(TIỂU LUẬN) đồ án môn học AN TOÀN THÔNG TIN đề tài các GIẢI PHÁP đảm bảo AN TOÀN bảo mật WEBSITE

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE1.2.2 Mục tiêu cụ thể Với việc bổ sung thêm kiến thức về an toàn bảo mật thông tin cho website, em cóthể áp dụng kiến thức ấy vào web

BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC

AN TOÀN THÔNG TIN

Đề tài:

CÁC GIẢI PHÁP ĐẢM BẢO

AN TOÀN BẢO MẬT WEBSITE

Giảng viên hướng dẫn: TS Trương Thành Công Sinh viên thực hiện: Nguyễn Võ Quốc Huy MSSV: 1921006708

Lớp học phần: 2121112002701

TP Hồ Chí Minh, tháng 04 năm 2022

BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC

AN TOÀN THÔNG TIN

Đề tài:

CÁC GIẢI PHÁP ĐẢM BẢO

AN TOÀN BẢO MẬT WEBSITE

Giảng viên hướng dẫn: TS Trương Thành Công Sinh viên thực hiện: Nguyễn Võ Quốc Huy MSSV: 1921006708

Lớp học phần: 2121112002701

TP Hồ Chí Minh, tháng 04 năm 2022

NHẬN XÉT CỦA GIẢNG VIÊN

- Điểm số:

- Điểm chữ:

Thành phố Hồ Chí Minh, ngày … tháng 04 năm 2022

Giảng viên

(Kí và ghi rõ họ tên)

Trương Thành Công

I

LỜI CẢM ƠN

Em xin chân thành cảm ơn thầy Trương Thành Công đã giúp đỡ, hỗ trợ em để tận

tình hoàn thành đồ án môn học này

Với vốn kiến thức cũng như kinh nghiệm còn rất khiêm tốn và là bước đầu làmquen với công việc nghiên cứu mang tính thực nghiệm thì chắc chắn kết quả đạt đượccủa em cũng không tránh khỏi những hạn chế nhất định Em rất mong muốn được cácGiảng viên, những bạn Sinh viên đi trước hay bất kỳ độc giả nào quan tâm và góp ý để

em hoàn thiện hơn cho các đồ án cũng như các nghiên cứu tiếp theo của mình

Xin kính chúc thầy Trương Thành Công cùng tất cả những người đã hỗ trợ và

đóng góp ý kiến cho em cùng những người thân của mình lời chúc sức khỏe, hạnhphúc và thành đạt

Xin chân thành cảm ơn

Sinh viên thực hiện

Nguyễn Võ Quốc Huy

II

DANH MỤC TỪ VIẾT TẮT

III

DANH MỤC THUẬT NGỮ ANH – VIỆT

Computational Redundancies Tính toán dự phòng

Data Correcting Codes Mã chỉnh dữ liệu

Information System Security An toàn hệ thống thông tinPhysical Protections Bảo vệ vật lý

IV

DANH MỤC HÌNH ẢNH

Hình 1-1: Top 15 quốc gia bị tấn công website nhiều nhất 2

Hình 2-1: Mô hình CIA 5

Hình 2-2: Một mô hình liên kết các máy tính trong mạng 13

Hình 2-3: Mạng LAN 14

Hình 2-4: Mạng MAN 15

Hình 2-5: Mạng WAN 16

Hình 2-6: Các tầng trong mô hình OSI 17

Hình 2-7: Tầng ứng dụng 18

Hình 2-8: Tầng trình bày 19

Hình 2-9: Tầng phiên 20

Hình 2-10: Tầng vận chuyển 20

Hình 2-11: Tầng mạng 21

Hình 2-12: Tầng liên kết dữ liệu 22

Hình 2-13: Tầng vật lý 23

Hình 2-14: Mô hình OSI 28

Hình 3-1: Tấn công từ chối dịch vụ Internet DDoS 32

Hình 3-2: Tấn công bằng SQL Injection 37

Hình 3-3: Tấn công bằng XSS 41

Hình 3-4: Khái niệm của CSRF 45

Hình 4-1: Công cụ phát triển website - WordPress 48

Hình 4-2: Trang đăng nhập của Infinity Free 50

Hình 4-3: Trang đăng ký của Infinity Free 50

Hình 4-4: Xác nhận email 50

V

Hình 4-5: Đăng ký domain và hosting 51

Hình 4-6: Nhập tên miền của website 51

Hình 4-7: Nhập mật khẩu cho tài khoản hosting 52

Hình 4-8: Hoàn thành đăng ký domain và hosting cho website 52

Hình 4-9: Xác nhận để tiến hành tạo website 53

Hình 4-10: Tiến hành tạo website bằng WordPress 53

Hình 4-11: Tạo website bằng WordPress 54

Hình 4-12: Cấu hình website 54

Hình 4-13: Mail thông báo tạo website bằng WordPress thành công 55

Hình 4-14: Giao diện hoàn chỉnh của website tạo bằng WordPress 56

Hình 4-15: Wordfence Security 57

Hình 4-16: Giao diện Dashboard WordPress 58

Hình 4-17: Tìm kiếm plugin muốn cài đặt 59

Hình 4-18: Tải plugin Wordfence Security 59

Hình 4-19: Kích hoạt plugin Wordfence Security 60

Hình 4-20: Hoàn thành tích hợp plugin Wordfence Security 60

Hình 4-21: Sucuri Security 61

Hình 4-22: Giao diện Dashboard WordPress 62

Hình 4-23: Tìm kiếm plugin muốn cài đặt 63

Hình 4-24: Tải plugin Sucuri Security 63

Hình 4-25: Kích hoạt plugin Sucuri Security 64

Hình 4-26: Hoàn thành tích hợp plugin Sucuri Security 64

Hình 4-27: iThemes Security 65

Hình 4-28: Giao diện Dashboard WordPress 66

Hình 4-29: Tìm kiếm plugin muốn cài đặt 67

VI

Hình 4-30: Tải plugin iThemes Security 67

Hình 4-31: Kích hoạt plugin iThemes Security 68

Hình 4-32: Hoàn thành tích hợp plugin iThemes Security 68

Hình 4-33: Giao diện Dashboard WordPress 70

Hình 4-34: Tìm kiếm plugin muốn cài đặt 71

Hình 4-35: Tải plugin All In One WP Security and Firewall 71

Hình 4-36: Kích hoạt plugin All In One WP Security and Firewall 71

Hình 4-37: Hoàn thành tích hợp plugin All In One WP Security and Firewall 72

Hình 4-38: BulletProof Security 72

Hình 4-39: Giao diện Dashboard WordPress 74

Hình 4-40: Tìm kiếm plugin muốn cài đặt 74

Hình 4-41: Tải plugin BulletProof Security 75

Hình 4-42: Kích hoạt plugin BulletProof Security 75

Hình 4-43: Hoàn thành tích hợp plugin BulletProof Security 76

Hình 4-44: Trang chủ Quttera 76

Hình 4-45: Thực hiện kiểm tra lỗ hổng website 77

Hình 4-46: Quét lỗ hổng website 77

Hình 4-47: Hoàn thành quét lỗ hổng website 78

Hình 4-48: Kết quả ở mục Sitescan report 78

Hình 4-49: Kết quả ở mục Scanned file analysis 79

Hình 4-50: Kết quả ở mục Additional information 79

Hình 4-51: Kết quả ở mục Sandbox requests 80

Hình 4-52: Kết quả ở mục Blacklisting status 80

VII

MỤC LỤC

Trang

NHẬN XÉT CỦA GIẢNG VIÊN i

LỜI CẢM ƠN ii

DANH MỤC TỪ VIẾT TẮT iii

DANH MỤC THUẬT NGỮ ANH – VIỆT iv

DANH MỤC HÌNH ẢNH v

MỤC LỤC viii

CHƯƠNG 1: TỔNG QUAN 1

1.1 Tổng quan về đề tài 1

1.2 Mục tiêu nghiên cứu 2

1.2.1 Mục tiêu tổng quát 2

1.2.2 Mục tiêu cụ thể 3

1.3 Phạm vi của đề tài 3

1.4 Đối tượng nghiên cứu 3

1.5 Phương pháp nghiên cứu 3

1.5.1 Phương pháp nghiên cứu thực tiễn 3

1.5.2 Phương pháp nghiên cứu lý thuyết 3

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 4

2.1 Tổng quan về an toàn và bảo mật hệ thống thông tin 4

2.1.1 Các khái niệm trong ATBM hệ thống thông tin 4

2.1.2 Những yêu cầu ATBM hệ thống thông tin 4

2.1.2.1 Tính bí mật của thông tin (Confidentiality): 5

2.1.2.2 Tính toàn vẹn của thông tin (Integrity): 7

VIII

2.1.2.3 Tính khả dụng của thông tin (Availability): 7

2.1.3 Mục tiêu và cơ sở pháp lý ATBM 8

2.1.4 Chính sách và cơ chế ATBM 9

2.2 Tổng quan về website 10

2.2.1 Khái niệm về Website 10

2.2.2 Thành phần cơ bản của website 10

2.2.3 Chức năng cơ bản của website 11

2.2.4 Các dịch vụ và ứng dụng trên website 11

2.2.5 Vấn đề bảo mật của website 12

2.3 Tổng quan về mạng máy tính 13

2.3.1 Khái niệm 13

2.3.2 Phân loại mạng máy tính 14

2.3.3 Mô hình OSI 16

2.3.3.1 Định nghĩa 16

2.3.3.2 Nguyên tắc định nghĩa các tầng hệ thống mở 17

2.3.3.3 Các giao thức trong mô hình 17

2.3.3.4 Vai trò và chức năng chủ yếu các tầng 18

2.3.4 Địa chỉ kết nối mạng 23

2.4 Một số mối đe dọa về bảo mật website 24

2.4.1 Gian lận thẻ tín dụng 24

2.4.2 Tấn công DDoS 24

2.4.3 Skimming 24

2.4.4 Thiếu giao thức bảo mật 24

2.4.5 Phần mềm độc hại 25

2.4.6 Web scraping 25

IX

2.4.7 Thư rác 25

2.5 Một số thuật ngữ 25

2.5.1 Mối đe dọa (threat) 25

2.5.2 Một lỗ hổng (vulnerability) 25

2.5.3 Một cuộc tấn công (attack) 26

2.5.4 Chính sách an toàn bảo mật (security policy) 26

2.5.5 Cơ chế an toàn bảo mật (security mechanism) 26

2.5.6 ICMP 26

2.5.7 HTTP 27

2.5.8 Mô hình OSI 27

2.5.9 Hacker 31

CHƯƠNG 3: TỔNG QUAN CÁC HÌNH THỨC TẤN CÔNG THƯỜNG XẢY RA Ở WEBSITE 32

3.1 Tấn công từ chối dịch vụ (DDoS) 32

3.1.1 Khái niệm 32

3.1.2 Một số hình thức tấn công DDoS phổ biến 33

3.1.3 Dấu hiệu nhận biết của một cuộc tấn công DDoS 35

3.1.4 Hậu quả của tấn công DDoS 35

3.1.5 Cách xử lý khi bị tấn công DDoS 36

3.1.6 Cách phòng tránh các cuộc tấn công DDoS 36

3.2 Tấn công SQL Injection 37

3.2.1 Khái niệm 37

3.2.2 Các loại tấn công SQL Injection phổ biến 38

3.2.3 Cách hoạt động của tấn công SQL Injection 39

3.2.4 Hậu quả khi bị tấn công SQL Injection 39

X

3.2.5 Cách phòng tránh các cuộc tấn công SQL Injection 40

3.3 Tấn công XSS (Cross-site scripting) 41

3.3.1 Khái niệm 41

3.3.2 Các loại tấn công XSS phổ biến 42

3.3.3 Cách hoạt động của tấn công XSS 42

3.3.4 Hậu quả của tấn công XSS 43

3.3.5 Cách phòng tránh các cuộc tấn công XSS 43

3.4 Tấn công CSRF (Cross Site Request Forgery) 44

3.4.1 Khái niệm 44

3.4.2 Cách hoạt động của tấn công CSRF 45

3.4.3 Hậu quả của tấn công CSRF 46

3.4.4 Cách phòng chống các cuộc tấn CSRF 46

CHƯƠNG 4: THỰC HIỆN VÀ ĐÁNH GIÁ CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE 48

4.1 Tổng quan về WordPress 48

4.1.1 Giới thiệu 48

4.1.2 Ưu và nhược điểm 49

4.1.3 Cách tạo website bằng WordPress 49

4.2 Tích hợp các Plugin bảo mật WordPress vào website 56

4.2.1 Wordfence Security 57

4.2.1.1 Giới thiệu 57

4.2.1.2 Cách cài đặt 58

4.2.2 Sucuri Security 61

4.2.2.1 Giới thiệu 61

4.2.2.2 Cách cài đặt 62

XI

4.2.3 iThemes Security 65

4.2.3.1 Giới thiệu 65

4.2.3.2 Cách cài đặt 66

4.2.4 All In One WP Security and Firewall 69

4.2.4.1 Giới thiệu 69

4.2.4.2 Cách cài đặt 70

4.2.5 BulletProof Security 72

4.2.5.1 Giới thiệu 72

4.2.5.2 Cách cài đặt 73

4.3 Đánh giá mức độ an toàn bảo mật website 76

CHƯƠNG 5: KẾT LUẬN 81

5.1 Kết quả đạt được 81

5.2 Hạn chế 81

5.3 Hướng phát triển 81

TÀI LIỆU THAM KHẢO 82

XII

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

CHƯƠNG 1: TỔNG QUAN1.1 Tổng quan về đề tài

Cuộc Cách mạng công nghiệp 4.0 đang diễn ra nhanh chóng với sự phát triển mạnh

mẽ của không gian mạng Sự kết hợp giữa hệ thống ảo và thực tế đã làm thay đổi cáchthức làm việc của con người, từ đó tạo nên “cuộc cách mạng” để thúc đẩy phát triểnkinh tế - xã hội Bên cạnh những lợi ích to lớn không thể phủ nhận thì việc kết nối toàncầu với đặc tính không biên giới cũng đặt ra nhiều thách thức rất lớn đối với an ninh,trật tự của các quốc gia trên thế giới, khiến cho an ninh mạng đã trở thành vấn đề toàncầu

Ngày nay, trong kỷ nguyên kỹ thuật số một vấn đề thách thức lớn đối với các quốcgia và các doanh nghiệp trong bất kỳ lĩnh vực nào đó là đảm bảo an toàn thông tin nhất

là an toàn thông tin mạng Những cuộc tấn công mạng, trong đó có tấn công Websitexảy ra ngày càng phổ biến đã làm cho nhiều doanh nghiệp gặp những rủi ro lớn Vậyđâu là giải pháp đảm bảo an toàn bảo mật một website hiệu quả?

Hiện nay, ngày càng có nhiều các cuộc tấn công website tinh vi có tổ chức với quy

mô lớn hướng đến các doanh nghiệp và tập đoàn lớn Bất kỳ trang Web của cá nhân,doanh nghiệp hay tập đoàn lớn nào cũng đều có nguy cơ bị xâm phạm Khi Website có

lỗ hổng, hacker dễ dàng xâm nhập, tấn công và khai thác đữ liệu khiến Website bịnhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho cả nhữngkhách truy cập Phần lớn các vi phạm bảo mật trang web không phải là để đánh cắp dữliệu hoặc phá hoại bố cục trang web,, mà là sử dụng máy chủ của trang để chuyển tiếpemail spam hoặc thiết lập máy chủ web tạm thời, thông thường để phục vụ các file bấthợp pháp

Hiện trạng website bị tấn công, đánh cắp thông tin dữ liệu đang diễn ra rất phổ biến.Các tổ chức an ninh cho biết mỗi ngày có khoảng 30.000 website bị các hacker tấncông trên thế giới Theo số liệu thống kê tại Việt Nam năm 2019, cứ mỗi 45 phút trôiqua lại có một website tấn công Trong những năm vừa qua, số vụ tấn công vào cácwebsite trên toàn cầu có dấu hiệu tăng cao Theo Báo cáo an ninh website năm 2019 từCyStask, năm 2019 thế giới đã xảy ra hơn 560.000 vụ tấn công website Việt Nam

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 1

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

đứng thứ 11 trên thế giới với hơn 9.000 trang web bị tấn công Điều đó cho thấy tìnhtrạng bảo mật website ở Việt Nam chưa thực sự tốt

Hình 1.1.1.1.1.1: Top 15 quốc gia bị tấn công website nhiều nhất

Vì vậy, website của ta không hề an toàn nếu như không có các biện pháp bảo mậttốt Với sự phổ biến của Internet, các dữ liệu cần lưu và bảo tồn trên mạng ngày càngnhiều, nhu cầu bảo mật trang web cũng càng ngày càng được quan tâm Để giúpwebsite hoạt động hiệu quả và tránh được những rủi ro như mất dữ liệu, bị hack, cácnhà quản trị mạng cần quan tâm hơn đến các phương pháp bảo mật website cũng nhưcác công cụ bảo mật trang web hiệu quả Báo cáo này của tôi sẽ tìm hiểu kỹ hơn vềnguyên nhân cũng như giải pháp an toàn để bảo mật một website hiệu quả

1.2 Mục tiêu nghiên cứu

1.2.1 Mục tiêu tổng quát

Thông qua đề tài “Các giải pháp đảm bảo an toàn bảo mật website” có thể giúp

em tìm hiểu các hình thức và quy mô của các cuộc tấn công website nhằm bổ sungthêm kiến về an toàn bảo mật thông tin nói chung và an toàn bảo mật thông websitenói riêng

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 2

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

1.2.2 Mục tiêu cụ thể

Với việc bổ sung thêm kiến thức về an toàn bảo mật thông tin cho website, em cóthể áp dụng kiến thức ấy vào website mà mình làm ra nhằm gia tăng tính bảo mật củawebsite và mức độ tin tưởng của người dùng khi sử dụng

1.3 Phạm vi của đề tài

Vì là đề tài nghiên cứu của sinh viên nên phạm vị nghiên cứu của đề tài chỉ mang

tầm vi mô, giới hạn trong một thời gian ngắn Cụ thể, đề tài “Các giải pháp đảm bảo

an toàn bảo mật website” tập trung nghiên cứu tìm hiểu về website, tình hình an toàn

bảo mật thông tin của website, các mối đe dọa về vấn đề an toàn thông tin phổ biếnhiện nay như SQL Injection, Local Attack,…nhằm đưa ra giải pháp an toàn và bảo mậtthông tin cho website

1.4 Đối tượng nghiên cứu

Đối tượng nghiên cứu của đề tài “Các giải pháp đảm bảo an toàn bảo mật

website” là các vấn đề liên quan đến an toàn bảo mật của một website như tìm hiểu

cách hình thức tấn công website từ đó ta có thể tìm ra các cách phòng chống các cuộctấn công ấy,…

1.5 Phương pháp nghiên cứu

1.5.1 Phương pháp nghiên cứu thực tiễn

Trong phương pháp này cần nghiên cứu các đề tài liên quan hoặc có sự tương đồng

về nội dung với đề tài mà ta đang thực hiện, sau đó thực hành lại theo các đề tài ấy để

có đút kết lại cho bản thân cái nhìn tổng quát về đề tài và các kinh nghiệm thực tiễn đểthực hiện đề tài một cách tốt nhất

1.5.2 Phương pháp nghiên cứu lý thuyết

Ở trong phương pháp này sẽ tiến hành nghiên cứu các tài liệu ở trên internet để tìmhiểu các khái niệm liên quan đến an toàn thông tin nói chung và an toàn thông tin củamột website nói riêng Từ đó, ta sẽ trang bị cho bản thân các kiến thức về an toànthông tin đây chính là điều kiện cơ sở để thực hiện đề tài

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 3

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT2.1 Tổng quan về an toàn và bảo mật hệ thống thông tin

2.1.1 Các khái niệm trong ATBM hệ thống thông tin

Dữ liệu (Data): Là các giá trị của thông tin định lượng hoặc định tính của các sự

vật, hiện tượng trong cuộc sống Trong tin học, dữ liệu được dùng như một cách biểudiễn hình thức hóa của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầutruyền nhận, thể hiện và sử lý bằng máy tính

Thông tin (Information): Là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục

đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định

An toàn và bảo mật thông tin (Informationsecurity): Là quá trình bảo vệ tính ní mật,

tính toàn vẹn và tính sẵn có của dữ liệu khỏi việc vô tình hoặc cố ý sử dụng sai mụcđích

Hệ thống thông tin (Information System): Là một hệ thống thồn tin bao gồm phần

cứng, hệ điều hành và phần mềm ứng dụng hoạt động cùng nhau để thu thập, xử lý vàlưu trữ dữ liệu cho cá nhân và tổ chức

An toàn hệ thống thông tin (Information System Security): Là tập hợp các hoạt động

bảo vệ hệ thống thông tin và dữ liệu chống lại việc truy cập, sử dụng, chỉnh sửa, pháhủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống

Bảo mật hệ thống thông tin (Information Systems Security): Là bảo vệ hệ thống

thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạnthông tin và hoạt động của hệ thống một cách trái phép

2.1.2 Những yêu cầu ATBM hệ thống thông tin

Đảm bảo được tính bí mật, tính toàn vẹn và tính khả dụng của hệ thống thông tinkhỏi việc truy cập hoặc sửa đổi trái phép thông tin trong quá trình lưu trữ, xử lý vàchuyển tiếp Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm cơbản, cốt lõi của an toàn thông tin

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 4

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

Hình 2.1.2.1.1.1: Mô hình CIA

Ba đặc trưng này được liên kết lại xem như là một mô hình tiêu chuẩn của các hệthống thông tin bảo mật, là thành phần cốt yếu của một hệ thống thông tin bảo mật vàđược gọi tắt là mô hình CIA

1.1.1.1 Tính bí mật của thông tin (Confidentiality):

Tính bí mật của thông tin là tính giới hạn về đối tương được quyền truy xuất đếnthông tin Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cảphần mềm phá hoại như virus, worm, spware,…Thông tin là duy nhất, không tùy tiệnbiết, những người phải được cho phép, có quyền truy cập thì mới có thể xem đượcthông tin đó

Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố không thể tách rời: sựtồn tại của thông tin và nội dung của thông tin đó Đôi khi, tiết lộ sự tồn tại của thôngtin có ý nghĩa cao hơn tiết lộ nội dung của nó

Ví dụ: Chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết

lộ cho một công ty đối thủ khác Việc nhận thức được rằng có điều đó tồn tại sẽ quan

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 5

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

trong hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn nhưu ai đã tiết

lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì, Chính vì thế, trong một số hệthống xác thực người dùng như đăng nhập vào hộp thư điện tử hoặc các dịch vụ kháctrên mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thay vìthông báo tên người dùng sai thì một số hệ thống sẽ thông báo mật khẩu (password)sai hoặc “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).Dụng ý đằng sau thông báo này là để từu chối việc xác nhận sự tồn tại của tên ngườidùng, gây khó khăn cho người muốn đăng nhập hệ thông một cách bất hợp pháp Các công cụ chính phục vụ cho tiêu chí "bảo mật":

 Mã hóa (Encryption): Mã hóa là một phương pháp chuyển đổi thông tin khiến

dữ liệu trở nên không thể đọc được đối với người dùng trái phép bằng cách sử dụngthuật toán Sử dụng khóa bí mật (khóa mã hóa) để dữ liệu được chuyển đổi, chỉ có thểđược đọc bằng cách sử dụng một khóa bí mật khác (khóa giải mã)

 Kiểm soát quyền truy cập (Access Control): Đây là công cụ xác định các quytắc và chính sách để giới hạn quyền truy cập vào hệ thống hoặc các tài nguyên, dữ liệuảo/vật lý Kiểm soát quyền truy cập bao gồm quá trình người dùng được cấp quyềntruy cập và một số đặc quyền nhất định đối với hệ thống, tài nguyên hoặc thông tin

 Xác thực (Authentication): Xác thực là một quá trình đảm bảo và xác nhận danhtính hoặc vai trò của người dùng Công cụ này có thể được thực hiện theo một số cáchkhác nhau, nhưng đa số thường dựa trên sự kết hợp với: một thứ gì đó mà cá nhân sởhữu (như thẻ thông minh hoặc khóa radio để lưu trữ các khóa bí mật), một thứ gì đó

mà cá nhân biết (như mật khẩu) hoặc một thứ gì đó dùng để nhận dạng cá nhân (nhưdấu vân tay)

 Cấp quyền (Authorization): Đây là một cơ chế bảo mật được sử dụng để xácđịnh quyền hạn (privilege) một người nào đó đối với các tài nguyên như các chươngtrình máy tính, tệp tin, dịch vụ, dữ liệu và tính năng ứng dụng

 Bảo mật vậy lý (Physical Security): Đây là các biện pháp được thiết kế để ngănchặn sự truy cập trái phép vào các tài sản công nghệ thông tin như cơ sở vật chất, thiết

bị, nhân sự, tài nguyên và các loại tài sản khác nhằm tránh bị hư hại

SINH VIÊN THỰC HIỆN: NGUYỄN VÕ QUỐC HUY TRANG 6

3.2.5 Cách phòng tránh các cuộc tấn công SQL Injection 40

3.3 Tấn công XSS (Cross-site scripting) 41

3.3.1 Khái niệm 41

3.3.2 Các loại tấn công XSS phổ biến 42

3.3.3 Cách hoạt động của tấn công XSS 42

3.3.4 Hậu quả của tấn công XSS 43

3.4 Tấn công CSRF (Cross Site Request Forgery) 44 3.4.1 Khái niệm 44 3.4.2 Cách hoạt động của tấn công CSRF 45 3.4.3 Hậu quả của tấn công CSRF 46 3.4.4 Cách phòng chống các cuộc tấn CSRF 46

TOÀN BẢO MẬT WEBSITE 48 4.1 Tổng quan về WordPress 48 4.1.1 Giới thiệu 48 4.1.2 Ưu và nhược điểm 49 4.1.3 Cách tạo website bằng WordPress 49 4.2 Tích hợp các Plugin bảo mật WordPress vào website 56 4.2.1 Wordfence Security 57 4.2.1.1 Giới thiệu 57 4.2.1.2 Cách cài đặt 58 4.2.2 Sucuri Security 61 4.2.2.1 Giới thiệu 61 4.2.2.2 Cách cài đặt 62

XI

4.2.3 iThemes Security 65 4.2.3.1 Giới thiệu 65 4.2.3.2 Cách cài đặt 66 4.2.4 All In One WP Security and Firewall 69 4.2.4.1 Giới thiệu 69 4.2.4.2 Cách cài đặt 70 4.2.5 BulletProof Security 72 4.2.5.1 Giới thiệu 72 4.2.5.2 Cách cài đặt 73 4.3 Đánh giá mức độ an toàn bảo mật website 76 CHƯƠNG 5: KẾT LUẬN 81 5.1 Kết quả đạt được 81 5.2 Hạn chế 81 5.3 Hướng phát triển 810 0

XII

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

CHƯƠNG 1: TỔNG QUAN

1.1 Tổng quan về đề tài

Cuộc Cách mạng công nghiệp 4.0 đang diễn ra nhanh chóng với sự phát triển mạnh

mẽ của không gian mạng Sự kết hợp giữa hệ thống ảo và thực tế đã làm thay đổi cách thức làm việc của con người, từ đó tạo nên “cuộc cách mạng” để thúc đẩy phát triển kinh tế - xã hội Bên cạnh những lợi ích to lớn không thể phủ nhận thì việc kết nối toàn cầu với đặc tính không biên giới cũng đặt ra nhiều thách thức rất lớn đối với an ninh, trật tự của các quốc gia trên thế giới, khiến cho an ninh mạng đã trở thành vấn đề toàn cầu.

Ngày nay, trong kỷ nguyên kỹ thuật số một vấn đề thách thức lớn đối với các quốc gia và các doanh nghiệp trong bất kỳ lĩnh vực nào đó là đảm bảo an toàn thông tin nhất

là an toàn thông tin mạng Những cuộc tấn công mạng, trong đó có tấn công Website xảy ra ngày càng phổ biến đã làm cho nhiều doanh nghiệp gặp những rủi ro lớn Vậy đâu là giải pháp đảm bảo an toàn bảo mật một website hiệu quả?

Hiện nay, ngày càng có nhiều các cuộc tấn công website tinh vi có tổ chức với quy

mô lớn hướng đến các doanh nghiệp và tập đoàn lớn Bất kỳ trang Web của cá nhân, doanh nghiệp hay tập đoàn lớn nào cũng đều có nguy cơ bị xâm phạm Khi Website có

lỗ hổng, hacker dễ dàng xâm nhập, tấn công và khai thác đữ liệu khiến Website bị nhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho cả những khách truy cập Phần lớn các vi phạm bảo mật trang web không phải là để đánh cắp dữ liệu hoặc phá hoại bố cục trang web,, mà là sử dụng máy chủ của trang để chuyển tiếp email spam hoặc thiết lập máy chủ web tạm thời, thông thường để phục vụ các file bất hợp pháp

Hiện trạng website bị tấn công, đánh cắp thông tin dữ liệu đang diễn ra rất phổ biến Các tổ chức an ninh cho biết mỗi ngày có khoảng 30.000 website bị các hacker tấn công trên thế giới Theo số liệu thống kê tại Việt Nam năm 2019, cứ mỗi 45 phút trôi

qua lại có một website tấn công Trong những năm vừa qua, số vụ tấn công vào các website trên toàn cầu có dấu hiệu tăng cao Theo Báo cáo an ninh website năm 2019 từ CyStask, năm 2019 thế giới đã xảy ra hơn 560.000 vụ tấn công website Việt Nam

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

đứng thứ 11 trên thế giới với hơn 9.000 trang web bị tấn công Điều đó cho thấy tình trạng bảo mật website ở Việt Nam chưa thực sự tốt 0 0

Hình 1.1.1.1.1.1: Top 15 quốc gia bị tấn công website nhiều nhất

Vì vậy, website của ta không hề an toàn nếu như không có các biện pháp bảo mật tốt Với sự phổ biến của Internet, các dữ liệu cần lưu và bảo tồn trên mạng ngày càng nhiều, nhu cầu bảo mật trang web cũng càng ngày càng được quan tâm Để giúp website hoạt động hiệu quả và tránh được những rủi ro như mất dữ liệu, bị hack, các nhà quản trị mạng cần quan tâm hơn đến các phương pháp bảo mật website cũng như các công cụ bảo mật trang web hiệu quả Báo cáo này của tôi sẽ tìm hiểu kỹ hơn về nguyên nhân cũng như giải pháp an toàn để bảo mật một website hiệu quả.

1.2 Mục tiêu nghiên cứu

1.2.1 Mục tiêu tổng quát

Thông qua đề tài “Các giải pháp đảm bảo an toàn bảo mật website” có thể giúp

em tìm hiểu các hình thức và quy mô của các cuộc tấn công website nhằm bổ sung thêm kiến về an toàn bảo mật thông tin nói chung và an toàn bảo mật thông website nói riêng.

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

1.2.2 Mục tiêu cụ thể

Với việc bổ sung thêm kiến thức về an toàn bảo mật thông tin cho website, em có thể áp dụng kiến thức ấy vào website mà mình làm ra nhằm gia tăng tính bảo mật của website và mức độ tin tưởng của người dùng khi sử dụng

1.3 Phạm vi của đề tài

Vì là đề tài nghiên cứu của sinh viên nên phạm vị nghiên cứu của đề tài chỉ mang

tầm vi mô, giới hạn trong một thời gian ngắn Cụ thể, đề tài “Các giải pháp đảm bảo

an toàn bảo mật website” tập trung nghiên cứu tìm hiểu về website, tình hình an toàn

bảo mật thông tin của website, các mối đe dọa về vấn đề an toàn thông tin phổ biến hiện nay như SQL Injection, Local Attack,…nhằm đưa ra giải pháp an toàn và bảo mật thông tin cho website.

1.4 Đối tượng nghiên cứu

ợ g g

Đối tượng nghiên cứu của đề tài “Các giải pháp đảm bảo an toàn bảo mật

website” là các vấn đề liên quan đến an toàn bảo mật của một website như tìm hiểu

cách hình thức tấn công website từ đó ta có thể tìm ra các cách phòng chống các cuộc tấn công ấy,…

1.5 Phương pháp nghiên cứu

1.5.1 Phương pháp nghiên cứu thực tiễn

Trong phương pháp này cần nghiên cứu các đề tài liên quan hoặc có sự tương đồng

về nội dung với đề tài mà ta đang thực hiện, sau đó thực hành lại theo các đề tài ấy để

có đút kết lại cho bản thân cái nhìn tổng quát về đề tài và các kinh nghiệm thực tiễn để thực hiện đề tài một cách tốt nhất.

1.5.2 Phương pháp nghiên cứu lý thuyết

Ở trong phương pháp này sẽ tiến hành nghiên cứu các tài liệu ở trên internet để tìm hiểu các khái niệm liên quan đến an toàn thông tin nói chung và an toàn thông tin của một website nói riêng Từ đó, ta sẽ trang bị cho bản thân các kiến thức về an toàn thông tin đây chính là điều kiện cơ sở để thực hiện đề tài

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1 Tổng quan về an toàn và bảo mật hệ thống thông tin

2.1.1 Các khái niệm trong ATBM hệ thống thông tin

Dữ liệu (Data): Là các giá trị của thông tin định lượng hoặc định tính của các sự

vật, hiện tượng trong cuộc sống Trong tin học, dữ liệu được dùng như một cách biểu diễn hình thức hóa của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền nhận, thể hiện và sử lý bằng máy tính.

Thông tin (Information): Là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục

đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định.

An toàn và bảo mật thông tin (Informationsecurity): Là quá trình bảo vệ tính ní mật,

tính toàn vẹn và tính sẵn có của dữ liệu khỏi việc vô tình hoặc cố ý sử dụng sai mục đích.

Hệ thống thông tin (Information System): Là một hệ thống thồn tin bao gồm phần

cứng, hệ điều hành và phần mềm ứng dụng hoạt động cùng nhau để thu thập, xử lý và lưu trữ dữ liệu cho cá nhân và tổ chức.

An toàn hệ thống thông tin (Information System Security): Là tập hợp các hoạt động

bảo vệ hệ thống thông tin và dữ liệu chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống.

Bảo mật hệ thống thông tin (Information Systems Security): Là bảo vệ hệ thống

thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn

g g ạ ệ y ập, ụ g, , p y, ộ g ạ thông tin và hoạt động của hệ thống một cách trái phép.

2.1.2 Những yêu cầu ATBM hệ thống thông tin

Đảm bảo được tính bí mật, tính toàn vẹn và tính khả dụng của hệ thống thông tin khỏi việc truy cập hoặc sửa đổi trái phép thông tin trong quá trình lưu trữ, xử lý và chuyển tiếp Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm cơ bản, cốt lõi của an toàn thông tin.

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

Hình 2.1.2.1.1.1: Mô hình CIA

Ba đặc trưng này được liên kết lại xem như là một mô hình tiêu chuẩn của các hệ thống thông tin bảo mật, là thành phần cốt yếu của một hệ thống thông tin bảo mật và được gọi tắt là mô hình CIA.

1.1.1.1 Tính bí mật của thông tin (Confidentiality):

Tính bí mật của thông tin là tính giới hạn về đối tương được quyền truy xuất đến thông tin Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spware,…Thông tin là duy nhất, không tùy tiện biết, những người phải được cho phép, có quyền truy cập thì mới có thể xem được thông tin đó

Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố không thể tách rời: sự tồn tại của thông tin và nội dung của thông tin đó Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó

Ví dụ: Chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết

lộ cho một công ty đối thủ khác Việc nhận thức được rằng có điều đó tồn tại sẽ quan

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

trong hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn nhưu ai đã tiết

lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì, Chính vì thế, trong một số hệ thống xác thực người dùng như đăng nhập vào hộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thay vì thông báo tên người dùng sai thì một số hệ thống sẽ thông báo mật khẩu (password) sai hoặc “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).0 0

dùng, gây khó khăn cho người muốn đăng nhập hệ thông một cách bất hợp pháp Các công cụ chính phục vụ cho tiêu chí "bảo mật":

 Mã hóa (Encryption): Mã hóa là một phương pháp chuyển đổi thông tin khiến

dữ liệu trở nên không thể đọc được đối với người dùng trái phép bằng cách sử dụng thuật toán Sử dụng khóa bí mật (khóa mã hóa) để dữ liệu được chuyển đổi, chỉ có thể được đọc bằng cách sử dụng một khóa bí mật khác (khóa giải mã)

 Kiểm soát quyền truy cập (Access Control): Đây là công cụ xác định các quy tắc và chính sách để giới hạn quyền truy cập vào hệ thống hoặc các tài nguyên, dữ liệu ảo/vật lý Kiểm soát quyền truy cập bao gồm quá trình người dùng được cấp quyền truy cập và một số đặc quyền nhất định đối với hệ thống, tài nguyên hoặc thông tin

 Xác thực (Authentication): Xác thực là một quá trình đảm bảo và xác nhận danh tính hoặc vai trò của người dùng Công cụ này có thể được thực hiện theo một số cách khác nhau, nhưng đa số thường dựa trên sự kết hợp với: một thứ gì đó mà cá nhân sở hữu (như thẻ thông minh hoặc khóa radio để lưu trữ các khóa bí mật), một thứ gì đó

mà cá nhân biết (như mật khẩu) hoặc một thứ gì đó dùng để nhận dạng cá nhân (như dấu vân tay).

 Cấp quyền (Authorization): Đây là một cơ chế bảo mật được sử dụng để xác định quyền hạn (privilege) một người nào đó đối với các tài nguyên như các chương trình máy tính, tệp tin, dịch vụ, dữ liệu và tính năng ứng dụng.

 Bảo mật vậy lý (Physical Security): Đây là các biện pháp được thiết kế để ngăn chặn sự truy cập trái phép vào các tài sản công nghệ thông tin như cơ sở vật chất, thiết

bị, nhân sự, tài nguyên và các loại tài sản khác nhằm tránh bị hư hại.

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

2.1.2.2 Tính toàn vẹn của thông tin (Integrity):

Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm Tính toàn vẹn đảm bảo cho thông tin hoàn chỉnh, toàn diện, không thể lấy cắp, đánh mất một phần nào đó, thông tin không bị đánh tráo, những thông tin đưa ra đầy

đủ, không đươc phép sai lệch hay vi phạm bản quyền Tính toàn vẹn được xét trên 2 khía cạnh là tính nguyên vẹn của nội dung thông tin và tính xác thực của nguồn gốc thông tin Sự toàn vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi của hệ thống thông tin.

Ví dụ: Một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ tài khoản vưới đầy đủ những thông tin cần thiết Nội dung thông tin được bảo toàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người xưng là chủ tài khoản gửi đi) Tuy nhiên, nếu lệnh thanh toán không phải do chính chủ tài khoản đưa ra mà do một người m-nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không0

0

Các công cụ chính phục vụ cho tiêu chí "toàn vẹn":

 Sao lưu (Backups): Sao lưu là lưu trữ dữ liệu định kỳ Đây là một quá trình tạo lập các bản sao của dữ liệu hoặc tệp dữ liệu để sử dụng trong trường hợp khi dữ liệu gốc hoặc tệp dữ liệu bị mất hoặc bị hủy

 Tổng kiểm tra (Checksums): Tổng kiểm tra là một giá trị số được sử dụng để xác minh tính toàn vẹn của tệp hoặc dữ liệu được truyền đi Nói cách khác, đó là sự tính toán của một hàm phản ánh nội dung của tệp thành một giá trị số.

 Mã chỉnh dữ liệu (Data Correcting Codes): Đây là một phương pháp để lưu trữ

dữ liệu theo cách mà những thay đổi nhỏ nhất cũng có thể dễ dàng được phát hiện và

tự động điều chỉnh.

2.1.2.3 Tính khả dụng của thông tin (Availability):

Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ Đây là mộ yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra

Ví dụ: Các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin bị tiết lộ hay thay đổi Tuy nhiên, khi người quản lý cần những thông tin này thì lại khôn gtruy xuất được vì lỗi hệ thống Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông tin không được đảm bảo.

Các công cụ chính phục vụ cho tiêu chí "sẵn có":

 Bảo vệ vật lý (Physical Protections): Có nghĩa là giữ thông tin có sẵn ngay cả trong trường hợp phải đối mặt với thách thức về vật chất Đảm bảo các thông tin nhạy cảm và công nghệ thông tin quan trọng được lưu trữ trong các khu vực an toàn.

 Tính toán dự phòng (Computational Redundancies): Được áp dụng nhằm bảo

vệ máy tính và các thiết bị được lưu trữ, đóng vai trò dự phòng trong trường hợp xảy

ra hỏng hóc.

2.1.3 Mục tiêu và cơ sở pháp lý ATBM



 Mục tiêu:

+ Ngăn chặn (Prevent): Ngăn chặn kẻ tấn công vi phạm các chính sách ATBM.

+ Phát hiện (Detect): Phát hiện các vi phạm chính sách ATBM.

+ Phản hồi (Response): Chặn các hành vi vi phạm đang diễn ra, đánh giá và sửa lỗi Tiếp tục hoạt động bình thường ngay cả khi tấn công đã xảy ra.

+ Phục hồi (Recovery): Khắc phục hậu quả sau khi bị tấn công.



+ Luật quốc tế về ATTT.

+ Luật Việt Nam về ATTT.

+ Vấn đề về đạo đức.

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

2.1.4 Chính sách và cơ chế ATBM

 Chính sách ATBM:

Chính sách ATBM (Security policy): Là một phát biểu ở mức khái quát, qui định

những điều nên làm và không nên làm.

Cần có những chính sách bảo mật riêng cho những yêu cầu bảo mật khác nhau Xây dựng và lựa chọn các chính sách ATBM cho hệ thống phải dựa theo các chính sách ATBM do các tổ chức uy tín về bảo mật định ra: NIST, SP 800, ISO17799, HIPAA.

+ Điều khiển truy cập (Access control): Là cơ chế điều khiển, quản lý các truy cập

vào hệ thống Các bước trong điều khiển truy cập: Định danh (Identification), xác thực (Authentication), cấp quyền (Authorization), quy trách nhiệm (Accountability).

+ Chứng thư số: Là một cấu trúc dữ liệu chứa các thông tin cần thiết để thực hiện các giao dịch an toàn qua mạng Chứng thư số được lưu giữ trên máy tính dưới dạng một tập tin (file).

+ Chữ ký số (Digital Signature): Là thông tin đi kèm theo dữ liệu nhằm mục đích

xác nhận danh tính của người gửi hoặc người ký dữ liệu đó Chữ ký số được sử dụng

để khẳng định dữ liệu có bị thay đổi hay không.

ĐỀ TÀI: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT WEBSITE

2.2 Tổng quan về website

2.2.1 Khái niệm về Website

Website, còn gọi là trang web hoặc trang mạng, là một tập hợp các trang web con thường nằm chung trong một tên miền hoặc tên miền phụ Mỗi trang web con bao gồm các văn bản, hình ảnh, video,…được sắp xếp có trình tự và theo cấu trúc của người lập trình viên tạo rat rang web đó Các ví dụ đáng chú ý là các website như wikipedia.org, google.com, amazon.com,…

2.2.2 Thành phần cơ bản của website

Một website gồm nhiều webpage (trang con) nhưu đã đề cập phía trên Đó là các tập tin dạng html hoặc xhtml, được lưu trữ tại một máy tính có chức năng là máy chủ (web