1
ĐẠI HC QUC GIA HÀ NI
TRƢỜNG ĐẠI HC CÔNG NGH
ĐẶNG TH NGC TUYT
PHÂN TÍCH T ĐỘNG CÁC WEBSITE Đ PHÁT HIN
L HNG TIÊM NHIM SQL VÀ XSS
LUẬN VĂN THẠC SĨ CÔNG NGH THÔNG TIN
Hà Ni - 2017
2
ĐẠI HC QUC GIA HÀ NI
TRƢỜNG ĐẠI HC CÔNG NGH
ĐẶNG TH NGC TUYT
PHÂN TÍCH T ĐỘNG CÁC WEBSITE Đ PHÁT HIN
L HNG TIÊM NHIM SQL VÀ XSS
Ngành: Công ngh thông tin
Chuyên ngành: Truyn d liu và Mng máy tính
Mã s:
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DN KHOA HC: TS. NGUYỄN ĐẠI TH
Hà Ni - 2017
3
LỜI CAM ĐOAN
Tôi xin cam đoan nội dung ca luận n Phân tích t động các
Website để phát hin l hng tiêm nhim SQL và XSS” là sản phm ca riêng cá
nhân tôi, không sao chép li của ngƣời khác. Nhng vấn đề đƣc trình bày trong
luận văn kết qu ca quá trình hc tp, nghiên cu, làm vic ca bn thân. Tt
c tài liu tham khảo đều có xut x rõ ràng và đƣợc trích dn hp pháp.
Tôi xin chu hoàn toàn trách nhim cho lời cam đoan của mình.
Hà Ni, ngày 17 tháng 4 năm 2017
Ngƣời cam đoan
Đặng Th Ngc Tuyết
4
LI CẢM ƠN
Tôi xin bày t lòng biết ơn sâu sắc đến TS. Nguyễn Đại Th đã tn tình
giúp đỡ tôi trong sut quá trình hc tp làm luận văn, truyền cho tôi nhng
kinh nghim quý báu trong thi gian thc hiện đề tài.
Tôi xin gi li biết ơn sâu sắc ti các thy cô trong Khoa Công ngh Thông
tin, Đại hc Công ngh - Đại hc Quc gia Ni đã truyền đạt cho tôi nhng
kiến thức vô cùng quý báu, định hƣớng các vấn đề nghiên cu ni bt hin nay.
Tôi cũng muốn cảm ơn các chuyên gia, đồng nghiệp đã chia sẻ nhng tài
liu quý báu, h tr và góp ý v mặt chuyên môn để tôi hoàn thành luận văn.
Cui cùng, tôi xin cm ơn gia đình, bạn bè đã luôn bên cạnh ng h
động viên khuyến khích tạo điều kin cho tôi có thi gian nghiên cu.
Hà Ni, tháng 4 năm 2017
5
MỤC LỤC
MC LC ............................................................................................................... 5
DANH MC HÌNH NH ...................................................................................... 8
DANH MC THUT NG, T VIT TT ...................................................... 10
M ĐẦU ............................................................................................................... 11
CHƢƠNG I: TNG QUAN V L HNG BO MT SQLI, XSS ................. 15
1.1. L hng an ninh ng dng web .................................................................. 15
1.2. L hng an ninh SQLi................................................................................. 15
1.2.1. Gii thiu l hng SQLi ....................................................................... 15
1.2.2. Phƣơng pháp phát hiện l hng SQLi .................................................. 16
1.2.3. Phƣơng pháp khai thác SQLi ................................................................ 18
1.2.4. Phƣơng pháp phòng chống SQLi.......................................................... 21
1.3. L hng an ninh XSS .................................................................................. 22
1.3.1. Gii thiu l hng an ninh XSS ............................................................ 22
1.3.2. Phân loi XSS ....................................................................................... 23
1.3.3. Quá trình phát hin l hng XSS .......................................................... 25
1.3.4. Cách thc phòng chng l hng XSS ................................................... 25
CHƢƠNG II: CÁC GIẢI PHÁP QUÉT L HNG NG DNG WEB ........... 27
2.1. Tng quan công c quét l hng ng dng Web ........................................ 27
2.1.1. Gii thiu công c quét l hng ng dng Web ................................... 27
2.1.2. Phƣơng thức hoạt động ca công c quét l hng an ninh ................... 27
2.2 Gii thiu mt sng c quét ph biến hin nay ...................................... 28
2.2.1. Secubat .................................................................................................. 28
2.2.2. Acunetix Web Vulnerability Scanner ................................................... 31
2.2.3. SQLMap ................................................................................................ 32
2.2.4. Burpsuite ............................................................................................... 33
2.2.5. Havij ...................................................................................................... 35
2.2.6. Nessus ................................................................................................... 36