HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÀI GIẢNG MÔN
AN TOÀN ỨNG DỤNG WEB & CSDL
Giảng viên: TS. Hoàng Xuân Dậu
Điện thoại/E-mail: dauhx@ptit.edu.vn
Bộ môn: An toàn thông tin - Khoa CNTT1
CHƯƠNG 2 – CÁC DẠNG TẤN CÔNG
LÊN ỨNG DỤNG WEB
BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & DB
Trang 2
CHƯƠNG 2 – CÁC DẠNG TẤN CÔNG LÊN ỨNG DỤNG WEB
NỘI DUNG CHƯƠNG 2
1. HTML Injection và Cross-Site
Scriting (XSS)
2. Cross-Site Request Forgery (CSRF)
3. Chèn mã SQL và xử lý dữ liệu
4. Tấn công vào các cơ chế xác thực
5. Tấn công lợi dụng các khiếm khuyết
thiết kế
6. Tấn công vào trình duyệt web và
sự riêng tư của người dùng
7. Một số case-studies
BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & DB
Trang 3
CHƯƠNG 2 – CÁC DẠNG TẤN CÔNG LÊN ỨNG DỤNG WEB
2.1 HTML Injection và Cross-Site Scriting (XSS)
1. Giới thiệu chèn mã HTML (HTML Injection)
2. Các loại XSS
3. Các biện pháp phòng chống
4. Một số tấn công XSS trên thực tế
5. Các kỹ thuật vượt qua các bộ lọc XSS
BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & DB
Trang 4
CHƯƠNG 2 – CÁC DẠNG TẤN CÔNG LÊN ỨNG DỤNG WEB
2.1.1 HTML Injection và XSS – Giới thiệu
❖Tấn công Cross-Site Scriting (XSS –Mã script liên site) là
dạng tấn công phổ biến nhất vào các ứng dụng web;
▪Xuất hiện từ khi trình duyệt bắt đầu hỗ trợ JavaScript (gọi là LiveScript
– trên trình duyệt Netscape);
▪Mã độc XSS nhúng trong trang web chạy trong lòng trình duyệt với
quyền truy nhập của người dùng, có thể truy nhập các thông tin nhạy
cảm lưu trong trình duyệt;
▪Mã độc XSS miễn nhiễm khỏi các trình quét các phần mềm độc hại và
các công cụ bảo vệ hệ thống.
BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & DB
Trang 5
CHƯƠNG 2 – CÁC DẠNG TẤN CÔNG LÊN ỨNG DỤNG WEB
2.1.1 HTML Injection và XSS – Giới thiệu
❖XSS có thể được xem là một dạng của HTML Injection
(chèn mã HTML).
▪Thực tế, có thể thực hiện tấn công bằng chèn mã HTML mà không
cần mã JavaScript và không cần liên miền.
▪Lợi dụng điểm yếu an ninh, trong đó dữ liệu web (như tên và địa chỉ
email) và mã (cú pháp và các phần tử như <script>) của nó được trộn
lẫn theo các cách không mong muốn.
