Tải bản đầy đủ (.pdf) (67 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu đối với website thương mại điện tử (Luận văn thạc sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.27 MB, 67 trang )

ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG

KHATTHANAM PHOUCHANTHVONG

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP
PHỊNG CHỐNG TẤN CÔNG DỮ LIỆU
ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên – 2020


ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG

KHATTHANAM PHOUCHANTHAVONG

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP
PHỊNG CHỐNG TẤN CÔNG DỮ LIỆU
ĐỐI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ

Chuyên ngành: Khoa học máy tính
Mã số chuyên ngành: 8480101

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Hướng dẫn khoa học: TS. Nguyễn Đức Bình

Thái Nguyên – 2020




I

LỜI CẢM ƠN
Trước hết tôi xin gửi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học TS.
Nguyễn Đức Bình về những chỉ dẫn khoa học, định hướng nghiên cứu và tận tịnh
hướng dẫn tơi trong suốt q trình làm luận văn.
Tôi xin cảm ơn các thầy trong khoa Công nghệ thông tin, các thầy cô giáo
trong trường Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên
đã cung cấp cho tôi những kiến thức vô cùng quý báu và cần thiết trong suốt thời gian
học tập tại trường để tơi có thể thực hiện và hồn thành tốt luận văn này.
Tơi xin bày tỏ lịng biết ơn sâu sắc nhất tới Chính phủ Lào và Chính phủ Việt
Nam, Bộ Giáo dục và Thể thao Lào, Bộ Giáo dục và Đào tạo Việt Nam đã tạo điều
kiện cấp suất học bổng cao học này cho tôi. Xin trân trọng cảm ơn sâu sắc nhất tới
Ban Lãnh đạo Bộ giáo dục và thể thao Lào đã tạo điều kiện và luôn ủng hộ tôi.
Với thời gian nghiên cứu cịn hạn chế, ngơn ngữ cịn khiêm tốn, luận văn
khơng tránh khỏi những thiếu sót, tơi rất mong nhận được các ý kiến đóng góp chân
thành từ các thầy cô giáo, đồng nghiệp và bạn bè.
Cuối cùng, tôi xin cảm ơn gia đình và bạn bè, những người đã luôn ủng hộ và
động viên tôi, giúp tôi yên tâm và có tâm lý thuận lợi nhất để tơi nghiên cứu luận văn
này. Tuy nhiên do giới hạn về mặt thời gian và kiến thức nên luận văn chắc chắn sẽ
khơng tránh khỏi những sai sót ngồi ý muốn. Tơi rất mong nhận được sự thơng cảm
và đóng góp ý kiến của các thầy cô giáo, đồng nghiệp và bạn bè.
Thái Nguyên, tháng 11 năm 2020
HỌC VIÊN

Khatthnam PHOUCHANTHAVONG



II

LỜI CAM ĐOAN
Tơi xin cam đoan tồn bộ nội dung văn bản này là do tôi tự sưu tầm, tra cứu
và sắp xếp cho phù hợp với nội dung yêu cầu của đề tài.
Nội dung luận văn này chưa từng được cơng bố hay xuất bản dưới bất kỳ hình
thức nào và cũng không sao chép từ bất kỳ một cơng trình nghiên cứu nào.
Tất cả phần mã nguồn của chương trình đều do tơi tự thiết kế và xây dựng,
trong đó có sử dựng một số thư viện chuẩn và các thuật tốn được các tác giả xuất
bản cơng khai và miễn phí trên mạng Internet.

Thái Nguyên, tháng 11 năm 2020
Tác giả luận văn

Khatthanam PHOUCHANTHAVONG


III

MỤC LỤC
LỜI CẢM ƠN ............................................................................................................. I
LỜI CAM ĐOAN ...................................................................................................... II
MỤC LỤC .................................................................................................................III
DANH SÁNH HÌNH VẼ ......................................................................................... VI
DANH SÁCH TỪ VIẾT TẮT ................................................................................ VII
MỞ ĐẦU ....................................................................................................................1
CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI
BẢO MẬT THÔNG DỤNG .......................................................................................3
1.1 Khái niệm chung về thương mại điện tử ..............................................................3
1.1.1 Sự ra đời và phát triển của Internet.................................................................3

1.1.2 Khái niệm thương mại điện tử ........................................................................4
1.1.3 Hệ thống các hoạt động cơ bản trong thương mại điện tử .............................5
1.2 Tổng quan về ứng dụng Website ..........................................................................6
1.2.1 Khái niệm ứng dụng Website .........................................................................6
1.2.2 Cách thức hoạt động .......................................................................................7
1.2.3 Các dịch vụ và ứng dụng trên nền Website ....................................................8
1.3 Tổng quan về an ninh mạng ..................................................................................9
1.3.1 Khái niệm về an toàn và an ninh mạng ..........................................................9
1.3.2 Sự cần thiết phải bảo vệ thông tin ..................................................................9
1.4 Các thuật ngữ liên quan ......................................................................................10
1.4.1 Hacker ...........................................................................................................10
1.4.2 HTTP Header ...............................................................................................10
1.4.3 Session ..........................................................................................................12
1.4.4 Cookie ...........................................................................................................13
1.4.5 Proxy .............................................................................................................15


IV

CHƯƠNG 2 CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN ........................................16
2.1 Đặc trưng của các Website thương mại điện tử ..................................................16
2.2 Tổng quan về Local Attack .................................................................................17
2.2.1 Giới thiệu về Local Attack............................................................................17
2.2.2 Phương thức tấn công Local Attack .............................................................17
2.3 Tấn công từ chối dịch vụ (denial of service) ......................................................19
2.3.1 DOS (Denial of Service) ...............................................................................19
2.3.2 DDoS (Distributed Denial of Service) ..........................................................20
2.4 Tấn cơng SQL Injection ......................................................................................24
2.4.1 SQL Injection là gì? ......................................................................................24
2.4.2 SQL Injection và vấn đề an ninh cơ sở dữ liệu.............................................24

2.5 Các phương pháp tấn công SQL Injection phổ biến ...........................................27
2.5.1 Tấn cơng khai thác dữ liệu thơng qua tốn tử UNION.................................28
2.5.2 Tìm số cột và kiểu dữ liệu của cột ................................................................28
2.5.3 Tìm cột có khả năng “chứa” thơng tin khai thác được .................................28
2.5.4 Khai thác thông qua các câu lệnh điều kiện .................................................30
2.5.5 Blind SQL Injection – phương thức tấn công nâng cao ...............................31
2.5.6 Vấn đề qua mặt các bộ lọc tham số đầu vào .................................................31
2.5.7 Sử dụng các byte NULL ...............................................................................32
2.6 Tấn công Cross Site Scripting (XSS) ..................................................................32
2.6.1 Hoạt động của XSS .......................................................................................33
2.6.2 Phương pháp tấn công ..................................................................................34
CHƯƠNG 3 MỘT SỐ GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DỮ LIỆU
WEBSITE THƯƠNG MẠI ĐIỆN TỬ .....................................................................35
3.1 Mơ hình đề xuất ..................................................................................................35
3.2 Các giải pháp đề xuất cụ thể ...............................................................................36
3.2.1 Giải pháp phòng chống Local Attack ...........................................................36


V

3.2.2 Giải pháp phịng chống tấn cơng SQL Injection ..........................................38
3.2.3 Xây dựng truy vấn theo mơ hình tham số hóa ..............................................40
3.2.4 Chuẩn hóa dữ liệu .........................................................................................44
3.2.5 Giải pháp về bảo mật dữ liệu với mã hóa AES. ...........................................44
3.3 Demo ứng dựng Website thương mại điện tử ứng dụng các giải pháp phịng chống
tấn cơng dữ liệu .........................................................................................................48
3.3.1 Xây dựng website thương mại điện tử khóa học .........................................48
3.3.2 Mã hố dữ liệu bên trong hệ quản trị cơ sở dữ liệu ......................................50
3.3.3 Một số giao diện chức năng Admin .............................................................52
3.4 Đánh giá kết quả..................................................................................................55

KẾT LUẬN VÀ ĐỀ NGHỊ .......................................................................................56
TÀI LIỆU THAM KHẢO .........................................................................................57


VI

DANH SÁNH HÌNH VẼ

Hình 1. 1: Mơ hình ứng dụng thương mại điện tử trong các giai đoạn của chuỗi giá trị ... 5
Hình 1. 2: Kiến trúc một ứng dụng Website ...............................................................6
Hình 1. 3: Mơ hình hoạt động của ứng dụng Website. ...............................................7
Hình 2. 1: Sơ đồ chính phân loại mơ hình tấn cơng DDoS.......................................21
Hình 2. 2: Kiến trúc attack-network kiểu Agent – Handler ......................................22
Hình 2. 3: Kiến trúc attack-network của kiểu IRC-Base ..........................................23
Hình 2. 4: Thống kê 10 điểm yếu phổ biến nhất (2008) ...........................................25
Hình 2. 5: Thống kê 10 điểm yếu phổ biến nhất (2009) ...........................................25
Hình 2. 6: Thống kê thời gian trung bình khắc phục điểm yếu (2008) .....................26
Hình 2. 7: Thống kê thời gian trung bình khắc phục điểm yếu (2009) .....................26
Hình 2. 8: Thống kê các điểm yếu thường được khai thác nhất 2019 ......................27
Hình 2. 9: Tìm cột mang dữ liệu ...............................................................................29
Hình 2. 10: Khai thác thơng tin username ................................................................29
Hình 3. 1: Mơ hình đề xuất .......................................................................................35
Hình 3. 2: Hàm prepare trong MySQL .....................................................................41
Hình 3. 3: Trang chủ website thương mại điện tử khóa học .....................................48
Hình 3. 4: Một số sản phẩm của website thương mại điện tử khóa học ...................49
Hình 3. 5: Một số sản phẩm của website thương mại điện tử khóa học ...................50
Hình 3. 6: Bảng điểm (point) sau khi mã hõa dữ liệu với AES ................................50
Hình 3. 7: Giao diện sau khi đăng nhập ....................................................................53
Hình 3. 8: Giao diện thêm mới khóa học ..................................................................53
Hình 3. 9: Giao diện Danh sách các khóa học ..........................................................54

Hình 3. 10: Giao diện Danh sách các lớp học ...........................................................54


VII

DANH SÁCH TỪ VIẾT TẮT

Ý nghĩa

TT

Chữ viết tắt

1

TMĐT

Thương mại điện tử

2

HTML

Hyper text markup language

3

JSP

JavaServer Pages


4

ASP

Active Server Pages

5

DBMS

Database Managerment System

6

ODBC

Database Connectivity

7

DOS

Denial of Service

8

DDoS

Distributed Denial of Service


9

IRC

Internet Relay Chat

10

IPS

Intrusion Prevention System

11

XSS

Cross-Site Scripting


1

MỞ ĐẦU
Thương mại điện tử (TMĐT) là việc tiến hành một phần hay toàn bộ hoạt động
thương mại bằng những phương tiện điện tử qua môi trường Internet giúp các hoạt động
thương mại được thực hiện nhanh hơn, hiệu quả hơn, giúp tiết kiệm chi phí và mở rộng
khơng gian kinh doanh. Với vai trò và ảnh hưởng rộng lớn, đặc biệt liên quan đến tài
chính trong nhiều lĩnh vực hoạt động kinh tế, các website TMĐT với đặc điểm chứa
nhiều thông tin giá trị, đặc biệt là về mặt tài chính. Điều này dẫn tới các website TMĐT
là mục tiêu tấn công bất hợp pháp nhằm khai thác dữ liệu có giá trị.

Cơng nghệ thơng tin và Thương mại điện tử đã xâm nhập vào mọi góc cạnh của
đời sống xã hội nói chung và của doanh nghiệp nói riêng. Đối với doanh nghiệp, Thương
mại điện tử góp phần hình thành những mơ hình kinh doanh mới, giảm chi phí, nâng cao
hiệu quả kinh doanh. Đối với người tiêu dùng, Thương mại điện tử giúp mua sắm thuận
tiện hàng hóa và dịch vụ trên các thị trường ở mọi nơi trên thế giới. Để doanh nghiệp
luôn phát triển trong mơi trường cơng nghệ có tốc độ phát triển như hiện nay thì doanh
nghiệp phải nắm rõ được các thơng tin cơ bản để có thể vận hành thương mại điện tử
vào trong tổ chức của mình.
Thế giới ngày nay đã có nhiều tiến bộ mạnh mẽ về cơng nghệ thông tin (CNTT)
từ một tiềm năng thông tin đã trở thành một tài nguyên thực sự, trở thành sản phẩm hàng
hoá trong xã hội tạo ra một sự thay đổi to lớn trong lực lượng sản xuất, cơ sở hạ tầng,
cấu trúc kinh tế, tính chất lao động và cả cách thức quản lý trong các lĩnh vực của xã hội.
Trong những năm gần đây, các ứng dụng của công nghệ thông tin ngày càng phát
triển. Đặc biệt là ứng dụng Website, hầu như mọi người ai cũng từng nghe và làm việc
trên ứng dụng Website. Website trở nên phổ biến và trở thành một phần quan trọng của
mọi người và nhất là các doanh nghiệp, công ty. Bên cạnh đó lý do an tồn bảo mật cho
ứng dụng Website luôn là vấn đề nan giải của mọi người.
Với các lý do trên, em đã lựa chọn đề tài “Nghiên cứu một số giải pháp phịng
chống tấn cơng dữ liệu đối với website thương mại điện tử” để làm đề tài luận văn
cho mình. Em thấy đây là đề tài mang tính thực tế cao, giúp cho các nhà quản trị Website


2

có thể làm tốt hơn cơng việc của mình, cũng như đảm bảo an tồn thơng tin cho doanh
nghiệp, cơng ty. Đồng thời cũng giúp ích rất nhiều cho em trong các công việc sau này.
Bố cục của luận văn chia làm ba phần:
Chương 1: Tổng quan về an toàn dịch vụ và dữ liệu web và lỗi bảo mật thông dụng
Chương 2: Các loại tấn công web phổ biến
Chương 3: Một số giải pháp phịng chống tấn cơng dữ liệu website thương mại điện tử



3

CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN DỊCH VỤ VÀ DỮ LIỆU WEB VÀ LỖI BẢO MẬT
THÔNG DỤNG
1.1 Khái niệm chung về thương mại điện tử
1.1.1 Sự ra đời và phát triển của Internet
Internet là mạng liên kết các mạng máy tính với nhau.Mặc dù mới thực sự phổ biến
từ những năm 1990,Internet đã có lịch sử hình thành từ khá lâu.
Năm 1962: J.C.R. Licklider đưa ra ý tưởng kết nối các máy tính với nhau, đến năm
1967 Lawrence G Roberts tiếp tục đề xuất ý tưởng mạng ARPANet (Advanced Research
Project Agency Network) tại một hội nghị ở Michigan; Công nghệ chuyển gói tin (packet
switching technology) đem lại lợi ích to lớn khi nhiều máy tính có thể chia sẻ thơng tin
với nhau; Phát triển mạng máy tính thử nghiệm của Bộ quốc phòng Mỹ theo ý tưởng
ARPANet và đến năm 1969 mạng này được đưa vào hoạt động và là tiền thân của
Internet; Internet - liên mạng bắt đầu xuất hiện khi nhiều mạng máy tính được kết nối
với nhau. Trải qua nhiều năm phát triển đến năm 1984 Giao thức chuyển gói tin TCP/IP
(Transmission Control Protocol và Internet Protocol) trở thành giao thức chuẩn của
Internet; Hệ thống các tên miền DNS (Domain Name System) ra đời để phân biệt các
máy chủ; được chia thành sáu loại chính bao gồm .edu -(education) cho lĩnh vực
giáo dục, .gov - (government) thuộc chính phủ, .mil - (miltary) cho lĩnh vực quân sự,
.com - (commercial) cho lĩnh vực thương mại, .org - (organization) cho các tổ chức, .net
- (network resources) cho các mạng. Đến năm 1991 Ngôn ngữ đánh dấu siêu văn bản
HTML (HyperText Markup Language) ra đời cùng với giao thức truyền siêu văn bản
HTTP (HyperText Transfer Protocol), Internet đã thực sự trở thành công cụ đắc lực với
hàng loạt các dịch vụ mới. World Wide Web (WWW) ra đời, đem lại cho người dùng
khả năng tham chiếu từ một văn bản đến nhiều văn bản khác, chuyển từ cơ sở dữ
liệu này sang cơ sở dữ liệu khác với hình thức hấp dẫn và nội dung phong phú. WWW

chính là hệ thống các thông điệp dữ liệu được tạo ra, truyền tải, truy cập, chia sẻ... thông
qua Internet.Internet và Web là công cụ quan trọng nhất của TMĐT, giúp cho TMĐT


4

phát triển và hoạt động hiệu quả.
1.1.2 Khái niệm thương mại điện tử
Thương mại điện tử được biết đến với nhiều tên gọi khác nhau, như “thương mại
điện tử” (Electronic commerce),“thương mại trực tuyến” (online trade), “thương mại
không giấy tờ” (paperless commerce) hoặc “kinh doanh điện tử” (e- business). Tuy
nhiên, “thương mại điện tử” vẫn là tên gọi phổ biến nhất và được dùng thống nhất trong
các văn bản hay cơng trình nghiên cứu của các tổ chức hay các nhà nghiên cứu.
Theo nghĩa hẹp,thương mại điện tử là việc mua bán hàng hố và dịch vụ thơng qua
các phương tiện điện tử và mạng viễn thông, đặc biệt là máy tính và Internet.
Theo nghĩa rộng về thương mại điện tử một số tổ chức khái niệm như sau:
-

EU: Gồm các giao dịch thương mại thông qua các mạng viễn thơng và sử

dụng các phương tiện điện tử. Nó bao gồm TMĐT gián tiếp (trao đổi hàng hố hữu
hình) và TMĐT trực tiếp (trao đổi hàng hố vơ hình).
-

OECD: Gồm các giao dịch thương mại liên quan đến các tổ chức và cá

nhân dựa trên việc xử lý và truyền đi các dữ kiện đó được số hố thơng qua các mạng
mở (như Internet) hoặc các mạng đóng có cổng thơng với mạng mở (như AOL).
-


UNCTAD:“Là việc thực hiện tồn bộ hoạt động kinh doanh bao gồm

marketing, bán hàng, phân phối và thanh tốn thơng qua các phương tiện điện tử”
Khái niệm này đã đề cập đến toàn bộ hoạt động kinh doanh,chứ không chỉ giới hạn
ở riêng mua và bán, và toàn bộ các hoạt động kinh doanh này được thực hiện thông qua
các phương tiện điện tử.
Khái niệm này được viết tắt bởi bốn chữ MSDP, trong đó:
M – Marketing (có trang web, hoặc xúc tiến thương mại qua Internet)
S – Sales (có trang web có hỗ trợ chức năng giao dịch, ký kết hợp đồng)
D – Distribution (Phân phối sản phẩm số hóa qua mạng)
P – Payment (Thanh tốn qua mạng hoặc thơng qua bên trung gian như ngân
hàng)
Như vậy, đối với doanh nghiệp, khi sử dụng các phương tiện điện tử và mạng vào
trong các hoạt động kinh doanh cơ bản như marketing, bán hàng, phân phối, thanh toán


5

thì được coi là tham gia thương mại điện tử.
1.1.3 Hệ thống các hoạt động cơ bản trong thương mại điện tử
Theo Micheal Porter, thương mại điện tử có thể ứng dụng vào tất cả các giai đoạn
trong chuỗi giá trị. Tất nhiên, khi ứng dụng sâu và rộng thương mại điện tử ở đây được
hiểu theo nghĩa rộng, trở thành kinh doanh điện tử.

Sản phẩm
và Dịch vụ
1

Inbound
Logistics

2

Xử lý
nghiệp vụ
3

Outbound
logistics

Marketing & Dịch vụ sau
Bán hàng
bán hàng
5
6

Hình 1. 1: Mơ hình ứng dụng thương mại điện tử trong các giai đoạn của chuỗi giá trị
Nguồn: Marketing Management, Porter M.E. 2001


6

1.2 Tổng quan về ứng dụng Website
1.2.1 Khái niệm ứng dụng Website
Ứng dụng Website là một ứng dụng chủ/khách sử dụng giao thức HTTP để
tương tác với người dùng hay hệ thống khác.
Website là một “trang web” trên mạng Internet, đây là nơi giới thiệu những
thơng tin, hình ảnh về doanh nghiệp và sản phẩm, dịch vụ của doanh nghiệp (hay giới
thiệu bất cứ thơng tin gì) để khách hàng có thể truy cập ở bất kỳ nơi đâu, bất cứ lúc
nào.
Website là tập hợp nhiều trang. Khi doanh nghiệp xây dựng website nghĩa là

đang xây dựng nhiều trang thông tin, catalog sản phẩm, dịch vụ....Để tạo nên một
website cần phải có 3 yếu tố cơ bản:
- Cần phải có tên miền (domain).
- Nơi lưu trữ Website (hosting).
- Nội dung các trang thơng tin.
Một ứng dụng web thường có kiến trúc gồm:

Hình 1. 2: Kiến trúc một ứng dụng Website


7

1.2.2 Cách thức hoạt động
Mơ hình hoạt động của ứng dụng Website:

Hình 1. 3: Mơ hình hoạt động của ứng dụng Website.
Trong đó:
- Trình khách (hay cịn gọi là trình duyệt): Internet Explorer, FireFox, Chrome
- Trình chủ: Apache, IIS, ….
- Hệ quản trị cơ sở dữ liệu: SQL Server, MySQL, DB2, Access….
Bên cạnh đó, một giải pháp dùng để bảo vệ một hệ thống mạng thường được sử dụng là
bức tường lửa, nó có vai trị như là lớp rào chắn bên ngồi một hệ thống mạng, vì chức năng
chính của firewall là kiểm sốt luồng thơng tin giữa các máy tính. Có thể xem firewall như một
bộ lọc thơng tin, nó xác định và cho phép một máy tính này có được truy xuất đến một máy tính
khác hay khơng, hay một mạng này có được truy xuất đến mạng kia hay không.
Người ta thường dùng firewall vào mục đích:
- Cho phép hoặc cấm những dịch vụ truy xuất ra ngoài.
- Cho phép hoặc cấm những dịch vụ từ bên ngồi truy nhập vào trong.
- Kiểm sốt địa chỉ truy nhập, cấm địa chỉ truy nhập.
Firewall hoạt động dựa trên gói IP do đó kiểm sốt việc truy nhập của máy người sử dụng.

Đầu tiên trình duyệt sẽ gửi một u cầu (request) đến trình chủ Website thơng qua các lệnh
cơ bản GET, POST… của giao thức HTTP, trình chủ lúc này có thể cho thực thi một chương
trình được xây dựng từ nhiều ngôn ngữ như Perl, C/C++… hoặc trình chủ yêu cầu bộ diễn dịch


8

thực thi các trang ASP, JSP… theo yêu cầu của trình khách.
Tùy theo các tác vụ của chương trình được cài đặt mà nó xử lý, tính tốn, kết nối đến cơ
sở dữ liệu, lưu các thơng tin do trình khách gửi đến…và từ đó trả về cho trình khách 1 luồng dữ
liệu có định dạng theo giao thức HTTP, nó gồm 2 phần:
- Header mơ tả các thơng tin về gói dữ liệu và các thuộc tính, trạng thái trao đổi giữa
trình duyệt và WebServer.
- Body là phần nội dung dữ liệu mà Server gửi về Client, nó có thể là một file HTML,
một hình ảnh, một đoạn phim hay một văn bản bất kì.
Theo mơ hình ở hình 1.3 với firewall, luồng thơng tin giữa trình chủ và trình khách là luồng
thơng tin hợp lệ. Vì thế nếu hacker tìm thấy vài lỗ hổng trong ứng dụng Website thì firewall
khơng cịn hữu dụng trong việc ngăn chặn hacker này. Do đó, các kĩ thuật tấn cơng vào một hệ
thống mạng ngày nay đang dần tập trung vào những sơ suất (hay lỗ hổng) trong quá trình tạo
ứng dụng của những nhà phát triển Website hơn là tấn công trực tiếp vào hệ thống mạng, hệ
điều hành. Tuy nhiên, hacker cũng có thể lợi dụng các lỗ hổng Web để mở rộng sự tấn cơng của
mình vào các hệ thống không liên quan khác.
1.2.3 Các dịch vụ và ứng dụng trên nền Website
Với công nghệ hiện nay, Website không chỉ đơn giản là một trang tin cung cấp các tin bài
đơn giản. Những ứng dụng viết trên nền Website không chỉ được gọi là một phần của Website
nữa, giờ đây chúng được gọi là phần mềm viết trên nền Website.
Có rất nhiều phần mềm chạy trên nền Website như Google word (xử lý văn bản),
Google spreadsheets (xử lý bảng tính), Email,…
Một số ưu điểm của phần mềm hay ứng dụng chạy trên nền web:



Mọi người đều có trình duyệt và chúng ta chỉ cần trình duyệt để chạy phần mềm.



Phần mềm ln ln được cập nhật vì chúng chạy trên server.



Luôn sẵn sàng 24/7.



Dễ dàng backup dữ liệu thường xuyên.



Có thể truy cập mọi lúc, mọi nơi, chỉ cần có Internet



Chi phí triển khai rẻ hơn nhiều so với phần mềm chạy trên desktop.


9

1.3 Tổng quan về an ninh mạng
1.3.1 Khái niệm về an toàn và an ninh mạng
Trong quá khứ, an ninh thông tin là một thuật ngữ được sử dụng để mô tả các biện pháp
bảo mật vật lý được sử dụng để giữ cho chính phủ hay doanh nghiệp những thông tin quan trọng

khỏi bị truy cập bởi công chúng và để bảo vệ nó chống lại thay đổi hoặc tiêu hủy. Những biện
pháp này bao gồm lưu trữ tài liệu có giá trị trong tủ hồ sơ đã bị khóa hoặc két và hạn chế truy
cập vật lý đến các khu vực nơi mà các tài liệu đã được lưu giữ. Với sự phổ biến của máy tính và
các phương tiện truyền thông điện tử, cách truy cập dữ liệu cũ thay đổi. Khi công nghệ tiếp tục
phát triển, hệ thống máy tính được kết nối với nhau để tạo thành mạng máy tính, cho phép các
hệ thống chia sẻ tài nguyên, bao gồm cả dữ liệu.
Các mạng máy tính cuối cùng, mà hầu hết các kết nối mạng máy tính truy cập cơng cộng,
là Internet. Mặc dù các phương pháp bảo vệ dữ liệu đã thay đổi đáng kể, khái niệm về an ninh
mạng vẫn giống như là các thơng tin bảo mật.[11]
Bởi vì máy tính có thể thu hồi, và số tiền quá lớn của dữ liệu, chúng được sử dụng trong
gần như mọi khía cạnh của cuộc sống. Máy vi tính, mạng, và Internet là một phần không thể
thiếu của nhiều doanh nghiệp. Sự phụ thuộc của chúng trên các máy tính tiếp tục tăng khi các
doanh nghiệp và cá nhân trở nên thoải mái hơn với công nghệ và tiến bộ công nghệ như là làm
cho hệ thống thân thiện với người dùng hơn và dễ dàng hơn để kết nối.
Một hệ thống máy tính duy nhất yêu cầu các công cụ tự động để bảo vệ dữ liệu trên hệ
thống từ những người dùng có quyền truy cập hệ thống. Một hệ thống máy tính trên mạng (một
hệ thống phân phối) địi hỏi rằng dữ liệu vào hệ thống đó được bảo vệ khơng chỉ từ truy cập địa
phương mà còn từ các truy cập từ xa trái phép và từ chặn hoặc thay đổi dữ liệu trong quá trình
truyền giữa các hệ thống. An ninh mạng không phải là một sản phẩm, quy trình, hay chính sách
mà là sự kết hợp của các sản phẩm và quy trình có hỗ trợ một chính sách quy định. Mạng lưới
an ninh được thực hiện của các thiết bị an ninh, chính sách và quy trình để ngăn chặn truy cập trái
phép vào tài nguyên mạng, thay đổi hoặc hủy hoại tài nguyên hoặc dữ liệu.
1.3.2 Sự cần thiết phải bảo vệ thông tin
Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu tố cần được bảo
vệ như:
- Dữ liệu.


10


- Tài nguyên: con người, hệ thống và đường truyền.
- Danh tiếng của công ty.
Nếu không đặt vấn đề an tồn thơng tin lên hàng đầu thì khi gặp phải sự cố thì tác hại đến
doanh nghiệp khơng nhỏ:
- Tốn kém chi phí.
- Tốn kém thời gian.
- Ảnh hưởng đến tài nguyên hệ thống.
- Ảnh hưởng đến danh dự, uy tín của doanh nghiệp.
- Mất cơ hội kinh doanh.
1.4 Các thuật ngữ liên quan
1.4.1 Hacker
Hacker là một thuật ngữ dùng để chuyên chỉ những kẻ phá hoại các hệ thống mạng. Hacker
thường là những chuyên gia về máy tính. Hacker không tạo ra các kẽ hở cho hệ thống, nhưng
Hacker lại là những người am hiểu về hệ điều hành, hệ quản trị dữ liệu, các ngơn ngữ lập
trình…Họ sử dụng kiến thức của mình trong việc tìm tịi và khai thác các lỗ hổng của hệ thống
mạng. Một số Hacker chỉ dừng lại việc phát hiện và thông báo lỗi tìm được cho những nhà bảo
mật hay người phát triển chương trình, họ được xem như là WhiteHat (Hacker nón trắng). Một
số hacker dựa vào những lỗ hổng thực hiện việc khai thác trái phép nhằm mục đích phá hoại hay
mưu lợi riêng, những người này bị xem như là BlackHat (Hacker mũ đen).
Vì tính chất phổ biến của thuật ngữ hacker, nên trong phần trình bày, luận văn sẽ sử dụng
“hacker” thay cho “kẻ tấn công”.
1.4.2 HTTP Header
HTTP header là phần đầu (header) của thơng tin mà trình khách và trình chủ gửi cho nhau.
Những thơng tin trình khách gửi cho trình chủ được gọi là HTTP requests (u cầu) cịn trình
chủ gửi cho trình khách là HTTP responses (trả lời). Thơng thường, một HTTP header gồm
nhiều dịng, mỗi dòng chứa tên tham số và giá trị. Một số tham số có thể được dùng trong cả
header yêu cầu và header trả lời, cịn số khác thì chỉ được dùng riêng trong từng loại. Ví dụ:


11


• Header yêu cầu:

GET /tintuc/homnay.asp
HTTP/1.1 Accept: */*
AcceptLanguage: enus Connection:
Keep-Alive
Host: localhost
Referer: http://localhost/lienket.asp
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5;
Windows NT 5.0) Accept-Encoding: gzip, deflate

o

Dòng đầu là dòng yêu cầu cho biết phương thức yêu cầu (GET hoặc POST), địa chỉ
yêu cầu (/tintuc/homnay.asp) và phiên bản HTTP (HTTP/1.1).

o

Tiếp theo là các tham số. Chẳng hạn như:
+ Accept-Language: Cho biết ngôn ngữ dùng trong trang web.
+ Host: Cho biết địa chỉ của máy chủ.
+ Referer: Cho biết địa chỉ của trang web tham chiếu tới.

o Header của HTTP request sẽ kết thúc bằng một dịng trống.
• Header trả lời


12


HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Thu, 13 Jul 2000 05:46:53 GMT
Content-Length:
2291 Content-Type:
text/html SetCookie:
ASPSESSIONIDQQGGGNCG=LKLDFFKCINFLDMFHCBCBMFLJ;
path=/
Cache-control: private
<HTML>

o Dòng đầu là dòng trạng thái, để cho biết phiên bản HTTP được dùng (HTTP/1.1), mã
trạng thái (200) và trạng thái (OK).
o Tiếp theo là các tham số.
o

Tiếp theo là một dòng trống để báo hiệu kết thúc header, tiếp theo là phần thân
của HTTP response.

1.4.3 Session
HTTP là giao thức hướng đối tượng tổng quát, phi trạng thái, nghĩa là HTTP không lưu trữ
trạng thái làm việc giữa trình duyệt với trình chủ. Sự thiếu sót này gây khó khăn cho một số ứng
dụng Website, bởi vì trình chủ khơng biết được trước đó trình duyệt đã có những trạng thái nào.
Vì thế, để giải quyết vấn đề này, ứng dụng Website đưa ra một khái niệm phiên làm việc
(Session). Còn SessionID là một chuỗi để chứng thực phiên làm việc. Một số trình chủ sẽ cung
cấp một SessionID cho người dùng khi họ xem trang Website trên trình chủ.
Để duy trì phiên làm việc thì sessionID thường được lưu vào:
+ Biến trên URL
+ Biến ẩn form
+ Cookie

Phiên làm việc chỉ tồn tại trong một khoảng thời gian cho phép, thời gian này được cấu


13

hình qui định tại trình chủ hoặc bởi ứng dụng thực thi. Trình chủ sẽ tự động giải phóng phiên
làm việc để khôi phục lại tài nguyên của hệ thống.
1.4.4 Cookie
Cookie là những phần dữ liệu nhỏ có cấu trúc được chia sẻ giữa trình chủ và trình duyệt
của người dùng.
Các cookie được lưu trữ dưới những file dữ liệu nhỏ dạng text, được ứng dụng tạo ra để
lưu trữ, truy tìm, nhận biết các thơng tin về người dùng đã ghé thăm trang Web và những vùng
mà họ đi qua trong trang. Những thơng tin này có thể bao gồm tên, định danh người dùng, mật
khẩu, sở thích, thói quen...cookie được trình duyệt của người dùng chấp nhận lưu trên đĩa cứng
của máy mình, tuy nhiên khơng phải lúc nào trình duyệt cũng hỗ trợ cookie, mà cịn tùy thuộc
vào người dùng có chấp nhận chuyện lưu trữ đó hay không.
Ở những lần truy cập sau đến trang Website đó, ứng dụng có thể dùng lại những thơng tin
trong cookie (như thông tin liên quan đến việc đăng nhập vào Yahoo Messenger...) mà người
dùng không phải làm lại thao tác đăng nhập hay phải cung cấp lại các thông tin khác.
Cookie được phân làm 2 loại secure/non-secure và persistent/non persistent do đó ta sẽ có
4 kiểu cookie là:
- Persistent và Secure
- Persistent và Non-Secure
- Non-Persistent và Secure
- Non-Persistent và Non-Secure
Persistent cookies được lưu trữ dưới dạng tập tin .txt (ví dụ trình duyệt Netscape Navigator
sẽ lưu các cookie thành một tập tin cookie.txt còn Internet Explorer sẽ lưu thành nhiều tập tin
*.txt trong đó mỗi tập tin là một cookie) trên máy khách trong một khoảng thời gian xác định.
- Non-persistent cookie thì được lưu trữ trên bộ nhớ RAM của máy khách và sẽ bị hủy khi
đóng trang web hay nhận được lệnh hủy từ trang web.

- Secure cookies chỉ có thể được gửi thơng qua HTTPS (SSL).
- Non-Secure cookie có thể được gửi bằng cả hai giao thức HTTPS hay HTTP. Thực chất
là đối với secure cookie thì trình chủ sẽ cung cấp chế độ truyền bảo mật.


14

Domain

Flag

Path

Secure

Expiration

Name

Value

www.redhat.com

FALSE

/

FALSE

1154029490


Apache

64.3.40.151.16
018996349247
480

o Domain: Tên miền của trang web đã tạo cookie (trong ví dụ trên là www.redhat.com)
o Flag: mang giá trị TRUE/FALSE - Xác định các máy khác với cùng tên miền có được
truy xuất đến cookie hay khơng.
o Path: Phạm vi các địa chỉ có thể truy xuất cookie. Ví dụ: Nếu path là “/tracuu” thì các
địa chỉ trong thư mục /tracuu cũng như tất cả các thư mục con của nó như
/tracuu/baomat có thể truy xuất đến cookie này. Cịn nếu giá trị là “/” thì cookie sẽ được
truy xuất bởi tất cả địa chỉ thuộc miền trang web tạo cookie.
o Sercure: mang giá trị TRUE/FALSE - Xác định đây là một secure cookie hay không
nghĩa là kết nối có sử dụng SSL hay khơng.
o Expiration: thời gian hết hạn của cookie, được tính bằng giây kể từ 00:00:00 giờ
GMT ngày 01/01/1970. Nếu giá trị này không được thiết lập thì trình duyệt sẽ hiểu đây là
non-persistent cookie và chỉ lưu trong bộ nhớ RAM và sẽ xố nó khi trình duyệt bị đóng.
o Name: Tên biến (trong trường hợp này là Apache)
o Value:

Với

cookie

được

tạo




trên

thì

giá

trị

của

Apache

64.3.40.151.16018996349247480 và ngày hết hạn là 27/07/2006, của tên miền [16]




15

1.4.5 Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet những nghi thức đặc biệt hoặc một
tập những nghi thức thực thi trên dual_homed host hoặc basion host. Những chương trình client
của người sử dụng sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng
cần giao tiếp.
Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng,
nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho client và tiếp tục
chuyển tiếp những yêu cầu từ client đến server, cũng như trả lời của server đến client. Vì vậy
proxy server giống cầu nối trung gian giữa server và client.



16

CHƯƠNG 2
CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN
2.1 Đặc trưng của các Website thương mại điện tử
Các Website thương mại điện tử là các Website thương mại được công nghệ hóa và đưa
lên mơi trường internet. Thay vì trước đây việc giao dịch mua bán sẽ diễn ra ngoài đời thực thì
bây giao dịch đó sẽ diễn ra trên mơi trường internet qua nền tảng hoặc website.
Đặc điểm của thương mại điện tử
Thương mại điện tử hiện nay được cụ thể hóa là các sàn giao dịch thương mại điện tử vì
thế nó có những đặc điểm sau:
 Thương mại điện tử cho phép chúng ta có sự trao đổi hàng hóa, dịch vụ, sản phẩm,
thơng tin và tiền tệ thông qua mạng internet hoặc các phương tiện điện tử khác có
kết nối mạng
 Thương mại điện tử có khả năng cắt giảm chi phí và nâng cao hiệu quả đối vối các
quá trình sản xuất kinh doanh hoạt động của hầu hết các doanh nghiệp, tổ chức hiện
nay
 Thương mại điện tử có thể áp dụng ngay vào các ngành dịch vụ khác như chính phủ
điện tử, đào tạo trực tuyến, du lịch,…
 Khi công nghệ thông tin và khoa học kỹ thuật phát triển, khả năng liên kết và chia
sẻ thông tin giữa doanh nghiệp, nhà cung cấp, nhà phân phối và khách hàng góp
phần nâng cao hiệu quả hoạt động kinh doanh, bán hàng
 Có sự phân biệt tuyệt đối giữa thương mại điện tử và kinh doanh điện tử hay kinh
doanh online: Thương mại điện tử tập trung vào mua bán và trao đổi hàng hóa, dịch
vụ, thông tin qua các mạng, các phương tiện điện tử và Internet. Kinh doanh điện
tử tập trung vào sự phối hợp các doanh nghiệp, đối tác, khách hàng và tổ chức các
hoạt động trong nội bộ doanh nghiệp.
 Sự phát triển của thương mại điện tử gắn liền với và có sự tác động qua lại với sự

phát triển của công nghệ thông tin và truyền thông. Cũng nhờ sự sự phát triển của
công nghệ thông tin và truyền thơng mà thương mại điện tử có cơ hội ra đời và phát
triển. Tuy nhiên, sự phát triển của thương mại điện tử cung thúc đẩy và gợi mở
nhiều lĩnh vực của công nghệ thông tin như phần cứng và phần mềm chuyên dùng


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×