SQL injection - tấn công và cách phòng tránh

Tải miễn phí luận văn


Tóm tắt nội dung

Theo các báo cáo về an ninh mạng gần đây, như của Whitehat Security(1) hay trên trang Verizon Business (2), Sans Institute (3), … thì đều cho thấy mức độ phát triển nhanh chóng, tính nghiêm trọng của các lỗ hổng bảo mật và sự quan tâm chưa đúng mức của các tổ chức tới vấn đề này. SQL Injection là một vấn đề an ninh ứng dụng Web được nhấn mạnh trong các báo cáo trên. Khóa luận này có tên “SQL Injection – tấn công và cách phòng tránh”, nhằm mục đích trình bày những hình thái cơ bản của các cuộc tấn công SQL Injection lên các ứng dụng Web, từ đó rút ra một mô hình kèm theo các khuyến nghị cho việc phát triển ứng dụng Web an toàn.
Nội dung khóa luận sẽ được trình bày sẽ xoay quanh ba nội dung chính. Thứ nhất là nguồn gốc hình thành các điểm yếu SQL Injection trong mã nguồn ứng dụng và cách nhận biết. Thứ hai là các phương pháp được sử dụng để thăm dò, khai thác, lợi dụng các điểm yếu này để tiến hành tấn công vào ứng dụng web. Thứ ba là các khuyến nghị trong việc xây dựng ứng dụng Web, kèm theo đó là đề xuất mô hình phát
triển ứng dụng Web an toàn.

Mục lục

Chương 1. Đặt vấn đề ................................................................................................. 8
1.1. Đặc trưng của ứng dụng sử dụng cơ sở dữ liệu. .......................................... 8
1.2. SQL Injection và tính nghiêm trọng của vấn đề an ninh cơ sở dữ liệu ........ 9
1.2.1. Khái niệm SQL Injection: .................................................................... 9
1.2.2. SQL Injection và vấn đề an ninh cơ sở dữ liệu. .................................... 9
Chương 2. SQL Injection và các cách tấn công phổ biến ......................................... 14
2.1. Nhận diện điểm yếu SQL injection trong ứng dụng Web .......................... 14
2.1.1. Thăm dò dựa trên phản hồi ................................................................ 14
2.1.2. Cơ chế sinh truy vấn SQL bên trong ứng dụng và các phương pháp
chèn truy vấn SQL ............................................................................................ 17
2.2. Các phương pháp tấn công phổ biến ......................................................... 20
2.2.1. Tấn công khai thác dữ liệu thông qua toán tử UNION ....................... 20
2.2.2. Khai thác thông qua các câu lệnh điều kiện ........................................ 26
2.2.3. Blind SQL Injection – cách tấn công nâng cao ...................... 29
2.2.4. Vấn đề qua mặt các bộ lọc tham số đầu vào ....................................... 40
2.2.5. Một số phương pháp qua mặt bộ lọc của tường lửa Web .................... 45
Chương 3. Phòng chống SQL Injection .................................................................... 51
3.1. Phòng chống từ mức xây dựng mã nguồn ứng dụng ................................. 51
3.1.1. Làm sạch dữ liệu đầu vào .................................................................. 51
3.1.2. Xây dựng truy vấn theo mô hình tham số hóa .................................... 54
3.1.3. Chuẩn hóa dữ liệu .............................................................................. 62
3.1.4. Mô hình thiết kế mã nguồn tổng quát ................................................. 63
3.2. Các biện pháp bảo vệ từ mức nền tảng hệ thống ....................................... 67
3.2.1. Các biện pháp bảo vệ tức thời ............................................................ 67
3.2.2. Các biện pháp bảo vệ database ........................................................... 71
3.3. Đề xuất một số giải pháp .......................................................................... 72
Phụ lục: .................................................................................................................... 74
Cấu hình ModSecurity phòng chống SQL Injection. ................................................. 74
1. Cài đặt ......................................................................................................... 74
2. Cấu hình ...................................................................................................... 76
2.1. Cấu hình tổng quát ................................................................................ 77
2.2. Cấu trúc các luật ................................................................................... 81
Tài liệu tham khảo .................................................................................................... 94

Link download cho anh em
Xem link download tại Blog Kết nối!
Music ♫

Copyright: Tài liệu đại học ©