Tóm tắt luận văn Thạc sỹ ngành Khoa học máy tính: Nghiên cứu về quy trình kiểm tra bảo mật ứng dụng web

Luận văn “Nghiên cứu tìm hiểu về quy trình kiểm tra bảo mật ứng dụng Web” sẽ đáp ứng phần nào nhu cầu cấp thiết về an ninh bảo mật hiện nay. Xây dựng nên quy trình phục vụ cho việc kiểm tra và phát hiện các điểm yếu an toàn thông tin trong ứng dụng Web, từ đó đưa ra báo cáo đánh giá về an toàn thông tin cho Website.
Nội dung trích xuất từ tài liệu:
Tóm tắt luận văn Thạc sỹ ngành Khoa học máy tính: Nghiên cứu về quy trình kiểm tra bảo mật ứng dụng web 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÙI VIỆT THẮNG NGHIÊN CỨU VỀ QUY TRÌNH KIỂM TRA BẢO MẬT ỨNG DỤNG WEB Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 2 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS TS Lê Mỹ Tú Phản biện 1: TS Phạm Thanh Giang Phản biện 2: TS Hoàng Xuân Dậu Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: 13 giờ 30 ngày 15 tháng 02 năm 2014 Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễnthông 3 LỜI NÓI ĐẦU Ngày nay, ứng dụng Web đã có mặt trong hầu hếtmọi lĩnh vực của cuộc sống hiện đại. Cùng với sự pháttriển nhanh chóng của ứng dụng Web thì vấn đề bảo mậtứng dụng Web đang là lĩnh vực vô cùng nóng hổi nhằmđảm bảo an toàn cho tất cả người dùng ứng dụng. Vậy nếucó một lỗi bảo mật xảy ra trong ứng dụng Web thì điềunày có thể ảnh hưởng tới tất cả người dùng, ảnh hưởng tớiuy tín của công ty, tổ chức đó, gây mất mát về mặt tàichính và các ràng buộc về pháp lý,… Luận văn “Nghiên cứu tìm hiểu về quy trình kiểmtra bảo mật ứng dụng Web” sẽ đáp ứng phần nào nhu cầucấp thiết về an ninh bảo mật hiện nay. Xây dựng nên quytrình phục vụ cho việc kiểm tra và phát hiện các điểm yếuan toàn thông tin trong ứng dụng Web, từ đó đưa ra báocáo đánh giá về an toàn thông tin cho Website. 4Chương 1 – TỔNG QUAN VỀ AN NINH ANTOÀN ỨNG DỤNG WEB1.1 Khái niệm ứng dụng Web Ứng dụng Web là các chương trình máy tính chophép người dùng Website đăng nhập, truy vấn vào ra dữliệu qua mạng Internet/Intranet trên trình duyệt Web củangười dùng. Dữ liệu sẽ được gửi tới người dùng trongtrình duyệt theo kiểu thông tin động từ ứng dụng Web quamột Web Server.1.2 Các công nghệ dùng trong ứng dụng Web1.2.1 Giao thức HTTP1.2.2 Công nghệ được sử dụng trong chức năng của ứngdụng Web1.2.3 Các lược đồ mã hóa (Encoding Schemes)1.3 Cơ chế phòng thủ trong ứng dụng Web + Xử lý truy cập người dùng + Xử lý đầu vào người dùng + Xử lý kẻ tấn công + Quản lý ứng dụng 31.4 Các rủi ro thường gặp trong ứng dụng Web  Lỗi nhúng mã  Hư hỏng cơ chế chứng thực và quản lý phiên làm việc  Thực thi mã script xấu  Đối tượng tham chiếu thiếu an toàn  Sai sót trong cấu hình bảo mật  Phơi bày dữ liệu nhạy cảm  Thiếu chức năng điều khiển mức truy cập  Giả mạo yêu cầu (Cross Site Request Forgery)  Sử dụng các thành phần dễ bị tổn thương đã biết  Chuyển hướng và chuyển tiếp thiếu thẩm tra 4Chương 2 – QUY TRÌNH KIỂM TRA BẢO MẬTỨNG DỤNG WEB2.1 Quy trình kiểm tra việc thu thập thông tin từ ứngdụng Web2.1.1 Spiders, Robots, và Crawlers Trên URL, gõ thêm “/robots.txt” ngay sau địa chỉcủa site sẽ thu được nội dung của tập tin robots.txt.2.1.2 Sử dụng công cụ tìm kiếm Sử dụng toán tử tìm kiếm (site, cache…) có thể hạnchế kết quả tìm kiếm của Google cho một tên miền cụ thể.2.1.3 Fingerprint ứng dụng Web Sử dụng Httprecon để fingerprint ứng dụng web.2.1.4 Khám phá ứng dụng Ba yếu tố ảnh hưởng đến việc có bao nhiêu ứngdụng liên quan đến một DNS nhất định (hoặc địa chỉ IP):  Sự khác nhau dựa trên URL  Các cổng không tiêu chuẩn  Máy chủ ảo 52.1.5 Phân tích thông báo lỗi Thông báo lỗi có thể được tạo ra bằng cách yêu cầumột URL không tồn tại. Thông báo lỗi có thể cho thấynhững thông tin về phiên bản máy chủ Web, hệ điều hành,môđun và các sản phẩm khác được sử dụng. Thông báo lỗinày này cung cấp thông tin hữu ích về ứng dụng.2.2 Quy trình kiểm tra việc quản lý cấu hình trong ứngdụng Web2.2.1 Kiểm tra SSL/TLSa/ Kiểm tra giá trị chứng chỉ SSL Bằng cách nhấp vào ổ khóa xuất hiện trong cửa sổtrình duyệt khi truy cập vào một trang Web https, có thểxem thông tin liên quan đến chứng nhận. Nếu ứng dụngyêu cầu một chứng chỉ client, có thể cài đặt để truy cập.Thông tin chứng chỉ có sẵn trong trình duyệt bằng cáchkiểm tra các chứng chỉ liên quan trong danh sách cácchứng chỉ được cài đặt.b/ Kiểm tra các thông số kỹ thuật và thủ tục mật mãSSL/TLS đối với site 6 Sử dụng nmap để xác định các dịch vụ SSL. Sử dụng SSLDigger để kiểm tra các giao thức vàmật mã hỗ trợ.2.2.2 Kiểm tra quản lý cấu hình cơ sở hạ tầng Để kiểm tra cơ sở hạ tầng quản lý cấu hình, nhữngbước sau cần được thực hiện:  Các thành phần khác nhau tạo nên cơ sở hạ tầng c ...