Chương 7 Bảo mật web

Web là dịch vụ quan trọng nhất hiện nay trong các dịch vụ Internet, rất nhiều ứng dụng được xây dựng trên nền web đặc biệt là các thương mại điện tử. Tính toàn của dịch vụ này vì thế trở thành yêu cầu bắt buộc.
Nội dung trích xuất từ tài liệu:
Chương 7 " Bảo mật web"CHƯƠNG 7 B O M T WEBI- T NG QUAN V B O M T WEBI.1- Gi i thi u Web là d ch v quan tr ng b c nh t hi n nay trong s các d ch v c a m ng Internet.R t nhi u ng dung ư c xây d ng trên n n Web, c bi t là các ng d ng thương m i i nt . Tính an toàn c a d ch v này vì th tr thành yêu c u b t bu c. Tuy nhiên, cũng gi ng như nh ng ng d ng khác trên n n m ng Internet, Web cũngth a hư ng nh ng i m m nh c a cơ s h t ng m ng và b giao th c TCP/IP, nhưng cũng ng th i i di n v i nh ng thách th c v b o m t. Ngoài ra, b n thân công ngh Web cũngt nó Nn ch a m t s nguy cơ c thù. Có th k ra nh ng thách l n i v i d ch v Web nhưsau: • Web là m t công ngh ph c t p. M c dù vi c s d ng Web browser truy xu t Web là ơn gi n, vi c cài t và c u hình m t Web server là ơn gi n, c vi c xây d ng các ng d ng Web v i s h tr c a các công c m nh hi n nay cũng là ơn gi n, nhưng ki n trúc bên trong c a d ch v Web l i là m t h th ng h t s c ph c t p. S ph c t p này Nn ch a nh ng nguy cơ ti m tàng v b o m t. Trong th c t , nh ng l i b o m t xu t phát t bên trong công ngh là khá nghiêm tr ng, có th d n n nh ng t n công nguy hi m i v i h th ng. • Web server là nơi giao ti p v i th gi i m ng bên ngoài, cũng ng th i là nơi có k t n i g n gũi v i các h qu n tr cơ s d li u bên trong. Nên trong a s các trư ng h p t n công, thì Web server chính là c a ngõ thích h p nh t hacker b t u, t ó ti n sâu vào các cơ si73 d li u quan tr ng bên trong. • Ngư i dùng Internet thu c nhi u thành ph n khác nhau, và a s không có ki n th c và ít quan tâm n v n b o m t, k c nh ng thông báo r t c th c a Web browser trong các tình hu ng nguy hi m. Do ó, các t n công hư ng v phía ngư i dùng cũng là m t trong nh ng sơ h nghiêm tr ng c a Web.I.2- Các nguy cơ t n công b o m t i v i d ch v Web Các nguy cơ t n công an ninh i v i d ch v Web có th phân thành 4 nhóm như sau: • T n công vào thu c tính toàn v n c a thông tin trên Web (integrity): g m các t n công như thay i d li u c a ngư i dùng, thay i d li u trong quá trình trao i gi a web server và web browser, tác ng vào b nh web server thông qua các l i tràn b m, … Các t n công lo i này gây ra m t thông tin, cho phép hacker xâm nh p và h th ng và t ó t o ra nhi u l h ng b o m t khác. ngăn ch n các t n công thu c nhóm này, k thu t mã hóa và xác th c thông tin là gi i pháp h u hi u nh t. • T n công vào thu c tính bí m t c a thông tin trên Web (confidentiality): g m các t n công như c lén trên ư ng truy n, l y c p d li u trên server, l y c p d li u trên máy ngư i dùng, do thám thông tin v c u hình m ng, … Các t n công này gây m t thông tin và ti t l các thông tin cá nhân c a ngư i dùng. Gi i pháp ngăn ch n các t n công lo i này là dùng các k thu t mã hóa và web proxy. 1 • T n công t ch i d ch v (DoS): g m các t n công như t t các lu ng x lý c a user, chi m tài nguyên c a web server (băng thông, ĩa c ng, b nh ) và t n công vào các cơ s d li u DNS nh m cô l p Web server. H u qu mà các t n công này gây ra thư ng là làm gián o n d ch v , gây khó ch u cho ngư i dùng và th m chí ngăn ch n các truy xu t h p l c a ngư i dùng. Các t n công d ng này hi n nay chưa có gi i pháp c th . • T n công các cơ ch xác th c c a d ch v Web (authentication): bao g m gi danh ngư i dùng và gi m o d li u. Các t n công này cũng ư c gi i quy t b ng các k thu t m t mã i x ng và b t i x ng. Hình 7.1: Các ng d ng b o m t trong mô hình TCP/IP Ngoài cách phân lo i các nguy cơ b o m t như trên, còn có m t cách phân lo i khác làd a vào v trí c a các nguy cơ này trong mô hình ho t ng c a d ch v Web. Theo ó, cácnguy cơ t n công b o m t i v i d ch v Web có th xu t hi n 3 v trí như sau: • Các nguy cơ phía web server • Các nguy cơ phía web client • Các nguy cơ trên ư ng truy n d li u.Cho dù có dùng cách phân lo i nào i n a, thì các gi i pháp b o m t cho d ch v WeB thư ngt p trung vào hai nhóm như sau: • Gia c Web server và Web client dùng các công c h tr và các b n c p nh t thư ng xuyên c a nhà s n xu t. • m b o tính toàn v n, bí m t và xác th c c a d li u trao i gi a web browser và web server dùng các công c mã hóa và xác th c. Trong ph m vi tài li u này, các gi i pháp b o m t d ch v web ư c ...