Đăng ký Đăng nhập
Trang chủ Công nghệ thông tin Quản trị mạng Ứng dụng web - an toàn thông tin...

Tài liệu Ứng dụng web - an toàn thông tin

.PDF
36
428
81

Mô tả:

Ứng dụng web ● ● ● Là một ứng dụng phần mềm được chạy trên máy chủ (và cả máy khách) được truy xuất bằng trình duyệt thông qua internet/ intranet Thông qua giao thức HTTP hay HTTPS Công cụ thường dùng để truy xuất: trình duyệt như Internet Explorer, Firefox, wget và telnet Giao thức HTTP ● Là một giao thức không trạng thái (stateless) ● HTTP → plaintext, HTTPS → HTTP qua SSL ● Máy khách gửi yêu cầu: ● Verb (GET, POST...) ● Path (/index.html) ● Version (HTTP/1.0) ● Headers (User-Agent, Referer, Cookie...) ● Content (username=lucifer&password=satan) Giao thức HTTP ● Máy chủ xử lý và trả lời: ● Version (HTTP/1.0) ● Status code (200 OK, 302 Found) ● Headers (Content-Type, Location, Set-Cookie...) ● Content Giao thức HTTP $ telnet www.google.com 80 Trying 209.85.135.103... Connected to www.google.com. Escape character is '^]'. GET /index.html HTTP/1.0 User-Agent: telnet Giao thức HTTP HTTP/1.0 302 Found Location: http://www.google.pl/index.html Cache-Control: private Content-Type: text/html; charset=UTF-8 Set-Cookie: PREF=ID=43f89ca583561c64:TM=1271062270:LM=1271062270:S=pQo4 6W7J0yfp07co; expires=Wed, 11-Apr-2012 08:51:10 GMT; path=/; domain=.google.com Server: gws Content-Length: 228 username=Viet&password=Nam Giao thức HTTP ● Vì stateless nên mỗi yêu cầu sẽ thông qua một kết nối riêng ● Để giữ trạng thái → dùng cookie ● Máy chủ gửi giá trị cookie về ● Máy khách nhớ giá trị này ● Ở các yêu cầu sau, máy khách gửi kèm header Cookie, máy chủ dựa trên giá trị này để tìm lại Giao thức HTTP ● Mô hình nhiều tầng (n-tier) HTTP request (cleartext or SSL) Web Client SQL Databas e Firewall Web app Web Server Web app Web app Web app HTTP reply (HTML, Javascript, etc) •Apache •IIS •Netscape etc… Plugins: •Perl •C/C++ •JSP, etc DB DB Database connection: •ADO, •ODBC, etc. Công nghệ an ninh web ● ● Bảo vệ máy khách: ● Sandbox (JavaScript, Flash, .NET Silverlight) ● Multiprocess (Chrome, IE8+) ● Danh sách các Certificate Authority đáng tin ● Anti-virus, Anti-spyware, AdBlock... Bảo vệ đường truyền: ● SSL/TLS ● Firewall ● VPN Công nghệ an ninh web ● ● ● Bảo vệ máy chủ: ● Làm chắc hệ điều hành (hardened OS) ● Thực hiện các nguyên tắc an ninh ● Tắt các dịch vụ không dùng ● Thường xuyên cập nhật bản vá Bảo vệ ứng dụng: ● IDS/IPS ● Web Application Firewall Bảo vệ CSDL: ● Mã hóa, sao lưu (backup), nhân bản (replicate) Kịch bản chéo trang ● ● ● ● 3 loại: ● Reflected ● Stored ● DOM injection Ảnh hưởng TẤT CẢ khung ứng dụng web Chiếm phiên, chiếm kiểm soát trình duyệt, thay đổi web, phishing Đây là tấn công giữa người dùng và người dùng, không tấn công vào máy chủ Kẻ tấn công message= Người xem Máy Chủ Error: Trình duyệt thực thi kịch bản trong

Thư viện tài liệu trực tuyến
Hỗ trợ
hotro_xemtailieu
Mạng xã hội
Copyright © 2023 Xemtailieu - Website đang trong thời gian thử nghiệm, chờ xin giấy phép của Bộ TT & TT
thư viện tài liệu trực tuyến, nơi chia sẽ trao đổi tài liệu như luận văn đồ án, giáo trình, đề thi, .v.v...Kho tri thức trực tuyến.
Xemtailieu luôn tôn trọng quyền tác giả và thực hiện nghiêm túc gỡ bỏ các tài liệu vi phạm.