Nghiên cứu một số giải pháp phòng chống tấn công dữ liệu Đối với website thương mại Điện tử

LỜI CAM ĐOAN: Tôi xin cam đoan toàn bộ nội ong văn bản này là do tôi tự sưu tằm, tra cứu, va sip xép cho phi hợp với nội dng yêu cầu của đề tài “Nội dong luận văn này chưa tong được cô

ĐẠI HỌC THÁI NGUYÊN TRUONG DAI HOC CONG NGHE THONG TIN VA TRUYEN THONG

KHATTHANAM PHOUCHANTHVONG

NGHIÊN CỨU MỘT SÓ GIẢI PHÁP PHONG CHONG TAN CONG DU LIEU ĐÓI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ

LUẬN VĂN THẠC SỈ KHOA HỌC MÁY TÍNH

"Thái Nguyên ~ 2020

ĐẠI HỌC THÁI NGUYÊN TRUONG DAI HQC CONG NGHE THONG TIN VA TRUYEN THONG

KHATTHANAM PHOUCHANTHAVONG

NGHIÊN CỨU MỘT SÓ GIẢI PHÁP PHONG CHONG TAN CONG DU LIEU ĐÓI VỚI WEBSITE THƯƠNG MẠI ĐIỆN TỬ

Chuyên ngành: Khoa học máy tính

Mã số chuyên ngành: 8480101

LUẬN VĂN THẠC SỈ KHOA HỌC MÁY TÍNH

Hướng dẫn khoa học: 7S Nguyễn Đức Bình

Thái Nguyên ~ 2020

LỜI CẢM ƠN

Trước hết tôi xin gi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học TS

"Nguyễn Đức Bình về nhồng chỉ dẫn khoa học, định hướng nghiên cứu và tận tinh hướng dẫn tôi trong suốt quả trình làm luận văn

Tôi xin cảm ơn các thấy tong khoa Công nghệ thông tin, các thấy cổ giấo trong trường Đại học Công nghệ thông tia và Truyền thông ~ Đại học Thấi Nguyên

thiết trong suốt thời

đã củng cấp cho tôi những kiến thức võ công quý bầu và cả

gian học tập tại trường để tôi có thể thực hiện và hoàn thành tốt luận văn này

“ôi xin bày tổ lòng biết ơn sâu sắc nhất tới Chính phủ Lào và Chinh pha V Nam, Bộ Giáo đục và Thể thao Lào, Bộ Giáo dục và Đào tạo Việt Nam đã tạo điều,

kiện cấp uất học bỗng cao học này cho tôi Xin trân trọng cảm ơn sầu sắc nhất tối Bán Lãnh đạo Bộ giáo dục vã thể thao Lào đã tạo điều kiện và luôn ủng hộ tôi

“Với thời gian nghiên cứu côn hạn chế, ngân ngỡ còn khiêm tốn, luận văn không trãnh khỏi những thiểu sốt, ôi rất mong nhận được các ý kiến đồng gốp chân

ông nghiệp và bạn bê

Cuốt cùng, tôi in cảm ơn gia đình và bạn bẻ, nhữ

1g người đã luôn ông hộ

và động viền tôi, giớp ôi yêntâm và có tâm lý huận lợi nhất đồ tối nghiên cứ luận

văn này, Tuy nhiên do giới hạn về mặt thôi gian và kiến thức nên luận vẫn chắc chấn sẽ không tránh khối những sai sốt ngoài ý muốn Tôi rất mong nhận được sự thông cảm và đông gop ý kiến của các thấy cô giáo, đồng nghiệp và bạn bề

“Thái Nguyên, tháng 11 năm 2020

HỌC VIÊN

Khatthnam PHOUCHANTHAVONG

LỜI CAM ĐOAN:

Tôi xin cam đoan toàn bộ nội ong văn bản này là do tôi tự sưu tằm, tra cứu,

va sip xép cho phi hợp với nội dng yêu cầu của đề tài

“Nội dong luận văn này chưa tong được công bổ hay xuất bản đưới bắt kỳ tình thúc nào vã cũng không sao chếp tờ bắt kỹ một công tỉnh nghiên cửu nào

Tất cả phẫn mã nguồn của chương trình đều do tôi ty thiết

và xây đợng trong đó cô sở dợng một số thư viện chuẫn và các thuật toán được các tác gi xuất trân công khai và miỄn phí trên mạng Taterset

“Tác giả luận văn

‘Khatthanam PHOUCHANTHAVONG

CHUONG 1 TONG QUAN VE AN TOAN DICH VU VA DU LIEU WEB VA

1.1.1 Sự ra đồi và phất tiễn côa Internet

1.1.3 Hệ thống các hoạt động cơ bản trong thương mại điện tử 5

1.2.2 Cách thức hoạt động

1223 Các địch vụ và ứng dụng trên nền Website 8

CHƯƠNG 2 CÁC LOẠI TẤN CONG WEB PHO BIEN 16

2.1 Đặc trơng của các Website thương mại điệ tử 16 2:2 Tổng quan vé Local Attack 1 22.1 Giới thiệu về Local Aqadc 1 2.2.2 Phong thie tin céng Local Attack 1 2.3 Tắn công từ chối dịch vụ denial of service) 19 2.3.1 DOS Denial of Service) 19 2.3.2 DDoS (Distributed Denial of Service) 20 2.4 Tin cdg SQL Injection 24

2.4.2 SQL Injection va vấn đề an ninh cơ sở dữ liệu 24

2.5 Các phương pháp tắn công SỢL, Injecien phổ biến 2 2.5.1 Tin công khai thác đỡ liệu thông qua toán tờ UNION, 28 2.3.2 Tim số cột và kiễu dỡ liệu của cột 28 2.53 Tim cột cổ khả năng "chứa" thông ti khai hắc được 28 2.3.4 Khai thc thông qua các cầu lệnh điều kiện 30

2.5.5 Blind SQL Injection — phương thức tấn công nâng cao 31

2.5.6 Vin qua mit cdc 66 toc tham 36 div vio 31 2.5.7 Si dung ede byte NULL 32

32 26:1 Hoạt động của XS 3 2.62 Phương pháp tắn công 34

CHUONG 3 MỘT SỐ GIẢI PHÁP PHONG CHONG TAN CONG DU LIEU

3.2.2 Giai phap phng chéng tin céng SQL Injection

3.2.3 Xây dựng truy vấn theo mô bình tham sé hoa

3.3.4 Chuẩn hóa đỡ liệu

3.3.5 Giải pháp về bảo mật dữ liệu với mã hóa AES

3.3.1 Xây dựng website thương mại điện từ khôa học,

3.3.2 Mã hoá đỡ liệu bên trong hệ quân trị cơ sở dữ liệu

3.3.3 Một số giao điện chức năng Admin

2: Kiến trúc mét ing dung Website

3: Mô bình hoạt động của ứng đụng Website

1: Sơ để chính phân loại mô bình tân công DDeS

2: Kiến trúc attack-network kiểu Agent — Handler

3: Rién tre attack network oba kiéw IRC-Base

4: Thống kê 10 diém yéo ph bin abit (2008)

3: Thống kê 10 điểm yêu phổ biến nhất (2009)

6: Thống kẻ hồi gian trong bình khắc phục điểm yêo (2008)

T: Thống kê hồi gian trong tình khắc phục điểm yêu (2009)

§: Thống kê các điểm yếu thường được khai thác nhất 2019

9: Tìm cột mang dỡ liệu

10: Khai thắc thong tin username

1:Mô hình đề xuất

2: Him prepare trong MySQL

3: Trang chi website thương mại điện tử khôs học

4: Một số sản phẩm của website thương mại điện tử khóa hoc

5: Một số sản phẩm của website thương mại điện tử khóa hoc

6: Bang diém (pein) sau khi mã hồa dỡ liệu với AES

T: Giao điện sau khi đăng nhập

3: Giao điện thêm mới khôa học

9: Giao diện Danh sách các khỏa học

10: Giao diện Danh sách các lốp học

ISP ASP DBMS ODBC DOS DDoS IRC

PS XSS

vụ

DANH SÁCH TỪ VIẾT TAT

Ý Thương mại điện tử

Hyper text markup language JavaServer Pages

| Active Server Pages

Database Managerment System Database Connectivity

Denial of Service

| Distributed Denial of Service

Tntemet Relay Chat Intrusion Prevention System

| Cross-Site Scripting

MG DAU

Thuong mai dién te (TMB) la viée tiến hành một phẫn bay toàn bộ hoạt động thương mại bằng những phương tiện điện tử qua mỗi tường Iatemet giớp các hoạt động thương mại được thực hiện nhanh hơn, hiệu quả hơn, giáp tit kiệm chỉ phí vã mỡ sông không gian kinh doanh Với vai trồ và ảnh hưởng rộng lớn, đặc biệt liên quan đến tải chính trong nhiềo lãnh vục hoạt động kính tế, các website TMĐT với đặc điểm chứa hiề thông ta giá tr, đặc biệt là về mặt tài chính Điễu này dẫn tới các website TMDT

là mọc tiêu ấn công bất hợp pháp nhằm khai thắc dỡ liệ có gi tr

Cảng nghệ thông in và Thương mại điện tử đã xâm nhập vào mọi góc cạnh cổa đồi sống xã hội nối chung và của doanh nghiệp nói riéng Déi với doanh nghiệp, Thuong mai dién té gép phần hình thành những mồ hình kinh doanh mi, giảm chi pi,

nâng cao hiệu quả kinh doanh Đối với người tiêu đồng, Thương mại điện tỷ gidp moa sắm thuận tin hàng hỏa và địch vụ trên các th trường ở mọi noi trên thể giới ĐỂ doanh nghiệp luên phát triển trong môi trường công nghệ cổ tốc độ phát triển nhơ hiện say thì doanh nghiệp phải nấm rồ được các thông tin cơ bản để có thé vin hành thương

“mại điện tổ vào trong tổ chức của mình

Thể giới ngày nay đã cô nhiễu tiễn bộ mạnh mễ về công nghệ thông tín (CNTT)

tờ một tiểm năng thông tin đã trở thành một tài nguyên thục sợ, trở thành sản phẩm, hàng hoá trong xã hội tạo ra một sự thay đỗi to lớn trong lực lượng sẵn xuất, cơ sở hạ tổng, cấu trú kinh tẾ tính chất ao động và cả cách thốc quản Tý trong các nh vccöa

xã hội

Trong nhing nấm gần đây, các ứng đụng của công nghệ thông tỉn ngày cing phát tiễn Đặc biệt là ứng đọng Website, hâu nhơ mọi người ỉ công từng nghe và làm,

việc trên óng dụng Website Website tré nén phd bién va to thinh mét phin quan

trong của mọi người và nhất là các doanh nghiệp, công ty Bên cạnh đó lý do an toần bảo mật cho tng dung Website luôn là vấn đề nan giải céa mọi người

`Với các lý do trên, em tua chon để tài "Nghiên cứu một số giải pháp phòng chống tắn công đữ liệu đối với website thương mại điện tế” đŠ làm đề tài luận văn

che mình Em thấy đây là dé tai mang tính thực tẾ cao, giúp cho các nhà quản trị Website có thể làm tốt hơn công việc của mình, cũng như đảm bão an toàn thông tin

cho doanh nghiệp, công ty Đẳng thời cũng giúp ích ắt nhiều cho em trong cấc công vige sau nly

"Bồ cục cũa uận văn chia làm ba phần:

Chương 1: Tổng quan về an toàn địch vụ và đỡ liệu web và lỗi bảo mật thông đụng Chương 2: Các loại tấn công web phổ biến

Chương 3: Một số giải pháp phòng chồng tin công dữ liệu website thương mại điện tử

1 Khái niệm chưng về thương mại điện từ

1.1.1 Sự ra đồi và phát triển của Internet

Intemet fa mang liên kết cde mang máy tính với nhau Mặc đồ mới thực sự phổ biến từ những năm 1990 Internet đã cổ lch sở hình thành tờ khá lu

"Năm 1962: ICR Licktider dua ra ý trống

năm 1967 Lawrence G Roberts tiép tục đề xuất ý trông mạng ARPANet (Advanced Research Project Agency Network) tai một hội nghị 6 Michigan; Cé

gi tin (packet switching technology) đem lạ lợi ch to lớn khử nhiễu máy tính có thế chia sẽ thông tin với nhao; Phát triển mạng mấy tính thờ nghiệm của Bộ quốc phòng

được kết nối với nhau Trải qua nhiều năm phát triển đến năm 1984 Giao thức chuyển

géi tin TCP/IP (Transmission Control Protocol va Internet Protocol) tr thành giao thie chun ofa Intemet; Hé thing céc tén mién DNS (Domain Name System) ra i 68 phân biệt các máy chủ: được chia thành sim loại chính bao gim ede -(education) cho linh vực giáo đục, gov - (government) thude chinh ph, mil -(miltary) cho tinh

Yực quân sy, com - (commercial) cho liah ve thong mai, org - (organization) cho các tỔ chức, net (networkE resources) cho cée mang Dén nấm 1991 Ngôn ngữ đánh div siéu vin bin HTML (HyperTest Marup Language) ra đời công với giao thức truyền tiều vẫn bản HTTP (HyperText Transfer Potocol), Internet đã thực sự trổ thành: công cụ đắc lực với hằng loạt các định vụ méi World Wide Web (WWW) ra di, dem lại cho người đồng khả năng tham chiếu từ một văn bản đến nhiều văn bản khác chuyển từ cơ sở dỡ liệu này sang cơ sở dỡ liệu khác với hình thức hip dẫn và nội đong phong phi WWW chính là hệ thống các thông điệp dỡ liệu được tạo ra, truyền tải, tuy cập, chỉa sẽ thông qua Internet Intemet va /sb là công cụ quan trọng nhất

cita TMBT, gip cho TMBT phát tiễn và hoạt động hiệu quả

11.2 Khái niệm thương mại điện tế

Thuong mại điện tử được biết đến với nhiễu tên gọi khác nhau, như "thương mại

(coline trade), “thong mai không giấy tờ" (gapeviess commerce) hoặc "kinh doanh dién ti” (e- business) Toy nhiên, “thương mại điện tử" vẫn là tên gọi phổ biến nhất và được đồng thống nhất

điện tổ” (Elscronic comrmerce),“thương mại trực tuy

trong các văn bản hay công trình nghiên cứu của các tổ chức hay các nhà nghiên cứu Theo nghĩa hẹp thương mại điện t là việc mua bán hãng hoá và địch vụ thông qua các phương tiện điện tờ và mạng viễn thông, đặc biệt là mấy tính va Internet

“Theo nghĩa rộng về thương mại điện ử một số tổ chức khái niệm như sau:

- EU lầm các giao dịch thương mai thông gua các mơng viễn thông và sử chung cée phương tiên điện từ Nó bao gồm TMĐT giản tấp (ao đỗ: hàng loá hữu

ùn) và TMĐT trực tiếp (trao đổi hàng hoá vô hùn))

= OECD: Gém các giao dịch thương mai liên quan đến các tổ chức và cá nhân dựa trên việc xử lý và truyn đi các dữ kiện đô được số hod thông qua các mang

mở (như Internet) hod các mang đồng cô cổng tiông với mang mé (nlue AOL)

= UNCTAD: “La vige the hin tod 86 hoat động lønh doanh òao gồm

marketing, ban hàng, phân phối và thanh toán thông qua các phương tiện điện tử” Khai niệm này đã đề cập đến toàn bộ hoạt động kính doanh,chứ không chỉ giới

"hạn ở riêng mua và bán, và toàn bộ các hoạt động kinh doanh này được thực hiện thông

qua các phương tiện điện tử

Khai niệm nây được viết tất bởi bến chữ MSDP, trong đó:

AM—Mad:eting (cổ trang vưeb, hoặc xúc tiền thương mại qua Iatemel)

S.— Ssles (cô trang ụeb có hỗ trợ chức năng giao địch, ký kết hợp đồng)

"Như vậy, đối với doanh nghiệp, khi sử dụng các phương tiện điện tử và mạng vào,

"rong các hoạt động kinh doanh co ban nh marketing, bán hàng, phân phối, thanh toán,

‘thi duoc coi là tham gia thương mại điện tổ

1-1-3 Hệ thống các hoạt động cơ ban trong thương mại điện tử

“Theo Micheal Porter, thương mại điện tử có thể ứng dung vio

cả các giải đoạn trong chuỗi giá trị TẾt nhiền, kh ứng đụng sâu và rộng thương mai điện tử ở đây được iễu theo nghĩa rộng, trở thành kinh doanh điện tố

Mua dâm tực tuyển outbound logis Dich wy sna bin hing Mua ng lêu trực cu at hing - Theo đi bán hàng

bos) Y) kế hợp đôn tự "Hồ vợ Khách hàng

"Đấu hầu tực tuyến để aang que mene uyervven ranean ea Cho phipthieh Rang truy = Quin i quan Me

Kết nổ CRtgiữacáccông rut th dann uc sin_—_Khach Mang

‘ye ee anges phi nv tar han gino = Qubn i bn

R0 tưcuyến Sản uất theo đơn =< Marketing theo 88

ihe be phen hangeda thác làng tượng thách hộnc

migiềno mày pte ga hà cân ghên cứu tị rường điện

‘hia inthe Dubs cio ain

ha hogeh hob wie - Tượng táctớikhảchhàng

Hin 1.1: Mé hình ứng dụng thương mai điện từ trong các giai đoạn của chui giá trị

[Nguin: Marketing Management, Porter ME 2001

1.2 Téng quan về ứng dung Website

1.2.41 Khái niệm tứng dung Website

Ung dung Website la mot ing dụng chữkhách sở dung giao thúc HTTP để tương tắc với người đồng hay hệ thống khác,

Website fa mét “trang web” trén mang Intemmet, đây là nơi giới thiệu những thông tin, nh ảnh vỀ doanh nghiệp và sân phẩm, dịch vụ cổa doanh nghiệp (lay giới thiu bất cỡ thông in gì) để khách bàng cổ thể truy cập ở bất kỹ nơi đầu, bắt cớ lóc nào

Website la tip hop nhiée trang Khi doanh nghiệp xây đựng website nghĩa là đang xây dung nhiév trang thing tn, catalog sin phim, dịch vụ Đ tạo nên một

‘website cin phii cd 3 yêu tổ cơ bản:

~ Cần phải cổ tên miễn (đomai)

- Noi tu tr Website (hosting)

~ Nội đọng các trang thông tin

`Mết ứng dụng vueb thường có kiến tr gầm:

- Trình khách (hay cén goi la trinh duyét) Internet Explorer, FireFox, Chrome

- Trinh chi: Apache, IS,

- Hệ quân trị cơ sở dé ligu: SQL Server, MySQL, DB2, Access

"Bên cạnh đổ, một giải pháp đồng để bảo vệ một hệ thống mạng thường được sở dụng là bốc trờng lớa, nỗ cổ vai trò như là lớp rào chấn bền ngoài một hệ thống mạng, vì chúc năng chính của firewall la kim sodt dng thong tin giữa các mấy tính Có thể xem ñrewall như một

bộ lọc thông tủa, nỗ xấc định và cho phép một mấy tính này cô được troy xuất đến một mấy tính khác bay không, hay một mạng này có được truy xuất đến mang kia bay không

"Người ta thường ding firewall vio mye dich:

~ Cho phép hoặc cắm những địch vụ truy xuất ra ngoài

~ Cho phép hoặc cắm những dịch vụ từ bên ngoài trưy nhập vào trong

- Kiểm soát địa chỉ truy nhập, cắm địa chỉ truy nhập

Firewall host động đợa trên g6i TP do đồ kiểm soát việc truy nhập của mấy người sử dụng

“Đầu tiên trình đoyệt sẽ gỗi một yêu cầu (reques) đến tình chi Website théng qua các lênh cơ bản GET, POST của giao thức HTTP, tình chủ lóc này cô thể cho thực thỉ một

chương trình được xây dựng từ nhiều ngôn ngỡ như Perl, CIC bode tinh chi yéu cl b§ ifn địch thục th các trang ASP, JSP heo yêu cầu của trình khách,

Tay theo các tác vụ của chương trình được cài đặt mã nỗ xổ lý, tính toân, kết nối đn cơ

sở đỡ liệu, lươ các thông từn do trình khách gửi đễn à tờ đồ trả về cho tình khách Ï lu

<5 lig có định dang theo giao thie HTTP, né gém 2 phần:

- Header mô tả các thông tin về gối dỡ liệu và các huộc tính, trạng thải trao đối giữa trình duyét va WebServer

- Body là phẫn nội dung dữ liệu mã Server gi vé Client, n6 cổ thể là một Rle HTML, mt hin dn, mt doen phim hay mt vn bin bit

Theo mô hình 6 hinh 1.3 v6i firewall, bGng théng tin gia tinh chi va tinh khéch la Tuông thông tín hợp lệ Vì thể nếu hacker tim théy vài

'ñrenall không côn hữu dụng trong việc ngăn chặn hacter này Do đó, các kĩ thuật tắn o hồng trong ứng dung Website thi

vào một hệ thống mạng ngày nay đang dần tập trong vào những sơ suất (hay lỗ hồng) trong quá tỉnh tạo ứng đụng của những nhà phất triển Website hơn là tấn công trực tiếp vào hệ thống mạng, hệ điều hành Tuy nhiên, hacker công cô th lợi dụng các lễ hỗng Web để mở sông sự tẫn công của mình vào các hệ thống không liên quan khác

1.3.8 Các dịch vụ và ứng dụng trên nền Website

`Với công nghệ hiện nay, Website không chỉ đơn giản là một trang tin cong cấp các in bãi đơn giản Nhí g chỉ được gọi là một phần của Website

-hồng được gọi là phần mễm viết trên nền Website

Có rất nhiều phẫn mềm chạy trên nền WWebdite như Google word (xử

Google spreadsheets (xi Ij bing tinh), Email

3g ng dung vidt én én Website kh

ý văn bản),

XMệt số to điểm của phần mềm hay ông dụng chạy trên nén web:

+ — Moi người đều cổ trình duyệt và chúng ta chỉ cần trình doyệt đễ chạy phần mỗm, + Phẫn mềm luên luôn được cập nhật vỉ chúng chạy trên errer

+ Luôn sin sing 24/7

+ Dé ding backup đỡ liệu thường xuyên

+ Cé thé try cập mọi lóc, mọi nơi, chỉ cần cổ Internet

+ _ Chiphí tiễn khs ré hơn nhiễu so với phin mim chaytrén desktop.

1.3 Téng quan vé an ninh mang

1.3.1 Khdi nigm vé an toa vé an nành mạng

Trong quá khó, an nũnh thông tia là một thuật ngỡ Guge st dung di mé ta céc bia php bio mật vật ý được sở dụng để giỡ cho chính phủ hay doanh nghiệp những thông tin quan

trọng khối bị truy cập bởi công chúng và dé bao vệ nó chống lại thay đổi hoặc tiêu hủy Những

biện pháp nay bao gém lưu trở tài lệ cổ giá trị trong tổ hỗ sơ đã bị khỏa hoặc kết và hạn chế

truy cập vật lý đến các khu vực nơi mà các ải liệu đã được lưu giỡ Với sự phổ biễn của mấy tính và các phương tiện truyền hông điện tử, cách troy cập dỡ iệu cổ thay đổi Khi công nghệ tiếp tục phát triển, hệ thống mấy tính được kết nối với nhau để tạo thành mạng mấy tỉnh, cho phép các hệ thống chi sẽ tài nguyên, bao gém cả dỡ lệ

Các mạng mấy tính cuối còng, mà hầ hết các kế nối mạng máy tỉnh truy cập công công,

là Internet Mặc đò các phương pháp bảo vệ dữ liệu đã thay đổi đáng kễ, khái niệm về an ninh

“mạng vẫn giống như là các thông tin bảo mật [11]

Tối vi may tinh c6 thé thụ hỗ, và số tiền quá lớn của dỡ liv, ching được sử dụng trong

gần như mọi khia cạnh của cuộc sống Máy vi tính, mạng và laternet là một phần không thể

thiểu cũa nhiều doanh nghiệp Sợ phụ thuộc của chúng tiên các máy tính tiếp tục tăng khi cấc dđoanh nghiệp và cá nhân trở nên thoải mái hơn với công nghệ và tiền bộ công nghệ như là làm, cho hệ thống thân thiện với người đồng hơn và dễ đăng hơn để kết nối

“Một hệ thống máy tính duy nhất yêu cầu các công cụ tự động đễ bảo vệ dữ liệu trên hệ

thống từ những người đồng có quyền truy cập hệ thống Một hệ thắng máy tính trên mạng (một hệ thống phân phối) đòi hỏi rằng dỡ liệu vào hệ thống đó được bão vệ không chi tir tay cập địa phương mã côn tờ các truy cập tờ xa rãi phép và từ chấn hoặc thay đổi d liệu trong quá trình truyền giữa các hệ thống An ninh mạng không phải là một sân phẩm, quy tỉnh, hay chính sách mã là sự kết hợp cña các sân phẩm và quy trình có hỄ trợ một chính sách quy định

`Mang lưới an nh được thực hiện của các thiết bị an nh, chính sắch và quy trình để ngăn chặn truy cập trấi phép và ti nguyên mang, thay đổi hoặc hỏy hoi ti nguyên hoặc dỡ liệu

1.3.2 Sic cin thiét phải bão vệ thing tin

Trong một doanh nghiệp hay một tổ chức nào đỏ, thì phải cổ các yế tổ cần được bảo

vệ như

- Dữ liệp.

10

- Tài nguyên: con người, hệ thống và đường truyền

~ Danh tiếng của công ty:

_Nếu không đặt tấn đề an toàn thông in Tên hàng đầu thì khi gặp phải sự cổ thì tác hại đến dđoanh nghiệp không nhỏ

~ Tến kêm chỉ phí

~ Tến kêm thời gian

~ Ảnh hướng đến ải ngưyên hệ thẳng

~ Ảnh hưởng đến danh dự, uy tn cba doanh nghiệp

~ Mắt cơ hội kinh doanh:

1.4 Các thuật ngữ liên quan

1.4.1 Hacker

HHacter là một thuật ngờ ding 8 choy

THacter thường là nhồng chuyên gia về máy tính Hacsr không tạo ra các kể hở cho hệ thống, nhưng Hacker Ini là những người am hiễo về hệ điều hành, hệ quản trị dỡ liệu, các ngôn ngữ lập trnh Ho si dung kién thie cia minh trong vige tim toi va khai thc các lễ hỗng của hệ

chỉ những kế phá hoại cic hé théng mang

thống mạng Một số Hacker ci dimg lai việc phát hiện và thông báo lỗi tìm được cho những nhà bảo mật hay người phất triển chương trình, họ được xem nh la Whitefat (Hacker nén trắng) Một số hacter dựa vào những lỗ bỗng thực hiện việc khai thác tái phép nhằm mục đích phá hoại hay mưu lợi riêng, ahing ngubi nay bi xem abe la BlackHat (Hacker mi den)

`Vitính chất phổ biển của thuật ngỡ hacker, nên trong phần tránh bầy, luận vẫn sẽ sở dụng

“hactei” thay cho "kẽ tấn công”

1.42, HTTP Header

HITTP header fa phin div (header) của thông tin mã tỉnh khách và trình chỗ git cho nhau Những thông ti trình khách gửi cho trình chủ được goi la HTTP requests (yêu cầu) còn trình chỗ gi cho tính khách là HTTP responses (rã lời) Thông thường, một HTTP hesder sŠm nhiều đồng, mỗi đồng chứa tên tham số và giá tị, Một số tham số cô thễ được đồng trong

cà header yêu cầu vả headertrả lời, còn số khác th chỉ được đồng riêng trong ng loại Vĩ áp

a

o _ Dàng đầu à đồng yêu cầu cho biết phương thức yêu cầu (GET hoặc POST), đa chỉ yên cầu (lintoc hemmsy.asp) và phiên bản HTTP (HTTP/1.1)

© Tiép theo là các tham số Chẳng hạn như:

-> Aecept-Language: Cho biết ngôn ngữ ding trong trang web

+ Host: Cho biết địa chỉ của máy chủ

+ Referer: Cho biết địa chỉ của trang web tham chiếu tối

© Header ota HTTP request sé kit thúc bằng một đồng trống

+ Header tri loi

Dong div 1a déng trang thai, 48 cho biết phiên bản HTTP duge ding (HTTP/1.1), m8

‘rang thai (200) va trang thai (OK)

Tiếp theo là các tham số

© Tiép theo la mt ding trống để báo hiệu kết thic header, tiếp theo là phần thân cia HTTP response,

việc (Session) Còn SessionID là một chuỗi để chứng thực phiên làm việc Một số trình chủ sẽ

cong cấp một SeesienlD cho người đồng khi họ xem trăng Website trên trình chủ

‘i duy ti phién lam vig thi sesionID thường được lưu vào

+ Biến trên URL

+ Bién dn form

+ Cookie

Phiên làm việc chỉ tổn tại trong một khoảng thời gian cho phép, thời gian này được cầu

những lần truy cập sau đến trang Uebsite đó, ứng đụng cổ thể đồng lại nhữ"

trong cookie (nhờ thông tin liên quan đến việc đăng nhập vào Yahoo Messengcr ) mà người cđùng không phãi lâm lại thao tác đăng nhập hay phải cung cấp lại các thông tin khác,

Cookie éuge phn lim 2 loai secure non-secure va persistent‘non persistent do 45 ta 88 c8

-Non-persstent cookie thi duge lu tri trén 66 nhg RAM của máy khách va sé bi hiy

hi đông trang web hay nhận được lệnh hỗy tờ trang web

- Secure cookies chi c6 thé duge gửi thông qua HTTPS (SSL)

- Non-Secure cookie có thể được gửi bằng cd hai giao thie HTTPS hay HTTP Thực chất 1à đối với secure cookie thì trình chỗ sẽ cung cấp chế độ truyền bão mật,

© Domain: Tén miỄn của trang web đã tạo cookie (trong vi dy trén la wwrw-sedhatcom)

© Flag: mang gid tri TRUE/FALSE - Xác định các máy khác với cũng tên

truy xuất đến cookie hay không

có được

©_ Pat: Phạm ví các địa chỉ cổ thể truy xuất coolde Vĩ đụ: Nếu pah là “tracuo” thì các địa chi trong the mye Aracuv cing như tất cả các thư mục con cổa nỗ như

tracuu/baomat có thể truy xuất đến cookie này Còn nếu giá trị là "/” thì cookie sẽ

được truy xuất bởi tắt cả địa chỉ thuộc miễn trăng vreb ạo coolie

© Sercure: mang giá trị TRUE/FALSE - Xác định đ

"nghĩa là ết nối có sở đụng SSL bay không

_ Esgirstonr thời gian hết hạn của cooide, được tính bằng giây kể tờ 00:00:00 giờ tgày 01/01/1970 Nếu giá tr này không được tiết lập hì trình duyệt sẽ hiểu đây là non-persstent cookie va chi luv trong 66 nhớ RAM và sẽ xoá nổ kải tình đoyệt bị đồng

“một secure cookie hay khi

© Name: Tén bia (tong tretng hop nay la Apache)

© Valve: Véi cookie duge too ở tên thi gid ti oda Apaehe là

4 3 40.151.16018996349247480 và ngày hết hạn là 27/07/2006, céa tén min [16]

5

1.4.5 Proxy

Prony cung cip cho người sở dụng truy xuất Iatemet những ngh thức đặc biệt hoặc một tập những nghỉ thức thực th trên đai homed host hode basion host Những chương trình client oda người sở dụng sẽ qua trung gian prony server thay thé cho server thit sy ma ngudi

sở dụng cần giao tp

Đresy server xá định những yêu cầu tờ lien và quyết định đáp ứng hay không đấp ứng nếu yêu cầu được đấp ứng, proxy server sé kit adi với srrer thật thay cho client và tiếp tee chuyển tiếp nhồng yêu clu ti client én server, cũng như tr lời của serrer đến cient Vĩ vậy

proxy server gidng cầu nối trung gian giữa server va client

16

CHƯƠNG2

CÁC LOẠI TẤN CÔNG WEB PHỎ BIẾN

2.1 Đặc trưng của các Website thương mại điện tử

Các Website thương mại điện tử là các Website thương mại được công nại

lên môi trường internet Thay vì trước

hồn và đưa việc giao dịch mua bán sẽ diễn ra ngoài đời thực thi

tây giao dịch đó sẽ dẫn ra trên môi trường idlemret qua nền tăng hoặc website

Đặc điểm cia thương mại điện tử

Thương mại điện từ hiện nay được cụ thể hóa là các sản giao địch thương mại điện tỡ vỉ

thể nỗ có những đặc điểm san:

Thương mai điện tử cho phếp chúng ta có sự trao đổi hãng hóa, dịch vụ, sân phẩm, thông từn và tin tệ thông qua mạng internet hoặc các phương tiện điện tở khác có kết nối mạng

Thương mai điện tử cổ khả năng cất giảm chỉ phí và nâng cao hiệu quả đối véi các quá trình sẵn xuất kinh doanh hoạt động côa hiv hét các doanh nghiệp, tổ chức hiện nay

Thương mại điện tờ cổ thể áp dụng ngay vào các ngành dịch vụ khác như chính phô điện tổ, đảo tạ trọ tuyển, do lịch,

"Khi công nghệ thêng tin va khoa học kỹ thuật phát triễn, khả năng liên kết và chia

sé thing tin giða doanh nghiệp, nhà cung cắp, nhà phân phổi và khách hằng gếp phần nâng cao hiệu quả hoạt động kinh doanh, bán hing

Cả sự phân biệt tuyệt đối giữa thương mại điện tử và kinh doanh điện tờ hay kính doath online: Thuong mại điện tử tập trung vào mua bản và trao đổi hằng hóa, dịch vụ, thông tin qua các mạng, các phương tiện điện tờ và Ioternet Kinh doanh điện tờ tập trung vào sự phối hợp các doanh nghiệp, đối tác, khách hàng và tổ chức các hoạt động trong nội bộ đoanh nghiệp

Sự phát triễn cöa thương mại điện tử gắn lễn với và cổ sự tác động qua lại với sự

phát triển của công nghệ thông tin và truyền thông Cũng nhờ sự sự phát triển của

công nghệ thông tìn và truyền thông mà thương mại điện tờ có cơ hội ra đồi và

phát triễn Tuy nhiên, sự phát trién của thương mại điện tử cung thúc đây và gợi

mở nhi lĩnh vực cöa công nghệ thông tia như phẫn công và phần mềm chuyên

teaserveriaikhoaal Giả sở takhoanl bị hacker chiếm được tủ hacker o6 thé ding ed thủ ý, cũng có một tài khoản của người đùng khác:

thuật, các đoạn mã lệnh để trey cập sang th myc chia website của chúng ta Theo cách này

hacker có thể tấn công sang các website của người đùng khác và có thể lẫy thông tin admin,

datibase, các thông tin bảo mật khác hoặc chèn các đoạn mi die vio trang index cba website chúng ta Dạng tấn công trên gọi là Loeal Atae [13]

Thông thường, Loeal Attaci được sử đọng đŠ lấy thông tin config từ người bị hại, sau đồ dđựa vào thông tin ð cong và mục đích của hacter để phá hoại website

2.2.2 Phương thức tấn công Local Attack

“ĐỂ thực hiện tấn công Loeal Atiadc tùy theo cách thúc của hacker mà có những cách Loeal khác nhau Thông thường thì các hactsz sử dụng các đoạn lành đ tẫn công vào cơ sở đỡ

b Tiến hành Attack

~_ San khi shel được upload lên một server, việc tiếp theo là cần tìm các website cing serrer đã tp shell lên, thông thường các hacker thường sở dung Reverse Ip domain ma hacker

đã upload shell để xem các website cing server

~_ Sau khí tìm được danh sich website, lin hugt check xem site nto bj 15 va c6 thé local sang được,

~_ Các lệnh thường đồng để Local Attack xem tên domain trén cing mét host: Is a Jetchvaliases boi ed /ete/vdomainaliases; ls lia

8

Trường hợp đặc biệt khi không thé xem user ndim cing host thi ta thém && vio ed

/etc/domainaliases && sia

~ Mẫn biết tin user thi ding inh: cat /tojpasswd/ hoi less /ete/passwd

Loeal sang website khác, vĩ áp hign tai shell ching ta dang ¢: /home/abed/public_haml/ thi ching ta sé local sang ah sav: dir home/tin user cin local/public_hom

~ Muda biéttén user ein local sang thi ching ta st dung Reverse Ip dé léy danh sich set trên cùng một server Muốn biết user dé cé tin tai hay không chúng ta mỡ tình duyệt iweb lên và đảnh đoạn: Ïp cổa server/~ tén user Néu trinh duyệt hiện lên trang index oa website thi tức là user đồ tên tỉ

"Một số lệnh hi thông dụng được sử đụng:

~ pel: đưa ra ngoài màn hình thơ mục đang hoạt động (í dụ: (te si)

+ ed: thay

mục vido)

~ lr đưa ra danh cách nội dụng thơ mọc

~ mlsdữr tạo thư mục mới (nki tên thunn©)

touch: ta file mei (touch ten file)

~ mmẩi: bễ một thư mục (mổ ten_thuơne)

~ 4g: copy file hoặc thư mục (cp file nguẫn file đích)

~ mw: đi chuyển ñle hoặc thư mục; công được đùng để đặt lạ tên ñle hoặc thư mục

lỗi thư mục (sĩ dụ: có — ra một cắp thư mục hiện tạ; có iu — vào thư

(Ga vị trị cổ vị trị mới hoặc my ên_cũ tên_ mổ)

~ mm leại bỗ Re (mm tên_ RA)

~ Đỗ tìm kiếm file, o6 thi ding: find: ding cho cc tin file

~ grep <>: đ tìm nội dong trong file

~_ pe: hiển thị các chương trình hiệ thời đang chạy (ất hiv ich ps la cdi nhữn toàn bộ

về tắt cả các chương tình), Trong danh sắch đưa ra khi thực hiện lệnh ps, chúng ta sẽ hy cố

số PID (Process identification - nhân dạng tiễn tình)

~ passwd: cho phép thay đổi mật khẩu (passwcrd người đồng sở hữu mật khẩu hoặc tên người đồng khác nếu đăng nhập hệ thống với vai tr root)

~ wseradd: cho phếp thêm người đồng méi

19

2.3 Tân công từ chốt dich vu (denial of service)

2.3.1 DOS (Denial of Service)

a Giới thiệu về DoS

DoS (Denial of Serriee) cô thể mô tả như hành đi

pháp của một địch vụ nào đó truy cập và sử dụng dich vụ đó Nó bao gẫm cả việc làm mắt kết

nối với địch vụ mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu,

sầu sở đọng địch vụ tờ cdc client DoS sẽ chiếm dụng một lượng lồn ti nguyên mạng nh băng thông, bộ nhớ và gây ngưng hoạt động của một mấy tín, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn

b Các cách thức tấn công

~ Phả hoại đựa trên tính giới hạn hoặc không thể phục hoi của tồi nguyên mạng thông qua kết nối: Tấn công kidu SYN flood

FPRIVATE "TYPE*PICT; ALT="

"Dựa trên cách thức hoạt động của TCP 1P, hacker thiết lập một kết nối TPC TP nhằm tắn sông nhưng sẽ ph vỡ kết nối ngay sau khi quá trinh SYN va SYN ACK hoàn tất, khiến cho mục tiêu roi vào trang thi chờ (đợi gôi tin ACK từ phía yêu cầu thiết lp kết ni) và liên tee

gửi gối tin SYN ACK để thiết lập kết nối Một cách khác là giả mạo địa chi IP nguồn của gối tin y

trang thai chờ vỉ các gội tin SYN ACK khô

thật Cách thức này cổ thể được các hacker áp dụng để tấn công một hệ thẳng mạng cổ b thông lớn hơn hệ thổ

~ Lợi đọng nguễn tài nguyên cũa chỉnh nạn nhân để tẫn công:

Tắn công kiễu Land Adtaclz cũng trơng ty như SYN fieod nhơng hacker sở đọng chính

P của mục tiêu cần tấn công đễ đồng làm địa chỉ TP nguồn trong gối tin đẫy mục tiêu vào một vòng lặp vô tân khi cổ gắng thiết lập kết nối với chính nó Tấn công kiểu UDP fiood: hacker gửi g6i tin UDP echo véi địa chỉ TP nguằn là cổng leopback: của chính mục tiêu cần tắn công

cầu thiết lập kết nối SYN và công như trường hợp trên, mấy tính đích công rơi vào

1g thé đi đến đích do địa chỉ IP nguằn là không có

20

~_ Sử dạng bãng thông,

Tin công kiểu DDoS (Distibuted Denial of Service): đây là cách thúc tấn công rất nguy hiểm Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều kiễn tờ xa và

ánh hoạt đồng thời các chương triah nây vào cùng một thời điểm để đồng loạt tấn công vào

“một mục tiêu Cách thức này cổ thể huy động tối hàng trăm thậm chí bảng ngân mấy tính cồng tham gia tấn công một lúc (töy vào sự chuẩn bị trước đồ của hacher) và cổ thể ngồn hết băng thông của mục tiêu trong nhấy mất [10]

~_ Sử dụng các nguồn tài nguyên khác:

“Kế tấn công lợi đụng các nguồn tài nguyên ma nạn nhân cần đến để tấn công Những kế tấn công có thể thay,

tị quá tải và các quá trình xử lý đỡ liệu bị đình tr

2.3.2 DDoS (Distributed Denial of Service)

Distributed Denial of Service (DDoS) la kf thuật tấn công lâm các TSP lo âu, giới hacker

chính thống thì không công nhận DDoS là kỹ thuật tắn công chính thống Thể nhưng Black bat

đang có rất nhiều ưu thể khi triển khai tấn công bằng kỹ thuật DDoS Việc phòng agiva va

agin chin DDoS vin con dang thực hiện 6 mite độ khắc phục hậu quả và truy tim thi pham

a Cac giai đoạn cña một cuộc tấn công kiểu DDoS

đổ lệ và ty sao chép dỡ liệu mà nạn nhân cần lên nhiều Lin lim CPU

Bao gim 3 gia đoạn:

Giai doa chun 3

~ Chuẫn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động

theo mé hinh client-server Hacker oé thé vidt phin mém này hay download một cách dễ đăng, theo thống kê tạm thời oé khodng hon 10 céng ev DDoS duye cong cắp miễn ph rên mạng

~ Kế tiếp, đùng các kỹ thuật hack khác để nắm trọn quyền một số hoat trên mạng Tiến hành cài đặt các sofhrare cần thiết rên các hoat này, việc cấu hình và thử nghiệm toàn bộ sưacicnetvcrd (bao gằm mạng lưới các mấy đã bị lợi đọng cồng với các software 63 duge thiết lập trên đồ, mấy của hacker hoặc một sé mấy khác đã được thiết lập như điểm phát động tấn công) công sẽ được thực hiện trong giai đoạn nay

Giai đoạn xác định mục tiêu và thời điễm.

với cuộc tấn công

“Phát động tấn công và xóa dâu vết

~ Đúng thời điểm đã định, bacter phát động tấn công tờ mấy của mình, nh tắn công

hy có thể đi qua nhiễu cấp mới dén host the se tin cOng Todn 66 attack network (có thể lên

b Kiến trúc tổng quan cia DDoS attack-network

Nhin chung DDoS attacke- network c5 bai mô hình chính

~ M6 hin Agent ~ Handler

ink 2.1: So dB chinh phn loai m6 hinh tin cing DDoS

= M6 hinh Agent ~ Handler:

~_ CHien: là softuare cơ số để hacker điều khiễn mọi hoạt động cña attack-network

~ Handi: là một thành phẫn software trung gian giữa Agent và Client

2

~ Agent: fa thinb phin software thyc hign sv tin céng mục tiêu, nhận điều khiễn từ (Client théng qua các Handler

Hinh 2 2: Kign wie attack-network kidu Agent ~ Handler

- Attacker s8 ti Client giao tiép với ccl Handler để xác định số lượng Àgent đang

online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tay theo cách attacker edu hình

acicnetvoti, các À gent sẽ chịu sự quân lý của một hay nhiều Handler

~ Thông thường Attacker sé dit Handler software trén mét Router hay một serter cổ lượng traffic low théng nhiều Việc nề

‘Agent khé bi phat hién Céc giao tiép này thông thường xây ra trên các protocol TCP, UDP hay ICMP Chỗ nhân thục sự của các Agent thông thường không hề hay biết họ bị lợi đụng

vào cuộc tấn công kiểu DDoS, đo họ không đủ kiến thức hoặc các chương trinh Backdoor

làm cho hẳu như không thể

shim làm cho các giao tiếp giữa CHent, handler va

Agent chi sử dụng rất ít tài nguyên hệ thi ảnh hưởng gì đến

hiệu năng của hệ thống

Mã hình IRC ~ Based

- Internet Relay Chat (IRC) à một hệ thống online chất muliuser, HRC cho phép User tạo một kết nối đến mulipoiot đến nhiều ser khác và chat thời gian thực Kiến trúc của IRC network bao gém nhiều HRC server trên khắp Internet, giao tiếp với nhau tiên nhiều kênh (channel), IRC network cho phép user tao ba loại channel: public, private va serect

+ Public channel: Cho phép user eda channel 45 IRC name va nhận được message cba moi user khác trên cùng channel,

2

+ Private channel: được thiết kế đŠ giao tếp véi cae déi tung cho phép Không cho phép các tser không cùng channe thấy TRC name va message tin channel Toy nhiéa, név user ngodi channel đồng một số lệnh channel locator thi oé thé bit uge su tin tai cia private channel 36

+ Secrect channel: tvong ty private channel nhung không thể xắc định bing channel

Hinh 2 3: Kién rite attack network cia tg IRC-Base

~ TRC — Based network cing trơng ty như Agent ~ Handler netwod: nhưng mô hình: này sở dọng các kênh giao tiếp IRC lim phương tiện iao tiếp giữa Cient và Agent (không sử ong Handler) Sé dung md hinh nay, aưacier còn c thêm một số lợi thể khác như

+ Các giao tiếp đưới dạng chat mesoage làm cho việc phát hiện chúng là v6 cing khó khấn

+ IRC traffic 06 thé di chuyển trên mạng với số lượng lớn mà không bị nghỉ ngời

Không cần phải duy trì danh sách cde Agent, hacker chi cần logon vào TRC server là đã có thể

nhận được report vé trạng thi các Agent do cấc channel gối về

Sau công: TRC cũng à một mỗi trường file sharing tao điều kiện phát ấn các Agent code lên nhiều mấy khác

2

2.4 Tin cong SQL Injection

2.4.1 SQL Injection la gi?

SQL Injection à một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hồng trong việc

kiểm tra đỡ liệu nhập trong các Ứng đọng web và các thông báo lỗi của hệ quản tị cơ sở đỡ

(inject) va thi hành các câu lệnh SQL bắt hợp pháp (không được người phát

triển ứng dụng lường trước) Mục tiêu của tấn công SQL nhim thực hiện các thao tắc xóa, hiệu

tiệu để "chen vac

chỉnh, đe cổ toàn quyền trên cơ sở dỡ liệu cöa ứng đọng, thâm ch là server mà ứng đụng

đồ đang chạy Lỗi này thường xây ra trên các ứng dụng web cổ dỡ liệu được quia li bằng cấc

hệ quan trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase [12]

"Hình thái chinh cba SQL Injection bao gém việc chèn trực tiếp mã vào các tham số mà sẽ

được ghép vào các câu lệnh SQL (qué trinh này gọi là sinh try vin SQL động) để tạo thành

tối mấy chủ database Một cách tấn công khác ít trợc tiếp hơn, đồ là

truy vấn cũa ứng dụng

chên mã độc vào các xâu mã đích đến là việc lưu rỡ trong cấc bảng hoặc từ điễn dữ liệu (Gneadat), Khi các chuỗi đỗ được ghép ào các câ lành SỢL thì đoạn mã đồ sẽ được chay Khi ng dung Web thit bai trong việ lọc các tham số đầu vào (được dùng làm nguyên liệu cho quá trình sinh SQL động), ngay cả kh dũng bình thức tham sé ha (parameterize) thi

kẻ tấn công có thể dễ dàng điều chỉnh quá tình xây dung try vấn SOL Một khi kẻ tấn công

có thể thực hiện truy vin SQL Injection, thi uy vin SQL, tri phép đồ sẽ được thực hiện với

xy ra sẽ tùy theo quyề

Lẫ¡ SQL Iajectien bắt nguồn từ mã nguồn của ứng dụng web chứ không phải từ phía

database, chinh vi thé bit of thanh phần nào của ứng dựng mà người đng cổ thể tương tắc được để điều khiễn nội dong (í do: các form, tham s6 URL, cookie, tham sé referrer, user- agent, ) bu o6 thi duge sr dung 4 tiền hành chèn tryy vẫn cổ hi

2.4.2 SQL Injection và vấn đề an ninh co 56 di ligu

Treng báo cáo an ninh của các ứng dụng vueb gần đây được tổ chức TUhitebat thống kê cổ

10 lỗi bảo mật nghiềm trọng nhất xuất hiện trên các website [17]