GIỚI THIỆU

Tổ chức của luận văn

PHẦN THỨ NHẤT: CƠ SỞ LÍ THUYẾT

Chương 1: Giới thệu Ứng dụng Web

I KHÁI NIỆM ỨNG DỤNG WEB

II MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB

Chương 2: Các khái niệm, thuật ngữ liên quan

I HACKER

II HTTP HEADER

III SESSION

IV COOKIE

V PROXY

Chương 3: Giới thiệu sơ lược về các kĩ thuật tấn công Ứng dụng Web

I KIỂM SOÁT TRUY CẬP WEB

I 1 Thâm nhập hệ thống qua cửa sau

II CHIẾM HỮU PHIÊN LÀM VIỆC

II 1 Ấn định phiên làm việc

II 2 Đánh cắp phiên làm việc

III LỢI DỤNG CÁC THIẾU SÓT TRONG VIỆC KIỂM TRA DỮ LIỆU NHẬP HỢP

LỆ

III 1 Kiểm tra tính đúng đắn của dữ liệu bằng ngôn ngữ phía trình duyệt

III 2 Tràn bộ đệm

III 3 Mã hóa URL

III 4 Kí tự Meta

III 5 Vượt qua đường dẫn

III 6 Chèn mã lệnh thực thi trên trình duyệt nạn nhân

III 7 Thêm câu lệnh hệ thống

III 8 Chèn câu truy vấn SQL

III 9 Ngôn ngữ phía máy chủ

III 10 Kí tự rỗng

III 11 Thao tác trên tham số truyền

IV ĐỂ LỘ THÔNG TIN

V TỪ CHỐI DỊCH VỤ

PHẦN THỨ HAI: CÁC KĨ THUẬT TẤN CÔNG VÀ BẢO MẬT ỨNG DỤNG WEB

Chương 4: Thao tác trên tham số truyền

I THAO TÁC TRÊN URL

I 1 Khái niệm

I 2 Một số biện pháp khắc phục

II THAO TÁC TRÊN BIẾN ẨN FORM

II 1 Khái niệm

II 2 Một số biện pháp khắc phục

III THAO TÁC TRÊN COOKIE

III 1 Khái niệm

III 2 Một số biện pháp khắc phục

IV THAO TÁC TRONG HTTP HEADER

IV 1 Khái niệm

IV 2 Một số biện pháp khắc phục

Chương 5: Chèn mã lệnh thực thi trên trình duyệt nạn nhân (Cross Side Scripting)

I KĨ THUẬT TẤN CÔNG CROSS-SITE SCRIPTING (XSS)

II PHƯƠNG PHÁP TẤN CÔNG XSS TRUYỀN THỐNG

III MỘT SỐ WEBSITE TÌM THẤY LỖ HỔNG XSS

IV TẤN CÔNG XSS BẰNG FLASH

V CÁCH PHÒNG CHỐNG

Chương 6: Chèn câu truy vấn SQL (SQL Injection)

I KHÁI NIỆM SQL INJECTION

II GIỚI THIỆU MÔ HÌNH CƠ SỞ DỮ LIỆU

III 1 Kĩ thuật tấn công SQL Injection

III 2 Tấn công dưa vào câu lệnh SELECT

III 3 Tấn công dưa vào câu lệnh HAVING

III 4 Tấn công dưa vào câu lệnh kết hợp UNION

III 5 Tấn công dưa vào lệnh INSERT

III 6 Tấn công dưa vào STORED PROCEDURE

III 7 Nâng cao

III 7 1 Chuỗi kí tự không có dấu nháy đơn

III 7 2 Tấn công 2 tầng

III 7 3 Tránh sự kiểm soát

III 7 4 Dùng Extended Stored Procedure

III 7 4 1 Dùng Extended Stored Procedure có sẵn trong hệ thống SQL Server

III 7 4 2 Dùng Extended Stored Procedure tự tạo

III 7 4 3 Nhập tập tin văn bản vào bảng

IV CÁCH PHÒNG CHỐNG

IV 1 Kiểm tra dữ liệu

IV 2 Khoá chặt SQL Server (SQL Server Lockdown)

Chương 7: Chiếm hữu phiên làm việc (Session Management)

I TỔNG QUAN VỀ SESSION ID

II ẤN ĐỊNH PHIÊN LÀM VIỆC

II 1 Tấn công Session ID trên tham số URL

II 2 Tấn công Session ID trong biến ẩn form

II 3 Tấn công Session ID trong cookie

II 4 Cách phòng chống

III ĐÁNH CẮP PHIÊN LÀM VIỆC

III 1 Tấn công kiểu dự đoán phiên làm việc (Prediction sessionID)

III 2 Tấn công kiểu vét cạn phiên làm việc (Brute force ID)

III 3 Tấn công kiểu dùng đoạn mã để đánh cấp phiên làm việc

III 4 Cách phòng chống

III 5 Sự khác biệt giữa đánh cắp phiên làm việc (session hijacking) và ấn định phi

làm việc (session fixation)

Chương 8: Tràn bộ đệm (Buffer Overflow)

I KHÁI NIỆM

II SƠ ĐỒ TỔ CHỨC CỦA BỘ NHỚ

II 1 Stack

II 2 Push và Pop

II 3 Cách làm việc của hàm

II 4 Shell code

III MỘT SỐ CÁCH GÂY TRÀN BỘ ĐỆM QUA ỨNG DỤNG WEB

IV CÁC CÁCH PHÒNG CHỐNG

Chương 9: Từ chối dịch vụ (DoS)

I KHÁI NIỆM

II NHỮNG KHẢ NĂNG BỊ TẤN CÔNG BẰNG DOS

III CÁC KĨ THUẬT TẤN CÔNG

III 1 Khái niệmvề Tcp bắt tay ba chiều

III 2 Lợi dụng TCP thực hiện phương pháp SYN flood truyền thống

III 3 Tấn công vào băng thông

III 3 1 Kiểu tấn công thứ 1

III 3 2 Kiểu tấn công thứ 2

III 4 Kiểu tấn công vào tài nguyên hệ thống

IV BIỆN PHÁP PHÒNG CHỐNG

Chương 10: Một số kĩ thuật tấn công khác

I MÃ HÓA URL (URL Encoding)

I 1 Khái niệm

I 2 Một số biện pháp phòng chống

II KIỂU TẤN CÔNG VƯỢT ĐƯỜNG DẪN

II 1 Khái niệm

II 2 Một số biện pháp phòng chống

III TẤN CÔNG DỰA VÀO KÍ TỰ RỖNG

III 1 Khái niệm

III 2 Một số biện pháp phòng chống

IV NGÔN NGỮ PHÍA TRÌNH CHỦ

IV 1 Khái niệm

IV 2 Cách tấn công

IV 3 Biện pháp phòng chống

Chương 11: Tổng kết quá trình tấn công của Hacker

I THU THẬP THÔNG TIN Ở MỨC HẠ TẦNG CỦA MỤC TIÊU

II KHẢO SÁT ỨNG DỤNG WEB

III TẤN CÔNG

Chương 12: Tổng kết các biện pháp phòng chống

I VỚI NHỮNG NHÀ QUẢN TRỊ MẠNG

II VỚI NHỮNG NHÀ THIẾT KẾ ỨNG DỤNG WEB

III VỚI NGƯỜI SỬ DỤNG ỨNG DỤNG WEB

PHẦN THỨ BA: CHƯƠNG TRÌNH WEB CHECKER

Chương 13: Chương trình Web Checker

I ĐẶC TẢ CHƯƠNG TRÌNH WEB CHECKER

I 1 Tổng quan

I 2 Yêu cầu

I 2 1 Yêu cầu chức năng