Tài liệu Ứng dụng web - an toàn thông tin

  • Số trang: 36 |
  • Loại file: PDF |
  • Lượt xem: 283 |
  • Lượt tải: 0
Khotailieu

Đã đăng 199 tài liệu

Mô tả:

Ứng dụng web ● ● ● Là một ứng dụng phần mềm được chạy trên máy chủ (và cả máy khách) được truy xuất bằng trình duyệt thông qua internet/ intranet Thông qua giao thức HTTP hay HTTPS Công cụ thường dùng để truy xuất: trình duyệt như Internet Explorer, Firefox, wget và telnet Giao thức HTTP ● Là một giao thức không trạng thái (stateless) ● HTTP → plaintext, HTTPS → HTTP qua SSL ● Máy khách gửi yêu cầu: ● Verb (GET, POST...) ● Path (/index.html) ● Version (HTTP/1.0) ● Headers (User-Agent, Referer, Cookie...) ● Content (username=lucifer&password=satan) Giao thức HTTP ● Máy chủ xử lý và trả lời: ● Version (HTTP/1.0) ● Status code (200 OK, 302 Found) ● Headers (Content-Type, Location, Set-Cookie...) ● Content Giao thức HTTP $ telnet www.google.com 80 Trying 209.85.135.103... Connected to www.google.com. Escape character is '^]'. GET /index.html HTTP/1.0 User-Agent: telnet Giao thức HTTP HTTP/1.0 302 Found Location: http://www.google.pl/index.html Cache-Control: private Content-Type: text/html; charset=UTF-8 Set-Cookie: PREF=ID=43f89ca583561c64:TM=1271062270:LM=1271062270:S=pQo4 6W7J0yfp07co; expires=Wed, 11-Apr-2012 08:51:10 GMT; path=/; domain=.google.com Server: gws Content-Length: 228 username=Viet&password=Nam Giao thức HTTP ● Vì stateless nên mỗi yêu cầu sẽ thông qua một kết nối riêng ● Để giữ trạng thái → dùng cookie ● Máy chủ gửi giá trị cookie về ● Máy khách nhớ giá trị này ● Ở các yêu cầu sau, máy khách gửi kèm header Cookie, máy chủ dựa trên giá trị này để tìm lại Giao thức HTTP ● Mô hình nhiều tầng (n-tier) HTTP request (cleartext or SSL) Web Client SQL Databas e Firewall Web app Web Server Web app Web app Web app HTTP reply (HTML, Javascript, etc) •Apache •IIS •Netscape etc… Plugins: •Perl •C/C++ •JSP, etc DB DB Database connection: •ADO, •ODBC, etc. Công nghệ an ninh web ● ● Bảo vệ máy khách: ● Sandbox (JavaScript, Flash, .NET Silverlight) ● Multiprocess (Chrome, IE8+) ● Danh sách các Certificate Authority đáng tin ● Anti-virus, Anti-spyware, AdBlock... Bảo vệ đường truyền: ● SSL/TLS ● Firewall ● VPN Công nghệ an ninh web ● ● ● Bảo vệ máy chủ: ● Làm chắc hệ điều hành (hardened OS) ● Thực hiện các nguyên tắc an ninh ● Tắt các dịch vụ không dùng ● Thường xuyên cập nhật bản vá Bảo vệ ứng dụng: ● IDS/IPS ● Web Application Firewall Bảo vệ CSDL: ● Mã hóa, sao lưu (backup), nhân bản (replicate) Kịch bản chéo trang ● ● ● ● 3 loại: ● Reflected ● Stored ● DOM injection Ảnh hưởng TẤT CẢ khung ứng dụng web Chiếm phiên, chiếm kiểm soát trình duyệt, thay đổi web, phishing Đây là tấn công giữa người dùng và người dùng, không tấn công vào máy chủ Kẻ tấn công message= Người xem Máy Chủ Error: Trình duyệt thực thi kịch bản trong