Luận văn tốt nghiệp: Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet

Luận văn được thực hiện với mục đích tìm hiểu, phân tích các lỗ hổng bảo mật trong các ứng dụng web (cùng với chương trình minh họa) để qua đó đề xuất các phương án sửa chữa. Song song đó, luận văn còn thực hiện một chương trình "Tự động phát hiện lỗ hổng trên ứng dụng Web" giúp ích cho những nhà lập trình Web ít kinh nghiệm tránh những sai sót trong quá trình tạo các ứng dụng.
Nội dung trích xuất từ tài liệu:
Luận văn tốt nghiệp: Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet Khoa CNTT BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG MÁY TÍNH DE LUẬN VĂN TỐT NGHIỆP ĐỀ TÀI: NGHIÊN CỨU MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT ỨNG DỤNG WEB TRÊN INTERNET GVHD: Th.S. MAI VĂN CƯỜNG SVTH : NGUYỄN DUY THĂNG - 9912074 NGUYỄN MINH THU - 9912156 KHÓA HỌC: 1999-2003 Khoa CNTT Lời cảm ơn Sau gần 6 tháng nỗ lực thực hiện, luận văn nghiên cứu “Các kĩ thuật tấn công và bảo mật ứng dụng Web trên Internet” đã phần nào hoàn thành. Ngoài sự cố gắng hết mình của bản thân, chúng em đã nhận được sự khích lệ rất nhiều từ phía nhà trường, thầy cô, gia đình và bạn bè. Trước hết chúng con xin cám ơn ba mẹ đã luôn động viên và tạo mọi điều kiện tốt để chúng con học tập và hoàn thành luận văn tốt nghiệp này. Chúng em xin cám ơn thầy cô trường Đại Học Khoa Học Tự Nhiên đã truyền đạt những kiến thức quý báu cho chúng em trong suốt quá trình học tập. Đặc biệt, chúng em xin bày tỏ lòng chân thành sâu sắc đến thầy Mai Văn Cường, người đã tận tình hướng dẫn và giúp đỡ chúng em trong quá trình làm luận văn tốt nghiệp. Xin cám ơn tất cả bạn bè đã và đang động viên, giúp đỡ chúng tôi trong quá trình học tập và hoàn thành tốt luận văn tốt nghiệp này. Khoa CNTT Lời nhận xét …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… Khoa CNTT Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet MỤC LỤC GIỚI THIỆU……………………………………………………………………………… 7 Tổ chức của luận văn……………………………………………………………………... 9 PHẦN THỨ NHẤT: CƠ SỞ LÍ THUYẾT………………………………………………. 11 Chương 1: Giới thệu Ứng dụng Web…………………………………………………….. 12 I. KHÁI NIỆM ỨNG DỤNG WEB………………………………..…………………… 13 II. MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB………..…………………... 16 Chương 2: Các khái niệm, thuật ngữ liên quan ………………………………………….. 18 I. HACKER……………………………………………………………………………… 19 II. HTTP HEADER……………………………………………………………………... 19 III. SESSION…………………………….……………………………………………… 21 IV. COOKIE…………………………………………………………………………….. 22 V. PROXY………………………………………………………………………………. 25 Chương 3: Giới thiệu sơ lược về các kĩ thuật tấn công Ứng dụng Web………………….. 26 I. KIỂM SOÁT TRUY CẬP WEB……………………………………………………… 27 I.1. Thâm nhập hệ thống qua cửa sau………………………………………………….. 27 II. CHIẾM HỮU PHIÊN LÀM VIỆC…………………………………………………... 27 II.1. Ấn định phiên làm việc…………………………………………………………… 27 II.2. Đánh cắp phiên làm việc…………………………………………………………. 27 III. LỢI DỤNG CÁC THIẾU SÓT TRONG VIỆC KIỂM TRA DỮ LIỆU NHẬP HỢP LỆ……….……………………………………………………………………………....... 27 III.1. Kiểm tra tính đúng đắn của dữ liệu bằng ngôn ngữ phía trình duyệt………….... 28 III.2. Tràn bộ đệm……………..………………………………………………………. 28 III.3. Mã hóa URL…………………………………………………………………….. 28 III.4. Kí tự Meta……………………………………………………………………….. 28 III.5. Vượt qua đường dẫn…………………………………………………………….. 29 III.6. Chèn mã lệnh thực thi trên trình duyệt nạn nhân……………………………….. 29 III.7. Thêm câu lệnh hệ thống………………….……………………………………... 29 Khoa CNTT Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet III.8. Chèn câu truy vấn SQL…………………….…………………………………… 30 III.9. Ngôn ngữ phía máy chủ………………................................................................ 30 III.10. Kí tự rỗng….…………………………………………………………………... 30 III.11. Thao tác trên tham số truyền…………………………………………………... 30 IV. ĐỂ LỘ THÔNG TIN………………………………………………………………. 31 V. TỪ CHỐI DỊCH VỤ………………….…………………………………………….. 31 PHẦN THỨ HAI: CÁC KĨ THUẬT TẤN CÔNG VÀ BẢO MẬT ỨNG DỤNG WEB.. 33 Chương 4: Thao tác trên tham số truyền………………………………………………… 34 I. THAO TÁC TRÊN URL…………………………………………………………….. 35 I.1. Khái niệm…………………………………………………………………………. 35 I.2. Một số biện pháp khắc phục………………………………………………………. 36 II. THAO TÁC TRÊN BIẾN ẨN FORM………………………………………………. 36 II.1. Khái niệm………………………………………………………………………… 36 II.2. Một số biện pháp khắc phục……………………………………………………... 38 III. THAO TÁC TRÊN COOKIE……………………………………………………… 39 III.1. Khái niệm ………………………………………………………………………. 39 III.2. Một số biện pháp khắc phục…………………………………………………….. 40 IV. THAO TÁC TRONG HTTP HEADER ...