intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Giáo trình Tin Học:

Chia sẻ: Abcdef_12 Abcdef_12 | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST
Báo xấu
78
lượt xem 5
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

B om t ng d ng web Bài vi t du i đây s trình bày nh ng nguy cơ và cách phòng tránh đ i v i nh ng cu c t n công vào ng d ng web. D li u vào không h p l Theo OWASP Guide, d li u vào không h p l là m t như c đi m ph bi n đư c tìm th y đa s trong các ng d ng web. D li u vào h ng d n đ n đa s nh ng s t n thương khác trong môi trư ng...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giáo trình Tin Học:

  1. http://www.timsach.com.vn http://booksearch.vn
  2. www.nhipsongcongnghe.net B om t ng d ng web Bài vi t du i đây s trình bày nh ng nguy cơ và cách phòng tránh đ i v i nh ng cu c t n công vào ng d ng web. D li u vào không h p l Theo OWASP Guide, d li u vào không h p l là m t như c đi m ph bi n đư c tìm th y đa s trong các ng d ng web. D li u vào h ng d n đ n đa s nh ng s t n thương khác trong môi trư ng này. (http://www.owasp.org/index.php/Data_Validation). Trư c khi chúng ta xem làm th nào đ ngăn ng a như c đi m lan r ng trong toàn b website c a b n (soltution ??). Chúng ta s kh o sát kh năng nguy hi m ti m tàng gây ra cho công vi c c a b n, khi d li u vào h ng cho phép hi u đư c thành ph n x lý c a b n Hình 1 là m t s miêu t h p lý c a b n đư ng d li u vào đư c ti p nh n b i m t ng d ng 1/4
  3. www.nhipsongcongnghe.net Làm th nào m t ng d ng truy xu t, x lý và hi n th d li u vào t m t trong s nh ng tác đ ng tr c ti p. Ví d : k t n công có th them vào, xoá đi, ho c tinh ch nh nh ng tham s URL trong chu i truy v n. Nh ng trư ng bi u m u n có th b thay đ i và đư c xem xét l i. Thông tin c s d li u, đ c bi t là nh ng trư ng đư c ghi b i nh ng ng d ng khác, có th là s c ý ho c do m t s hư h ng tình c . Kh năng t n thương ti m tàng đây có nhi u tác đ ng ph nh n h p lý, n u d li u đưa vào ch a đ ng s đ nh d ng không thích h p hay n i dung không h p l /tinh vi n m b t tình tr nh nguy k ch c a ng d ng web. Quan sát m t vài trư ng h p sau : ***Hi n th n i dung HTML sai K t qu s hi n th tác đ ng không đ y đ s là m t s miêu t không hoàn ch nh website c a b n. Nói cách khác, nhìn vào ph n cu i c a hình minh ho , d li u vào h ng có th làm cho các l i c a website b n b phơi bày ra. Hơn n a, nh ng ngư i t n công có th khai thác l i đ u ra c a ng d ng đ c n cù thu th p m t vài ý tư ng, m c dù ngư i phát tri n đã th n tr ng trong cách code c a mình. N u k t n công đã d dàng có đư c nh ng thông tin, thì cam đoan r ng đó s là đi u d dàng cho vi c b khoá nh ng thành ph n ng d ng khác ***B qua s xác nh n t phía ngư i dùng Ki m tra tính đúng đ n thì không th t s h p lý, nó không quá khó cho ngư i t n công vô hi u hoá m t đo n mã th c thi trên máy tr m, nh p 2/4
  4. www.nhipsongcongnghe.net vào form input m t giá tr sai và sau đó ch p nh n bi u m u (submit the form ). N u nó ki m tra t phía server không đúng, server hu b yêu c u và ngưng thi hành c a nh ng dòng l nh không h p l , đó cũng là hai k t qu h p lý ***H th ng thông qua mã ngu n Nh ng lĩnh v c đ m c không đư c thông qua có th ch a mã ngu n HTML -- gi ng như and--th c hi n mã b t ng . ***S phát sinh c a vi c thông báo l i B ng s b t bu c thông báo l i các mã ngu n nào đó, k t n công có th ch a trình ng d ng, h đi u hành và k t n i t m thông tin v h th ng c a b n. Thông tin này thư ng đư c dùng giai đo n đ u c a s t n công- foot printing ----http://en.wikipedia.org/wiki/Footprinting ***Tràn b nh trung gian Nh ng k t n công có th s d ng làm tràn b nh trung gian đ phá hu 1 h th ng ho c th c hi n mã hi m đ c -- http://en.wikipedia.org/wiki/Buffer_overflow ***Truy c p trái phép Truy c p t p tin có th b thu đư c b i s v n d ng các đư ng d n. Ví d như, ti p theo 1 đư ng d n là t i 1 t p tin mà ngư i s d ng cho phép truy c p: Code: Customer List B ng s v n d ng gi i h n paper_id, k t n công có th l y thông tin ti m năng th n tr ng t i ch mà h n không đư c cho phép truy c p chính th c. ***SQL Injection Lo i t n công này làm cho cơ s d li u c a công ty không đư c phép s a đ i, b đi, ho c b sung thêm d li u. i u đó gây ra b i k t n công bao g m mã SQL trong d li u vào đ n trư ng bi u m u ho c b i v n d ng nh ng chu i câu h i 1 cách tr c ti p. 1 ví d có th tìm th y ti http://en.wikipedia.org/wiki/Sql_injection S phê chu n như 1 hàng rào phòng th ây là b ng kê tính ch t có th b làm hư h ng, nhưng nó không hoàn thành. Nh ng tính ch t này ch b gi i h n b i khuy t đi m đ c nh t c a h th ng c a b n và tính sáng t o c a k t n công 1/ Thông qua m i v n đ , ki m tra theo yêu c u c a b n và lo i b t t c. 2/ Th c hi n m i v n đ trên ngu n m . ây là lý do làm cho khách hàng nhanh chóng nh n đư c nh ng d li u không chính xác. 3/ Làm thay đ i ngu n d li u t xác th c tr nên không chính xác. V i các t khoá khác, ki m tra l i và đưa ra d li u không đúng ho c không th c hi n. 3/4
  5. www.nhipsongcongnghe.net -- đây có nhi u s thay đ i đ ki m tra. Các vi c ki m tra s th c thi c a b l c bao g m : a.Ki u d li u (string,integer,etc.) b.Tham s yêu c u c.Chu i cho phép d.Chu i nh p vào có phù h p v i s gi i h n chi u dài t i đa và t i thi u hay không ? e.NULL(ký t r ng ) có đư c cho phép không ? f.N u là ki u s , thì đi u ki n đ nh p vào có gi i h n trong ph m vi nào không? g.S sao l i d li u nh p vào có đư c ch p nh n không? N u đư c ch p nh n thì nó th c thi đư c không? h.Chu n yêu c u đư c nh p vào (khi dùng đ so sánh m t bi u th c thông thư ng ) i.N u so sánh t danh sách, thì tham s có bao g m m t giá tr h p lý không? 4.C n xem xét l i đo n mã th c thi bên trong hay “buddy checks”. L p trình viên c a b n c n ki m tra t ng cú pháp trong tuy n phòng th đ u tiên. 5.Ch c ch n r ng ch t lư ng c a ti n trình x lý đư c b o đ m bao g m c vi c ki m tra, không nh ng ch nh ng giá tr h p l mà còn c nh ng giá tr không h p l . S thông qua m t vài tri n khai cung c p nh ng đi u ki n t v n hành VD: nh ng d li u đã đư c xác nh n, đ ng ý trong ASP.NET +Yêu c u trư ng ch báo –giá tr r ng. +So sánh s đúng đ n –So sánh giá tr nh p vào. +Ph m vi h p l -so sánh yêu c u nh p vào v i s ràng bu c ph m vi +Xác nh n bi u th c thông thư ng –cho phép ngư i dùng nh p bi u th c thông thư ng. +Thói quen thông thư ng –cho phép kh i t o nh ng s l a ch n thông thư ng. Theo HVA Online 4/4
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2