Hướng dẫn lập trình an toàn cho ứng dụng Web

Những năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán trực tuyến, giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng được phát triển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghiệp nhằm đáp ứng nhu cầu vận hành liên tục và bảo mật hệ thống.
Nội dung trích xuất từ tài liệu:
Hướng dẫn lập trình an toàn cho ứng dụng Web Đinh Hữu Công Ban An toàn thông tin 1Hà Nội, 01/2012 Nội dung Phần I: An toàn thông tin (ATTT) cho ứng dụng web Phần II: Hướng dẫn lập trình an toàn Phần III: Thực hành Phần IV: Thảo luậnBan An toàn thông tin 2 Phần I: ATTT cho ứng dụng web 1 Tổng quan 2 Kiểm soát dữ liệu đầu vào 3 Kiểm soát dữ liệu đầu ra 4 Kiểm soát truy vấn database 5 Kiểm soát thao tác với fileBan An toàn thông tin 3 1. Tổng quan ATTT cho ứng dụng Web: Đảm bảo ứng dụng web không bị tấn công gây hại cho hệ thống và người dùng Mô hình ứng dụng web, các nguy cơ và cách phòng chốngBan An toàn thông tin 4 1. Tổng quan Kiểm soát - SQL Injection Kiểm soát - SQL Injection dữ liệu - XSS truy vấn - Mã hóa dữ đầu vào - CSRF Database liệu - Lỗi phân quyền - Path traversal Databas Query e Request Web Web Browser App Response I/O File Kiểm soát - XSS Kiểm soát dữ liệu - Path Traversal Thao tác với đầu ra - Upload, file download Môựhình Các Th hiệứ cnguy ơphòng ncngbdị ụtấng ống nchcông webBan An toàn thông tin 5 2. Kiểm soát dữ liệu đầu vào Khái niệm  Dữ liệu do người dùng nhập vào được truyền lên server  Mọi cuộc tấn công đều phải thông qua dữ liệu đầu vào Nguy cơ: SQL Injection, XSS (Cross Site Scripting) , CSRF (Cross Site Request Forgery), Path Traversal, lỗi phân quyền Thực hiện  Chỉ chấp nhận dữ liệu hợp lệ  Kiểm tra phía server là cần thiết  Kết hợp các tiêu chuẩn kiểm tra  Kiểm tra độ dài xâu là tiêu chuẩn nhanh và hiệu quảBan An toàn thông tin 6 3. Kiểm soát dữ liệu đầu ra Khái niệm  Là nội dung server trả về HTML cho web browser  Chứa input người dùng nhập vào  Chứa kết quả truy vấn database Nguy cơ:Lỗi trong quá trình output các dữ liệu sang HTML gây ra lỗi Cross-Site Scripting (XSS) Thực hiện: Lọc các ký tự đặc biệt khi outputBan An toàn thông tin 7 4. Kiểm soát truy vấn database Khái niệm  Truy xuất dữ liệu của ứng dụng web trong database  Là thao tác chủ yếu trong ứng dụng web  Ngôn ngữ truy vấn: SQL, HQL Nguy cơ  SQL Injection: Lỗi trong quá trình tạo câu query  Mã hóa không an toàn: Lỗi trong cách tổ chức dữ liệu Thực hiện  Gán tham số cho các câu truy vấn database  Mã hóa an toànBan An toàn thông tin 8 5.Kiểm soát thao tác với file Khái niệm  Các thao tác đọc ghi file trên server Nguy cơ: Lỗi liên quan đến việc xử lý đường dẫn file  Phần mở rộng của file  Chứa xâu .., ../ : Chuyển đến thư mục cha  Ký tự NULL: Kết thúc xâu đường dẫn Thực hiện  Chặn các kí tự không hợp lệ trong tên file  Chỉ cho phép upload các file có phần mở rộng hợp lệBan An toàn thông tin 9 Phần II: Hướng dẫn lập trình an toàn 1 Tổng quan 2 Phòng chống SQL Injection 3 Phòng chống XSS 4 Phòng chống CSRF 5 Phòng chống lỗi thao tác file 6 Phòng chống lỗi mã hóa dữ liệu 7 ...