DANH MỤC TÀI LIỆU
Luận văn - báo cáo
Thạc sĩ cao học
Kinh tế quản lý
Khoa học tự nhiên
Kinh tế - Thương mại
Lý luận chính trị
Kỹ thuật
Báo cáo, luận văn khác
Kỹ năng mềm
Nghệ thuật sống
Kỹ năng giao tiếp
Kỹ năng thuyết trình
Kỹ năng phỏng vấn
Kỹ năng đàm phán
Kỹ năng mềm khác
Mẫu slide
Mẫu slide cho thuyết trình
Mẫu slide cho giáo án điện tử
Mẫu slide khác
Mẫu slide - Template
Kinh doanh - tiếp thị
Marketing, bán hàng
PR truyền thông
Kế hoạch kinh doanh
Tài liệu kinh doanh, tiếp thị khác
Thương mại điện tử
Kinh tế - Quản lý
Bài giảng, giáo trình
Đề thi, bài tập
Sách kinh tế hay
Quản lý nhà nước
Quy hoạch đô thị
Tài liệu kinh tế khác
Tài chính - Ngân hàng
Tài chính doanh nghiệp
Kế toán, kiểm toán
Ngân hàng - tín dụng
Tài liệu tài chính - ngân hàng khác
Biểu mẫu - Văn bản
Mẫu hợp đồng
Mẫu đơn từ
Biểu mẫu, văn bản khác
Thủ tục hành chính
Giáo dục đào tạo
Tài liệu, đề thi môn Toán
Tài liệu, đề thi môn Ngữ Văn
Tài liệu, đề thi THPT các trường
Tài liệu, đề thi Vật Lý
Tài liệu, đề thi Sinh Học
Tài liệu, đề thi Hóa Học
Tài liệu, đề thi Lịch Sử
Tài liệu, đề thi học sinh giỏi
Tài liệu, đề thi khác
Giải bài tập các môn
Giáo án bài giảng
Giáo án, bài giảng lớp 6
Giáo án, bài giảng lớp 7
Giáo án, bài giảng lớp 8
Giáo án, bài giảng lớp 9
Giáo án, bài giảng lớp 10
Giáo án, bài giảng lớp 11
Giáo án, bài giảng lớp 12
Giáo án, bài giảng tiểu học
Giáo án, bài giảng khác
Công nghệ thông tin
Cơ sở dữ liệu
Lập trình
Đồ họa, thiết kế
An ninh, bảo mật
Tài liệu CNTT khác
Văn bản pháp luật
Thuế - Lệ phí - Kinh phí
Giáo dục - Đào tạo
Nghị định
Quyết định
Thông tư
Luật - pháp lệnh
Văn bản pháp luật khác
Học tiếng Anh
Luyện Thi TOEIC
Luyện thi IELTS
Tiếng Anh phổ thông
Tiếng Anh trẻ em
Luyện thi TOEFL
Tài liệu học tiếng Anh khác
Y học- sức khỏe
Sống khỏe
Bí quyết làm đẹp
Bệnh thường gặp
Dinh dưỡng
Mẹ và bé
Tài liệu y học - sức khỏe khác
Các bài văn khấn nôm
Văn khấn cổ truyền
Văn khấn khác
Lĩnh vực khác
Mẹo vặt trong nấu ăn
Món ngon mỗi ngày
Đố vui
Hoạt động ngoại khóa
Văn hóa - giải trí
Khác
Một số phương thức tấn công ứng dụng web
M T S PH NG TH C T N CÔNG NG D NG WEB HAY Ộ Ố ƯƠ
G P
Website hi n là kênh cung c p thông tin r t hi u qu , nhanh chóng và ấ ệ
b ích c a m i doanh nghi p và t ch c đ n v i ng i dùng. Trong ổ ứ ế ườ
th i đ i này website và tài kho n cá nhân là đích ng m c a tin t c ờ ạ
nh m đánh c p thông tin liên quan bên trong d a vào n n t ng t các ề ả
l h ng đang t n t i.ỗ ổ
Các l i b o m t ng d ng web là nguyên nhân ch y u gây ra các l i đ i ậ ứ ế
v i website đang v n hành. Sau khi xác đ nh các l i này, tin t c s s d ng ẽ ử
các k thu t khác nhau đ ti n hành khai thác h th ng đích. M t s k ế ố ỹ
thu t th ng đ c s d ng: Buffer Overflows, SQL Injection, and Cross- ườ ượ ử ụ
site Scripting…Vi c phân lo i các ki u t n công thành các nhóm khác nhau ể ấ
s giúp cho ng i qu n tr d ng xác đ nh các nguy c cũng nh biên ườ ị ễ ơ ư
pháp đ i phó h n.ố ơ
Bài vi t d i đây li t kê 4 ph ng th c t n công ng d ng Web thông ế ướ ươ ứ ấ
d ng nh t cùng bi n pháp đ i phó khi g p ph i. ặ ả
L i ch ng th c y u (Insufficient Authentication) ự ế
L i ch ng th c y u xu t hi n khi m t website cho phép truy c p các n i ự ế
dung, tài nguyên nh y c m mà không có đ quy n. Các trang qu n tr ạ ả
m t ví d d th y nh t. N u không có c ch phân quy n h p lý th m c ụ ễ ế ơ ế ư
cũng nh tài kho n đăng nh p trang qu n tr này. Tin t c hoàn toàn có kh ư ả ị
năng v t qua đ c c ch đăng nh p đ chi m quy n đi u khi n trang ượ ượ ơ ế ế
này.
Bi n pháp đ i phó:ệ ố
Thi t l p c ch đi u khi n truy c p thông quan .htaccess ho c t p tin c uế ậ ơ ế
hình httpd.conf
Ví d : Đi u khi n truy c p thông qua httpd.confụ ề
<LocationMatch “^/admin/”>
SSLRequireSSL
AuthType Digest
AuthName “Admin Area”
AuthDigestfile /usr/local/apache/conf/passwd_digest
Require user admin
</LocationMatch>
T n công Bruteforce
Bruteforce là cách th c th t t c các kh năng có th có đ đoán các thông ử ấ
tin cá nhân đăng nh p: tài kho n, m t kh u, s th tín d ng…Nhi u h ố ẻ
th ng cho phép s d ng m t kh u ho c thu t toán mã hóa y u s t o đi u ậ ẩ ế ạ ề
ki n cho tin t c s d ng ph ng pháp t n công này đ đoán tài kho n và ử ụ ươ
m t kh u đăng nh p. Sau đó s d ng các thông tin này đ đăng nh p truy ử ụ
c p vào tài nguyên h th ng. ệ ố
Bi n pháp đ i phó:ệ ố
Tăng c ng đ m nh cho m t kh u (Đ dài ít nh t 6 ký t , không ch a ườ ộ ạ
chu i username, ch a ít nh t 1 ký t s , ch a ít nh t 1 ký t đ c bi t, ứ ấ ứ ấ
không cho phép thay đ i m t kh u trùng l p đã s d ng, qu n lý, đi u ử ụ
khi n thông báo l i)ể ỗ
S d ng c ch ch ng th c (Basic ho c Digest Authentication)ử ụ ơ ế
H n ch s l n đăng nh p ho c khóa tài kho n đăng nh p sai ế ố ầ
S d ng module Mod_Dosevasive đ xác đ nh d u hi u c a ki u t n công ử ụ
này.
XSS – Cross-Site Scripting
XSS là m t trong nh ng kĩ thu t t n công ph bi n nh t hi n nay, đ ng ậ ấ ế
th i nó cũng là m t trong nh ng v n đ b o m t quan tr ng đ i v i các ề ả
nhà phát tri n web và c nh ng ng i s d ng web. B t kì m t website ườ ử ụ
nào cho phép ng i s d ng đăng thông tin mà không có s ki m tra ch t ườ ử ụ
ch các đo n mã nguy hi m thì đ u có th ti m n các l i XSS. ể ề
Tin t c t n công b ng cách chèn vào các website đ ng (ASP, PHP, CGI, JSPặ ấ
…) nh ng th HTML hay nh ng đo n mã script nguy hi m có th gây ữ ẻ
nguy h i cho nh ng ng i s d ng khác. Trong đó, nh ng đo n mã nguy ữ ườ ữ ạ
hi m đ c chèn vào h u h t đ c vi t b ng các Client-Site Script nh ựơ ế ượ ế ằ ư
JavaScript, JScript, DHTML và cũng có th là c các th HTMLể ả
Ví d : S d ng XSS chèn mã java script tr c ti p trên URL ử ụ ế
http://www.demo.com/search.cgi?query=<script>alert(‘XSS was
found !’);</script>
Khi wesite http://www.demo.comb l i XSS trình duy t s hi n lên m t ị ỗ
thông báo “XSS was found !”.
N u nh các kĩ thu t t n công khác có th làm thay đ i đ c d li u ế ư ậ ấ ượ ữ ệ
ngu n c a web server (mã ngu n, c u trúc, c s d li u) thì XSS ch gây ơ ở
t n h i đ i v i website phía client mà n n nhân tr c ti p là nh ng ng i ạ ố ớ ế ườ
khách duy t site đó
Bi n pháp đ i phó:ệ ố
Ch cho phép nh ng d li u h p l , t ch i nh n các d li u sai, th ng ệ ừ ườ
xuyên ki m tra và l c d li u đ u vào. ữ ệ
S d ng Mod_Security đ l c m t s d li u t n công XSS.ử ụ ố ữ
SecFilterSelective THE_REQUEST “<[^>]*meta*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*style*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*script*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*iframe*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*object*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*img*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*applet*\”?[^>]*>”
SecFilterSelective THE_REQUEST “<[^>]*form*\”?[^>]*>”
D đoán, chèn phiên (Credentical/Session Prediction)
D đoán, chèn phiênlà m t ph ng th c chi m phiên (hijacking). Thông ộ ươ ế
th ng, khi m t tài kho n th c hi n quá trình ch ng th c đ i v i server ườ ố ớ
(tài kho n/m t kh u). D a vào các thông tin này, server s t o m t giá tr ậ ẩ ạ ộ
session ID duy nh t đ cho phép và duy trì k t n i. N u đoán đ c session ấ ể ế ố ế ượ
ID k ti p thì tin t c có kh năng chi m phiên đăng nh p c a ng i dùng ế ế ế ườ
h p l khác.ợ ệ
Bi n pháp đ i phó:ệ ố
S d ng SSL (mod_ssl) trong quá trình ch ng th c đ ch ng l i vi c nghe ử ụ
lén d li u quan tr ng.ữ ệ
S d ng c ch t o session ID ng u nhiên, thu t toán mã hóa m nh. ơ ế ạ
Session ID ph i đ l n đ làm khó quá trình t n công brute-fore. ủ ớ
Gi i h n th i gian t n t i c a session ID. ạ ủ
thông tin tài liệu
Website hiện là kênh cung cấp thông tin rất hiệu quả, nhanh chóng và bổ ích của mỗi doanh nghiệp và tổ chức đến với người dùng. Trong thời đại này website và tài khoản cá nhân là đích ngắm của tin tặc nhằm đánh cắp thông tin liên quan bên trong dựa vào nền tảng từ các lỗ hổng đang tồn tại.
Mở rộng để xem thêm
xem nhiều trong tuần
Giáo trình Quản trị học của Đại học kinh tế quốc dân
4 đề thi học sinh giỏi Toán lớp 2, có đáp án kèm theo
BIỂU MẪU ĐỀ NGHỊ NHẬP KHẨU THUỐC CHƯA CÓ GIẤY ĐĂNG KÝ LƯU HÀNH THUỐC TẠI VIỆT NAM KHÔNG VÌ MỤC ĐÍCH THƯƠNG MẠI
Hướng dẫn tự học Access
Sinh học 11 mạch gỗ và mạch rây của cây
IELTS Writing task 2 - chủ đề chủ đề Imported food
yêu cầu tài liệu
Giúp bạn tìm tài liệu chưa có

LÝ THUYẾT TOÁN


×