Luận văn ThS: Nghiên cứu và xây dựng ứng dụng bảo mật website

Luận văn Nghiên cứu và xây dựng ứng dụng bảo mật website trình bày các khái niệm chính trong đề tài ; giới thiệu sơ lược lịch sử các nghiên cứu có liên quan đến đề tài, công cụ quét W3AF và Nikto và một số công cụ khác để so sánh, phương pháp nghiên cứu thực hiện đề tài; lựa chọn giải pháp cho bài toán tổng thể cũng như từng thành phần, kết hợp các công cụ có sẵn thành một công cụ mạnh hơn, hiệu quả hơn.

Luận văn ThS: Nghiên cứu và xây dựng ứng dụng bảo mật website

1. Mở đầu

1.1 Lí do chọn đề tài

Khi khoa học máy tính và Internet ngày càng phát triển, thì các vấn đề về an ninh mạng và bảo mật ngày càng được chú trọng. Do các hacker luôn tìm cách đột nhập vào các hệ thống máy tính nhằm phá hoại hay trộm cắp các thông tin quan trọng. Đối với mọi hacker dù mũ đen hay mũ trắng thì khi đối mặt với một hệ thống máy tính, họ phải biết hệ thống đó hoạt động như thế nào để từ đó đưa ra những phương pháp tấn công hay phòng thủ một cách hữu hiệu. Các thông tin như các dịch vụ, hệ điều hành, webserver... sẽ chỉ ra cho hacker biết hệ thống hoạt động như thế nào và có những lỗ hổng gì và kỹ thuật quét (scanning) có thể giúp họ có được các thông tin ấy.

1.2 Đối tượng phạm vi nghiên cứu

Đối tượng nghiên cứu: Đề tài tập trung nghiên cứu lý thuyết bảo mật ứng dụng web, các công cụ quét lỗ hổng bảo mật ứng dụng web, 02 công cụ quét lỗ hổng bảo mật là W3AF và Nikto.

Phạm vi nghiên cứu: Đề tài mô tả cách kiểm tra dò tìm lỗ hổng của một ứng dụng web bằng việc sử dụng kết hợp các công cụ W3AF và Nikto. Bộ công cụ tích hợp này có các chức năng chính sau:

  • Tích hợp chức năng của hai công cụ.
  • Cho phép người dùng dễ dàng tùy chọn các kiểu quét.
  • Tổng hợp kết quả, giúp người quản trị dễ dàng tìm ra các lỗ hổng bảo mật.
  • Đưa ra các gợi ý sửa lỗi cho người dùng.

Bộ công cụ có thể chạy trên hệ điều hành Windows, cụ thể là Windows 7 với nền tảng .NET Framework 4.0 trở lên.

1.3 Phương pháp nghiên cứu

Nghiên cứu lý luận: Tìm hiểu các khái niệm ứng dụng web, mô hình hoạt động của ứng dụng web, các lỗ hổng bảo mật ứng dụng web thường gặp, cách thức tấn công của kẻ xâm nhập, cách ngăn chặn tấn công, các công cụ quét lỗ hổng bảo mật ứng dụng web tiên tiến hiện nay.

Áp dụng thực tiễn: Cài đặt các công cụ, kiểm thử, thu thập số liệu, so sánh hiệu quả các công cụ, tiến hành xây dựng công cụ quét lỗ hổng bảo mật ứng dụng web mới dựa trên bảng so sánh các công cụ đã có.

2. Nội dung

2.1 Lý thuyết về bảo mật ứng dụng web

Giới thiệu về ứng dụng web

  • Khái niệm ứng dụng web
  • Mô tả hoạt động của một ứng dụng web
  • Một số chức năng phổ biến của các ứng dụng web
  • Các điểm mạnh của các ứng dụng web
  • Vấn đề bảo mật các ứng dụng web
  • Các phương pháp kiểm tra an toàn ứng dụng web

Các khái niệm, thuật ngữ liên quan

  • Http header
  • Session
  • Cookie 
  • Proxy

Giới thiệu sơ lược về các kỹ thuật tấn công ứng dụng web

  • Kiểm soát truy cập web (Web Access Control)
  • Chiếm hữu phiên làm việc (Session Mangement)
  • Lợi dụng các thiếu sót trong việc kiểm tra dữ liệu nhập hợp lệ (Input validation)
  • Để lộ thông tin (Informational)

Thao tác trên tham số truyền

  • Thao tác trên url
  • Thao tác trên biến ẩn form
  • Thao tác trên cookie
  • Thao tác trong http header

Chèn mã lệnh thực thi trên trình duyệt nạn nhân (Cross Site Scripting)

  • Kỹ thuật tấn công cross site scripting (XSS)
  • Phương pháp tấn công XSS

Chèn câu truy vấn SQL Injection

  • Khái niệm SQL Injection
  • Giới thiệu mô hình cơ sở dữ liệu

Chiếm hữu phiên làm việc (Session Management)

  • Tổng quan về Session ID
  • Ấn định phiên làm việc 
  • Đánh cắp phiên làm việc

Tràn bộ đệm (Buffer Overflow)

  • Khái niệm
  • Sơ đồ tổ chức của bộ nhớ 
  • Một số cách gây tràn bộ đệm qua ứng dụng web
  • Các cách phòng chống

2.2 Những công cụ quét lỗ hổng bảo mật

Giới thiệu kỹ thuật quét 

Bộ tiêu chí đánh giá 

Một số công cụ quét lỗ hổng bảo mật ứng dụng web thông dụng hiện nay

  • Paros Proxy
  • Google Ratproxy
  • W3AF (Web Application Attack and Audit Framework)
  • Nmap 
  • Nikto
  • Acunetix Web Vulnerability Scanner
  • Sqlmap

2.3 Xây dựng ứng dụng

3. Kết luận

Đây là một đề tài mới và có ý nghĩa thực tiễn trong lĩnh vực an toàn mạng, sau khi hoàn thành không những về lý thuyết đã tìm hiểu được mô hình ứng dụng web, các kỹ thuật tấn công web cũng như cách ngăn chặn, các công cụ bảo mật hiện nay... mà còn xây dựng được một bộ công cụ có thể thực hiện công việc quét các thông tin mạng và các lỗ hổng bảo mật cho hệ thống website, mà lại không phải tốn công tìm kiếm, thử nghiệm từng loại công cụ xem có phù hợp hay không. Thêm vào đó, do đã có các giao diện điều khiển cho các chương trình được tích hợp cùng bộ công cụ, nên người dùng không phải mất thời gian tìm hiểu các hướng dẫn sử dụng để có thể sử dụng thành thạo các chương trình. Bộ công cụ này được tích hợp từ các công cụ mã nguồn mở, điều này giúp nhà quản trị không phải tốn chi phi cho việc mua bản quyền, đồng thời dễ sử dụng do chạy trên hệ điều hành quen thuộc là Hệ điều hành Windows.

4. Tài liệu tham khảo

Nguyễn Duy Thăng, Nguyễn Minh Thu (2003). “Nghiên cứu một số vấn đề về bảo mật ứng dụng web trên Internet”. Luận văn tốt nghiệp trường Đại học Khoa học Tự nhiên TP. HCM

Dương Thị Thu Hương (2009). “Một số vấn đề bảo mật ứng dụng web”. Luận văn tốt nghiệp trường Đại học Công nghệ (Đại học Quốc gia Hà Nội)

Huỳnh Duy Khiêm (2011). “Tích hợp các công cụ quét lỗ hổng bảo mật”. Luận văn tốt nghiệp trường Đại học Cần Thơ

“Những kỹ thuật tấn công mạng phổ biến năm 2015”. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT (2015)....

--- Nhấn nút TẢI VỀ hoặc XEM ONLINE để tham khảo đầy đủ nội dung Luận văn trên ---

Ngày:05/09/2020 Chia sẻ bởi:Nhi

CÓ THỂ BẠN QUAN TÂM