BỘ GIÁO DỤC VÀ ĐÀO TẠO

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

Báo cáo BTL-Nhóm 4

Đề tài: Các biện pháp bảo mật máy chủ web, ứng dụng web
và trình duyệt web.Demo chiếm phiên làm việc của người
dùng web.

Giảng Viên : Hoàng Xuân Dậu
Sinh Viên Báo Cáo : Hoàng Tiến Hảo
Hoàng Huy Hoàng
Nguyễn Văn Hùng
Phạm Duy Hùng
Nguyễn Văn Hưng

HÀ NỘI – 2017
1|Page


Danh sách thành viên nhóm
STT
1
2
3
4
5

2|Page

Tên
Hoàng Tiến Hảo
Hoàng Huy Hoàng
Nguyễn Văn Hùng
Phạm Duy Hùng
Nguyễn Văn Hưng

Mã sinh viên
B14DCAT030
B14DCAT039
B14DCAT032
B14DCAT051
B14DCAT077

Ghi chú

Nhóm trưởng


Mục Lục
Danh sách thành viên nhóm .......................................................................................................................... 2
Mục Lục ........................................................................................................................................................ 3
1.Giới thiệu ................................................................................................................................................... 5
2.Bảo mật trình duyệt web ............................................................................................................................ 6
2.1.Giới thiệu trình duyệt web. ................................................................................................................. 6
2.2.Kiến trúc của trình duyệt..................................................................................................................... 6
2.3.Tại sao trình duyệt web lại quan trọng ? ............................................................................................. 7

2.4.Các nguy cơ có thể gặp đối với trình duyệt web. ................................................................................ 7
2.5.Mục đích tấn công trình duyệt. ........................................................................................................... 7
2.6.Các biện pháp bảo mật đối với trình duyệt ......................................................................................... 7
2.6.1Cài đặt các trình anti virus ............................................................................................................ 8
2.6.2Đừng bao giờ click vào các pop-up hay các cảnh báo virus xuất hiện trên trình duyệt. ............... 8
2.6.3Tăng cường cho trình duyệt .......................................................................................................... 8
3.Bảo mật máy chủ web ................................................................................................................................ 9
3.1.Giới thiệu máy chủ web ...................................................................................................................... 9
3.2.Các lỗ hổng trong cấu hình máy chủ và phần mềm máy chủ web .................................................... 10
3.2.1.Các lỗ hổng trong cấu hình máy chủ web. ................................................................................. 10
3.2.2.Các lỗ hổng trong phần mềm máy chủ web ............................................................................... 10
3.3.Biện pháp bảo mật đối với máy chủ web .......................................................................................... 11
3.3.1. Gỡ bỏ các dịch vụ không cần thiết. ........................................................................................... 11
3.3.2.Truy cập từ xa ............................................................................................................................ 11
3.3.3.Độc lập giữa các môi trường phát triển, kiểm thử và thương mại ............................................. 11
3.3.4.Phân vùng tập tin ứng dụng web và tập tin máy chủ web .......................................................... 11
3.3.5.Quyền và đặc quyền ................................................................................................................... 11
3.3.6.Cài đặt tất các các gói bảo mật mới nhất.................................................................................... 12
3.3.7.Giám sát và kiểm tra máy chủ .................................................................................................... 12
3.3.8.Sử dụng tài khoản. ..................................................................................................................... 12
3.3.9.Loại bỏ tất cả các modules và ứng dụng mở rộng không sử dụng ............................................. 12
3.3.10.Sử dụng công cụ bảo mật đối với phần mềm máy chủ web ..................................................... 12
3.3.11.Cập nhật thông tin .................................................................................................................... 12
3.3.12.Sử dụng máy quét .................................................................................................................... 12
4.Bảo mật ứng dụng web ............................................................................................................................ 13
4.1.Giới thiệu ứng dụng web................................................................................................................... 13
4.1.1.Kiến trúc của ứng dụng web: ..................................................................................................... 13
3|Page



4.1.2.Mô hình hoạt động của một ứng dụng web................................................................................ 14
4.2.Tại sao bảo mật ứng dụng web lại quan trọng ? ............................................................................... 14
4.3.Các nguy cơ bảo mật đối với ứng dụng web ..................................................................................... 14
4.4.Nguyên tắc của bảo mật ứng dụng web ............................................................................................ 15
4.5.Các biện pháp bảo mật ứng dụng web .............................................................................................. 15
4.5.1.Các đề xuất bảo mật ứng dụng web cơ bản: .............................................................................. 15
4.5.2.Chạy ứng dụng web với đặc quyền tối thiểu .............................................................................. 16
4.5.3.Xác định người dùng .................................................................................................................. 16
4.5.4.Bảo vệ chống lại dữ liệu đầu vào nguy hiểm ............................................................................. 16
4.5.5.Truy cập CSDL an toàn ............................................................................................................. 17
4.5.6.Tạo thông báo lỗi an toàn ........................................................................................................... 17
4.5.7.Đảm bảo các thông tin nhạy cảm an toàn. ................................................................................. 17
4.5.8.Sử dụng cookies an toàn ............................................................................................................ 17
4.5.9.Bảo vệ chống lại các mối đe dọa từ chối dịch vụ....................................................................... 17
5.Demo chiếm phiên làm việc..................................................................................................................... 18
6.Kết luận. ................................................................................................................................................... 18
7.Tài liệu tham khảo ................................................................................................................................... 18

4|Page


1.Giới thiệu
Mô hình hoạt động giữa trình duyệt, máy chủ và ứng dụng web

Quy trình hoạt động của quá trình truy cập web:
Khi người dùng thao tác trên trình duyệt (có thể là tìm kiếm, gửi tài liệu, download …), trình duyệt sẽ gửi
các yêu cầu này tới máy chủ web. Tại máy chủ web, các ứng dụng web tương ứng (gọi chung là dịch vụ
web) sẽ được sử dụng để thực hiện yêu cầu từ phía người dùng. Quá trình này có thể bao gồm các thao tác
truy vấn đến CSDL và sau đó gửi trả lại phía trình duyệt cho người dùng.
Nếu như thường xuyên đọc sách về chủ đề bảo mật web, có thể bạn sẽ không bao muốn giờ đăng nhập

vào máy tính nữa. Có vô số cách khiến thông tin cá nhân của bạn bị đánh cắp, chẳng hạn như máy tính bị
dính virus hoặc malware, hoặc đơn giản hơn như việc click vào 1 liên kết trên trang web hoặc email. Máy
tính bị nhiễm các phần mềm độc hại có thể chạy chậm, tự động tải các phần mềm không mong muốn khác
mà không có sự cho phép hoặc truy cập thông tin cá nhân của bạn.
Báo cáo dưới đây sẽ giúp bạn có cái nhìn tổng quan về hoạt động của các máy chủ web, trình duyệt và
ứng dụng web.Bên cạnh đó, báo cáo sẽ tập trung vào việc chỉ ra các nguy cơ mất an toàn và đặc biệt là
các giải pháp bảo mật đối với chúng.

5|Page


2.Bảo mật trình duyệt web
2.1.Giới thiệu trình duyệt web.
Trình duyệt web là một phần mềm ứng dụng cho phép người sử dụng xem và tương tác với các văn bản,
hình ảnh, đoạn phim, nhạc, trò chơi và các thông tin khác ở trên một trang web của một địa chỉ web trên
mạng toàn cầu hoặc mạng nội bộ. Văn bản và hình ảnh trên một trang web có thể chứa siêu liên kết tới
các trang web khác của cùng một địa chỉ web hoặc địa chỉ web khác. Trình duyệt web cho phép người sử
dụng truy cập các thông tin trên các trang web một cách nhanh chóng và dễ dàng thông qua các liên kết
đó. Trình duyệt web đọc định dạng HTML để hiển thị, do vậy một trang web có thể hiển thị khác nhau
trên các trình duyệt khác nhau.
Một số trình duyệt web thông dụng hiện nay:
1.
2.
3.
4.
5.

MS Internet Explorer (Cài sẵn trên các máy tính windown)
Google Chrome
Mozilla Firefox (Cài sẵn trên các máy tính chạy hdh lilux)

Opera
Apple Safari (Trình duyệt mặc định )

Ngoài các trình duyệt kể trên chúng ta còn có một số trình duyệt khác như Avant Browser, Maxthon,
Konqueror, Lynx, Flock, Arachne, Epiphany, K-Meleon, Midori và AOL Explorer nhưng chúng ít phổ
biến hơn.

2.2.Kiến trúc của trình duyệt

User interface : Giao diện tương tác giữa trình duyệt và người dùng, thường gồm có các thành phần như
menu quản lý, thanh địa chỉ, thanh công cụ, các tabs.

6|Page


Browser Engine : Thành phần trung gian chuyển đầu vào từ User Interface đến Redering Engine. Nó
chịu trách nhiệm truy vấn và xử lý Redering Engine theo các đầu vào từ các User Interface khác nhau
Redering Engine : Chịu trách nhiệm hiển thị nội dung được yêu cầu lên màn hình.
Networking : Chịu trách nhiệm thực hiện các lời gọi dịch vụ mạng, như gửi yêu cầu http đến máy chủ
web.
Java Script Interpreter : Chịu trách nhiệm diễn dịch và thực hiện mã JS trong trang web.
UI Backend : Có nhiệm vụ vẽ các đối tượng trên trình duyệt như cửa sổ, combo box, danh sách,...
Data Storage : Một CSDL cục bộ lưu trên máy cài trình duyệt có nhiệm vụ lưu các dữ liệu cho trình
duyệt hoạt động như là các files cache, Cookies, History,...

2.3.Tại sao trình duyệt web lại quan trọng ?
Ngày nay, trình duyệt web là một trong những phần mềm được sử dụng nhiều nhất trên máy tính. Mặc dù
trình duyệt chỉ có chức năng đơn giản là hiển thị các tài liệu văn bản, tìm kiếm, xem, sửa các tài liệu
video, âm thanh, hình ảnh hoặc một số tài liệu khác trên internet, nhưng không may, chính nó lại là một
trong các mục tiêu phổ biến của kẻ tấn công. Tin tặc có thể khai thác nó để cài đặt các phần mềm độc hại

vào máy tính một cách âm thầm, sửa lại hdh, quan trọng nhất là truy cập các tập tin bạn lưu trữ trên máy
tính.
Để dễ hình dung, bạn có thể coi máy tính là ngôi nhà của bạn, khi đó trình duyệt đóng vai trò là chiếc cửa
sổ. Thông qua trình duyệt- tức cửa số, bạn có thể nhìn thấy thế giới internet bên ngoài nhưng nếu chiếc
cửa sổ ấy không có các biện pháp bảo vệ đủ mạnh như khung sắt thì kẻ xấu có thể chui vào nhà và
khoắng sạch đồ đạc của bạn qua chiếc cửa sổ đó.

2.4.Các nguy cơ có thể gặp đối với trình duyệt web.
Trình duyệt có thể gặp các nguy cơ bảo mật từ nhiều phía, tự bản thân nó, người dùng hoặc hdh nền.
Dưới đây là các nguy cơ có thể gặp đối với trình duyệt:






HDH nhiễm mã độc chạy như một tiến trình nền và mã độc có thể đọc/ sửa đổi không
gian nhớ của trình duyệt trong chế độ đặc quyền.
Bản thân trình duyệt bị tấn công.
Các trình cắm(plug-in, add-on) của trình duyệt bị tấn công.
Giao tiếp mạng của trình duyệt có thể bị chặn bắt ở bên ngoài máy.
Nguy cơ từ các tính năng hỗ trợ.

2.5.Mục đích tấn công trình duyệt.
Trình duyệt web cung cấp cho chúng ta khả năng truy cập internet, nhưng nó cũng để lại một lỗ hổng cho
hệ thống của bạn. Lỗ hổng đó cho phép tin tặc đánh cắp thông tin cá nhân của bạn, hiển thị các quảng cáo
(pop-up), tiếp thị trên internet, theo dõi/ phân tích hoạt động duyệt web của bạn. Nguy hiểm hơn, thông
qua trình duyệt qqeb, tin tặc có thể cài đặt các phần mềm quảng cáo, virus, Trojan hay các công cụ khác
như clickjacking, likejacking


2.6.Các biện pháp bảo mật đối với trình duyệt
Để bảo mật trình duyệt của bạn, các chuyên gia khuyến cáo bạn nên thực hiện các bước sau để duyệt web
an toàn hơn.

7|Page


2.6.1Cài đặt các trình anti virus
Các trình diệt virus hoạt động theo thời gian thực giúp bảo vệ và hạn chế nguy cơ lây nhiễm mã độc tấn
công vào hẹ thống

2.6.2Đừng bao giờ click vào các pop-up hay các cảnh báo virus xuất hiện trên trình duyệt.
Các lỗ hổng của trình duyệt có xu hướng bị ảnh hưởng bởi 3 kênh sau: Chính trình duyệt, trình cắm thêm
cho trình duyệt, plug-in hay phần mở rộng, hoặc bản thân người dùng. Điều đó có nghĩa nếu các liên kết
mà người dùng click vào không đảm bảo an toàn là một trong những nguyên nhân gây nguy hại tro trình
duyệt. Nghiên cứu từ các chuyên gia bảo mật chỉ ra rằng, người dùng thường bị lừa bởi các cảnh báo bảo
mật xuất hiện trên trình duyệt dưới dạng pop-up hay cảnh báo, và khi người dùng click vào và nghĩ mình
đang thực hiện biện pháp bảo mật cho trình duyệt, trên thực tế họ đang tải về 1 virus.

2.6.3Tăng cường cho trình duyệt
Có những hành động tương đối đơn giản mà bạn có thể làm để làm mạnh hoặc cải thiện tính bảo mật của
trình duyệt và làm cho kẻ tấn công khó vượt qua. Mặc dù các bước này sẽ không làm cho trình duyệt an
toàn 100%, nhưng sẽ làm cho các cuộc tấn công vào nó trở nên khó khăn hơn nhiều. Cụ thể, chúng ta có
thể áp dụng các bước:
2.6.3.1.Cập nhật phiên bản mới nhất
Hành động đơn giản nhất bạn có thể tang tính bảo mật cho trình duyệt đó là nâng cấp lên phiên bản mới
nhất. Tất các các nhà cung cấp thường xuyên phát hành các bản vá, bản cập nhật cung cấp các chức năng
mới hoặc cải tiến các tính năng hiện có. Một số trình duyệt cũng bao gồm chức năng tự động cập nhật để
thông báo tới bạn bất cứ khi nào có phiên bản mới phát hành. Việc bạn cần làm đơn giản là bật chức năng
đó lên và thực hiện cập nhật ngay khi có thông báo.

2.6.3.2.Tùy chỉnh các cài đặt liên quan đến bảo mật
Hầu hết các trình duyệt đều cho phép bạn tùy chỉnh các liên quan tới bảo mật. Mặc dù có sự khác nhau
giữa các trình duyệt nhưng các bạn cần quan tâm đến một số điểm chính dưới đây.






Block reported attack / fake sites .Nếu có, hãy bật tính năng này để ngăn chặn việc truy cập các
trang web độc hại
Cookies : Vô hiệu hóa hoặc chỉ chấp nhận khi bạn truy cập một trang web tin cậy có yêu cầu
cookies
Pop-up windows và JavaScript : Ngăn chặn chế độ tự động, chỉ bật với các trang web tin cậy
và yêu cầu trình duyệt hỏi mỗi khi được bật
Camera / microphone : Ngăn chặn việc chạy tự động và yêu cầu trình duyệt hỏi mỗi khi muốn
bật Camera / microphone.
Plugins / add-ons : Ngăn chặn việc chạy tự động và yêu cầu trình duyệt hỏi mỗi khi muốn chạy
hoặc bật Plugins / add-ons

2.6.3.3.Sử dụng tài khoản giới hạn đặc quyền.
Nếu có thể, chỉ sử dụng trình duyệt web từ tài khoản người dùng giới hạn không có đặc quyền của quản
trị viên. Bằng cách đó, ngay cả khi phần mềm độc hại có thể vượt qua trình duyệt web và lây nhiễm vào
máy, nó sẽ có ít quyền tự do hơn để thao tác hệ thống.
2.6.3.4.Gỡ các plug- in không sử dụng/ thêm các plug-in cần thiết để nâng cao bảo mật
Hành động này giúp tinh chỉnh trình duyệt của bạn để được an toàn nhất. Các plug-in không dùng tới sẽ
bị gỡ bỏ, hạn chế nguy cơ từ tin tặc.
Một số plug-in an ninh:
8|Page







HTTPS Everywhere: cho phép luôn mở trang ở chế độ HTTPS (an toàn) nếu website có hỗ trợ.
Web of Trust: Công cụ đánh giá độ an toàn của 1 trang web
LongURL.org: Hiển thị URL đầy đủ ẩn sau các link

2.6.4.Một số biện pháp bảo mật khác
Bạn cũng có thể thực hiện các bước bảo mật máy tính của mình bằng các bước sau:





Sử dụng một giải pháp chống virus uy tín như BKAV internet security, F-Secure.
Sử dụng mạng riêng ảo VPN
Sử dụng công cụ tìm kiếm tập trung an toàn như F-Secure Search
Bật tường lửa

Bằng những cách này, bạn có thể xây dựng một rào cản “bảo vệ có chiều sâu” giúp máy tính không bị lạm
dụng hoặc tấn công

3.Bảo mật máy chủ web
3.1.Giới thiệu máy chủ web
Web Server (máy chủ Web): máy chủ mà trên đó cài đặt phần mềm chạy Website, đôi khi người ta cũng
gọi chính phần mềm đó là Web Server. Tất cả các Web Server đều hiểu và chạy được các file *.htm và
*.html, tuy nhiên mỗi Web Server lại phục vụ một số kiểu file chuyên biệt chẳng hạn như IIS của
Microsoft dành cho *.asp, *.aspx…; Apache dành cho *.php…; Sun Java System Web Server của SUN

dành cho *p…
Máy chủ Web là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân
hàng dữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác. (các mã
Script, các chương trình, và các file Multimedia)
Web Server có khả năng gửi đến máy khách những trang Web thông qua môi trường Internet (hoặc
Intranet) qua giao thức HTTP – giao thức được thiết kế để gửi các file đến trình duyệt Web (Web
Browser), và các giao thức khác.
Tất cả các Web Server đều có một địa chỉ IP (IP Address) hoặc cũng có thể có một Domain Name. Giả sử
khi bạn đánh vào thanh Address trên trình duyệt của bạn một dòng sau đó gõ phím
Enter bạn sẽ gửi một yêu cầu đến một Server có Domain Name là www.ptit.edu.vn . Server này sẽ tìm
trang Web có tên là index.htm rồi gửi nó đến trình duyệt của bạn.
Bất kỳ một máy tính – máy chủ nào cũng có thể trở thành một Web Server bằng cách cài đặt lên nó một
chương trình phần mềm Server và sau đó kết nối vào Internet.
Khi máy tính của bạn kết nối đến một Web Server và gửi đến yêu cầu truy cập các thông tin từ một trang
Web nào đó, Web Server Software sẽ nhận yêu cầu và gửi lại cho bạn những thông tin mà bạn mong
muốn.
Giống như những phần mềm khác mà bạn đã từng cài đặt trên máy tính của mình, Web Server Software
cũng chỉ là một ứng dụng phần mềm. Nó được cài đặt, và chạy trên máy tính – máy chủ dùng làm Web
Server, nhờ có chương trình này mà người sử dụng có thể truy cập đến các thông tin của trang Web từ
một máy tính khác ở trên mạng (Internet, Intranet).Web Server Software còn có thể được tích hợp với
CSDL (Database), hay điều khiển việc kết nối vào CSDL để có thể truy cập và kết xuất thông tin từ
CSDL lên các trang Web và truyền tải chúng đến người dùng.

9|Page


Một số máy chủ web thông dụng








Mozilla Apache web server
Microsoft Internet Information Services (IIS)
nginx (NGINX, Inc)
Google web services
IBM Websphere
Oracle web services

3.2.Các lỗ hổng trong cấu hình máy chủ và phần mềm máy chủ web
3.2.1.Các lỗ hổng trong cấu hình máy chủ web.
Cấu hình máy chủ web cho phép thiết lập các tùy chọn cho phép điều khiển hoạt động của máy chủ web.
Các điểm yếu/lỗ hổng trong cấu hình máy chủ web:






Các tài khoản quản trị ngầm định: Hầu hết máy chủ web đều có các tài khoản quản trị ngầm định
với mật khẩu yếu hoặc thậm chí không có mật khẩu.
Các nội dung ngầm định : Nhiều phần máy chủ web được xuất xưởng kèm theo các nội dung mặc
định, có thể là "đòn bẩy" giúp tin tặc tấn công máy chủ và các ứng dụng web
Liệt kê nội dung thư mục : Khi máy chủ web nhận được yêu cầu truy nhập là 1 thư mục, nếu
trong thư mục không tồn tại trang mặc định, máy chủ web có thể trả về danh sách files nếu cho
phép liệt kê thư mục. Do nhiều files/thư mục có thể được cấu hình quyền truy nhập không phù
hợp, việc cho phép duyệt nội dung thư mục, có thể giúp tin tặc tìm kiếm các thông tin hữu ích hỗ
trợ tấn công

Các phương thức nguy hiểm : Ngoài các phương thức chuẩn gồm GET và POST, máy chủ web
còn cung cấp một số phương thức "nguy hiểm" như:
PUT: cho phép tải các files lên máy chủ;
DELETE: cho phép xóa một tài nguyên (file/thư mục)
COPY: cho phép sao chép một tài nguyên
MOVE : cho phép chuyển vị trí một tài nguyên
SEARCH: cho phép tìm kiếm trên các file/thư mục.

3.2.2.Các lỗ hổng trong phần mềm máy chủ web
Các lỗ hổng tràn bộ đệm (Buffer Overflow Vulnerabilities):
Là một trong các lỗ hổng điển hình có mức nghiêm trọng rất cao. Cho phép tin tặc chèn và thực hiện mã
độc từ xa, có thể giúp tin tặc giành quyền điều khiển hệ thống.
Các lỗ hổng cho phép duyệt đường dẫn (Path Traversal Vulnerabilities):
Lỗ hổng dạng này thường xuất hiện khi các ứng dụng web thực hiện việc đọc/ghi vào hệ thống file dựa
trên các tham số do người dùng cung cấp. Nếu các thao tác đọc/ghi vào hệ thống file không được kiểm
soát chặt chẽ, nó sẽ tạo điều kiện cho tin tặc lợi dụng. Lỗ hổng có thể giúp tin tặc đánh cắp thông tin mật
khẩu, logs, các dữ liệu nhạy cảm; ghi đè lên các dữ liệu quan trọng. Trường hợp xấu nhất, tin tặc có thể
giành quyền kiểm soát cả ứng dụng web và hệ thống
Các lỗ hổng trong mã hóa và chuẩn hóa
Các máy chủ web thường sử dụng các kỹ thuật mã hóa (encoding) để mã hóa dữ liệu (như base64). Các
lỗi trong trong các bộ phận mã hóa và chuẩn hóa có thể tạo điều kiện cho tin tặc tấn công hệ thống
10 | P a g e


3.3.Biện pháp bảo mật đối với máy chủ web
Dưới đây là những nhiệm vụ cần làm để tang cường bảo mật cho máy chủ web:

3.3.1. Gỡ bỏ các dịch vụ không cần thiết.
Cấu hình mặc định của các phần mềm web server là không đảm bảo an toàn. Trong các cài đặt mặc định
điển hình, một số dịch vụ mạng không được sử dụng trong web server lại được cài đặt, chẳng hạn như

dịch vụ đăng kí từ xa, dịch vụ máy chủ máy in, RAS (Hiểu RAS là gì ?)…Có nhiều dịch vụ chạy trên hệ
điều hành dẫn đến có nhiều cổng được mở, do đó để lại nhiều cánh cửa cho kẻ xấu lợi dụng. Tắt tất cả các
dịch vụ không cần thiết và vô hiệu hóa chúng giúp chúng ta nâng cao khả năng bảo mật cũng như cải
thiện hiệu suất của máy chủ bằng cách giải phóng phần cứng.

3.3.2.Truy cập từ xa
Mặc dù hiện nay điều này không thực tế lắm, nhưng nếu có thể, người quản trị nên đăng nhập các máy
chủ web cục bộ. Nếu truy cập từ xa là cần thiết, cần phải đảm bảo các kết nối từ xa được đảm bảo đúng
cách bằng cách sử dụng các tunneling và các giao thức mã hóa.Sử dụng các tokens bảo mật hoặc đăng
nhập 1 lần trên các thiết bị hoặc phần mềm là một biện pháp bảo mật tốt trong thực tế. Truy cập từ xa
cũng nên giới hạn bởi một số địa chỉ IP và các tài khoản cụ thể. Một điều quan trọng nữa đó là không nên
sử dụng các máy tính hoặc mạng công cộng để truy nhập vào các máy chủ của công ty từ xa, chẳng hạn
như mạng internet tại các quán café hoặc wifi công cộng.

3.3.3.Độc lập giữa các môi trường phát triển, kiểm thử và thương mại
Thường thì việc phát triển các phiên bản mới của ứng dụng web sẽ trở nên đơn giản và nhanh hơn đối với
các nhà phát triển nếu quá trình phát triển, kiểm thử này được thực hiện ngay trên các máy chủ của chính
nó. Có một cách phổ biến để tìm các phiên bản mới hơn của ứng dụng web hoặc một số nội dung không
công khai là trong các thư mục như test/ new/ hoặc các thư mục con tương tự. Bởi các ứng dụng đang ở
giai đoạn đầu phát triển. chúng thường tồn tại nhiều lỗ hổng như thiếu xác thực đầu vào hoặc không xử lý
các ngoại lệ. Các ứng dụng như vậy có thể dễ dàng được phát hiện và khai thác bởi kẻ xấu bằng cách sử
dụng các công cụ miễn phí có sẵn trên internet.
Để dễ dàng phát triển và thử nghiệm các ứng dụng web, các nhà phát triển thường tạo các ứng dụng con
có toàn quyền truy cập vào ứng dụng web, csdl và các tài nguyên máy chủ khác. Những ứng dụng đó chỉ
đóng vai trò kiểm tra và dành cho các nhà phát triển nên sẽ không có bất kì hạn chế nào. Như đã nói ở
trên, nếu ứng dụng web được phát triển trực tiếp trên chính máy chủ thương mại của nó, kẻ xấu có thể lợi
dụng để truy cập vào hệ thống.
Lời khuyên cho các nhà phát triển ứng dụng web là luôn phát triển và thử nghiệm các ứng dụng web tren
các máy chủ local và không nên kết nối với csdl thực tế.


3.3.4.Phân vùng tập tin ứng dụng web và tập tin máy chủ web
Các tập tin và tập lệnh trên ứng dụng web phải luôn nằm trên một phân vùng riêng biệt hoặc ổ đĩa khác
với hệ điều hành, log và các tệp hệ thống khác. Kinh nghiệm thực tế chỉ ra rằng tin tặc có quyền truy cập
vào thư mục gốc của web ó thể khai thác các lỗ hổng khác và có thể leo thang đặ quyền của họ để truy
cập dữ liệu trên toàn bộ ổ đĩa, hệ thống và các tập tin hệ thống khác. Từ đó, tin tặc có thể truy cập để thực
hiện bất kì lệnh hdh dẫn đến kiểm soát hoàn toàn máy chủ web.

3.3.5.Quyền và đặc quyền
Quyền truy cập file và dịch vụ mạng đóng vai trò quan trọng trong bảo mật máy chủ web. Nếu một máy
chủ web bị xâm nhập qua phần mềm dịch vụ mạng, kẻ xấu có thể sử dụng tài khoản mà dịch vụ mạng
đang chạy để thực hiện các tác vụ hoặc các tập tin cụ thể. Do đó, điều quan trọng là chỉ gán các đặc quyền
11 | P a g e


tối thiểu cho một dịch vụ mạng cụ thể.(Tìm hiểu thêm) Một điều quan trọng nữa đó là gán quyền tối thiểu
cho người dùng ẩn danh như chỉ cho phép truy cập trang web, tệp ứng dụng web, dữ liệu cơ bản và các dữ
liệu phụ trợ.

3.3.6.Cài đặt tất các các gói bảo mật mới nhất.
Mặc dù đã cập nhật tất cả các bản vá cho máy chủ hoặc phần mềm không có nghĩa là hệ thống của bạn
được bảo mật tuyệt đối, nhưng việc cập nhật thường xuyên đối với hệ điều hành hoặc các phần mềm chạy
trên nó vẫn rất quan trọng. Ngày nay, vẫn có nhiều cuộc tấn công diễn ra do hacker lợi dụng các lỗ hổng
trên các máy chủ hoặc phần mềm chưa được vá.

3.3.7.Giám sát và kiểm tra máy chủ
Tất cả các bản ghi nhật kí có trong một máy chủ web nên được lưu trữ trong một khu vực riêng biệt. Tất
cả các bản ghi nhật kí dịch vụ mạng, nhật kí truy cập trang web, nhật kí máy chủ csdl, nhật kí hdh phải
được theo dõi và kiểm tra thường xuyên. Các tệp nhật kí có thể cung cấp thông tin về một cuộc tấn công
gần đây, nhưng hầu hết đều bị bỏ qua. Nếu theo dõi nhật kí và phát hiện các hành vi bất thường, chúng ta
cần thực hiện điều tra ngay lập tức.


3.3.8.an toàn trong sử dụng tài khoản.
Những tài khoản mặc định được tạo ra trong quá trình cài đặt hdh hoặc phần mềm nếu không được sử
dụng cần phải vô hiệu hóa hoặc thay đổi các đặc quyền sao cho đảm bảo yêu cầu đặc quyền tối thiểu. Tài
khoản quản trị viên cũng nên được đổi tên và không được sử dụng chung với người dùng gốc. Mỗi quản
trị viên truy cập máy chủ web cần có tk riêng của mình với các quyền tương ứng. Đây cũng là biện pháp
bảo mật tốt để tránh chia sẻ tài khoản người dùng của nhau.

3.3.9.Loại bỏ tất cả các modules và ứng dụng mở rộng không sử dụng
Cài đặt máy chủ Apache mặc định có một số modules được kích hoạt trước mà các máy chủ web điển
hình không được sử dụng, trừ các trường hợp đặc biệt. Tắt các modules này để ngăn chặn các tấn công
nhằm vào mục tiêu chống lại các modules đó.
Tương tự với máy chủ web của Microsoft. Mặc định, IIS được cấu hình để phục vụ một số lượng lớn các
loại ứng dụng, vd như ASP, ASP.NET … Danh sách các phần ứng dụng mở rộng chỉ nên chứa một danh
sách các phần mở rộng hoặc ứng dụng mà trang web sẽ sử dụng.

3.3.10.Sử dụng công cụ bảo mật đối với phần mềm máy chủ web
Microsof có phát hành một số các công cụ giúp các nhà quản trị bảo vệ máy chủ web IIS, chẳng hạn như
URL scan. Ngoài ra còn có 1 modules tên là mod-security dành cho Apache. Mặc dù cấu hình công cụ
bảo mật rất nhàm chán, đôi khi là mất thời gian, nhất là đối với các ứng dụng web cá nhân, nhưng điều đó
giúp tang thêm bảo mật và khiến chúng ta cảm thấy an tâm hơn.

3.3.11.Cập nhật thông tin
Ngày nay, thông tin và lời khuyên về phần mềm hay hệ điều hành đang được sử dụng có thể tìm thấy dễ
dàng trên internet. Điều quan trọng là luôn cập nhật thông tin và tìm hiểu về các cuộc tấn công, các công
cụ mới bằng cách đọc các tạp chí liên quan đến bảo mật, diễn đàn hoặc bất cứ nguồn nào khác.

3.3.12.Sử dụng máy quét
Máy quét là công cụ tiện dụng giúp bạn thực hiện một cách tự động hóa và giảm bớt quá trình bảo mật
máy chủ web, ứng dụng web. Acunetix Web Vulnerability Scanner là một máy quét cổng. Khi được kích

hoạt, phần mềm sẽ quét cổng máy chủ web lưu trữ các ứng dụng web đang được quét. Tương tự như quét
bảo mật mạng, Acunetix sẽ khởi chạy một số kiểm tra an ninh mạng đối với các cổng mở và các dịch vụ
mạng chạy trên máy chủ web. Nó đảm bảo an toàn cho trang web và máy chủ web của bạn bằng cách
12 | P a g e


kiểm tra SQL Injextion, Cross-Site Scripting, các vấn đề cấu hình máy chủ và các lỗ hổng khác. Nó kiểm
tra độ mạnh mật khẩu trên các trang xác thực, nội dung web 2.0 động và các ứng dụng web khác. Khi quá
trình hoàn tất, phần mềm sẽ tạo ra các báo cáo chi tiết xác định những nơi dễ bị tổn thương và thông báo
cho người dùng.

4.Bảo mật ứng dụng web
4.1.Giới thiệu ứng dụng web.
Ứng dụng web là một ứng dụng client/ server sử dụng giao thức HTTP để tương tác với người dùng hay
hệ thống khác.
Client dành cho người dùng thường là một trình duyệt, có thể là một chương trình đóng vai trò đại lý
người dùng hoạt động như một trình duyệt tự động. Người dùng gửi và nhận các thông tin từ máy chủ
bằng cách tác đọng vào trang web. Các chương trình có thể là các trang trao đổi mua bán, các diễn đàn,
gửi nhận email…

4.1.1.Kiến trúc của ứng dụng web:

Web application sử dụng 1 cấu trúc đơn giản, bao gồm 3 lớp:
Lớp trình bày: Lớp này có nhiệm vụ hiển thị dữ liệu cho người dùng, ngoài ra còn có thể thêm các ứng
dụng tạo bố cục cho trang web.
Lớp ứng dụng: Là nơi xử lý của ứng dụng web. Tại đây xử lý thông tin người dùng yêu cầu, đưa ra kết
quả và gửi đến “lớp trình bày “. Lớp này thường được cài đặt bằng các ngôn ngữ lập trình như CGI, Java,
.NET, PHP và được triển khai trên các máy chủ như Apache, IIS …
Lớp dữ liệu: Thường là các hệ quản trị dữ liệu, chịu trách nhiệm quản lý các file dữ liệu và quyền truy
cập.


13 | P a g e


4.1.2.Mô hình hoạt động của một ứng dụng web

Mô tả:
Mỗi khi bạn khởi động trình duyệt và kết nối vào website, nghĩa là bạn đã sử dụng 1 hoặc nhiều ứng dụng
web. Đầu tiên, trình duyệt sẽ gửi một yêu cầu đến máy chủ web thông qua các phương thức GET/
POST… của giao thức HTTP. Máy chủ lúc này có thể cho phép thực thi một chương trình được xây dựng
từ nhiều ngôn ngữ như perl, C/C++ … hoặc máy chủ yêu cầu thực thi các trang ASP, JSP …theo yêu cầu
của trình duyệt. Tùy theo các tác vụ cần xử lý, chương trình sẽ tính toán, kết nối đến csdl, lưu trữ hoặc lấy
các thông tin vaf trả về trình duyệt của client. . Việc chấp nhận các tính toán từ client làm giảm đáng kể
mã nguồn yêu cầu cho các thiết bị đầu cuối. Với các ứng dụng web, phần lớn các tiến trình diễn ra trên
sever và gửi tới các website từ xa.

4.2.Tại sao bảo mật ứng dụng web lại quan trọng ?
Một cuộc khảo sát gần đây về thực hành bảo mật từ Fortune đối với 1000 công ty đã chỉ ra rằng ưu tiên sử
dụng số một cho bảo mật IT của họ là firewalls network.Giả sử, bạn cho rằng cách duy nhất khiến các
công ty bị tấn công là xuyên qua các cổng mở trong mạng. Thực tế, nếu bạn đồng ý với điều đó, bạn hoàn
toàn sai lầm. Cách đầu tiên khiến 1000 công ti trong khảo sát và bất kì tổ chức khác ở bất kì quy mô nào
bị tấn công là thông qua các ứng dụng web.
Làm thế nào mà các ứng dụng web lại thường xuyên bị tấn công ? Thám mã quy mô lớn cho thấy có đến
70% các cuộc tấn công là nhằm vào các ứng dụng web.
Không một cuộc tấn công nào có thể bị chặn bởi tường lửa.Nhưng ngân sách cho IT vẫn tập trung cho các
hệ thống phòng thủ firewall.Đó là một điều khó hiểu, khi mà firewalls network là vô ích để ngăn chặn các
cuộc tấn công vào ứng dụng web. Bạn không thể sử dụng tường lửa để đóng các cổng mà ứng dụng web
yêu cầu, bởi sau đó, sẽ không ai có thể truy cập được web site của bạn nữa. Các tổ chức sử dụng hang
triệu dola mỗi năm cho việc quảng cáo để mời mọi người ghé thăm trang của họ, và họ chắc chắn không
thể đóng chúng với tường lửa.


4.3.Các nguy cơ bảo mật đối với ứng dụng web
Dưới đây là danh sách 10 nguy cơ và lỗ hổng bảo mật hàng đầu trong các ứng dụng Web theo OWASP
(2013):

14 | P a g e













Injection (Chèn mã)
XSS – Cross-Site Scripting
Xác thực yếu và vấn đề trong quản lý phiên
Tham chiếu các đối tượng trực tiếp không an toàn
CSRF – Cross-Site Request Fogery
Lỗi cấu hình an ninh
Lưu trữ các tham số mã hóa không an toàn
Không hạn chế truy nhập các URL nội bộ
Thiếu cơ chế bảo vệ ở tầng vận chuyển
Không kiểm tra các địa chỉ URL redirect và chuyển tiếp


4.4.Nguyên tắc của bảo mật ứng dụng web
Áp dụng nguyên tắc phòng vệ nhiều lớp, có chiều sâu (Defence in depth):
Lớp bảo mật mạng (Network) :Các ứng dụng web cần hạ tầng mạng an toàn cho giao tiếp giữa máy chủ
và máy khách.Các thiết bị mạng như Switch, Router, Firewall, IPS/IDS cần được cài đặt và cấu hình theo
chuẩn, đảm bảo an toàn:
Lớp bảo mật máy chủ (Host) :Các yếu tố cần đảm bảo bảo mật trong lớp bảo mật máy chủ bao gồm hệ
điều hành, hệ csdl và các phần mềm/ dịch vụ hệ thống
Lớp bảo mật ứng dụng (Application) : Cần đảm bảo các yếu tố về








Xác thực/trao quyền
Cấu hình
Kiểm tra dữ liệu đầu vào
Quản lý phiên làm việc
Mã hóa dữ liệu
Quản lý các ngoại lệ
Ghi logs

4.5.Các biện pháp bảo mật ứng dụng web
4.5.1.Các đề xuất bảo mật ứng dụng web cơ bản:












Ngay cả những ứng dụng bảo mật phức tạp nhất cũng có thể thất bại nếu tin tặc có thể sử dụng
những cách đơn giản để truy cập vào máy tính của bạn. Bạn cần thực hiện các nguyên tắc sau:
Sao lưu dữ liệu thường xuyên và giữ an toàn cho dữ liệu sao lưu
Giữ cho máy tính của máy chủ Web an toàn về mặt vật lý để người dùng trái phép không thể truy
cập vào nó, tắt máy hoặc lấy nó.
Sử dụng hệ thống tệp Windows NTFS chứ không phải FAT32. NTFS cung cấp bảo mật đáng kể
hơn FAT32.
Bảo mật máy tính Web server và tất cả các máy tính trên cùng một mạng với mật khẩu mạnh.
Đóng các cổng không sử dụng và tắt các dịch vụ không sử dụng.
Chạy trình kiểm tra vi rút để theo dõi lưu lượng truy cập trong và ngoài nước.
Thiết lập và thực thi chính sách ngăn cấm người dùng lưu giữ mật khẩu của họ tại một vị trí dễ
tìm.
Sử dụng tường lửa.
Cài đặt bản vá lỗi bảo mật mới nhất từ Microsoft và các nhà cung cấp khác.

15 | P a g e




Ghi log sự kiện đăng nhập và kiểm tra các bản ghi thường xuyên cho các hoạt động đáng ngờ.
Điều này bao gồm các nỗ lực lặp lại để đăng nhập vào hệ thống của bạn và một số lượng rất lớn
các yêu cầu đối với máy chủ Web của bạn.


4.5.2.Chạy ứng dụng web với đặc quyền tối thiểu
Khi ứng dụng khởi động, nó chạy trong một ngữ cảnh có đặc quyền cụ thể trên máy tính cục bộ hoặc trên
các máy tính từ xa. Để chạy với các đặc quyền ít nhất, hãy làm theo các nguyên tắc sau:
Không chạy ứng dụng của bạn với danh tính của người dùng hệ thống (quản trị viên).
Chạy ứng dụng trong ngữ cảnh của một người dùng với các đặc quyền thực tế tối thiểu.
Thiết lập quyền (Access Control Lists hoặc ACLs) trên tất cả các tài nguyên cần thiết cho ứng dụng của
bạn. Sử dụng cài đặt đặc quyền tối thiểu.
Giữ các tệp cho ứng dụng Web của bạn trong một thư mục bên dưới thư mục gốc. Không cho phép người
dùng tùy chọn chỉ định đường dẫn cho bất kỳ quyền truy cập tệp nào trong ứng dụng của bạn. Điều này
giúp ngăn người dùng truy cập vào thư mục gốc của máy chủ của bạn.

4.5.3.Xác định người dùng
Trong nhiều ứng dụng, người dùng truy cập trang web một cách ẩn danh. Nếu ứng dụng không có thiết
lập hạn chế, vậy, ứng dụng của bạn truy cập tài nguyên bằng cách chạy trong vai trò của một người dùng
được xác định trước. Để hạn chế quyền truy cập vào người dùng được xác thực, hãy thực hiện theo các
nguyên tắc sau:
Nếu ứng dụng của bạn là một ứng dụng mạng nội bộ, hãy cấu hình nó để sử dụng bảo mật tích hợp của
Windows. Bằng cách đó, các thông tin đăng nhập của người dùng có thể được sử dụng để truy cập tài
nguyên.
Nếu bạn cần thu thập thông tin từ người dùng, sử dụng một trong các phương thức xác thực. Ví dụ: xem
Quản lý người dùng bằng cách sử dụng Thành viên.

4.5.4.Bảo vệ chống lại dữ liệu đầu vào nguy hiểm
Theo nguyên tắc chung, không bao giờ được cho rằng dữ liệu từ người dùng là an toàn. Tin tặc có thể gửi
các dữ liệu độc hại đến ứng dụng của bạn. Để bảo vệ chống lại nguy cơ này, hãy thực hiện theo các
nguyên tắc :
Không bao giờ lưu trữ dữ liệu người dùng chưa được lọc vào cơ sở dữ liệu.
Nếu bạn muốn chấp nhận một số HTML từ người dùng, hãy lọc nó bằng tay. Trong bộ lọc của bạn, xác
định rõ ràng những gì bạn sẽ chấp nhận. Không tạo ra một bộ lọc để cố gắng loại bỏ đầu vào nguy hiểm;

rất khó để dự đoán được tất cả các đầu vào có hại có thể xảy ra.
Đừng cho rằng thông tin bạn nhận được từ tiêu đề yêu cầu HTTP (trong đối tượng HttpRequest) là an
toàn. Sử dụng các biện pháp bảo vệ cho chuỗi truy vấn, cookie, v.v. Lưu ý rằng thông tin trình duyệt báo
cáo tới máy chủ (thông tin agent người dùng) có thể bị lừa đảo, trong trường hợp đó là nguy hiểm đối với
ứng dụng của bạn.
Nếu có thể, đừng lưu trữ thông tin nhạy cảm ở một nơi có thể truy cập từ trình duyệt, chẳng hạn như các
trường ẩn hoặc cookie. Ví dụ: không lưu trữ mật khẩu trong cookie.

16 | P a g e


4.5.5.Truy cập CSDL an toàn
Cơ sở dữ liệu thường được bảo mật riêng. Một khía cạnh quan trọng của một ứng dụng Web an toàn là
thiết kế để ứng dụng truy cập cơ sở dữ liệu một cách an toàn. Thực hiện theo các nguyên tắc sau:
Sử dụng bảo mật vốn có của cơ sở dữ liệu của bạn để hạn chế những người có thể truy cập tài nguyên cơ
sở dữ liệu. Điều này phụ thuộc vào cơ sở dữ liệu và ứng dụng của bạn:
Không tạo câu lệnh SQL bằng cách nối các chuỗi có liên quan đến đầu vào của người dùng. Thay vào đó,
tạo một truy vấn được tham số hóa và sử dụng đầu vào của người dùng để đặt các giá trị tham số.
Nếu bạn phải lưu trữ một tên người dùng và mật khẩu ở đâu đó để sử dụng như các chứng chỉ đăng nhập
cơ sở dữ liệu, lưu trữ chúng trong tệp Web.config và bảo vệ tệp tin với cấu hình được bảo vệ.

4.5.6.Tạo thông báo lỗi an toàn
Nếu bạn không cẩn thận, người dùng độc hại có thể suy luận các thông tin quan trọng về ứng dụng của
bạn từ các thông báo lỗi mà nó hiển thị.Để đảm bảo, hãy thực hiện theo các nguyên tắc sau:
Đừng viết các thông báo lỗi báo lại thông tin có thể hữu ích cho người dùng độc hại, chẳng hạn như tên
người dùng.
Cài đặt cấu hình ứng dụng không hiển thị lỗi chi tiết cho người dùng. Nếu bạn muốn hiển thị các thông
báo lỗi chi tiết để gỡ lỗi, hãy xác định kĩ.

4.5.7.Đảm bảo các thông tin nhạy cảm an toàn.

Thông tin nhạy cảm là bất kỳ thông tin nào bạn cần giữ bí mật, điển hình là mật khẩu hoặc khóa mã hóa.
Để cách li người dùng độc hại khỏi những thông tin này, hãy thực hiện theo các nguyên tắc:
Sử dụng cấu hình được bảo vệ để bảo vệ thông tin nhạy cảm trong các tệp cấu hình như tệp Web.config
hoặc Machine.config
Nếu bạn phải lưu trữ thông tin nhạy cảm, đừng giữ nó trong một trang Web, ngay cả ở dạng bạn nghĩ rằng
mọi người sẽ không thể nhìn thấy nó (chẳng hạn như trong mã máy chủ).
Sử dụng các thuật toán mã hóa mạnh được cung cấp.

4.5.8.Sử dụng cookies an toàn
Sử dụng Cookie là một cách hữu ích người dùng sử dụng các thông tin cụ thể có sẵn. Tuy nhiên, vì các
cookie được gửi đến máy tính của trình duyệt, chúng dễ bị giả mạo. Để cookies an toàn, ta thực hiện theo
nguyên tắc:
Không lưu trữ bất kỳ thông tin quan trọng nào trong cookie. Ví dụ: không lưu mật khẩu của người dùng
vào cookie, thậm chí tạm thời.
Đặt ngày hết hạn trên cookie vào thời gian thực tế ngắn nhất có thể, tránh cookie vĩnh viễn.
Xem xét việc mã hóa thông tin trong cookie.
Xem xét việc thiết lập các thuộc tính Bảo mật và Http trên trên cookie thành true.

4.5.9.Bảo vệ chống lại các mối đe dọa từ chối dịch vụ
Một cách gián tiếp mà người dùng độc hại có thể thâm nhập vào ứng dụng của bạn là làm cho nó không
có sẵn. Họ có thể giữ ứng dụng quá bận để phục vụ người dùng khác hoặc nếu đơn giản có thể làm cho nó
sụp đổ. Để đảm bảo an toàn, thực hiện theo nguyên tắc sau:
17 | P a g e


Sử dụng xử lý lỗi (ví dụ: try-catch) bao gồm một khối cuối cùng trong đó bạn phát hành tài nguyên trong
trường hợp thất bại.
Cấu hình máy chủ web sử dụng quá trình điều khiển, ngăn không cho một ứng dụng sử dụng một lượng
thời gian CPU không cân xứng.
Kiểm tra giới hạn người dùng trước khi sử dụng hoặc lưu trữ.

Đặt giới hạn kích thước cho tệp tải lên, nếu đó là một phần của ứng dụng của bạn.

5.Demo chiếm phiên làm việc
Phần này nhóm em sẽ trình bày cụ thể trong buổi báo cáo.

6.Kết luận.
Những vấn đề đạt được.
Báo cáo của nhóm tập trung chỉ ra các nguyên cơ bảo mật và các biện pháp bảo mật cho hệ thống web
server, ứng dụng web và trình duyệt. Bên cạnh đó, báo cáo cũng giới thiệu sơ bộ về các hệ thống kể trên
cũng như vai trò và mô hình hoạt động của từng hệ thống.
Những vấn đề báo cáo chưa giải quyết được.
Đối với mỗi hệ thống, có nhiều lỗ hổng quen thuộc vd như SQL injection, XSS trong ứng dụng web mà
báo cáo không được trình bày cụ thể và đưa ra hướng khắc phục, tuy nhiên đây không phải là thiếu sót mà
do phạm vi nhóm muốn hướng tới là toàn hệ thống chứ không đi sâu vào một số lỗ hổng cơ bản nên
người đọc cần xác định rõ vấn đề mình quan tâm khi tham khảo tài liệu này.

7.Tài liệu tham khảo
Slide bài giảng “Web database security ” của TS. Hoàng Xuân Dậu, HV Công Nghệ Bưu Chính Viễn
Thông
Ebook “Web Application Security, A Beginners Guide” của 2 tác giả Bryan Sullivan và Vincent Liu.
Ebook “The Web Application. Hacker's Handbook- Finding and Exploiting Security Flaws” Tái bản lần 2
của tác giả Dafydd Stuttard và Marcus Pinto.
Các bài viết tham khảo dưới các link:
/> /> /> /> /> />
18 | P a g e


19 | P a g e