Tiểu luận môn kiểm chứng phần mềm WEB SECURITY TESTING

Và 2/3 trong số này không cài đặt bất kỳ giải pháp bảo mật nào cho thiết bị của mình.. - 44% người dùng không biết đến các giải pháp an ninh cho thiết bị di động... - Sự cân bằng bảo mật

1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

GVHD: Ths Nguyễn Công Hoan

Ngày 11 tháng 06 năm 2013

Nhóm thực hiện:

• Trần Đức Yên 10520203

• Lê Tuấn Anh 10520211

• Đào Xuân Hiển 10520212

KIỂM CHỨNG PHẨN MỀM

WEB SECURITY 

TESTING

1 • Gi i thi u & M c tiêu.ớ ệ ụ

2 • Web security & Network security & Firewalls

3 • Đ ng c  và Nguyên nhân.ộ ơ

4 • Test web security c n test nh ng gì?ầ ữ

5 • Demo SQL INJECTION,Keylog

4/8/15

2

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

NỘI DUNG

3

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

GIỚI THIỆU

4

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

GIỚI THIỆU

M t s  th ng kê gây s c khác: ộ ố ố ố

 - Ông Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng Trung tâm BKAV cho biết: "86% vụ tấn công mạng ở Việt Nam

là do các hacker nước ngoài.

- 2/3 người trở thành dùng thiết bị di động để truy cập internet Điều này dẫn đến số lượng lỗ hổng trên điện thoại tăng gấp đôi mỗi năm

- Trong năm 2011, cứ 10 người sử dụng mạng xã hội thì 4 người là nạn nhân của hacker (đánh cắp tài khoản, phát tán mã độc )

- 35% người dùng từng mất điện thoại hoặc máy tính bảng Và 2/3 trong số này không cài đặt bất kỳ giải pháp bảo mật nào cho thiết bị của mình

- 44% người dùng không biết đến các giải pháp an ninh cho thiết bị di động

- Một hệ thống dựa trên Web an toàn 100 % là

không tồn tại.

- Sự cân bằng bảo mật bao gồm thỏa hiệp giữa bảo mật và khả năng sử

dụng các chức năng

- Nó đòi h i m t s  k t h p c a các ki n th c v  công ngh  b o  ỏ ộ ự ế ợ ủ ế ứ ề ệ ả

m t, công ngh  m ng, l p trình, và s  th ng xuyên, kinh  ậ ệ ạ ậ ự ườ nghi m th c t  trong vi c thâm nh p an toàn c a h  th ng  ệ ự ế ệ ậ ủ ệ ố

m ng ạ

4/8/15

5

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

GIỚI THIỆU

Trách nhiệm kiểm tra hệ thống để phát hiện ra chức năng, khả năng tương thích, hình trạng, và các lỗi tương thích,

có liên quan đến thực hiện bảo mật và các vấn đề tiềm năng đã được giới thiệu bởi lỗi trong thiết kế bảo mật

Xác định các mục tiêu an ninh và trách nhiệm và cung cấp một giới thiệu về công nghệ bảo mật web.

Bảo mật trong thế giới vật chất về cơ bản là khác bảo mật trong thế giới kỹ thuật số

4/8/15

6

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Mục Đích

7

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Hi u rõ m c đích thông qua  ể ụ phân tích đ ng c  t n công ộ ơ ấ

 Để lấy trộm:

o Tiền bạc

o Thông tin

o Sở hữu trí tuệ

 Gián đoạn các hoạt động

 Gây khó khăn, rắc rối

 Chơi và niềm vui

Một số động cơ phổ biến:

8

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Thông thường, các mối đe dọa bảo mật đến từ một hoặc nhiều trong những nơi sau:

• Lỗi hoặc failure(thất bại, sai sót) của phần cứng và phần mềm

• Lỗi hoặc sai sót của người(người làm)

• Environmental failures(ảnh hưởng của môi trường), chẳng hạn như bảo mật kém cho các môi trường vật lí, mất điện thiên tai

• Thay đổi khi hệ thống đang thực hiện

Nguyên nhân

9

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Nh p URL không h p l ậ ợ ệ

10

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

 Đưa ra các chiến lược phát triển, quy trình bảo trì và đào tạo kỹ năng cho nhân viên

 Xác thực và ủy quyền ( đặt password, mã hóa thông tin … )

 Sử dụng công nghệ bảo mật

- Xây dựng một

hệ thống phòng

thủ

- Chặn truy cập

và hoạt động không mong muốn

- Cho phép truy cập hợp pháp

- Cho phép cổng

80 và cổng 443 truy cập.

- Tuân thủ theo các

quy tắc

- Không phân tích lưu lượng

web

4/8/15

11

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

1 số công nghệ bảo mật

12

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

 Kiểm tra các yêu cầu và thiết kế

 Kiểm tra mã ứng dụng

 Kiểm tra mã của bên thứ 3

 Kiểm tra việc triển khai

 Thử nghiệm xâm nhập

 Thử nghiệm bảo vệ người dùng thông qua cài đặt trình duyệt

13

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Ki m tra b o m t cho web  ể ả ậ

 Phân quyền (các vai trò và danh sách quyền tương ứng)

 Độ an toàn của mạng (Network Scanning)

 Rà soát các lỗ hổng tiềm ẩn (Vulnerability Scanning)

 Phát hiện các khả năng ăn trộm/bẻ gãy mật khẩu (Password Cracking)

 Phát hiện lỗ hổng bảo mật từ các bản ghi log (Firewall log, IDS log, Server log, )

 Kiểm tra tính toàn vẹn của hệ thống File (File Integrity Checkers

 Dò tìm và phát hiện virus (virus director)

 War Dialling

14

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­

Demo

SQL Injection là một kĩ thuật cho phép những kẻ tấn công thi hành các câu lệnh truy vấn SQL bất hợp pháp bằng cách lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập từ các ứng dụng web Hậu quả này rất tai hại vì nó cho phép kẻ tấn công có toàn quyền, hiệu chỉnh trên cơ sở dữ liệu của ứng dụng Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị CSDL như SQL Server, Oracle, DB2, Sysbase Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, …

15

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

­­­­­­­­­