Đồ án thực tập cơ sở các kĩ thuật tấn công SQL injection và cách phòng chống
Slide
1. BẢO MẬT
Dành cho lập trình viên
Tác giả: Nguyễn Đình Thế
Email: nguyendinhthe2004@gmail.com
Phone: 0169 685 3088
Nhóm: Mobile E-commerce
Trưởng nhóm: Vũ Trọng Nhật
2. Nội dung thuyết trình
• Mô tả các lỗi bảo mật thường gặp.
• Nguyên nhân phát sinh lỗi.
• Demo cách attacker khai thác lỗi.
• Cách khắc phục.
5. 2. Redirection
Lợi dụng hệ thống redirection của website
hoặc lỗi XSS để chuyển hướng người dùng
đến trang web độc hại, lừa đảo.
6. 3. Cookie replay
Để tiện cho việc validate, đôi khi lập trình
viên lưu tạm vào cookie để kiểm tra.Attacker
sau khi thực hiện xong tác vụ sẽ copy đè file
cookie cũ lên file cookie mới, các giá trị
được reset.
7. 4. Session fixation – page 1
Bằng cách nào đó (có thể qua lỗi XSS)
attacker thay đổi session_id của victim
giống
của mình và sử dụng website dưới danh
nghĩa của victim.
9. 5. XSS – page 1
Đây một 1 lỗi vô cùng phổ biến và được
khai thác rất đa dạng. Attacker chèn thêm
mã html, js, css vào website để lấy cắp
thông tin hoặc tiến hành lừa đảo.
11. 6. CSRF – page 1
Cross-site request forgery là một lỗi khá
nghiêm trọng. Attacker sẽ gửi cho victim 1
url hoặc 1 bài viết chứa liên kết “độc hại”.
Ví dụ: http://domain.com/change_email?val=thend@gmail.com
13. 7. Data Filter
a. Khi lọc dữ liệu nhập vào hoặc xuất ra
nên lọc theo “white list”.
b. Chú ý dữ liệu sau khi lọc, attacker có thể
tận dụng để tạo ra mã độc.
c. Luôn cập nhật các thông tin về công nghệ
để đảm bảo các filter cũ vẫn hoạt động tốt.
14. 8. Fake request, spam
Attacker thay đổi các tham số để truyền đi
hàng loạt request không hợp lệ.