khả phòng thủ trước cơng nguy an tồn thơng tin Hiện hệ thống không sử dụng tường lửa, điểm yếu bị khai thác lúc nào, chí bị khai thác mà khơng phát Hình 3.6 Cơng cụ NMap hệ thống chưa có tường lửa 49 Kinh phí cho việc quản trị, đảm bảo an tồn an ninh khơng nhiều, việc th chun gia sử dụng cơng nghệ khó khả thi Tuy nhiên áp dụng số phương pháp đơn giản mang lại hiệu việc phòng chống mối nguy hiểm Sử dụng cơng cụ miễn phí (cần lưu ý nguồn cung cấp tránh bị cài tệp tin không mong muốn) để kiểm tra, giám sát, phát hiện, hạn chế mối nguy hại: Nmap, Cain, Wireshark, SQLmap, Damn Vulnerable Web Application… Hình 3.7 Sử dụng Wireshark để giám sát gói tin Sử dụng dịch vụ Project Shield Google để tăng khả chống công từ chối dịch vụ Mặc dù khả bị công từ chối dịch vụ không cao, nhiên với việc sử dụng Project Shield mang lại khả phòng chống tăng hiệu suất ứng dụng Hình 3.8 Các tính hữu ích, miễn phí Project Shield 50 Các tính hữu ích: - Xem lại lưu lượng truy cập lọc yêu cầu xấu; - Chặn số công; - Reverse proxy trung tâm liệu Google; - Tái sử dụng nội dung cho người dùng Đối với cổng thông tin đào tạo qldt.utt.edu.vn Máy chủ phục vụ không sử dụng tưởng lửa chuyên dụng, điều nguy hiểm Cần cài đặt tưởng để giảm thiểu rủi ro Hình 3.9 Máy chủ qldt.utt.edu.vn khơng tường lửa bảo vệ Sử dụng giải pháp tương tự với cổng thông tin điện tử utt.edu.vn Tuy nhiên, đặc thù máy chủ đặt trường có sử dụng thiết bị mạng nội nên cần ý đến việc bị công từ mạng nội Giảm thiểu kết nối vật lý không cần thiết để hạn chế việc bắt gói tin qua thiết bị trung gian Gán địa MAC tĩnh để hạn chế bị bắt gói tin nhạy cảm (hình 3.9) 51 Hình 3.10 Thiết lập địa MAC tĩnh Thiếu biện pháp bảo vệ, phòng chống nên dễ dàng bắt thông tin nhạy cảm lợi dụng để gây hành động xấu Khi sử dụng Cain bắt thông tin tài khoản sinh viên (tên đăng nhập mật – hình 3.10) Nếu mật khơng đủ mạnh dễ dàng giải mã, tài khoản bị đánh cắp kẻ đánh cắp hoàn tồn thực ý đồ Hình 3.11 Công cụ Cain bắt thông tin nhạy cảm gửi tới máy chủ Ngoài ra, hệ thống nên có số thay đổi để người dùng kiểm tra, giám sát tài khoản trực tuyến tốt hơn: - Hiện thị thời gian đăng nhập lần gần nhất: có người khác đăng nhập dễ dàng phát hiện; 52 - Trong thời gian thực cho phép tài khoản login: online mà có người khác đăng nhập hệ thống thơng báo yêu cầu đăng nhập lại, chí tạm khóa tài khoản khoảng thời gian để yêu cầu xác mình; - Với thao tác đăng ký/hủy học phần đăng ký yêu cầu mã xác thực qua số điện thoại người dùng để đảm bảo chủ thực thao tác Hình 3.12 Chức đăng ký học chưa kiểm soát chặt chẽ Trong thời điểm có lưu lượng người truy cập lớn (trong thời gian đăng ký học) xảy trình trạng nghẽn mạng, khơng thể đăng nhập hay thực thao tác đăng ký Với số lượng người truy cập thời điểm lớn, đưa nhiều u cầu làm cạn kiệt tài ngun khơng khác cơng từ chối dịch vụ (mặc dù yêu cầu thực) Vì vậy, cần nâng cấp hạ tầng để nâng cao khả phục vụ: tăng tốc độ đường truyền, nâng cao cấu hình máy chủ, sử dụng biện pháp cân tải để đáp ứng tính liên tục dịch vụ Sử dụng thiết bị cân tải internet server Cisco RV042G Cisco để: • Làm tăng khả đáp ứng tránh tình trạng tải hệ thống máy chủ, hệ thống đường truyền internet đồng thời đảm bảo tính linh hoạt khả mở rộng hệ thống • Tăng khả dự phòng cho hệ thống: Nhờ trang bị tính đại, thiết bị cân tải giúp làm tăng tính High Availability ngăn chặn cố gây gián đoạn dịch vụ điểm cung cấp 53 • Tăng tính bảo mật: thiết bị cân tải tiếp nhận xử lí thơng tin gửi đến sau chuyển chúng tới hệ thống máy chủ • Ngăn chặn người dùng giao tiếp trực tiếp với máy chủ, nhằm ngăn chặn xâm nhập trái phép hacker để đánh cắp thông tin nội quan trọng Kết luận chương 3: Chương trình bày khảo sát số trang web trường Đại học Công nghệ Giao thơng vận tải Từ đề xuất số giải pháp phòng chống cơng, khai thác lỗ hổng để nâng cao độ an toàn an ninh cho website trường Do đặc thù hệ thống nên chưa thể thử nghiệm hết giải pháp đưa ra, mà đề xuất giải pháp từ tìm hiểu chương Các giải pháp đưa phù hợp tính chất website khảo sát có tính khả thi 54 KẾT LUẬN Kết đạt - Luận văn trình bày khái quát số dạng công phổ biến vào ứng dụng web Phân tích chế, mục đích, đối tượng công tác hại mà cơng gây Từ cho thấy mức độ quan trọng việc xây dựng giải pháp phòng chống cơng - Trình bày biện pháp phát hiện, ngăn chặn số phương thức công phổ biến: công từ chối dịch vụ, công SQL Inejection, công XSS, công SSL Đánh giá tính khả thi biện pháp ứng với loại ứng dụng web - Khảo sát, đánh giá mức độ an tồn website trường Đại học Cơng nghệ Giao thơng vận tải, từ dề xuất số giải pháp nhằm nâng cao độ an toàn an ninh mạng Giải pháp đưa có tính khả thi, phù hợp với đặc thù website, có kết tốt thi thực nghiệm Hướng phát triển Đề tài luận văn phát triển theo hướng: - Tiếp tục tìm hiểu, cập nhật dạng cơng các, đưa giải pháp hữu dụng với dạng cơng Việc có ý nghĩa quan trọng việc phòng chống cơng - Nghiên cứu kết hợp giải pháp cho ứng dụng web khác ngồi trường Đại học cơng nghệ Giao thơng vận tải cho doanh nghiệp vừa nhỏ, quan hành - Xây dựng phương pháp đánh giá toàn diện, chuyên sâu khắc phục lỗ hổng ứng dụng web, nâng cao khả phòng thủ giúp ứng dụng web hoạt động tốt DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Hồng Xn Dậu, Bài giảng mơn học An tồn thơng tin nâng cao, 2016 [2] Hồng Xn Dậu, Phân loại công DDoS biện pháp phòng chống , Hội thảo KH&CN ATTT, 2014 Tiếng Anh [3] Adam Kieyzun, Philip J Guo, Karthick Jayaraman, Michael D Ernst, Automatic creation of SQL Injection and cross-site scripting attacks, ICSE 2009 IEEE 31st, 2009 [4] Andre AdelsbachSebastian GajekJörg Schwenk, Visual Spoofing of SSL Protected Web Sites and Effective Countermeasures, Information Security Practice and Experience, 2005 [5] A study on SQL Injection Attack and its Prevention Measures at Database Management Level, “http://ijmcs.info/current_issue/IJMCS160646.pdf”, 2012 [6] A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials, 2013 [7] J Mirkovic, P Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communication, 2004 [8] Mitigation of CSRF Attack, “http://www.ijsr.net/archive/v3i6/MDIwMTMxODQ2.pdf”, 2010 [9] S Sethi, V Singhal, A Peek into Web Applications Security, ICTS2016-SS27-07, Udaipur, 2016 [10] Web applications security statistics report 2016, “https://info.whitehatsec.com/rs/675-YBI-674/images/WH-2016-Stats-ReportFINAL.pdf”, 2016 [11] V Nithya, R Regan and J Vijayaraghavan, A Survey on SQL Injection attacks, their Detection and Prevention Techniques, International Journal Of Engineering And Computer Science, ISSN:2319-7242, Volume 2, Issue 4, April 2013 Các trang web [12] http://antoanthongtin.vn, 2017 [13] https://www.linkedin.com/pulse/nh%E1%BB%AFng-th%C3%A1chth%E1%BB%A9c-b%E1%BA%A3o-m%E1%BA%ADt-khi-tri%E1%BB%83nkhai-%E1%BB%A9ng-d%E1%BB%A5ng-webdi-phan-nam, 2017 [14] https://securityforall.wordpress.com/, 2017 [15] https://whitehat.vn/forums/web-security.24/, 2017 ... Nghiên cứu giải pháp đảm bảo an toàn ứng dụng web làm đề tài luận văn Ngồi phần Mở đầu Kết luận, cấu trúc luận văn gồm chương với mô tả sơ lược nội dung chương sau: Chương - Tổng quan an toàn. .. - NGUYỄN ĐỨC SƠN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN ỨNG DỤNG WEB CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN... toàn ứng dụng web: Chương luận văn nêu tổng quan thực trạng lỗ hổng an ninh web, kỹ thuật công, ảnh hưởng bị công Chương - Nghiên cứu giải pháp phòng chống cơng web: Chương luận văn tập trung nghiên