intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:67

44
lượt xem
7
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bố cục của luận văn chia làm ba phần: Chương 1 - Tổng quan về an toàn dịch vụ và dữ liệu web và lỗi bảo mật thông dụng; Chương 2 - Các loại tấn công web phổ biến; Chương 3 - Một số giải pháp phòng chống tấn công dữ liệu website thương mại điện tử. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử

  1. ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHATTHANAM PHOUCHANTHVONG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DỮ LIỆU ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên – 2020
  2. ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG KHATTHANAM PHOUCHANTHAVONG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DỮ LIỆU ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ Chuyên ngành: Khoa học máy tính Mã số chuyên ngành: 8480101 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Hướng dẫn khoa học: TS. Nguyễn Đức Bình Thái Nguyên – 2020
  3. I LỜI CẢM ƠN Trước hết tôi xin gửi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học TS. Nguyễn Đức Bình về những chỉ dẫn khoa học, định hướng nghiên cứu và tận tịnh hướng dẫn tôi trong suốt quá trình làm luận văn. Tôi xin cảm ơn các thầy trong khoa Công nghệ thông tin, các thầy cô giáo trong trường Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên đã cung cấp cho tôi những kiến thức vô cùng quý báu và cần thiết trong suốt thời gian học tập tại trường để tôi có thể thực hiện và hoàn thành tốt luận văn này. Tôi xin bày tỏ lòng biết ơn sâu sắc nhất tới Chính phủ Lào và Chính phủ Việt Nam, Bộ Giáo dục và Thể thao Lào, Bộ Giáo dục và Đào tạo Việt Nam đã tạo điều kiện cấp suất học bổng cao học này cho tôi. Xin trân trọng cảm ơn sâu sắc nhất tới Ban Lãnh đạo Bộ giáo dục và thể thao Lào đã tạo điều kiện và luôn ủng hộ tôi. Với thời gian nghiên cứu còn hạn chế, ngôn ngữ còn khiêm tốn, luận văn không tránh khỏi những thiếu sót, tôi rất mong nhận được các ý kiến đóng góp chân thành từ các thầy cô giáo, đồng nghiệp và bạn bè. Cuối cùng, tôi xin cảm ơn gia đình và bạn bè, những người đã luôn ủng hộ và động viên tôi, giúp tôi yên tâm và có tâm lý thuận lợi nhất để tôi nghiên cứu luận văn này. Tuy nhiên do giới hạn về mặt thời gian và kiến thức nên luận văn chắc chắn sẽ không tránh khỏi những sai sót ngoài ý muốn. Tôi rất mong nhận được sự thông cảm và đóng góp ý kiến của các thầy cô giáo, đồng nghiệp và bạn bè. Thái Nguyên, tháng 11 năm 2020 HỌC VIÊN Khatthnam PHOUCHANTHAVONG
  4. II LỜI CAM ĐOAN Tôi xin cam đoan toàn bộ nội dung văn bản này là do tôi tự sưu tầm, tra cứu và sắp xếp cho phù hợp với nội dung yêu cầu của đề tài. Nội dung luận văn này chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào và cũng không sao chép từ bất kỳ một công trình nghiên cứu nào. Tất cả phần mã nguồn của chương trình đều do tôi tự thiết kế và xây dựng, trong đó có sử dựng một số thư viện chuẩn và các thuật toán được các tác giả xuất bản công khai và miễn phí trên mạng Internet. Thái Nguyên, tháng 11 năm 2020 Tác giả luận văn Khatthanam PHOUCHANTHAVONG
  5. III MỤC LỤC LỜI CẢM ƠN ............................................................................................................. I LỜI CAM ĐOAN ...................................................................................................... II MỤC LỤC .................................................................................................................III DANH SÁNH HÌNH VẼ ......................................................................................... VI DANH SÁCH TỪ VIẾT TẮT ................................................................................ VII MỞ ĐẦU ....................................................................................................................1 CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI BẢO MẬT THÔNG DỤNG .......................................................................................3 1.1 Khái niệm chung về thương mại điện tử ..............................................................3 1.1.1 Sự ra đời và phát triển của Internet.................................................................3 1.1.2 Khái niệm thương mại điện tử ........................................................................4 1.1.3 Hệ thống các hoạt động cơ bản trong thương mại điện tử .............................5 1.2 Tổng quan về ứng dụng Website ..........................................................................6 1.2.1 Khái niệm ứng dụng Website .........................................................................6 1.2.2 Cách thức hoạt động .......................................................................................7 1.2.3 Các dịch vụ và ứng dụng trên nền Website ....................................................8 1.3 Tổng quan về an ninh mạng ..................................................................................9 1.3.1 Khái niệm về an toàn và an ninh mạng ..........................................................9 1.3.2 Sự cần thiết phải bảo vệ thông tin ..................................................................9 1.4 Các thuật ngữ liên quan ......................................................................................10 1.4.1 Hacker ...........................................................................................................10 1.4.2 HTTP Header ...............................................................................................10 1.4.3 Session ..........................................................................................................12 1.4.4 Cookie ...........................................................................................................13 1.4.5 Proxy .............................................................................................................15
  6. IV CHƯƠNG 2 CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN ........................................16 2.1 Đặc trưng của các Website thương mại điện tử ..................................................16 2.2 Tổng quan về Local Attack .................................................................................17 2.2.1 Giới thiệu về Local Attack............................................................................17 2.2.2 Phương thức tấn công Local Attack .............................................................17 2.3 Tấn công từ chối dịch vụ (denial of service) ......................................................19 2.3.1 DOS (Denial of Service) ...............................................................................19 2.3.2 DDoS (Distributed Denial of Service) ..........................................................20 2.4 Tấn công SQL Injection ......................................................................................24 2.4.1 SQL Injection là gì? ......................................................................................24 2.4.2 SQL Injection và vấn đề an ninh cơ sở dữ liệu.............................................24 2.5 Các phương pháp tấn công SQL Injection phổ biến ...........................................27 2.5.1 Tấn công khai thác dữ liệu thông qua toán tử UNION.................................28 2.5.2 Tìm số cột và kiểu dữ liệu của cột ................................................................28 2.5.3 Tìm cột có khả năng “chứa” thông tin khai thác được .................................28 2.5.4 Khai thác thông qua các câu lệnh điều kiện .................................................30 2.5.5 Blind SQL Injection – phương thức tấn công nâng cao ...............................31 2.5.6 Vấn đề qua mặt các bộ lọc tham số đầu vào .................................................31 2.5.7 Sử dụng các byte NULL ...............................................................................32 2.6 Tấn công Cross Site Scripting (XSS) ..................................................................32 2.6.1 Hoạt động của XSS .......................................................................................33 2.6.2 Phương pháp tấn công ..................................................................................34 CHƯƠNG 3 MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DỮ LIỆU WEBSITE THƯƠNG MẠI ĐIỆN TỬ .....................................................................35 3.1 Mô hình đề xuất ..................................................................................................35 3.2 Các giải pháp đề xuất cụ thể ...............................................................................36 3.2.1 Giải pháp phòng chống Local Attack ...........................................................36
  7. V 3.2.2 Giải pháp phòng chống tấn công SQL Injection ..........................................38 3.2.3 Xây dựng truy vấn theo mô hình tham số hóa ..............................................40 3.2.4 Chuẩn hóa dữ liệu .........................................................................................44 3.2.5 Giải pháp về bảo mật dữ liệu với mã hóa AES. ...........................................44 3.3 Demo ứng dựng Website thương mại điện tử ứng dụng các giải pháp phòng chống tấn công dữ liệu .........................................................................................................48 3.3.1 Xây dựng website thương mại điện tử khóa học .........................................48 3.3.2 Mã hoá dữ liệu bên trong hệ quản trị cơ sở dữ liệu ......................................50 3.3.3 Một số giao diện chức năng Admin .............................................................52 3.4 Đánh giá kết quả..................................................................................................55 KẾT LUẬN VÀ ĐỀ NGHỊ .......................................................................................56 TÀI LIỆU THAM KHẢO .........................................................................................57
  8. VI DANH SÁNH HÌNH VẼ Hình 1. 1: Mô hình ứng dụng thương mại điện tử trong các giai đoạn của chuỗi giá trị ... 5 Hình 1. 2: Kiến trúc một ứng dụng Website ...............................................................6 Hình 1. 3: Mô hình hoạt động của ứng dụng Website. ...............................................7 Hình 2. 1: Sơ đồ chính phân loại mô hình tấn công DDoS.......................................21 Hình 2. 2: Kiến trúc attack-network kiểu Agent – Handler ......................................22 Hình 2. 3: Kiến trúc attack-network của kiểu IRC-Base ..........................................23 Hình 2. 4: Thống kê 10 điểm yếu phổ biến nhất (2008) ...........................................25 Hình 2. 5: Thống kê 10 điểm yếu phổ biến nhất (2009) ...........................................25 Hình 2. 6: Thống kê thời gian trung bình khắc phục điểm yếu (2008) .....................26 Hình 2. 7: Thống kê thời gian trung bình khắc phục điểm yếu (2009) .....................26 Hình 2. 8: Thống kê các điểm yếu thường được khai thác nhất 2019 ......................27 Hình 2. 9: Tìm cột mang dữ liệu ...............................................................................29 Hình 2. 10: Khai thác thông tin username ................................................................29 Hình 3. 1: Mô hình đề xuất .......................................................................................35 Hình 3. 2: Hàm prepare trong MySQL .....................................................................41 Hình 3. 3: Trang chủ website thương mại điện tử khóa học .....................................48 Hình 3. 4: Một số sản phẩm của website thương mại điện tử khóa học ...................49 Hình 3. 5: Một số sản phẩm của website thương mại điện tử khóa học ...................50 Hình 3. 6: Bảng điểm (point) sau khi mã hõa dữ liệu với AES ................................50 Hình 3. 7: Giao diện sau khi đăng nhập ....................................................................53 Hình 3. 8: Giao diện thêm mới khóa học ..................................................................53 Hình 3. 9: Giao diện Danh sách các khóa học ..........................................................54 Hình 3. 10: Giao diện Danh sách các lớp học ...........................................................54
  9. VII DANH SÁCH TỪ VIẾT TẮT TT Chữ viết tắt Ý nghĩa 1 TMĐT Thương mại điện tử 2 HTML Hyper text markup language 3 JSP JavaServer Pages 4 ASP Active Server Pages 5 DBMS Database Managerment System 6 ODBC Database Connectivity 7 DOS Denial of Service 8 DDoS Distributed Denial of Service 9 IRC Internet Relay Chat 10 IPS Intrusion Prevention System 11 XSS Cross-Site Scripting
  10. 1 MỞ ĐẦU Thương mại điện tử (TMĐT) là việc tiến hành một phần hay toàn bộ hoạt động thương mại bằng những phương tiện điện tử qua môi trường Internet giúp các hoạt động thương mại được thực hiện nhanh hơn, hiệu quả hơn, giúp tiết kiệm chi phí và mở rộng không gian kinh doanh. Với vai trò và ảnh hưởng rộng lớn, đặc biệt liên quan đến tài chính trong nhiều lĩnh vực hoạt động kinh tế, các website TMĐT với đặc điểm chứa nhiều thông tin giá trị, đặc biệt là về mặt tài chính. Điều này dẫn tới các website TMĐT là mục tiêu tấn công bất hợp pháp nhằm khai thác dữ liệu có giá trị. Công nghệ thông tin và Thương mại điện tử đã xâm nhập vào mọi góc cạnh của đời sống xã hội nói chung và của doanh nghiệp nói riêng. Đối với doanh nghiệp, Thương mại điện tử góp phần hình thành những mô hình kinh doanh mới, giảm chi phí, nâng cao hiệu quả kinh doanh. Đối với người tiêu dùng, Thương mại điện tử giúp mua sắm thuận tiện hàng hóa và dịch vụ trên các thị trường ở mọi nơi trên thế giới. Để doanh nghiệp luôn phát triển trong môi trường công nghệ có tốc độ phát triển như hiện nay thì doanh nghiệp phải nắm rõ được các thông tin cơ bản để có thể vận hành thương mại điện tử vào trong tổ chức của mình. Thế giới ngày nay đã có nhiều tiến bộ mạnh mẽ về công nghệ thông tin (CNTT) từ một tiềm năng thông tin đã trở thành một tài nguyên thực sự, trở thành sản phẩm hàng hoá trong xã hội tạo ra một sự thay đổi to lớn trong lực lượng sản xuất, cơ sở hạ tầng, cấu trúc kinh tế, tính chất lao động và cả cách thức quản lý trong các lĩnh vực của xã hội. Trong những năm gần đây, các ứng dụng của công nghệ thông tin ngày càng phát triển. Đặc biệt là ứng dụng Website, hầu như mọi người ai cũng từng nghe và làm việc trên ứng dụng Website. Website trở nên phổ biến và trở thành một phần quan trọng của mọi người và nhất là các doanh nghiệp, công ty. Bên cạnh đó lý do an toàn bảo mật cho ứng dụng Website luôn là vấn đề nan giải của mọi người. Với các lý do trên, em đã lựa chọn đề tài “Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử” để làm đề tài luận văn cho mình. Em thấy đây là đề tài mang tính thực tế cao, giúp cho các nhà quản trị Website
  11. 2 có thể làm tốt hơn công việc của mình, cũng như đảm bảo an toàn thông tin cho doanh nghiệp, công ty. Đồng thời cũng giúp ích rất nhiều cho em trong các công việc sau này. Bố cục của luận văn chia làm ba phần: Chương 1: Tổng quan về an toàn dịch vụ và dữ liệu web và lỗi bảo mật thông dụng Chương 2: Các loại tấn công web phổ biến Chương 3: Một số giải pháp phòng chống tấn công dữ liệu website thương mại điện tử
  12. 3 CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI BẢO MẬT THÔNG DỤNG 1.1 Khái niệm chung về thương mại điện tử 1.1.1 Sự ra đời và phát triển của Internet Internet là mạng liên kết các mạng máy tính với nhau.Mặc dù mới thực sự phổ biến từ những năm 1990,Internet đã có lịch sử hình thành từ khá lâu. Năm 1962: J.C.R. Licklider đưa ra ý tưởng kết nối các máy tính với nhau, đến năm 1967 Lawrence G Roberts tiếp tục đề xuất ý tưởng mạng ARPANet (Advanced Research Project Agency Network) tại một hội nghị ở Michigan; Công nghệ chuyển gói tin (packet switching technology) đem lại lợi ích to lớn khi nhiều máy tính có thể chia sẻ thông tin với nhau; Phát triển mạng máy tính thử nghiệm của Bộ quốc phòng Mỹ theo ý tưởng ARPANet và đến năm 1969 mạng này được đưa vào hoạt động và là tiền thân của Internet; Internet - liên mạng bắt đầu xuất hiện khi nhiều mạng máy tính được kết nối với nhau. Trải qua nhiều năm phát triển đến năm 1984 Giao thức chuyển gói tin TCP/IP (Transmission Control Protocol và Internet Protocol) trở thành giao thức chuẩn của Internet; Hệ thống các tên miền DNS (Domain Name System) ra đời để phân biệt các máy chủ; được chia thành sáu loại chính bao gồm .edu -(education) cho lĩnh vực giáo dục, .gov - (government) thuộc chính phủ, .mil - (miltary) cho lĩnh vực quân sự, .com - (commercial) cho lĩnh vực thương mại, .org - (organization) cho các tổ chức, .net - (network resources) cho các mạng. Đến năm 1991 Ngôn ngữ đánh dấu siêu văn bản HTML (HyperText Markup Language) ra đời cùng với giao thức truyền siêu văn bản HTTP (HyperText Transfer Protocol), Internet đã thực sự trở thành công cụ đắc lực với hàng loạt các dịch vụ mới. World Wide Web (WWW) ra đời, đem lại cho người dùng khả năng tham chiếu từ một văn bản đến nhiều văn bản khác, chuyển từ cơ sở dữ liệu này sang cơ sở dữ liệu khác với hình thức hấp dẫn và nội dung phong phú. WWW chính là hệ thống các thông điệp dữ liệu được tạo ra, truyền tải, truy cập, chia sẻ... thông qua Internet.Internet và Web là công cụ quan trọng nhất của TMĐT, giúp cho TMĐT
  13. 4 phát triển và hoạt động hiệu quả. 1.1.2 Khái niệm thương mại điện tử Thương mại điện tử được biết đến với nhiều tên gọi khác nhau, như “thương mại điện tử” (Electronic commerce),“thương mại trực tuyến” (online trade), “thương mại không giấy tờ” (paperless commerce) hoặc “kinh doanh điện tử” (e- business). Tuy nhiên, “thương mại điện tử” vẫn là tên gọi phổ biến nhất và được dùng thống nhất trong các văn bản hay công trình nghiên cứu của các tổ chức hay các nhà nghiên cứu. Theo nghĩa hẹp,thương mại điện tử là việc mua bán hàng hoá và dịch vụ thông qua các phương tiện điện tử và mạng viễn thông, đặc biệt là máy tính và Internet. Theo nghĩa rộng về thương mại điện tử một số tổ chức khái niệm như sau: - EU: Gồm các giao dịch thương mại thông qua các mạng viễn thông và sử dụng các phương tiện điện tử. Nó bao gồm TMĐT gián tiếp (trao đổi hàng hoá hữu hình) và TMĐT trực tiếp (trao đổi hàng hoá vô hình). - OECD: Gồm các giao dịch thương mại liên quan đến các tổ chức và cá nhân dựa trên việc xử lý và truyền đi các dữ kiện đó được số hoá thông qua các mạng mở (như Internet) hoặc các mạng đóng có cổng thông với mạng mở (như AOL). - UNCTAD:“Là việc thực hiện toàn bộ hoạt động kinh doanh bao gồm marketing, bán hàng, phân phối và thanh toán thông qua các phương tiện điện tử” Khái niệm này đã đề cập đến toàn bộ hoạt động kinh doanh,chứ không chỉ giới hạn ở riêng mua và bán, và toàn bộ các hoạt động kinh doanh này được thực hiện thông qua các phương tiện điện tử. Khái niệm này được viết tắt bởi bốn chữ MSDP, trong đó: M – Marketing (có trang web, hoặc xúc tiến thương mại qua Internet) S – Sales (có trang web có hỗ trợ chức năng giao dịch, ký kết hợp đồng) D – Distribution (Phân phối sản phẩm số hóa qua mạng) P – Payment (Thanh toán qua mạng hoặc thông qua bên trung gian như ngân hàng) Như vậy, đối với doanh nghiệp, khi sử dụng các phương tiện điện tử và mạng vào trong các hoạt động kinh doanh cơ bản như marketing, bán hàng, phân phối, thanh toán
  14. 5 thì được coi là tham gia thương mại điện tử. 1.1.3 Hệ thống các hoạt động cơ bản trong thương mại điện tử Theo Micheal Porter, thương mại điện tử có thể ứng dụng vào tất cả các giai đoạn trong chuỗi giá trị. Tất nhiên, khi ứng dụng sâu và rộng thương mại điện tử ở đây được hiểu theo nghĩa rộng, trở thành kinh doanh điện tử. Outbound Sản phẩm Inbound Xử lý Marketing & Dịch vụ sau logistics và Dịch vụ Logistics nghiệp vụ Bán hàng bán hàng 1 2 3 5 6 Hình 1. 1: Mô hình ứng dụng thương mại điện tử trong các giai đoạn của chuỗi giá trị Nguồn: Marketing Management, Porter M.E. 2001
  15. 6 1.2 Tổng quan về ứng dụng Website 1.2.1 Khái niệm ứng dụng Website Ứng dụng Website là một ứng dụng chủ/khách sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác. Website là một “trang web” trên mạng Internet, đây là nơi giới thiệu những thông tin, hình ảnh về doanh nghiệp và sản phẩm, dịch vụ của doanh nghiệp (hay giới thiệu bất cứ thông tin gì) để khách hàng có thể truy cập ở bất kỳ nơi đâu, bất cứ lúc nào. Website là tập hợp nhiều trang. Khi doanh nghiệp xây dựng website nghĩa là đang xây dựng nhiều trang thông tin, catalog sản phẩm, dịch vụ....Để tạo nên một website cần phải có 3 yếu tố cơ bản: - Cần phải có tên miền (domain). - Nơi lưu trữ Website (hosting). - Nội dung các trang thông tin. Một ứng dụng web thường có kiến trúc gồm: Hình 1. 2: Kiến trúc một ứng dụng Website
  16. 7 1.2.2 Cách thức hoạt động Mô hình hoạt động của ứng dụng Website: Hình 1. 3: Mô hình hoạt động của ứng dụng Website. Trong đó: - Trình khách (hay còn gọi là trình duyệt): Internet Explorer, FireFox, Chrome - Trình chủ: Apache, IIS, …. - Hệ quản trị cơ sở dữ liệu: SQL Server, MySQL, DB2, Access…. Bên cạnh đó, một giải pháp dùng để bảo vệ một hệ thống mạng thường được sử dụng là bức tường lửa, nó có vai trò như là lớp rào chắn bên ngoài một hệ thống mạng, vì chức năng chính của firewall là kiểm soát luồng thông tin giữa các máy tính. Có thể xem firewall như một bộ lọc thông tin, nó xác định và cho phép một máy tính này có được truy xuất đến một máy tính khác hay không, hay một mạng này có được truy xuất đến mạng kia hay không. Người ta thường dùng firewall vào mục đích: - Cho phép hoặc cấm những dịch vụ truy xuất ra ngoài. - Cho phép hoặc cấm những dịch vụ từ bên ngoài truy nhập vào trong. - Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Firewall hoạt động dựa trên gói IP do đó kiểm soát việc truy nhập của máy người sử dụng. Đầu tiên trình duyệt sẽ gửi một yêu cầu (request) đến trình chủ Website thông qua các lệnh cơ bản GET, POST… của giao thức HTTP, trình chủ lúc này có thể cho thực thi một chương trình được xây dựng từ nhiều ngôn ngữ như Perl, C/C++… hoặc trình chủ yêu cầu bộ diễn dịch
  17. 8 thực thi các trang ASP, JSP… theo yêu cầu của trình khách. Tùy theo các tác vụ của chương trình được cài đặt mà nó xử lý, tính toán, kết nối đến cơ sở dữ liệu, lưu các thông tin do trình khách gửi đến…và từ đó trả về cho trình khách 1 luồng dữ liệu có định dạng theo giao thức HTTP, nó gồm 2 phần: - Header mô tả các thông tin về gói dữ liệu và các thuộc tính, trạng thái trao đổi giữa trình duyệt và WebServer. - Body là phần nội dung dữ liệu mà Server gửi về Client, nó có thể là một file HTML, một hình ảnh, một đoạn phim hay một văn bản bất kì. Theo mô hình ở hình 1.3 với firewall, luồng thông tin giữa trình chủ và trình khách là luồng thông tin hợp lệ. Vì thế nếu hacker tìm thấy vài lỗ hổng trong ứng dụng Website thì firewall không còn hữu dụng trong việc ngăn chặn hacker này. Do đó, các kĩ thuật tấn công vào một hệ thống mạng ngày nay đang dần tập trung vào những sơ suất (hay lỗ hổng) trong quá trình tạo ứng dụng của những nhà phát triển Website hơn là tấn công trực tiếp vào hệ thống mạng, hệ điều hành. Tuy nhiên, hacker cũng có thể lợi dụng các lỗ hổng Web để mở rộng sự tấn công của mình vào các hệ thống không liên quan khác. 1.2.3 Các dịch vụ và ứng dụng trên nền Website Với công nghệ hiện nay, Website không chỉ đơn giản là một trang tin cung cấp các tin bài đơn giản. Những ứng dụng viết trên nền Website không chỉ được gọi là một phần của Website nữa, giờ đây chúng được gọi là phần mềm viết trên nền Website. Có rất nhiều phần mềm chạy trên nền Website như Google word (xử lý văn bản), Google spreadsheets (xử lý bảng tính), Email,… Một số ưu điểm của phần mềm hay ứng dụng chạy trên nền web:  Mọi người đều có trình duyệt và chúng ta chỉ cần trình duyệt để chạy phần mềm.  Phần mềm luôn luôn được cập nhật vì chúng chạy trên server.  Luôn sẵn sàng 24/7.  Dễ dàng backup dữ liệu thường xuyên.  Có thể truy cập mọi lúc, mọi nơi, chỉ cần có Internet  Chi phí triển khai rẻ hơn nhiều so với phần mềm chạy trên desktop.
  18. 9 1.3 Tổng quan về an ninh mạng 1.3.1 Khái niệm về an toàn và an ninh mạng Trong quá khứ, an ninh thông tin là một thuật ngữ được sử dụng để mô tả các biện pháp bảo mật vật lý được sử dụng để giữ cho chính phủ hay doanh nghiệp những thông tin quan trọng khỏi bị truy cập bởi công chúng và để bảo vệ nó chống lại thay đổi hoặc tiêu hủy. Những biện pháp này bao gồm lưu trữ tài liệu có giá trị trong tủ hồ sơ đã bị khóa hoặc két và hạn chế truy cập vật lý đến các khu vực nơi mà các tài liệu đã được lưu giữ. Với sự phổ biến của máy tính và các phương tiện truyền thông điện tử, cách truy cập dữ liệu cũ thay đổi. Khi công nghệ tiếp tục phát triển, hệ thống máy tính được kết nối với nhau để tạo thành mạng máy tính, cho phép các hệ thống chia sẻ tài nguyên, bao gồm cả dữ liệu. Các mạng máy tính cuối cùng, mà hầu hết các kết nối mạng máy tính truy cập công cộng, là Internet. Mặc dù các phương pháp bảo vệ dữ liệu đã thay đổi đáng kể, khái niệm về an ninh mạng vẫn giống như là các thông tin bảo mật.[11] Bởi vì máy tính có thể thu hồi, và số tiền quá lớn của dữ liệu, chúng được sử dụng trong gần như mọi khía cạnh của cuộc sống. Máy vi tính, mạng, và Internet là một phần không thể thiếu của nhiều doanh nghiệp. Sự phụ thuộc của chúng trên các máy tính tiếp tục tăng khi các doanh nghiệp và cá nhân trở nên thoải mái hơn với công nghệ và tiến bộ công nghệ như là làm cho hệ thống thân thiện với người dùng hơn và dễ dàng hơn để kết nối. Một hệ thống máy tính duy nhất yêu cầu các công cụ tự động để bảo vệ dữ liệu trên hệ thống từ những người dùng có quyền truy cập hệ thống. Một hệ thống máy tính trên mạng (một hệ thống phân phối) đòi hỏi rằng dữ liệu vào hệ thống đó được bảo vệ không chỉ từ truy cập địa phương mà còn từ các truy cập từ xa trái phép và từ chặn hoặc thay đổi dữ liệu trong quá trình truyền giữa các hệ thống. An ninh mạng không phải là một sản phẩm, quy trình, hay chính sách mà là sự kết hợp của các sản phẩm và quy trình có hỗ trợ một chính sách quy định. Mạng lưới an ninh được thực hiện của các thiết bị an ninh, chính sách và quy trình để ngăn chặn truy cập trái phép vào tài nguyên mạng, thay đổi hoặc hủy hoại tài nguyên hoặc dữ liệu. 1.3.2 Sự cần thiết phải bảo vệ thông tin Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu tố cần được bảo vệ như: - Dữ liệu.
  19. 10 - Tài nguyên: con người, hệ thống và đường truyền. - Danh tiếng của công ty. Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải sự cố thì tác hại đến doanh nghiệp không nhỏ: - Tốn kém chi phí. - Tốn kém thời gian. - Ảnh hưởng đến tài nguyên hệ thống. - Ảnh hưởng đến danh dự, uy tín của doanh nghiệp. - Mất cơ hội kinh doanh. 1.4 Các thuật ngữ liên quan 1.4.1 Hacker Hacker là một thuật ngữ dùng để chuyên chỉ những kẻ phá hoại các hệ thống mạng. Hacker thường là những chuyên gia về máy tính. Hacker không tạo ra các kẽ hở cho hệ thống, nhưng Hacker lại là những người am hiểu về hệ điều hành, hệ quản trị dữ liệu, các ngôn ngữ lập trình…Họ sử dụng kiến thức của mình trong việc tìm tòi và khai thác các lỗ hổng của hệ thống mạng. Một số Hacker chỉ dừng lại việc phát hiện và thông báo lỗi tìm được cho những nhà bảo mật hay người phát triển chương trình, họ được xem như là WhiteHat (Hacker nón trắng). Một số hacker dựa vào những lỗ hổng thực hiện việc khai thác trái phép nhằm mục đích phá hoại hay mưu lợi riêng, những người này bị xem như là BlackHat (Hacker mũ đen). Vì tính chất phổ biến của thuật ngữ hacker, nên trong phần trình bày, luận văn sẽ sử dụng “hacker” thay cho “kẻ tấn công”. 1.4.2 HTTP Header HTTP header là phần đầu (header) của thông tin mà trình khách và trình chủ gửi cho nhau. Những thông tin trình khách gửi cho trình chủ được gọi là HTTP requests (yêu cầu) còn trình chủ gửi cho trình khách là HTTP responses (trả lời). Thông thường, một HTTP header gồm nhiều dòng, mỗi dòng chứa tên tham số và giá trị. Một số tham số có thể được dùng trong cả header yêu cầu và header trả lời, còn số khác thì chỉ được dùng riêng trong từng loại. Ví dụ:
  20. 11 • Header yêu cầu: GET /tintuc/homnay.asp HTTP/1.1 Accept: */* Accept- Language: en- us Connection: Keep-Alive Host: localhost Referer: http://localhost/lienket.asp User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Accept-Encoding: gzip, deflate o Dòng đầu là dòng yêu cầu cho biết phương thức yêu cầu (GET hoặc POST), địa chỉ yêu cầu (/tintuc/homnay.asp) và phiên bản HTTP (HTTP/1.1). o Tiếp theo là các tham số. Chẳng hạn như: + Accept-Language: Cho biết ngôn ngữ dùng trong trang web. + Host: Cho biết địa chỉ của máy chủ. + Referer: Cho biết địa chỉ của trang web tham chiếu tới. o Header của HTTP request sẽ kết thúc bằng một dòng trống. • Header trả lời
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2