Giới thiệu bảo mật và mục tiêu bảo mật Cơ chế tấn công và ý đồ tấn công Các giải pháp bảo mật cơ bản Các lỗ hổng và sự tấn công phổ biến Mục đích kiểm tra và bảo mật Kiểm tra bảo mật Xem xét các kiểm tra khác Nguồn gốc phổ biến của các mối đe dọa an ninh Phần cứng, phần mềm bị lỗi Lỗi của con người Môi trường vật lý bảo mật kém, thiên tai, nguồn năng lượng hỏng hóc
Trang 1SOFTWARE TESTING
Đại học Quốc Gia Tp.HCM Trường ĐH Công Nghệ Thông Tin
Giảng Viên: Nguyễn Đăng Khoa
1.Lê Chánh Tín 09520306
2.Lê Minh Thiện 09520284
3.Ngô Văn Vàng 09520452
4.Lê Phạm Minh Thông 09520288
5.Nguyễn Phát Tài 09520258
6.Nguyễn Quốc Thịnh 09520285
Trang 2KIỂM TRA AN NINH
WEB
Trang 3 Giới thiệu bảo mật và mục tiêu bảo mật
Cơ chế tấn công và ý đồ tấn công
Các giải pháp bảo mật cơ bản
Các lỗ hổng và sự tấn công phổ biến
Mục đích kiểm tra và bảo mật
Kiểm tra bảo mật
Xem xét các kiểm tra khác
Trang 4 Bảo mật là gì ?
GIỚI THIỆU BẢO MẬT
Trang 5Nguồn gốc phổ biến của các mối
đe dọa an ninh
• Phần cứng, phần mềm bị lỗi
• Lỗi của con người
• Môi trường vật lý bảo mật kém, thiên tai, nguồn năng lượng hỏng hóc
MỤC ĐÍCH BẢO MẬT
Trang 6Bảo vệ bản thân khỏi những mối nguy hại:
• Bảo vệ dữ liệu (tính toàn vẹn, tính bảo mật, đảm bảo các thông tin cá nhân, tính sẵn có)
• Bảo vệ tài nguyên hệ thống
MỤC ĐÍCH BẢO MẬT
Trang 7Thu thập
thông tin
• Tìm kiếm thông tin về hệ thống
• Tìm kiếm lỗ hổng ,cấu hình hệ thống, các phần mềm sử dụng
Quét
• Tiếp tục quá trình thu thập
• Giả định thử nghiệm về hệ thống
Tấn công
• Quá trình hoạt động xâm nhập diễn ra
• Cố gắng truy cập máy chủ, bẻ khóa, chạy truy vấn trên hệ thống mục tiêu
CƠ CHẾ MỘT CUỘC TẤN CÔNG
Trang 8Để ăn cắp thông tin
Để làm gián đoạn hệ thống
Để gây rắc rối
Để chơi cho vui
Ý ĐỒ TẤN CÔNG
Trang 9Chiến lược đào tạo con người, chính sách của công ty an ninh, phản hồi từ doanh nghiệp
Chiến lược đào tạo con người, chính sách của công ty an ninh, phản hồi từ doanh nghiệp
Xác thực và ủy quyềnCông nghệ bảo mật web khác
Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện xâm phạm
Bảo mật Perimeter-Based : tường lửa, DMZs, và hệ thống phát hiện xâm phạm
GIẢI PHÁP BẢO MẬT CƠ BẢN
Trang 10 Đào tạo con người
Chính sách của công ty an ninh
Phản hồi từ doanh nghiệp
GIẢI PHÁP BẢO MẬT CƠ BẢN
Trang 12 Công Nghệ Bảo Mật Web Khác
Tăng cường an
toàn Hypertext Transport
IP Security (IPSec)
Secure Sockets Layer (SSL)
GIẢI PHÁP BẢO MẬT CƠ BẢN
Trang 13 Bảo mật Perimeter-Based : tường
lửa, DMZs, và hệ thống phát hiện xâm phạm
Tường lửa, tường lửa dựa trên proxy
Thiết lập DMZ
Hệ thống phát hiện xâm nhập IDS
GIẢI PHÁP BẢO MẬT CƠ BẢN
Trang 16 Các Tấn Công Cơ Bản:
Tấn công bằng cách lợi dụng đặc quyền truy cập
Password cracking (bẻ mật khẩu)
Trang 18Trách Nhiệm Kiểm Tra:
Kiểm tra việc thi hành bảo mật
Kiểm tra yêu cầu và thiết kế
Kiểm tra mã và lập trình
Kiểm tra xâm nhập
Kiểm tra thông tin đăng nhập và cảnh báo hoạt động đáng ngờ
Kiểm tra tương tác với các thành phần bên thứ 3 và các lỗ hỏng trọng tâm
Kiểm tra việc triển khai
MỤC ĐÍCH KIỂM TRA VÀ TRÁCH
NHIỆM
Trang 19 Kiểm tra yêu cầu và thiết kế
Kiểm tra mã ứng dụng
Kiểm tra rò rỉ thông tin
Kiểm tra việc sử dụng GET và POST
Kiểm tra lỗi tràn bộ nhớ đệm
Kiểm tra dữ liệu xấu
Kiểm tra mở rộng
KIỂM TRA BẢO MẬT
Trang 20Kiểm tra yêu cầu và thiết kế:
Yêu cầu là quan trọng.
Cơ sở tính toán tin cậy.
Kiểm soát truy cập.
Tại sao cần bảo vệ tài nguyên.
KIỂM TRA BẢO MẬT
Trang 21 Kiểm tra mã ứng dụng
Backdoors
Ngoại lệ và các thông báo
Kiểm tra ID và Password
KIỂM TRA BẢO MẬT
Trang 22Kiểm tra
rò rỉ thông tin
KIỂM TRA BẢO MẬT
Trang 23 Kiểm tra sử dụng GET và POST
Tấn công sử dụng tham số giả mạo
KIỂM TRA BẢO MẬT
Trang 24 Kiểm tra lỗi tràn bộ nhớ đệm
KIỂM TRA BẢO MẬT
Trang 25 Kiểm tra dữ liệu xấu
KIỂM TRA BẢO MẬT
Trang 26 Kiểm tra mở rộng
KIỂM TRA BẢO MẬT
Trang 27 Thử nghiệm với bảo vệ người dùng thông qua cài đặt trình duyệt
KIỂM TRA BẢO MẬT
Trang 28 Kiểm tra với tường lửa
Trang 29End