Tiểu luận môn kiểm chứng phần mềm WEB SECURITY TESTING
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (785.06 KB, 15 trang )
4/8/15
1
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
GVHD: Ths. Nguyễn Công Hoan
Ngày 11 tháng 06 năm 2013
Nhóm thực hiện:
•
Trần Đức Yên 10520203
•
Lê Tuấn Anh 10520211
•
Đào Xuân Hiển 10520212
KIỂM CHỨNG PHẨN MỀM
WEB SECURITY
TESTING
1
•
Gi i thi u & M c tiêu.ớ ệ ụ
2
•
Web security & Network security & Firewalls
3
•
Đ ng c và Nguyên nhân.ộ ơ
4
•
Test web security c n test nh ng gì?ầ ữ
5
•
Demo SQL INJECTION,Keylog.
4/8/15
2
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
NỘI DUNG
4/8/15
3
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
GIỚI THIỆU
4/8/15
4
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
GIỚI THIỆU
M t s th ng kê gây s c khác:ộ ố ố ố
- Ông Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng
Trung tâm BKAV cho biết: "86% vụ tấn công mạng ở Việt Nam
là do các hacker nước ngoài.
- 2/3 người trở thành dùng thiết bị di động để truy cập
internet. Điều này dẫn đến số lượng lỗ hổng trên điện thoại tăng gấp
đôi mỗi năm.
- Trong năm 2011, cứ 10 người sử dụng mạng xã hội thì 4 người là
nạn nhân của hacker (đánh cắp tài khoản, phát tán mã độc ).
- 35% người dùng từng mất điện thoại hoặc máy tính bảng. Và 2/3
trong số này không cài đặt bất kỳ giải pháp bảo mật nào cho thiết bị
của mình.
- 44% người dùng không biết đến các giải pháp an ninh cho thiết bị di
động.
- Một hệ thống dựa trên Web an toàn 100 % là
không tồn tại.
- Sự cân bằng bảo mật bao gồm thỏa hiệp giữa bảo mật và khả năng sử
dụng các chức năng
- Nó đòi h i m t s k t h p c a các ki n th c v công ngh b o ỏ ộ ự ế ợ ủ ế ứ ề ệ ả
m t, công ngh m ng, l p trình, và s th ng xuyên, kinh ậ ệ ạ ậ ự ườ
nghi m th c t trong vi c thâm nh p an toàn c a h th ng ệ ự ế ệ ậ ủ ệ ố
m ng.ạ
4/8/15
5
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
GIỚI THIỆU
Trách nhiệm kiểm tra hệ thống để phát hiện ra chức năng,
khả năng tương thích, hình trạng, và các lỗi tương thích,
có liên quan đến thực hiện bảo mật và các vấn đề tiềm
năng đã được giới thiệu bởi lỗi trong thiết kế bảo mật .
Xác định các mục tiêu an ninh và
trách nhiệm và cung cấp một giới
thiệu về công nghệ bảo mật web.
Bảo mật trong thế
giới vật chất về cơ
bản là khác bảo mật
trong thế giới kỹ
thuật số
4/8/15
6
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Mục Đích
4/8/15
7
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Hi u rõ m c đí ch thông qua ể ụ
phân tích đ ng c t n côngộ ơ ấ
Để lấy trộm:
o
Tiền bạc
o
Thông tin
o
Sở hữu trí tuệ
Gián đoạn các hoạt động
Gây khó khăn, rắc rối
Chơi và niềm vui
Một số động cơ phổ biến:
4/8/15
8
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Thông thường, các mối đe dọa bảo mật đến từ một hoặc nhiều
trong những nơi sau:
•
Lỗi hoặc failure(thất bại, sai sót) của phần cứng và phần mềm.
•
Lỗi hoặc sai sót của người(người làm).
•
Environmental failures(ảnh hưởng của môi trường), chẳng hạn
như bảo mật kém cho các môi trường vật lí, mất điện thiên tai.
•
Thay đổi khi hệ thống đang thực hiện.
Nguyên nhân
4/8/15
9
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Nh p URL không h p lậ ợ ệ
4/8/15
10
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Đưa ra các chiến lược phát triển, quy trình bảo trì và
đào tạo kỹ năng cho nhân viên
Xác thực và ủy quyền
( đặt password, mã hóa thông tin … )
Sử dụng công nghệ bảo mật
Các gi i pháp b o m t c b nả ả ậ ơ ả
- Xây dựng một
hệ thống phòng
thủ
- Chặn truy cập
và hoạt động
không mong
muốn
- Cho phép truy
cập hợp pháp
- Cho phép cổng
80 và cổng 443
truy cập.
- Tuân thủ theo các
quy tắc
- Không phân
tích lưu lượng
web
4/8/15
11
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
1 số công nghệ bảo mật
4/8/15
12
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Kiểm tra các yêu cầu và thiết kế
Kiểm tra mã ứng dụng
Kiểm tra mã của bên thứ 3
Kiểm tra việc triển khai
Thử nghiệm xâm nhập
Thử nghiệm bảo vệ người dùng thông qua cài đặt
trình duyệt
Ki m tra b o m t g mể ả ậ ồ
4/8/15
13
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Ki m tra b o m t cho web ể ả ậ
Phân quyền (các vai trò và danh sách quyền tương ứng)
Độ an toàn của mạng (Network Scanning)
Rà soát các lỗ hổng tiềm ẩn (Vulnerability Scanning)
Phát hiện các khả năng ăn trộm/bẻ gãy mật khẩu (Password
Cracking)
Phát hiện lỗ hổng bảo mật từ các bản ghi log (Firewall log,
IDS log, Server log, )
Kiểm tra tính toàn vẹn của hệ thống File (File Integrity
Checkers
Dò tìm và phát hiện virus (virus director)
War Dialling
4/8/15
14
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Demo
SQL Injection là một kĩ thuật cho phép những kẻ tấn công thi
hành các câu lệnh truy vấn SQL bất hợp pháp bằng cách lợi dụng lỗ
hổng trong việc kiểm tra dữ liệu nhập từ các ứng dụng web. Hậu quả
này rất tai hại vì nó cho phép kẻ tấn công có toàn quyền, hiệu chỉnh
trên cơ sở dữ liệu của ứng dụng. Lỗi này thường xảy ra trên các ứng
dụng web có dữ liệu được quản lí bằng các hệ quản trị CSDL như SQL
Server, Oracle, DB2, Sysbase. Công cụ dùng để tấn công là một trình
duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, …
4/8/15
15
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
