báo cáo web application

Website bao gồm toàn bộ thông tin, dữ liệu, hình ảnh về các sản phẩm, dịch vụ và hoạt động sản xuất kinh doanh mà doanh nghiệp muốn truyền đạt tới người truy cập Internet.. 3/ Tìm hiểu

WEB APPLICATION

University of Natural Sciences- HCMC

Faculty of Electronics and Telecommunications

Sinh viên thực hiện:

Trương Thanh Hải MSSV:0620019 Huỳnh Tấn Hùng MSSV :0620021

Trần Bình Trọng MSSV: 0620089

Nôi Dung Trình Bày:

1/ Định Nghĩa Web.

 2/ Lịch Sử Phát Triển

 3/ Tìm hiểu về ứng dụng Web.

 4/ Ngôn Ngữ Lập Trình & Công Cụ Truy Cập

 5/ Thông Tin & Dữ Liệu & Bảo Mật.

 6/ Các Ứng Dụng Của Web

 7/ Định Hướng Phát Triển

1/ Vấn Đề Đặt Ra:

 Bạn muốn biết thông tin về một công ty ?

 Bạn muốn tìm tài liệu cho học tập và nơi giải đáp mọi thắc mắc trong công việc học tập?

 Bạn muốn nghe nhac hay tạo một trang lưu trữ những thông tin cá nhân của mình???

 Giải quyết những vấn đề này ra sao ????????

Hướng Giải Quyết ???

Ngày 6-8-1991, Tim Berners Lee công bố chương trình web

Web là gì & Ứng dụng ra sao ?

 Định nghĩa web

 Website là một văn phòng ảo của doanh nghiệp trên mạng Internet Website bao gồm toàn bộ thông tin,

dữ liệu, hình ảnh về các sản phẩm, dịch vụ và hoạt động sản xuất kinh doanh mà doanh nghiệp muốn

truyền đạt tới người truy cập Internet.

 Web là nơi chúng ta có thể trao đổi mọi thông tin ,tài liệu là nơi chúng ta có thể mua bán trực tuyến và giải trí….

 Web là nơi chúng ta có thể chia sẻ cảm xúc và là nơi lưu trữ những thông tin cá nhân.

2/ Lịch sử phát triển của web

 Ngày 6-8-1991, Tim Berners Lee công bố chương trình web Dự án “World Wide Web”

 Ngày 12-12-1991: Máy chủ đầu tiên ngoài châu Âu online

 Tháng 11-1992: Đã có 26 máy chủ web online

 Ngày 22-4-1993: Trình duyệt Mosaic cho Windows ra đời

 Tháng 6-1993: Ngôn ngữ HTML (Hypertext Mark

Language) dùng trong lập trình web được công bố.

 Tháng 2-1994: Tiền thân của Yahoo được đưa lên internet.

 Ngày 9-8-1995: “Bùng nổ tên miền com” Hàng loạt công ty trực tuyến chính

thức mở cửa website của mình.

 Ngày 24-8-1995: IE được phát hành và là một phần trong Windows 95.

 Tháng 9-1998: Google mở cửa văn phòng đầu tiên của mình tại một gara ở

California.

 Tháng 8-2000: Đã có gần 20 triệu Website

 Năm 2009: Đã có…102.615.362 website.

Ứng dụng WEB là gì ?

 Ứng dụng web (hay web

application) là một trình

ứng dụng mà cĩ thể tiếp

cận thơng qua mạng như

Internet hay intranet.

 Một vài ứng dụng Web

thơng dụng như: Webmail,

bán hàng trực tuyến, wiki,

forum, blog, …

3/ Tìm hiểu về ứng dụng Web

 Domain Hosting:Tên miền (Domain name) là định danh của website trên Internet

 Tên miền được chia

 Tên miền (Domain name) không được vượt

quá 63 ký tự, bao gồm cả phần com, net, org.

 Tên miền chỉ bao gồm các ký tự trong bảng

chữ cái (a-z), các số (0-9) và dấu trừ (-)

 Không thể bắt đầu bằng hoặc kết thúc tên miền bằng dấu trừ (-).

 Tên miền không cần bắt đầu bằng http:// hoặc

www hoặc http://www.

Quy định khi đặt tên miền

Web Hosting

 Web Hosting là nơi lưu trữ tất cả các trang Web, các thông tin, tư liệu, hình ảnh của Website trên một máy chủ Internet

 Các yêu cầu cần thiết

của một Web Hosting

Web hosting

 Hỗ trợ truy xuất máy chủ bằng

giao thức FTP để truyền tải tập

Phần mềm máy chủ Web

 Web Server (máy phục vụ Web): máy tính mà trên đĩ cài đặt phần mềm phục vụ Web

 Bất kỳ một máy tính nào cũng cĩ thể trở thành một Web Server bởi việc cài đặt lên nĩ một

chương trình phần mềm máy chủ Web (Web Server Software) và sau đĩ kết nối vào Internet hoặc mạng LAN

Giao dieän

Mô hình hoạt động của Web Server

 Dùng để viết nên những Website động, giúp người sử dụng thông qua giao diện tương tác từ trình duyệt có thể làm việc với cơ sở dữ liệu trên Server

 Có nhiều loại ngôn ngữ khác nhau, hoạt động trên những môi trường khác nhau tương ứng

4/ Ngoân Ng L p Trình ữ Lập Trình ập Trình

Ngôn ngữ lập trình web

 Để thiết kế giao diện cho Website, ta dùng ngôn ngữ đánh dấu HTML

 Có thể chèn vào những đoạn code ngôn

ngữ kịch bản như Java Script, VB Script,

hoặc Shock Wave Flash

 Dễ viết, dễ dùng, dễ phát triển, triển khai nhanh.

 Là ngôn ngữ lập trình web phổ biến nhất hiện nay

 Thích hợp cho các trang web vừa và nhỏ.

HTML(HyperText Markup Language)

 Ngôn ngữ Đánh dấu Siêu văn bản

 Thiết kế giao diện cho Website tĩnh

ASP(active server pages)

 ASP và sau này là ASP.NET

 Chạy trên máy chủ Windows hoặc Linux Được Microsoft xây dựng trên nền tảng NET, kết hợp với cơ sở dữ liệu MS SQL Server.

 Chỉ hoạt động trên các họ Web server của

Microsoft.

 Thích hợp cho các trang Web lớn.

XML(Xtensible Markup Language)

 Ngôn ngữ xây dựng cấu trúc tài liệu văn bản do W3C đề xuất

 Dựa theo chuẩn SGML (Standard

Generalized Markup Language)

 Tạo nội dung động , độc lập với các

máy server

JSP (JavaServer Pages)

 Là sự mở rộng của công nghệ

JavaServlet (chuẩn J2EE của SUN)

 JSP có ưu điểm so với ASP: sau lần đầu thực thi, mã được lưu lại trong bộ nhớ

 Đa nền, hướng đối tượng, bảo mật an toàn

 Ngôn ngữ lập trình kịch bản dựa trên

đối tượng,phát triển từ ngôn ngữ C

 Dùng để thực hiện một số tác vụ không thể thực hiện được với HTML như kiểm tra thông tin nhập vào,tự động thay đổi hình ảnh

AJAX(ASYNCHONOUS JAVASCRIPT AND XML)

 Kết hợp Javascript va XML để tạo sự tương tác giữa các ứng dụng web

 Tăng tốc độ ứng dụng web bằng cách cắt nhỏ dữ liệu

 Trang Web viết bởi PHP

 Trang Web viết bởi HTML

Cách thức hoạt động các trang WEB

5/ Thông Tin & Dữ Liệu & Bảo Mật

 Trong thời đại kinh tế tri thức, thông tin

là tài sản đóng vai trò quyết định sự

thành bại

 Do đó các thông tin quan trọng cần được bảo vệ chặt chẽ, tránh bị

 Bên ngoài đột nhập vào trong lấy thông tin

 Bên trong đưa thông tin ra ngoài.

 Theo đó, bảo mật là quá trình bảo đảm an toàn thông tin, theo chuẩn C.I.A

 Tính bảo mật ( C onfidentiality)

 Tính toàn vẹn ( I ntegrity)

 Tính sẵn sàng ( A vailability)

Những lỗ hổng thường gặp trong website

 Dữ liệu đầu vào không được kiểm tra tính hợp lệ.

 Lỗi kiểm soát truy cập nguồn tài nguyên.

 Lỗi liên quan đến quá trình quản lý xác thực và

PHƯƠNG THỨC TẤN CÔNG

THU THẬP THÔNG TIN CHUNG.

 Tên miền, hệ điều hành, ngơn

ngữ lập trình, hệ CSDL hoạt

động trên Server,…

 Chủ sở hữu, đội ngũ quản trị,

điều hành của Website.

 Địa chỉ IP, máy chủ DNS của

Website.

 Các cổng và dịch vụ tương

ứng đang được mở trên

Server.

Khảo sát ứng dụng Web

 Website sử dụng ứng dụng Web nào?

 Mã nguồn mở hay đĩng? Phiên bản?

 Nếu là mã nguồn mở thì download source code về để phân tích và kiểm tra, tìm đọc các thơng tin về bug và exploit của phần mềm đĩ

Dò tìm lỗi tự động

 Dùng các cơng cụ quét và dị lỗi Website như :

 Scrawlr.

 MaxQ, Selenium.

 Acunetix Web Vulnerability Scanner.

Dò tìm lỗi bằng tay

 Vận dụng các kiến thức về lập trình, hệ điều hành, bảo mật và mạng máy tính, như một “người dùng tinh nghịch”

hacker tiến hành các thao tác dị lỗi trực tiếp ngay trên Website, nhất là ở phần nhập dữ liệu đầu vào

Khai thác lỗi/tấn công.

 Đây là giai đoạn quan trọng nhất để chiếm được quyền điều khiển Website.

 Một vài cách thức tấn cơng phổ biến:

SQL Injections

 Lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập vào của các ứng dụng web để thi hành các câu lệnh SQL bất hợp pháp

Local Attack

 Một Server cấu hình mạnh có thể host

được nhiều trang web hoạt động một

lúc

 Nếu hacker tấn công vào được 1 site

thuộc Server đó sẽ có thể chuyển hướng sang tấn công các site lân cận trong nội bộ

Session Hijacking

 Chiếm phiên truy cập hợp lệ của máy nạn nhân từ cookies của trình duyệt

DoS, DDoS, DRDos

 Không làm ảnh hưởng đến tính toàn vẹn và bảo mật, nó chỉ làm cho Website không thể luôn sẵn sàng hoạt động

Một số hình thức tấn công mới

 DNS Cache Poisoning

 XSS

 WebServer hacking

 Buffer Overflow

Chiếm quyền máy chủ

 Sau khi đã đoạt được quyền admin, đây là lúc

mà hacker tiến hành cơng việc “hack”.

 Với hacker mũ đen đĩ là: phá hoại, đánh cắp, chỉnh sửa lại dữ liệu.

 Với hacker mũ trắng đĩ là: tĩm tắt lại quá

trình xâm nhập, phân tích lỗi và gửi đến

admin cĩ trách nhiệm quản lý hệ thống mà

khơng cĩ bất kì địi hỏi, vụ lợi nào.

Xóa dấu vết

 Bước cuối cùng của cuộc tấn cơng là Hacker sẽ xĩa tất cả các dấu vết cịn lưu lại trên Server và Client trước khi thốt ra (các file log, địa chỉ IP, phiên làm việc, cache, history…)

Bảo mật ứng dụng Web

 Kiểm định và tối ưu hĩa mã nguồn ứng dụng Web, các query tới database.

 Quản lý, phân quyền người dùng truy cập

Website, database chặt chẽ.

 Dùng chính sách mật khẩu an tồn.

liệu dự phịng cho Website.

 Mã hĩa, đổi tên source code, nhất là các tập tin cấu hình quan trọng (config.php).

Một số phương pháp bảo mật

 Dùng câu hỏi chứng thực để kiểm tra người dùng thật (CAPTCHA)

Bảo mật Server

 Thường xuyên cập nhật, vá lỗi cho

 Cấu hình lưu file log

truy xuất Website, Web

Các công cụ kiễm tra bảo mật web

Một số công cụ trực tuyến

 Google Safe Browsing Tool:

http://www.google.com/safebrowsing/diagnostic?site=(website bạn kiểm tra)

 Norton Safe Web

http://safeweb.norton.com/

 McAfee Site Advisor

http://www.siteadvisor.com/sites/

Secure Sockets Layer (SSL)

 Là giao thức giúp

mã hóa và truyền

tải toàn bộ thông

tin đi và đến trên

 Giao thức SSL bao gồm 2 giao thức con

 Giao thức SSL record xác định các định

dạng dùng để truyền dữ liệu.

 Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng giao thức SSL record để trao đổi một số thông tin giữa server và

client vào lấn đầu tiên thiết lập kết nối SSL.

 Thuận lợi :

 Ngày này do nhu cầu của người sử dụng internet để học tập, làm việc và giải trí ngày càng cao đã góp phần thúc đẩy quá trình phát triển và mở rộng các ứng dụng web.

 Các ứng dụng web càng phát triển thì càng đòi hỏi một lượng băng thông lớn để truyền tải.

 Bên cạnh đó lỗi của các ứng dụng web cũng ngày càng

đa dạng và phức tạp, đã tạo điều kiện cho các hacker xâm nhập vào các website.

=>Vì lý do trên cho nên việc bảo mật các website trở

6 Các ứng dụng web

 Truy cập thông tin

 Giao lưu ,trao đổi thông tin : Mail,

Blog ,Forum,Facebook…

 Học tập,các tiện ích văn phòng…

 Relax : web nhạc,film, Game online…

 Thương mại điện tử …

Ưu điểm & ích lợi

 Truy cập mọi lúc mọi nơi ( miễn là có thể truy cập được Internet)

 Cung cấp nhiều thông tin phục vụ nhu cầu học tập, giải trí ,kinh doanh …

7.Hướng phát triển

 Các ứng dụng web sẽ dần thay thế các ứng dụng trên desktop

 Thời đại của open source

 Trí tuệ cộng đồng được đề cao

 Đơn giản ,gọn nhẹ và tích hợp

 Văn phòng online

Chrome OS

Hệ điều hành có các ứng dụng web sẽ thay thế các ứng

Hướng phát triển web

 Tạo ra các web động-tính năng và cách thức nó tương tác với người dùng: rất tiện lợi và nhanh chóng đến nỗi bạn

gần như tưởng mình đang sử dụng một phần mềm chứ không phải đang xem trang web

 AJAX (Asynchronous JavaScript And XML.)

 AJAX không phải là một ngôn ngữ lập trình mới mà là một cách thức mới sử dụng những chuẩn đã có.

 AJAX là tập hợp của nhiều công nghệ với thế mạnh của riêng mình để tạo thành một sức mạnh mới.

 Tạo ra những ứng dụng web tốt, nhanh và thân thiện với người dùng hơn.

 Dựa trên những yêu cầu JavaScript và HTML

AJAX – Tương lai của ứng dụng Web

 Là một kỹ thuật để tạo ra những ứng dụng web.

 Là công nghệ phía browser

 Browser (XMLHttpRequest) server: sử dụng kỹ thuật chuyển dữ liệu bất đối xứng (asynchronous)

Trao đổi dữ liệu với máy chủ mà không cần load lại trang web.

 Ứng dụng Internet trở nên nhỏ, nhanh và thân

thiện.

AJAX và các chuẩn về web

AJAX dựa trên các chuẩn về web sau đây:

Cách thức truy cập web truyền thống:

Cách thức truy cập web sử dụng công nghệ AJAX:

 Browser  “Submit”XMLHttpRequest”  Server

 Server  phản hồi  Browser

Không cần load lại trang web.

Nhanh, thân thiện.

The end

Cám ơn các bạn đã quan tâm theo dõi.