intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số phương pháp phát hiện thay đổi nội dung trang Web

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:58

20
lượt xem
3
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đề tài này nghiên cứu nghiên cứu xây dựng một hệ thống với công cụ phát hiện sự thay đổi nội dung trang Web và đưa ra những cảnh bảo cho người quản trị để có biện pháp xử lý kịp thời. Với sự phát triển nhanh của Web và các ứng dụng trên nền Web hiện nay, việc bảo mật an ninh thông tin cho các trang Web là hết sức quan trọng thế nhưng không phải nhà quản trị hay nhà phát triển nào cũng chú tâm tới việc bảo mật an ninh cho các sản phẩm của mình. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Luận văn Thạc sĩ Khoa học máy tính: Nghiên cứu một số phương pháp phát hiện thay đổi nội dung trang Web

  1. i ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐẶNG HÙNG THẮNG NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN THAY ĐỔI NỘI DUNG TRANG WEB BÁO CÁO LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH KHOA HỌC MÁY TÍNH THÁI NGUYÊN, NĂM 2015
  2. ii LỜI CẢM ƠN Tôi xin gửi lời cảm ơn sâu sắc đến Thầy TS. Vũ Duy Linh người đã giúp đỡ tôi trong suốt thời gian tôi thực hiện đề tài. Thầy đã định hướng, tạo những điều kiện thuận lợi và đã tận tình hướng dẫn để tôi hoàn thành đề tài này. Tôi xin gửi lời cảm ơn chân thành đến gia đình, bạn bè đã luôn là nguồn động viên to lớn, giúp đỡ tôi trong suốt quá trình tôi thực hiện đề tài. TÁC GIẢ LUẬN VĂN Đặng Hùng Thắng
  3. iii LỜI CAM ĐOAN Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung thực của tôi, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt Nam. Nếu sai, tôi xin chịu hoàn toàn trách nhiệm trước pháp luật. TÁC GIẢ LUẬN VĂN Đặng Hùng Thắng
  4. iv MỤC LỤC LỜI CAM ĐOAN ....................................................................................................... i DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT ......................................................... vi DANH MỤC HÌNH VẼ .......................................................................................... viii PHẦN MỞ ĐẦU: GIỚI THIỆU BÀI TOÁN THEO DÕI SỰ THAY ĐỔI NỘI DUNG TRANG WEB ............................................................................................................. 1 Chương 1. TỔNG QUAN VỀ AN TOÀN NỘI DUNG SỐ VÀ WEBSITE .............. 2 1.1. Vấn đề đảm bảo tính an toàn của các nội dung trên internet ............................... 2 1.2. Những nguy cơ tiềm ẩn và việc bảo mật nội dung số trên internet ..................... 2 1.3. Giải pháp đảm bảo tính toàn vẹn của văn bản điện tử ......................................... 3 1.3.1. Khái niệm chữ ký số ................................................................................. 3 1.3.2. Tính lợi điểm của chữ ký sô ..................................................................... 4 1.3.3. Cách thức hoạt động của chữ ký số. ......................................................... 5 1.4. Việc đảm bảo an toàn nội dung Website trên Internet ......................................... 9 1.4.1. Mục đích tấn công trang Web .................................................................. 9 1.4.2. Các kiểu tấn công thường gặp và cách phòng chống ............................... 9 1.5. Vai trò và mục đích của việc theo dõi sự thay đổi nội dung trang web ............. 16 1.6. Kết luận chương 1 .............................................................................................. 17 Chương 2. NHỮNG PHƯƠNG PHÁP PHÁT HIỆN THAY ĐỔI NỘI DUNG ...... 18 2.1. Những vẫn đề cơ bản về Web ............................................................................ 18 2.1.1. Khái niệm cơ bản.................................................................................... 18 2.1.2. Một số mô hình kiến trúc web ................................................................ 23 2.1.3. Mô tả Website và cách hoạt động .......................................................... 27 2.1.4. Các dịch vụ và ứng dụng trên nền web .................................................. 28 2.2. Một số phương pháp đảm bảo an ninh Web ...................................................... 29 2.2.1. Đảm bảo an ninh hệ điều hành Webserver ............................................. 29 2.2.2. Bảo đảm an ninh nội dung Web ............................................................. 30 2.2.3. Sử dụng kỹ thuật xác thực và mã hóa .................................................... 31 2.2.4. Triển khai cơ sở hạ tầng mạng an ninh .................................................. 33
  5. v 2.2.5. Quản trị Webserver ................................................................................ 34 2.3. Sử dụng dấu vân của tài liệu (Document Fingerprint) trong việc theo dõi sự thay đổi nội dung trang Web ............................................................................................. 35 2.4. Thuật toán kiểm tra dấu vân tay tài liệu - Rabin Fingerprint ............................. 36 2.5 Kết luận chương 2 ............................................................................................... 37 Chương 3. XÂY DỰNG HỆ THỐNG PHÁT HIỆN THAY ĐỔI NỘI DUNG TRANG WEB .......................................................................................................................... 38 3.1. Đề xuất cải tiến giải thuật Rabin Fingerprint ..................................................... 38 3.2. Hệ thống phát hiện thay đổi nội dung trang Web .............................................. 39 3.2.1. Hệ thống Builder .................................................................................... 41 3.2.2. Hoạt động Multi-checker........................................................................ 41 3.2.3. Hệ thống Self-watcher ............................................................................ 43 3.2.4. Hệ thống Admin ..................................................................................... 44 3.3. Cài đặt và thử nghiệm chương trình................................................................... 44 3.3.1. Cài đặt chương trình ............................................................................... 44 3.3.2. Thử nghiệm chương trình ....................................................................... 46 3.3.3. Nhận xét kết quả ..................................................................................... 48 3.4. Kết luận chương 3 .............................................................................................. 48 KẾT LUẬN VÀ KHUYẾN NGHỊ ........................................................................... 49 1. Kết luận ................................................................................................................. 49 2. Khuyến nghị .......................................................................................................... 49 TÀI LIỆU THAM KHẢO ......................................................................................... 50
  6. vi DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Kí hiệu Tiếng việt Tiếng anh Computer Emegancy 01 CERT Response Team Thuật toán mã hóa 02 PKI công khai Nhà cung cấp dịch vụ 03 CA Certification Aithority chứng thực chữ ký số Ngôn ngữ truy vấn Structured Query 04 SQL mang tính cấu trúc Language Là một kiểu tấn công cho phép kẻ tấn công 05 XSS Cross Site Scripting chèn những đoạn script độc hại vào website 06 DOS Từ chối dịch vụ Dinal of Services 07 VPN Mạng riêng ảo Virtual Private Network 08 Firewall Tường lửa Ngôn ngữ đánh dấu Hypertext Markup 09 HTML siêu văn bản Language Kết hợp giữa giao thức 10 HTTPS HTTP và giao thức bảo mật SSL hay TLS 11 SSL Giao thức bảo mật Secure Sockets Layer 12 TLS Giao thức bảo mật Transport Layer Security Open Systems 13 OSI Mô hình hệ thống mở Interconnection
  7. vii Định vị tài nguyên Uniform Resource 14 URL thống nhất Locator Ngôn ngữ đánh dấu Xtensible Markup 15 XML mở rộng Language 16 IP Địa chỉ IP Internet protocol 17 DNS Hệ thống tên miền Domain name System 18 CSDL Cơ sở dữ liệu
  8. viii DANH MỤC HÌNH VẼ Hình 1.1. Mô tả hoạt động gửi văn bản đã được ký số ..................................... 6 Hình 1.2. Mô tả hoạt động giải mã và xác minh văn bản điện tử ..................... 7 Hình 1.3. Mô hình tấn công SQL Injection .................................................... 10 Hình 1.4. Một mô hình tấn công từ chối dịch vụ DOS ................................... 14 Hình 2.1. Một số Web Server thông dụng ...................................................... 22 Hình 2.2. Mô hình kiến trúc web 1 lớp ........................................................... 23 Hình 2.3. Mô hình kiến trúc web 2 lớp ........................................................... 24 Hình 2.4. Mô hình kiến trúc web 3 lớp ........................................................... 25 Hình 2.5. Mô hình kiến trúc web N lớp .......................................................... 26 Hình 2.6. Minh hoạ giải thuật Rabin Fingerprint............................................ 37 Hình 3.1. Minh hoạ cải tiến giải thuật Rabin Fingerprint ............................... 39 Hình 3.2. Sơ đồ kiến trúc hệ thống giám sát website...................................... 41 Hình 3.3. Các thuộc tính cơ bản của tập tin .................................................... 42 Hình 3.4. Giao diện chính của hệ thông theo dõi thay đổi nội dung trang web .......45 Hình 3.5. Chương trình theo dõi 4 website đồng thời .................................... 47 Hình 3.6. Hoạt động của chức năng Advanced Mode .................................... 47
  9. 1 PHẦN MỞ ĐẦU: GIỚI THIỆU BÀI TOÁN THEO DÕI SỰ THAY ĐỔI NỘI DUNG TRANG WEB 1. Đặt vấn đề Cùng với sự phát triển của công nghệ thông tin, công nghệ máy tính và mạng Internet ngày nay các dịch vụ mạng đã có mặt trong hầu hết các lĩnh vực đời sống xã hội. Các thông tin trên Internet cũng đa dạng và phong phú, có rất nhiều thông tin đòi hỏi yêu cầu cao về bảo mật bởi tính kinh tế, chính xác và tin cậy của thông tin đó. Bên cạnh đó các hình thức phá hoại trên Internet cũng ngày càng trở nên tinh vi và phức tạp hơn nhiệm vụ đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Với sự phát triển nhanh của Web và các ứng dụng trên nền Web hiện nay, việc bảo mật an ninh thông tin cho các trang Web là hết sức quan trọng thế nhưng không phải nhà quản trị hay nhà phát triển nào cũng chú tâm tới việc bảo mật an ninh cho các sản phẩm của mình, chính vì vậy rất nhiều Website hiện tại tồn tại lỗ hổng về bảo mật an ninh cao gây nguy cơ bị tấn công, thiệt hại rất nhiều khi bị tấn công. Việc phát hiện các nguy cơ thủ công là khó, việc người quản trị hay người phát triển muốn kiểm tra mức độ an toàn của sản phẩm gặp phải nhiều khó khăn. Đề tài nghiên cứu nghiên cứu xây dựng một hệ thống với công cụ phát hiện sự thay đổi nội dung trang Web và đưa ra những cảnh bảo cho người quản trị để có biện pháp xử lý kịp thời.
  10. 2 Chương 1. TỔNG QUAN VỀ AN TOÀN NỘI DUNG SỐ VÀ WEBSITE 1.1. Vấn đề đảm bảo tính an toàn của các nội dung trên internet Ngày nay, cùng với sự phát triển mạnh mẽ của công nghệ thông tin là sự ra đời hàng loạt của các dịch vụ trên internet điều đó đã mang lại cho cá nhân, các tổ chức, các đơn vị, các doanh nghiệp rất nhiều tiện ích, thuận lợi. Mọi người sử dụng internet như một công cụ bắt buộc trong hoạt động của cá nhân. Các đơn vị, tổ chức, doanh nghiệp sử dụng internet trong mọi hoạt động của đơn vị mình. Những gì internet mạng lại là rất lớn, nó là một phần không thể thiếu trong cuộc sống hiện địa ngày nay. Ở bất kỳ đâu, khi một máy tính có nối mạng Internet, con người có thể thực hiện các chia sẻ, đăng tải các thông tin, mua bán, thanh toán... một cách thuận tiện và nhanh chóng. Mọi thông tin của người dùng đều được lưu trư trên internet. Mục tiêu chính của nối mạng là để con người có thể lưu trữ, sử dụng tài nguyên từ nhiều vị trí địa lý khác nhau. Tài nguyên bị phân tán dẫn tới nó dễ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Điều đó vô hình chung khiến cho internet trở thành một thứ tốt nhưng rất nguy hiểm. Nếu như các tài nguyên đó không được bảo vệ tốt nó có thể gây nên những thiệt hại lớn cho cá nhân cũng như tập thể. Những hiểm họa và thiệt hại phải gánh chịu là không lường trước được. 1.2. Những nguy cơ tiềm ẩn và việc bảo mật nội dung số trên internet Mọi nguy cơ trên mạng đều là những nguy cơ tiềm tàng, từ một lỗ hổng bảo mật nhỏ của hệ thống nếu bị khai thác và lợi dụng có thể trở thành một tai họa khôn lường. Theo thống kê của CERT (Computer Emegancy Response Team) – Tổ chức bảo mật nổi tiếng thế giới, thì số vụ tấn công ngày càng tăng và sẽ còn tăng mạnh trong thời gian tới, thiết hại gây ra ngày càng nghiêm trọng. Điều này là dễ hiểu vì một thực thể luôn tồ tại hai mặt đối lập, công nghệ và kỹ thuật
  11. 3 càng phát triển, sự tiện lợi mang lại lớn thì nguy cơ tấn công, phá hoại, mất cắp thông tin ngày càng cao. Bảo mật thông tin là vấn đề sống còn trên internet hiện nay. Vấn đề quan tâm là: - Tính bảo mật: Chỉ cho phép người có quyền hạn truy cập tới nó - Tính toàn vẹn: Dữ liệu không được sửa đổi, bị xóa một cách bất hợp pháp. - Tính sẵn sàng: Bất cứ khi nào cần dữ liệu luôn sẵn sàng - Tính định danh: Dữ liệu chia sẻ của đúng người mà không bị giả mạo bởi người khác. Rất nhiều phương án bảo mật đã được đưa ra nhằm bảo vệ các nội dung số trên internet. Hướng tới một môi trường internet an toàn, lành mạnh. 1.3. Giải pháp đảm bảo tính toàn vẹn của văn bản điện tử 1.3.1. Khái niệm chữ ký số Trên môi trường mạng, bất cứ dạng thông tin nào được sử dụng để nhận biết một con người đều được coi là chữ ký điện tử. Ví dụ, 1 đoạn âm thanh hoặc hình ảnh được chèn vào cuối e-mail, đó cũng là chữ ký điện tử. Chữ ký số là một dạng chữ ký điện tử, an toàn nhất và cũng được sử dụng rộng rãi nhất. Chữ ký này hình thành dựa trên kỹ thuật mã khoá công khai (PKI), theo đó mỗi người sử dụng cần có một cặp khóa bao gồm khóa bí mật và công khai. Người chủ chữ ký sử dụng khoá bí mật để tạo chữ ký số (trên cơ sở kết hợp với nội dung thông điệp dữ liệu), ghép nó với thông điệp dữ liệu và gửi đi. Người nhận dùng mã công khai giải mã chữ ký số để biết được người đó là ai. Tất cả quy trình ký và giải mã chữ ký số đều được thực hiện bằng phần mềm. Điểm quan trọng là các cặp khóa trên do những nhà cung cấp dịch vụ chứng thực chữ ký số (Certification Aithority - CA) cấp (hoặc xác minh là đủ điều kiện an toàn) sau khi đã kiểm tra, xác minh chủ của nó (cá nhân, tổ chức) là có thực. Đồng thời, nhà cung cấp dịch vụ cũng giao cho cá nhân, tổ chức đó
  12. 4 một chứng thư số - tương đương như chứng minh thư nhân dân hay giấy xác nhận sự tồn tại của cơ quan, tổ chức trên môi trường mạng. Chứng thư đó có chứa khóa công khai của tổ chức, cá nhân và được duy trì tin cậy trên cơ sở dữ liệu của nhà cung cấp dịch vụ chứng thực, do vậy người nhận có thể truy cập vào cơ sở dữ liệu đó để xác minh xem đúng là có người đó hay không. 1.3.2. Tính lợi điểm của chữ ký sô 1.3.2.1. Tính bí mật Tính bí mật có nghĩa là sự bí mật, riêng tư của dữ liệu được đảm bảo bằng các biện pháp mật mã hoá. Các thông tin cá nhân của khách hàng, các dữ liệu về hợp đồng, luật pháp là những ví dụ cơ bản về những dữ liệu cần phải được giữ bí mật sử dụng mật mã hoá. Việc mã hoá dữ liệu có thể được thực hiện bằng mã hoá đối xứng hoặc phi đối xứng. Vì mật mã phi đối xứng không hiệu quả bằng mã hoá đối xứng để mã hoá lượng dữ liệu lớn, nó thường được dùng để mã hoá các đối tượng nhỏ như khoá bí mật của hệ thống mã hoá đối xứng. Các hệ thống mã hoá đối xứng thường được sử tích hợp với PKI để mã hoá dữ liệu lớn. 1.3.2.2. Tính toàn vẹn Tính toàn vẹn có nghĩa là dữ liệu không bị sửa đổi hay nội dung giao dịch không bị thay đổi trên đường truyền. Các chứng thư số và các phong bì chữ ký số là những ví dụ cho những dữ liệu phải được đảm bảo tính toàn vẹn. Thông thường, nội dung của các thông điệp, email, các giao dịch mua bán và các thông tin mà các bên khác phải dựa vào phải được đảm bảo tính toàn vẹn. Tính toàn vẹn có thể được cung cấp bởi PKI sử dụng mã hoá phi đối xứng hoặc đối xứng. Chú ý rằng, giải pháp sử dụng mật mã đối xứng để đảm bảo tính toàn vẹn không dễ dàng mở rộng. Thuật toán mã hoá công khai thường được sử dụng cùng với một thuật toán băm như SHA-1 hoặc MD5 để cung cấp khả năng toàn vẹn. Một hệ thống PKI được thiết kế tốt sẽ phải sử dụng các giao thức bắt buộc có sử
  13. 5 dụng các thuật toán này để cung cấp một phương pháp đảm bảo tính toàn vẹn một cách hiệu quả. 1.3.2.3. Tính xác thực Xác thực có nghĩa là kiểm tra xem danh tính của các thực thể bằng cách sử dụng các chứng thư số và chữ ký số. Việc xác thực trong môi trường thương mại điện tử được thực hiện rất tốt bởi các hệ thống mã hoá khoá công khai. Thực tế, mục đích chính của việc chứng thực trong một hệ thống PKI là để hỗ trợ việc xác thực từ xa giữa các thực thể không biết nhau, sử dụng chứng thư số và cây tin tưởng CA. Chứng thực trong một môi trường PKI dựa trên mối quan hệ toán học giữa khoá bí mật và khoá công khai. Các thông điệp được ký bởi một thực thể này có thể kiểm tra bởi bất kỳ một bên tin tưởng nào. Bên tin tưởng có thể chắc chắn rằng chỉ có người chủ của khoá bí mật là người tạo ra thông điệp đó, bởi vì chỉ có người đó bởi có quyền truy xuất đến khoá bí mật. 1.3.2.4. Tính chống chối bỏ Chống chối bỏ đảm bảo rằng dữ liệu hoặc một giao dịch không thể bị chối bỏ. Điều này được thực hiện thông qua mật mã hoá công khai bằng ký số. Chống chối bỏ là một tính chất bảo mật cực kì quan trọng trong bất kì một ứng dụng thương mại điện tử nào mà tiền được trao đổi, các điều khoản về hợp đồng, pháp luật, được thương lượng. Chống chối bỏ là một sản phẩm của việc sử dụng mã hoá khoá công khai. Khi dữ liệu được ký số bằng cách sử dụng khoá bí mật, bất kì ai có khoá công khai tương ứng với khoá bí mật đó đều có thể xác định được chủ nhân của cặp khoá có ký dữ liệu đó không. Chủ nhân của thông điệp dữ liệu không thể chối bỏ thông điệp đó một khi anh ta ký vào thông điệp đó. 1.3.3. Cách thức hoạt động của chữ ký số. Dưới đây một ví dụ điển hình về nguyên lý hoạt động của chữ ký số và mã hóa trong việc đảm bảo tính toàn vẹn, bí mật của văn bản điện tử.
  14. 6 1.3.3.1. Các bước để ký số và mã hóa một văn bản điện tử Hình bên dưới cho ta thấy các hoạt động xảy ra trong quá trình mà Alice muốn gửi một văn bản đã được ký số và mã hóa cho Bob Hình 1.1. Mô tả hoạt động gửi văn bản đã được ký số 1) Ký số lên văn bản điện tử: Việc ký số lên văn bản điện tử bao gồm các bước sau: a) Đánh giá giá trị hàm băm của văn bản điện tử: Mục đích chính của việc đánh giá giá trị hàm băm của văn bản điện tủ đó là bảo đảm rằng văn bản điện tử không bị thay đổi bằng bất kỳ hình thức nào, hay còn gọi là bảo đảm tính toàn vẹn của văn bản điện tử. b) Giá trị hàm băm chữ ký số: Một chữ ký số thực chất là một quá trình mã hóa sử dụng khóa bí mật của người ký. Quá trình ký số thực chất là sử dụng một thuật toán mã hóa. Trong quá trình này khóa công khai của người ký cũng được gửi kèm theo để người nhận có thể giải mã và xác minh chữ ký số và thuật toán hàm băm. Những thuộc tính của sự mã hóa khóa công khai và thuật toán hàm băm cho phép người nhận văn bản điện tử biết: + Khóa bí mật của người gửi đã mã hóa giá trị hàm băm. + Văn bản điện tử được bảo vệ khỏi mọi sự thay đổi.
  15. 7 2) Sự mã hóa văn bản điện tử: mã hóa bao gồm 3 bước: a) Tạo ra một sự mã hóa đối xứng sử dụng một lần. Chúng ta cần lưu ý rằng việc sử dụng thuật toán mã hóa và giải mã phi đối xứng mất rất nhiều thời gian cho các văn bản điện tử với dung lượng lớn; chính vì vậy thuật toán mã hóa đối xứng được sử dụng trong trường hợp này. b) Mã hóa văn bản điện tử: Toàn bộ văn bản điện tử (bao gồm bản thân văn bản điện tử và chữ ký số) được mã hóa sử dụng SymK, thuật toán mã hóa đối xứng. c) Sự mã hóa đối xứng: SymK cũng được sử dụng bởi người nhận văn bản điện tử để giải mã văn bản. Chính vì vậy SymK phải được gửi kèm cho người nhận, trong trường hợp này là Bob. Cách để giấu SymK, mà chỉ Bob mới biết được đó chính là mã hóa nó sử dụng khóa công khai của người nhận, là khóa công khai của Bob. 1.3.3.2. Các bước cho việc giải mã và xác minh chữ ký số của văn bản điện tử Hình bên dưới cho thấy các hoạt động khi Bob muốn giải mã và xác minh văn bản điện tử được gửi bởi Alice. Hình 1.2. Mô tả hoạt động giải mã và xác minh văn bản điện tử
  16. 8 1) Giải mã văn bản điện tử: Việc giải mã văn bản điện tử bao gồm các bước sau: a) Giải mã khóa đối xứng: Khóa đối xứng sử dụng một lần được sử dụng để mã hóa văn bản điện tử. Khóa này (SymK) đã được mã hóa sử dụng khóa công khai của Bob. Chỉ có Bob mới có thể giải mã SymK và sử dụng nó để giải mã văn bản. b) Giải mã văn bản điện tử: Văn bản điện tử (bao gồm bản thân văn bản điện tử và chữ ký số) được giải mã sử dụng SymK 2) Xác thực chữ ký số: Quá trình xác thực chữ ký số bao gồm 3 bước sau: a) Giải mã giá trị hàm băm của văn bản điện tử: giá trị hàm băm đã được mã hóa sử dụng khóa bí mật của Alice. Giá trị hàm băm sẽ được giải mã sử dụng khóa công khai gửi kèm với văn bản điện tử. b) Đánh giá giá trị hàm băm: Do quá trình băm chỉ là quá trình xử lý một chiều nghĩa là văn bản điện tử không thể xem được từ giá trị hàm băm của nó, người nhận phải đánh giá lại giá trị hàm băm sử dụng cùng thuật toán băm mà người gửi đã sử dụng. c) So sánh giá trị hàm băm: Giá trị hàm băm đã được giải mã ở bước a) và giá trị hàm băm đã được đánh giá ở bước b) được mang ra so sánh. Nếu giống nhau, chữ ký số đã được xác minh, và người nhận có thể chấp nhận văn bản điện tử đó và chắc chắn rằng nó chưa bị thay đổi từ khi người gửi gửi nó đi. Nếu hai giá trị trên mà không giống nhau, điều đó có nghĩa: + Văn bản điện tử chưa được ký số bởi người gửi + Văn bản điện tử đã bị thay đổi. + Trong cả hai trường hợp, thì văn bản điện tử nên bị từ chối. Việc sử dụng chữ ký số để có thể đảm bảo tính toàn vẹn của văn bản điện tử cũng như xác minh được người gửi văn bản đã thực sự giải quyết được bài
  17. 9 toán mà bấy lâu nay chúng ta vẫn còn băn khoăn và e ngại khi chuyển từ văn bản giấy sang sử dụng văn bản điện tử. Các cơ quan, tổ chức, cá nhân có thể yên tâm và áp dụng chữ ký số để có thể gửi và nhận văn bản điện tử, tạo nên một môi trường làm việc hiện đại, minh bạch, giảm giấy tờ, góp phần cải cách thủ tục hành chính, tăng năng suất lao động. 1.4. Việc đảm bảo an toàn nội dung Website trên Internet 1.4.1. Mục đích tấn công trang Web Bên cạnh việc bảo vệ tính toàn vẹn, xác thực cho các tài liệu trên Internet. Việc bảo mật, đảm bảo toàn vẹn nội dung của các Website trên Internet đã và đang là vấn đề cấp thiết trong môi trường mạng hiện nay. Với sự phát triển vũ bão của Internet, gần như tất cả các đơn vị, cơ quan, tổ chức, hay một phần nào đó là các cá nhân hiện nay đều có Website. Nội dung trên Website đó được định danh cho các tổ chức, cá nhân là bộ mặt, tiếng nói của các tổ chức cá nhân đó. Khi kẻ xấu tấn công trang Web thường với mục đích + Đánh cắp các thông tin trên Web + Phá hoại, làm hỏng hệ thống + Thay đổi các nội dung trên Web Dù với mục đích nào thì hậu quả, thiệt hại cũng là rất lớn. Việc đảm bảo tính bảo mật của một Website, đảm bảo sự hoạt động, bảo toàn nội dung Website là vấn đề đặt ra với mọi người quản trị. 1.4.2. Các kiểu tấn công thường gặp và cách phòng chống 1.4.2.1. Tấn công SQL Injection SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh
  18. 10 SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là máy chủ (server) mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase. Hình 1.3. Mô hình tấn công SQL Injection Các dạng tấn công bằng SQL Injection Có bốn dạng thông thường bao gồm: vượt qua kiểm tra lúc đăng nhập (authorization bypass), sử dụng câu lệnh SELECT, sử dụng câu lệnh INSERT, sử dụng các stored-procedures + Dạng tấn công vượt qua kiểm tra đăng nhập (authorization bypass): Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web. + Dạng tấn công sử dụng câu lệnh SELECT:
  19. 11 Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công. + Dạng tấn công sử dụng câu lệnh INSERT Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để tham gia. Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập vào. + Dạng tấn công sử dụng stored-procedures Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ thống 'sa'. Ví dụ, nếu ta thay đoạn mã tiêm vào dạng: ' ; EXEC xp_cmdshell „cmd.exe dir C: '. Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại kiểu nào tuỳ thuộc vào câu lệnh đằng sau Command Prompt.
  20. 12 Cách phòng chống tấn công SQL - Kiểm soát chặt chẽ dữ liệu nhập vào Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát chặt chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request. - Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng. 1.4.2.2. Tấn công XSS (Cross Site Scripting) Cross-Site Scripting hay còn được gọi tắt là XSS là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những đoạn mã script nguy hiểm để thực thi 1 câu lệnh nào đó. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML. Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu (request) được gửi từ các máy trạm (client) tới máy chủ (server) nhằm chèn vào đó các thông tin vượt quá tầm kiểm soát của máy chủ. Phòng chống tấn công bằng XSS Người ta không lường hết được mức độ nguy hiểm của XSS nhưng cũng không quá khó khăn để ngăn ngừa XSS. Có rất nhiều cách để có thể giải quyết vấn đề này như: + Chỉ chấp nhận những dữ liệu hợp lệ. + Từ chối nhận các dữ liệu hỏng. + Liên tục kiểm tra và thanh lọc dữ liệu. Tuy nhiên trên thực tế, một số trường hợp bạn phải chấp nhận mọi loại dữ liệu hay không có một bộ lọc phù hợp. Chính vì vậy phải có những cách riêng để giải quyết. Một trong những cách hay sử dụng là bạn mã hoá các kí tự đặc
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
3=>0