Nghiên cứu một số vấn đề về bảo mật ứng dụng Web trên Internet


Ngày nay, khi Internet được phổbiến rộng rãi, các tổchức, cá nhân đều có nhu cầu giới thiệu thông tin của mình trên xa lộthông tin cũng nhưthực hiện các phiên giao dịch trực tuyến. Vấn đềnảy sinh là khi phạm vi ứng dụng của các ứng dụng Web ngày càng mởrộng thì khảnăng xuất hiện lỗi và bịtấn công càng cao, trởthành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thửtài hoặc đùa bỡn với người khác.

Cùng với sựphát triển không ngừng của Internet và các dịch vụtrên Internet, sốlượng các vụtấn công trên Internet cũng tăng theo cấp sốnhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khảnăng truy nhập thông tin của Internet, thì các tài liệu chuyên môn bắt đầu đềcập nhiều đến vấn đềbảo đảm và an toàn dữliệu cho các máy tính được kết nối vào mạng Internet. Theo sốliệu của CERT (Computer Emegency Response Team - "Đội cấp cứu máy tính"), sốlượng các vụtấn công trên Internet được thông báo cho tổchức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994, và năm 2001 là 5315 vụ. Những vụtấn công này nhằm vào tất cảcác máy tính có mặt trên Internet, các máy tính của tất cảcác công ty lớn nhưAT&T, IBM, các trường đại học, các cơquan nhà nước, các tổchức quân sự, nhà băng. Một sốvụtấn công có quy mô khổng lồ(có tới 100.000 máy tính bịtấn công). Hơn nữa, những con sốnày chỉlà phần nổi của tảng băng. Một phần rất lớn các vụtấn công không được thông báo, vì nhiều lý do, trong đó có thểkể đến nỗi lo bịmất uy tín, hoặc đơn giản những người quản trịhệthống không hay biết những cuộc tấn công đang nhằm vào hệthống của họ. Điển hình là cuộc tấn công vào phần mềm thương mại của IBM tháng 3/2001, hai hacker đã tìm thấy lỗhổng trênứng dụng mà bất cứai với một trình duyệt Web cũng có thểlấy tài khoản của người dùng, thậm chí cảngười quản trị. Không chỉsốlượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công ngày càng tinh vi và có tổchức. Mặt khác, việc quản trịcác hệthống mạng đòi hỏi nhà quản trịhệthống có kiến thức và kinh nghiệm vềhệthống mạng chắc chắn, do đó sựyếu kém trong quản lý sẽtạo nhiều điều kiện cho các hacker khai thác. Cũng theo CERT, những cuộc tấn công thời kỳ1988-1989 chủyếu là đoán tên người sửdụng-mật khẩu (UserID/password) hoặc sửdụng một sốlỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hệthống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây còn bao gồm cảcác thao tác nhưgiảmạo địa chỉIP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từxa (telnet hoặc rlogin), cài trojan hay worm đểkiểm soát hay điều khiển máy tính vì thế, nhu cầu bảo vệthông tin trên Internet là cần thiết nhằm mục đích bảovệdữliệu, bảo vệthông tin người dùng và bảo vệhệthống. Khi nói đến vấn đềbảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sựan toàn của hệthống mạng và hệ điều hành. Đểbảo vệcho hệthống, phương pháp thường được chọn là sửdụng firewall. Tuy nhiên, theo tuyên bốcủa CSI/FBI : 78% nơi bịhại có sửdụng firewall và 59% thì bịtấn công thông qua Internet, cụthểhơn là theo báo cáo của CSI/FBI Computer Crime vàSecurity Survey thì tổng sốthiệt hại do những ứng dụng Webbịtấn công từnăm 1997 đến năm 2000 là 626 triệu đôla Mỹ. Với những công cụtự động tìm lỗhổng tuy giúp rất nhiều cho những nhà lập trình Web nhưng vẫn không thểngăn chặn toàn bộvì công nghệWeb đang phát triển nhanh chóng (chủyếu chú trọng đến yếu tốthẩm mĩ, yếutốtốc độ ) nên dẫn đến nhiều khuyết điểm mới phát sinh. Sựtấn công không nằm trong khuôn khổvài kĩthuật đã phát hiện, mà linh động và tăng lên tùy vào những sai sót của nhà quản trịhệthống cũng nhưcủa những người lập trìnhứng dụng. Luận văn được thực hịên với mục đích tìm hiểu, phân tích các lỗhổng bảo mật trong cácứng dụng web(cùng với chương trình minh họa) đểqua đó đềxuất các phương án sửa chữa. Song song đó, luận văn còn thực hiện một chương trình “Tự động phát hiện lỗhổng trênứng dụng Web” giúp ích cho những nhà lập trình Web ít kinh nghiệm tránh những sai sót trong quá trình tạo các ứng dụng. Tổchức của luận văn Luận văn gồm 13 chương chia thành 3 phần: Phần thứnhất:CƠSỞLÍ THUYẾT Phần này gồm có 3 chương: + Chương 1 : Giới thiệuvề ứng dụng Web + Chương 2 : Một sốkhái niệm, thuật ngữliên quan. + Chương 3: Sơlược các kĩthuật tấn côngứng dụng Web Phần thứhai:CÁC KĨTHUẬT TẤN CÔNG VÀ BIỆN PHÁP PHÒNG CHỐNG Phần này gồm có 9 chương từchương 4 đến chương 12 trongđó7 chươngđầu bàn luận vềcác kĩ thuật tấn công, cuối mỗi chương là biện pháp phòng chống cho từng kĩ thuật. Chương 11 nói vềquá trình tấn công củahacker vàđến chương 12 là nội dung các biện pháp phòng chống chung nhất. Phần thứba :CHƯƠNG TRÌNH “WEB CHECKER” Là gồm chương cuối trình bày, giải thích vềchương trình Kết thúc luận văn là phần kết luận, tóm lược lại những vấn đề đã trình bày và một số hướng phát triển trong tương lai vàdanh mục các tài liệu tham khảo.

LINK DOWNLOAD
M_tả

No comments: