Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 1

Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 1 trình bày các nội dung chính sau: Tổng quan về bảo mật ứng dụng web; Các dạng tấn công thường gặp lên ứng dụng web; Các biện pháp bảo mật máy chủ, ứng dụng và trình duyệt web;... Mời các bạn cùng tham khảo để nắm nội dung chi tiết.
Nội dung trích xuất từ tài liệu:
Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 1 BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ------------------oOo----------------- HOÀNG XUÂN DẬU BÀI GIẢNG AN TOÀN ỨNG DỤNG WEB VÀ CƠ SỞ DỮ LIỆU HÀ NỘI 2017 MỤC LỤC MỤC LỤC ....................................................................................................................................... 1 DANH MỤC CÁC HÌNH ............................................................................................................... 5 DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ ................................................................. 8 MỞ ĐẦU ....................................................................................................................................... 11 CHƢƠNG 1. TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB ............................................... 14 1.1. Giới thiệu về dịch vụ web và kiến trúc ứng dụng web ....................................................... 14 1.1.1. Giao thức HTTP .......................................................................................................... 14 1.1.2. Các thành phần của ứng dụng web .............................................................................. 17 1.1.3. Kiến trúc của ứng dụng web ....................................................................................... 20 1.2. Nguyên tắc bảo mật ứng dụng web .................................................................................... 21 1.2.1. Nguyên tắc chung ........................................................................................................ 21 1.2.2. Các lớp bảo mật ứng dụng web ................................................................................... 22 1.3. Các nguy cơ và lỗ hổng bảo mật trong ứng dụng web ....................................................... 23 1.3.1. Giới thiệu ..................................................................................................................... 23 1.3.2. 10 nguy cơ và lỗ hổng bảo mật hàng đầu theo OWASP ............................................. 24 1.4. Các phƣơng pháp tiếp cận bảo mật ứng dụng web ............................................................ 27 1.4.1. Kiểm tra dữ liệu đầu vào ............................................................................................. 27 1.4.2. Giảm thiểu các giao diện có thể bị tấn công ............................................................... 28 1.4.3. Phòng vệ theo chiều sâu .............................................................................................. 28 1.5. CÂU HỎI ÔN TẬP ............................................................................................................ 28 CHƢƠNG 2. CÁC DẠNG TẤN CÔNG THƢỜNG GẶP LÊN ỨNG DỤNG WEB ................. 29 2.1. Chèn mã HTML và cross-site scripting ............................................................................. 29 2.1.1. Khái quát ..................................................................................................................... 29 2.1.2. Các loại XSS ............................................................................................................... 32 2.1.3. Các biện pháp phòng chống ........................................................................................ 37 2.1.4. Một số tấn công XSS trên thực tế................................................................................ 38 2.1.5. Các kỹ thuật vƣợt qua các bộ lọc XSS ........................................................................ 41 2.2. Cross-site request forgery................................................................................................... 42 2.2.1. Giới thiệu và kịch bản ................................................................................................. 43 2.2.2. Phòng chống tấn công CSRF ...................................................................................... 43 2.3. Tấn công chèn mã SQL ...................................................................................................... 44 2.3.1. Khái quát ..................................................................................................................... 44 1 2.3.2. Vƣợt qua các khâu xác thực ngƣời dùng ..................................................................... 44 2.3.3. Chèn, sửa đổi, hoặc xóa dữ liệu .................................................................................. 45 2.3.4. Đánh cắp các thông tin trong cơ sở dữ liệu ................................................................. 47 2.3.5. Chiếm quyền điều khiển hệ thống máy chủ cơ sở dữ liệu .......................................... 47 2.3.6. Phòng chống ................................................................................................................ 48 2.4. Tấn công vào các cơ chế xác thực ...................................................................................... 49 2.4.1. Giới thiệu ..................................................................................................................... 49 2.4.2. Các dạng tấn công vào các cơ chế xác thực ................................................................ 49 2.4.3. Các biện pháp phòng chống tấn công vào các cơ chế xác thực .................................. 51 2.5. Tấn công lợi dụng các khiếm khuyệt thiết kế .................................................................... 53 2.5.1. Giới thiệu ...