BÁO CÁO MÔN KIỂM CHỨNG PHẦN MỀM CHỦ ĐỀ : KIỂM TRA AN NINH WEB
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (438.53 KB, 29 trang )
SOFTWARE TESTING
Đại học Quốc Gia Tp.HCM
Trường ĐH Công Nghệ Thông Tin
Giảng Viên: Nguyễn Đăng Khoa
1.Lê Chánh Tín 09520306
2.Lê Minh Thiện 09520284
3.Ngô Văn Vàng 09520452
4.Lê Phạm Minh Thông 09520288
5.Nguyễn Phát Tài 09520258
6.Nguyễn Quốc Thịnh 09520285
KIỂM TRA AN NINH WEB
Giới thiệu bảo mật và mục tiêu bảo mật
Cơ chế tấn công và ý đồ tấn công
Các giải pháp bảo mật cơ bản
Các lỗ hổng và sự tấn công phổ biến
Mục đích kiểm tra và bảo mật
Kiểm tra bảo mật
Xem xét các kiểm tra khác
NỘI DUNG
∗
Bảo mật là gì ?
GIỚI THIỆU BẢO MẬT
Nguồn gốc phổ biến của các mối đe dọa an ninh
•
Phần cứng, phần mềm bị lỗi
•
Lỗi của con người
•
Môi trường vật lý bảo mật kém, thiên tai, nguồn năng lượng hỏng hóc
MỤC ĐÍCH BẢO MẬT
Bảo vệ bản thân khỏi những mối nguy hại:
•
Bảo vệ dữ liệu (tính toàn vẹn, tính bảo mật, đảm bảo các
thông tin cá nhân, tính sẵn có)
•
Bảo vệ tài nguyên hệ thống
MỤC ĐÍCH BẢO MẬT
Thu thập thông
tin
•
Tìm kiếm thông tin về hệ thống
•
Tìm kiếm lỗ hổng ,cấu hình hệ thống, các phần mềm sử dụng
Quét
•
Tiếp tục quá trình thu thập
•
Giả định thử nghiệm về hệ thống
Tấn công
•
Quá trình hoạt động xâm nhập diễn ra
•
Cố gắng truy cập máy chủ, bẻ khóa, chạy truy vấn trên hệ thống mục tiêu
CƠ CHẾ MỘT CUỘC TẤN CÔNG
Để ăn cắp thông tin
Để làm gián đoạn hệ thống
Để gây rắc rối
Để chơi cho vui
Ý ĐỒ TẤN CÔNG
Chiến lược đào tạo con người, chính sách của công ty an ninh,
phản hồi từ doanh nghiệp
Chiến lược đào tạo con người, chính sách của công ty an ninh,
phản hồi từ doanh nghiệp
Xác thực và ủy quyền
Xác thực và ủy quyền
Công nghệ bảo mật web khác
Công nghệ bảo mật web khác
Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện
xâm phạm
Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện
xâm phạm
GIẢI PHÁP BẢO MẬT CƠ BẢN
∗
Đào tạo con người
∗
Chính sách của công ty an ninh
∗
Phản hồi từ doanh nghiệp
GIẢI PHÁP BẢO MẬT CƠ BẢN
∗
Xác Thực Và Ủy Quyền
Mật khẩu
Chứng thực giữa các thành phần và ứng dụng
Mật mã hóa
GIẢI PHÁP BẢO MẬT CƠ BẢN
∗
Công Nghệ Bảo Mật Web Khác
Tăng cường an toàn Hypertext Transport
IP Security (IPSec).
Secure Sockets Layer (SSL)
GIẢI PHÁP BẢO MẬT CƠ BẢN
∗
Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát
hiện xâm phạm
Tường lửa, tường lửa dựa trên proxy
Thiết lập DMZ
Hệ thống phát hiện xâm nhập IDS
GIẢI PHÁP BẢO MẬT CƠ BẢN
Các Lỗ Hổng Phổ Biến:
Tràn bộ đệm
JavaScrip
Cookies
Spoofing
Các chương trình CGI
NHỮNG LỖ HỔNG VÀ SỰ TẤN CÔNG PHỔ BIẾN
∗
Các chương trình độc hại:
Virus
Worm
Trojan Horse
NHỮNG LỖ HỔNG VÀ SỰ TẤN CÔNG PHỔ BIẾN
∗
Các Tấn Công Cơ Bản:
Tấn công bằng cách lợi dụng đặc quyền truy cập
Password cracking (bẻ mật khẩu)
Tấn công bằng cách từ chối dịch vụ
Các cuộc tấn công vật lý
Rò rỉ thông tin
Tấn công mạng
NHỮNG LỖ HỔNG VÀSỰ TẤN CÔNG PHỔ BIẾN
Một nhóm bảo mật bao gồm:
∗
Nhà hoạch định chính sách.
∗
Quản trị mạng.
∗
Nhà thiết kế phần mềm
∗
Kiểm tra phần mềm
∗
Chuyên gia an ninh va tư vấn.
MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM
Trách Nhiệm Kiểm Tra:
∗
Kiểm tra việc thi hành bảo mật.
∗
Kiểm tra yêu cầu và thiết kế.
∗
Kiểm tra mã và lập trình.
∗
Kiểm tra xâm nhập.
∗
Kiểm tra thông tin đăng nhập và cảnh báo hoạt động đáng ngờ.
∗
Kiểm tra tương tác với các thành phần bên thứ 3 và các lỗ hỏng trọng tâm.
∗
Kiểm tra việc triển khai.
MỤC ĐÍCH KIỂM TRA VÀ TRÁCH NHIỆM
∗
Kiểm tra yêu cầu và thiết kế
∗
Kiểm tra mã ứng dụng
∗
Kiểm tra rò rỉ thông tin
∗
Kiểm tra việc sử dụng GET và POST
∗
Kiểm tra lỗi tràn bộ nhớ đệm
∗
Kiểm tra dữ liệu xấu
∗
Kiểm tra mở rộng
KIỂM TRA BẢO MẬT
Kiểm tra yêu cầu và thiết kế:
∗
Yêu cầu là quan trọng.
∗
Cơ sở tính toán tin cậy.
∗
Kiểm soát truy cập.
∗
Tại sao cần bảo vệ tài nguyên.
KIỂM TRA BẢO MẬT
∗
Kiểm tra mã ứng dụng
Backdoors
Ngoại lệ và các thông báo
Kiểm tra ID và Password
KIỂM TRA BẢO MẬT
Kiểm tra
rò rỉ thông tin
KIỂM TRA BẢO MẬT
∗
Kiểm tra sử dụng GET và POST
∗
Tấn công sử dụng tham số giả mạo
KIỂM TRA BẢO MẬT
∗
Kiểm tra lỗi tràn bộ nhớ đệm
KIỂM TRA BẢO MẬT
∗
Kiểm tra dữ liệu xấu
KIỂM TRA BẢO MẬT
