- Văn bản
- Lịch sử
Hình 1.1: Thống kê tội phạm interne
Hình 1.1: Thống kê tội phạm internet của tổ chức IC3.
Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công tăng đến chóng mặt. Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau. Sự phát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ là miếng mồi béo bở của các Hacker bùng phát mạnh mẽ.
Tóm lại, internet là một nơi không an toàn. Mà không chỉ là internet các loại mạng khác, như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm phạm. Thậm chí, mạng điện thoại, mạng di động cũng không nằm ngoài cuộc. Vì vậy chúng ta nói rằng, phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy tính một cơ quan mà là toàn cầu
1.1.1.2 Kẻ tấn công là ai ?
Kẻ tấn công người ta thường gọi là Hacker. Là những kẻ tấn công vào hệ thống mạng với nhiều mục đích khác nhau. Trước đây Hacker được chia làm 2 loại nhưng hiện nay thì được chia thành 3 loại:
Hacker mũ đen
Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt nguy hiểm đối với hệ thống mạng. Mục tiêu của chúng là đột nhập vào hệ thống mạng của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm thật sự cần sự trừng trị của pháp luật.
Hacker mũ trắng
Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ thống, mục đích là tìm ra những kẽ hở, những lổ hổng chết người và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen.
Hacker mũ xám
Loại này được sự kết hợp giữa hai loại trên. Thông thường họ là những người còn trẻ, muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để phá phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lổ hổng bảo mật và đề xuất cách vá lỗi.
Ranh giới phân biệt các Hacker rất mong manh. Một kẻ tấn công là Hacker mũ trắng trong thời điểm này nhưng ở thời điểm khác họ lại là một tên trộm chuyên nghiệp.
1.1.1.3 Lổ hổng bảo mật ?
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạng hoặc nằm ngay trên các dịch vụ cung cập như Sendmail, Web, Ftp,... Ngoài ra các lỗ hổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Linux,... hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt,...
Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như sau:
Lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống.
Lỗ hổng loại B
Các lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu.
Lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS. Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất hợp pháp.
1.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng
Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng. Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh của hệ thống mạng
1.1.2.1 Phương diện vậy lý
Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap).
Bảo mật an ninh nơi lưu trữ các máy chủ.
Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.
Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột ngột.
Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ,…
1.1.2.2 Phương diện logic
Tính bí mật (Confidentiality)
Là giới hạn các đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất thông tin có thể là con người, máy tính và phần mềm. Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau.
Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới biết được nội dung của lá mail, còn những User khác không thể biết được. Giả sử có User thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không còn nữa.
Tính xác thực (Authentication)
Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa người gởi và người nhận.
Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép.
Tính toàn vẹn (Integrity)
Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc phần mềm.
Ví dụ: User A gởi email cho User B, User A gởi nội dung như thế nào thì User B chắc chắn sẽ nhận được đúng y nội dung như vậy có nghĩa là User A gởi gì thì User B nhận y như vậy không có sự thay đổi.
Tính không thể phủ nhận (Non repudiation)
Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ.
Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A không gởi mail cho B.
Tính sẵn sàng (Availability)
Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ. Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra.
Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là bất cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web client.
Khả năng điều khiển truy nhập (Access Control)
Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống.
Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công ty, người quản trị viên có thể ngăn chặn một số phòng ban gởi thông tin ra ngoài và từ ngoài vào trong.
1.2 TỔNG QUAN VỀ ỨNG DỤNG WEB
1.2.1 Giới thiệu về Website
Website là một “trang web” được lưu trữ tại các máy chủ hay các hosting hoạt động trên Internet. Đây là nới giới thiệu những thông tin, hình ảnh về doanh nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu bất cứ kì thông tin gì để khách hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào.
Website là tập hợp của nhiều web page. Khi doanh nghiệp, công ty xây dựng website nghĩa là đang xây dựng nhiều trang thông tin về sản phẩm, dịch vụ hay giới thiệu,... Để tạo nên một website cần có 3 yếu tố sau:
Tên miền (domain)
Thực chất một website không cần đến tên miền nó vẫn có thể hoạt động bình thường vì nó còn có địa chỉ IP của trang web đấy, chúng ta chỉ cần gõ vào trình duyệt IP của trang web thì ngay lập tức trình duyệt sẽ load trang web đấy về trình duyệt của bạn. Sỡ dĩ chúng ta cần phải có tên miền thay cho IP là vì IP là mỗi chuỗi số thập phân, có những địa chỉ IP thì rất là dễ nhớ nhưng đa số địa chỉ IP thì rất là khó nhớ. Với cái tên nó rất gần gũi với ngôn ngữ tự nhiên của con người nên rất là dễ nhớ cũng chính vì vậy mà người ta đã thay tên miền cho IP và từ đó công nghệ DNS ra đời.
Ví dụ đơn giản để hiểu thêm tính năng của tên miền: Trong danh bạ điện thoại của chúng ta nếu chúng ta lưu số điện thoại mà không gán với một tên thì chắc chắn một điều là chúng ta không thể nhớ hết được số điện thoại của từng người và cũng không thể nào biết được số điện thoại này là của ai nhưng nếu chúng ta lưu số một ai đó với một cái tên thì sau này khi cần gọi cho người đó sẽ tìm trong danh bạ dễ dàng hơn.
Nơi lưu trữ website (hosting)
Nơi lưu trữ website thì bắt buộc chúng ta phải có, nó có thể là một máy chủ để lưu trữ hay một hosting chúng ta thuê từ nhà cung cấp dịch vụ.
Nội dung các trang thông tin (web page)
Nội dung tran
Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công tăng đến chóng mặt. Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau. Sự phát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ là miếng mồi béo bở của các Hacker bùng phát mạnh mẽ.
Tóm lại, internet là một nơi không an toàn. Mà không chỉ là internet các loại mạng khác, như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm phạm. Thậm chí, mạng điện thoại, mạng di động cũng không nằm ngoài cuộc. Vì vậy chúng ta nói rằng, phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy tính một cơ quan mà là toàn cầu
1.1.1.2 Kẻ tấn công là ai ?
Kẻ tấn công người ta thường gọi là Hacker. Là những kẻ tấn công vào hệ thống mạng với nhiều mục đích khác nhau. Trước đây Hacker được chia làm 2 loại nhưng hiện nay thì được chia thành 3 loại:
Hacker mũ đen
Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt nguy hiểm đối với hệ thống mạng. Mục tiêu của chúng là đột nhập vào hệ thống mạng của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm thật sự cần sự trừng trị của pháp luật.
Hacker mũ trắng
Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ thống, mục đích là tìm ra những kẽ hở, những lổ hổng chết người và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen.
Hacker mũ xám
Loại này được sự kết hợp giữa hai loại trên. Thông thường họ là những người còn trẻ, muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để phá phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lổ hổng bảo mật và đề xuất cách vá lỗi.
Ranh giới phân biệt các Hacker rất mong manh. Một kẻ tấn công là Hacker mũ trắng trong thời điểm này nhưng ở thời điểm khác họ lại là một tên trộm chuyên nghiệp.
1.1.1.3 Lổ hổng bảo mật ?
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạng hoặc nằm ngay trên các dịch vụ cung cập như Sendmail, Web, Ftp,... Ngoài ra các lỗ hổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Linux,... hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt,...
Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như sau:
Lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống.
Lỗ hổng loại B
Các lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu.
Lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS. Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất hợp pháp.
1.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng
Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng. Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh của hệ thống mạng
1.1.2.1 Phương diện vậy lý
Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap).
Bảo mật an ninh nơi lưu trữ các máy chủ.
Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.
Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột ngột.
Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ,…
1.1.2.2 Phương diện logic
Tính bí mật (Confidentiality)
Là giới hạn các đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất thông tin có thể là con người, máy tính và phần mềm. Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau.
Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới biết được nội dung của lá mail, còn những User khác không thể biết được. Giả sử có User thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không còn nữa.
Tính xác thực (Authentication)
Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa người gởi và người nhận.
Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép.
Tính toàn vẹn (Integrity)
Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc phần mềm.
Ví dụ: User A gởi email cho User B, User A gởi nội dung như thế nào thì User B chắc chắn sẽ nhận được đúng y nội dung như vậy có nghĩa là User A gởi gì thì User B nhận y như vậy không có sự thay đổi.
Tính không thể phủ nhận (Non repudiation)
Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ.
Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A không gởi mail cho B.
Tính sẵn sàng (Availability)
Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ. Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra.
Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là bất cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web client.
Khả năng điều khiển truy nhập (Access Control)
Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống.
Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công ty, người quản trị viên có thể ngăn chặn một số phòng ban gởi thông tin ra ngoài và từ ngoài vào trong.
1.2 TỔNG QUAN VỀ ỨNG DỤNG WEB
1.2.1 Giới thiệu về Website
Website là một “trang web” được lưu trữ tại các máy chủ hay các hosting hoạt động trên Internet. Đây là nới giới thiệu những thông tin, hình ảnh về doanh nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu bất cứ kì thông tin gì để khách hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào.
Website là tập hợp của nhiều web page. Khi doanh nghiệp, công ty xây dựng website nghĩa là đang xây dựng nhiều trang thông tin về sản phẩm, dịch vụ hay giới thiệu,... Để tạo nên một website cần có 3 yếu tố sau:
Tên miền (domain)
Thực chất một website không cần đến tên miền nó vẫn có thể hoạt động bình thường vì nó còn có địa chỉ IP của trang web đấy, chúng ta chỉ cần gõ vào trình duyệt IP của trang web thì ngay lập tức trình duyệt sẽ load trang web đấy về trình duyệt của bạn. Sỡ dĩ chúng ta cần phải có tên miền thay cho IP là vì IP là mỗi chuỗi số thập phân, có những địa chỉ IP thì rất là dễ nhớ nhưng đa số địa chỉ IP thì rất là khó nhớ. Với cái tên nó rất gần gũi với ngôn ngữ tự nhiên của con người nên rất là dễ nhớ cũng chính vì vậy mà người ta đã thay tên miền cho IP và từ đó công nghệ DNS ra đời.
Ví dụ đơn giản để hiểu thêm tính năng của tên miền: Trong danh bạ điện thoại của chúng ta nếu chúng ta lưu số điện thoại mà không gán với một tên thì chắc chắn một điều là chúng ta không thể nhớ hết được số điện thoại của từng người và cũng không thể nào biết được số điện thoại này là của ai nhưng nếu chúng ta lưu số một ai đó với một cái tên thì sau này khi cần gọi cho người đó sẽ tìm trong danh bạ dễ dàng hơn.
Nơi lưu trữ website (hosting)
Nơi lưu trữ website thì bắt buộc chúng ta phải có, nó có thể là một máy chủ để lưu trữ hay một hosting chúng ta thuê từ nhà cung cấp dịch vụ.
Nội dung các trang thông tin (web page)
Nội dung tran
0/5000
Figure 1.1: internet crime statistics of IC3.As such, the amount of crime raises would lead to reciprocal attacks rose to dizzy. This is understandable, because an entity has always existed both sides mutually. The development of information technology and engineering will be the lucrative prey of hackers break out vigorously.In short, the internet is an insecure place. That not only is the internet network types, such as LAN, to a computer system may also be compromised. Even, telephone networks, mobile networks also do not fall outside the. So we say that the scope of the huge security, says no longer wrapped in a computer to an agency that is global1.1.1.2 attackers are?Attackers commonly known as hackers. Is that the attacker on the network with many different purposes. Before Hackers are divided in 2 types but currently it is divided into 3 types: the Black Hat HackersThis is the genuine thief, with the experienced Hackers are particularly dangerous for the network. Our goal is to break into the network of the object to obtain the information, nefarious purposes. Black hat hackers are the true criminals in need of punishing by law. the white hat HackerThey are the home security and protection system. They also penetrate into the system, the goal is to find the loophole, the fatal flaw and then find ways to patch them again. Of course, the white hat hacker also has the ability to penetrate and can also become a black hat hacker. Grey Hat HackerThis category is a combination of the two types on. Usually they are the ones who are young, want to express themselves. In a moment, they break into your system for trouble. But in another moment they can submit to the administrator the information about a security flaw and proposed a patch.The border distinguishes the hackers are very fragile. An attacker is white-hat Hackers in the moment but at other times they leave is a professional thief.1.1.1.3 security flaw?Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạng hoặc nằm ngay trên các dịch vụ cung cập như Sendmail, Web, Ftp,... Ngoài ra các lỗ hổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Linux,... hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt,...Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như sau: Lỗ hổng loại ACác lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống. Lỗ hổng loại BCác lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu. Lỗ hổng loại CThe vulnerability of this type allow the method of attacking by DoS. Dangerously low levels, only affect the quality of the service, may cause delays, interruptions, the system does not damage data or gain access illegally.1.1.2 reviews safety issues, security of the networkTo ensure security for the network, the need to build a number of criteria to rate security, safety of the network. A number of criteria were admitted as security measure of the network1.1.2.1 physical aspects Have a hot backup devices for sudden failure situations. Have the ability to replace partially or totally hot (hot-plug, hot-swap). Security security where host servers. the ability to update, upgrade, additional hardware and software. the power requirements, have backup in situations of sudden power loss. the requirements consistent with the surrounding environment: temperature, humidity, lightning, explosions, etc.1.1.2.2 the logical aspects confidentiality (Confidentiality)Is limited to the objects that are the right to access to information. Object information can be human, computers and software. Depending on the nature of the information that the extent of the secret of them may vary.For example, User A sent email to User B, then email that only User A and User B knows the content of the mail leaves, and the other User cannot know. Suppose there is a third User knows the content of leaves at this mail, the confidentiality of the email no longer exists. verification (Authentication)To ensure that an exchange of information is reliable between the sending and recipient.In the case of an interaction is happening, for example the connection of a Terminal to the server, there are two problems: first, at the time of connection initialization, the service ensures that the two entities are reliable. Each of them is an entity is validated. Second, the service needs to ensure that the connection is not interference by a third entity could forge is one of two legal entities to transfer or receive are not allowed. the integrity (Integrity)Data integrity ensures the existence of information, excluding any change of information with intent to damage or loss of information due to the problem device, or software.For example, User A sent email to User B, User A sends the content as the User B will definitely get the right medicine so content means that User A sent you User B receives y so no change. As undeniable (Non repudiation)Computer does ensure that the sender and the recipient cannot deny a handout was passed. So, when a newsletter is sent, the recipient can prove is that the newsletters that really sent from legitimate senders. Exactly, when a bulletin is received, the sender can prove to be a real right it is received by the recipient is valid.For example, User A sent email to User B, User A cannot deny that A don't tell B. availability (Availability)A system of guaranteed availability means can access data at any time within a desired time interval allows. Different attacks can create the loss or lack of availability of the service. The availability of the service demonstrates the ability to prevent and restore the damage of the system due to the attacks caused.For example, the web Server is active every day to serve the web client means any time, where the web Server is also available to cater to the web client. the ability to control access (Access Control)In a network system is considered safe and secure then the administrators to control access to the network, can allow or prevent a visit would do in the system.For example, In company with other departments, to secure the company's inside information, the administrator can prevent some offices send information out and from there on in.1.2 OVERVIEW of the WEB APPLICATION1.2.1 about this siteThe website is a "site" is stored in the servers or hosting activities on the Internet. This is where the introduction of information and images about the business, the products and services of the business or introduce any weird information so that customers can access any where, at any time.The website is a set of web page. When the Enterprise website construction company that is building several pages of information about products, services or referrals, ... to create a website needs to have the three following factors: domain name (domain)Essentially a website does not need the domain name it can still function normally because it is also the site's IP address, we simply type into your browser the site's IP then immediately the browser will load that site on your browser. Gems of course we need to have the domain name instead of the IP is because IP is each decimal number string, the IP addresses are very easy to remember but the majority of IP addresses are very difficult to remember. As it is very close to the natural language of the people should be very catchy as well so that they changed the domain name to IP and DNS technology since its inception.Simple example to understand the features of domain names: in our phone book if we save the phone numbers that are not assigned with a name then surely one thing is we can't remember everything is each person's phone number and I don't know whose phone number is this but if we save of someone with a name, then later on when you need to call that person will find in contacts easier. website hosting (hosting)Where to store the website compelled us to have, it might be a server for hosting or a hosting we rent from providers of services. content websites (web page)Contents PAG
đang được dịch, vui lòng đợi..
Figure 1.1: Statistics of organized crime IC3 internet.
Thus, the number of crimes increases will lead to attacks skyrocketed. This is understandable, because an entity that always exist two opposing sides. The strong development of information technology and engineering will be the prey of the Hackers lucrative boomed.
In short, the internet is not a safe place. But not just another internet network types, such as LAN, to a computer system may be compromised. Even the telephone network, mobile network is not out of the. So we say, the scope of confidentiality very large, say not encapsulated in a computer that is a global agency
1.1.1.2 The attacker is?
Attackers often known as Hacker. As the attackers in networks with many different purposes. Previously Hacker is divided into 2 categories, but today it is divided into 3 categories:
black hat hacker
thief This is genuine, with the experienced hacker is particularly dangerous for the network. Our goal is to break into the network of objects to retrieve information, nefarious purposes. Black hat hackers are criminals really need the punishment of the law.
White Hat Hacker
They are the security and system protection. They also infiltrate the system, the aim is to find the loopholes, gaps deadly and then find ways to mend them. Of course, white hat hacker is capable of invading and may become black hats.
Grey Hat Hacker
This type is a combination of the two. Usually they are young, want to express themselves. In a moment, they break into the system to vandalism. But other times they can be sent to administrators information about security vulnerabilities and suggest ways patch.
Boundaries distinguish very fragile Hacker. One attacker was white hat hacker in the moment but at other times they are a professional thief.
1.1.1.3 security vulnerabilities?
These vulnerabilities on a system that can create weaknesses out of service outage, more rights to users or allow the illegal access to the system. The vulnerability could also appear within the network infrastructure or services located on the same level as Sendmail, Web, FTP, ... Also the vulnerabilities exist as soon as the operating system: Windows XP , 7, Linux, ... or in applications where users often use as: Office, browsers, ...
According to the Department of Defense, the security flaw a system is divided as follows:
Vulnerability Type A
These vulnerabilities allow external users can access the system illegal. This vulnerability is very dangerous and can destroy the whole system.
Vulnerability Type B
The flaw allows users more rights on the system without the need to inspect the validity. Medium threat level. These holes are usually in the application on the system, which can lead to loss of data or information highway.
Vulnerability Class C
The vulnerability of this kind allows implementing the method according to the DoS attack. Threat level was low, affecting the quality of service, can do stalled, system interruption, do not destroy data or to obtain access to illegal.
1.1.2 Review safety issues , security networks
to ensure the security of the network, need to build some gauge the level of security and safety for the network. Some standards have been recognized as a measure of the level of security of networks
so 1.1.2.1 Aspects of
equipment There is hot backup for situations down suddenly. Capable replace partially or fully heat (hot-plug, hot-swap).
Security Secured storage servers.
Ability to update, upgrade, additional hardware and software.
Require power, redundancy in case of sudden power failure.
The request matching ambient humidity, temperature, lightning, fire, ...
1.1.2.2 Aspects logic
Confidentiality (Confidentiality)
is limited to the subjects entitled to access to information. Object retrieval may be human, computer and software. Depending on the nature of the information that their secret levels can vary.
For example: User A User B then email the email that only User A and User B know the contents of the mail leaves, while the other users can not know. Suppose there knows 3rd User content at this point the mail leaves the confidentiality of that email gone.
Authenticity (Authentication)
Related to ensure that an exchange of information is reliable standard the sender and the recipient.
In the case of an interaction is going on, for example, of a terminal connected to the server, there are two problems: first at the time of initiating the connection, the service ensures that the two entity is credible. Each of them is a certified entity. Second, the service must ensure that the connection is no interference by a third entity can forge is one of two legal entities to transfer or receive private information is not allowed.
Integrity (Integrity)
Integrity ensures the existence of information integrity, eliminating all change information intentionally or due to damage or loss of information due to equipment malfunction or software.
For example: User A email to User B, User A sends content how the User B is sure to get exactly the content so mean anything, User A sends User B receive the same no change.
Count undeniable (Non từ chối)
As undeniable assurance that the sender and recipient can not deny a report has been transmitted. So when a newsletter is sent, the recipient can prove that it truly newsletter sent from legitimate senders. Quite similar, when a report is received, the sender can prove that the correct messages are received by the recipient actually valid.
For example: User A User B then email to User A can not deny that A not send mail to B.
Availability (Availability)
A system to ensure availability means that data can be accessed at any time desired within a period of time allows. Different attacks can generate the loss or lack of availability of services. The availability of services shown the ability to stop and restore the system losses due to attacks caused.
For example, the Web Server daily operations to serve means any web client when , where the web server is also available to cater for the web client.
Ability to Access Control (Access Control)
In a network is considered to be confidential, safe, the administrator must control access access to the system on the network, which can allow or block a certain access in the system.
For example: The company has the departments, to secure internal information of the company, the administrator may prevent some departments send information out and outside-in.
1.2 WEB APPLICATIONS OVERVIEW
1.2.1 Introduction to Website
Website is a "site" is stored in the server or hosting Internet activity. This is to ease the introduction of information and photos about your business, products and services part of the business or introduce any gathering that information so that customers can access any where, any time.
Website is a collection of web pages. When businesses, construction firms are building sites means more info about products, services or introduce, ... To create a website should have three elements:
domain name (domain)
Food of a website without the domain name it can still function normally because it has the IP address of the web page there, we just need to type in the IP of the website browser, the browser will immediately load web pages there on your browser. In turn, we need to have a domain name instead of IP is that IP is a decimal string with the IP address is easy to remember but it is most IP addresses are difficult to remember. With a name that is very close to natural language of people so it is easy to remember and that is why it has changed the domain name to IP and DNS since the advent of technology.
For example, simple to understand more properties the energy domain: In the phonebook of us if we save the phone number with a name that does not assign certainly something that we can not remember the phone number of each person and can not do Know the phone number is in anybody but if we save someone's number with a name, then later when the need calls for it to find contacts more easily.
repository website (hosting)
Depositories Web hosting is imperative we have, it can be a server for storage or hosting we rented from service providers.
The contents of the site (web page)
Content tran
Thus, the number of crimes increases will lead to attacks skyrocketed. This is understandable, because an entity that always exist two opposing sides. The strong development of information technology and engineering will be the prey of the Hackers lucrative boomed.
In short, the internet is not a safe place. But not just another internet network types, such as LAN, to a computer system may be compromised. Even the telephone network, mobile network is not out of the. So we say, the scope of confidentiality very large, say not encapsulated in a computer that is a global agency
1.1.1.2 The attacker is?
Attackers often known as Hacker. As the attackers in networks with many different purposes. Previously Hacker is divided into 2 categories, but today it is divided into 3 categories:
black hat hacker
thief This is genuine, with the experienced hacker is particularly dangerous for the network. Our goal is to break into the network of objects to retrieve information, nefarious purposes. Black hat hackers are criminals really need the punishment of the law.
White Hat Hacker
They are the security and system protection. They also infiltrate the system, the aim is to find the loopholes, gaps deadly and then find ways to mend them. Of course, white hat hacker is capable of invading and may become black hats.
Grey Hat Hacker
This type is a combination of the two. Usually they are young, want to express themselves. In a moment, they break into the system to vandalism. But other times they can be sent to administrators information about security vulnerabilities and suggest ways patch.
Boundaries distinguish very fragile Hacker. One attacker was white hat hacker in the moment but at other times they are a professional thief.
1.1.1.3 security vulnerabilities?
These vulnerabilities on a system that can create weaknesses out of service outage, more rights to users or allow the illegal access to the system. The vulnerability could also appear within the network infrastructure or services located on the same level as Sendmail, Web, FTP, ... Also the vulnerabilities exist as soon as the operating system: Windows XP , 7, Linux, ... or in applications where users often use as: Office, browsers, ...
According to the Department of Defense, the security flaw a system is divided as follows:
Vulnerability Type A
These vulnerabilities allow external users can access the system illegal. This vulnerability is very dangerous and can destroy the whole system.
Vulnerability Type B
The flaw allows users more rights on the system without the need to inspect the validity. Medium threat level. These holes are usually in the application on the system, which can lead to loss of data or information highway.
Vulnerability Class C
The vulnerability of this kind allows implementing the method according to the DoS attack. Threat level was low, affecting the quality of service, can do stalled, system interruption, do not destroy data or to obtain access to illegal.
1.1.2 Review safety issues , security networks
to ensure the security of the network, need to build some gauge the level of security and safety for the network. Some standards have been recognized as a measure of the level of security of networks
so 1.1.2.1 Aspects of
equipment There is hot backup for situations down suddenly. Capable replace partially or fully heat (hot-plug, hot-swap).
Security Secured storage servers.
Ability to update, upgrade, additional hardware and software.
Require power, redundancy in case of sudden power failure.
The request matching ambient humidity, temperature, lightning, fire, ...
1.1.2.2 Aspects logic
Confidentiality (Confidentiality)
is limited to the subjects entitled to access to information. Object retrieval may be human, computer and software. Depending on the nature of the information that their secret levels can vary.
For example: User A User B then email the email that only User A and User B know the contents of the mail leaves, while the other users can not know. Suppose there knows 3rd User content at this point the mail leaves the confidentiality of that email gone.
Authenticity (Authentication)
Related to ensure that an exchange of information is reliable standard the sender and the recipient.
In the case of an interaction is going on, for example, of a terminal connected to the server, there are two problems: first at the time of initiating the connection, the service ensures that the two entity is credible. Each of them is a certified entity. Second, the service must ensure that the connection is no interference by a third entity can forge is one of two legal entities to transfer or receive private information is not allowed.
Integrity (Integrity)
Integrity ensures the existence of information integrity, eliminating all change information intentionally or due to damage or loss of information due to equipment malfunction or software.
For example: User A email to User B, User A sends content how the User B is sure to get exactly the content so mean anything, User A sends User B receive the same no change.
Count undeniable (Non từ chối)
As undeniable assurance that the sender and recipient can not deny a report has been transmitted. So when a newsletter is sent, the recipient can prove that it truly newsletter sent from legitimate senders. Quite similar, when a report is received, the sender can prove that the correct messages are received by the recipient actually valid.
For example: User A User B then email to User A can not deny that A not send mail to B.
Availability (Availability)
A system to ensure availability means that data can be accessed at any time desired within a period of time allows. Different attacks can generate the loss or lack of availability of services. The availability of services shown the ability to stop and restore the system losses due to attacks caused.
For example, the Web Server daily operations to serve means any web client when , where the web server is also available to cater for the web client.
Ability to Access Control (Access Control)
In a network is considered to be confidential, safe, the administrator must control access access to the system on the network, which can allow or block a certain access in the system.
For example: The company has the departments, to secure internal information of the company, the administrator may prevent some departments send information out and outside-in.
1.2 WEB APPLICATIONS OVERVIEW
1.2.1 Introduction to Website
Website is a "site" is stored in the server or hosting Internet activity. This is to ease the introduction of information and photos about your business, products and services part of the business or introduce any gathering that information so that customers can access any where, any time.
Website is a collection of web pages. When businesses, construction firms are building sites means more info about products, services or introduce, ... To create a website should have three elements:
domain name (domain)
Food of a website without the domain name it can still function normally because it has the IP address of the web page there, we just need to type in the IP of the website browser, the browser will immediately load web pages there on your browser. In turn, we need to have a domain name instead of IP is that IP is a decimal string with the IP address is easy to remember but it is most IP addresses are difficult to remember. With a name that is very close to natural language of people so it is easy to remember and that is why it has changed the domain name to IP and DNS since the advent of technology.
For example, simple to understand more properties the energy domain: In the phonebook of us if we save the phone number with a name that does not assign certainly something that we can not remember the phone number of each person and can not do Know the phone number is in anybody but if we save someone's number with a name, then later when the need calls for it to find contacts more easily.
repository website (hosting)
Depositories Web hosting is imperative we have, it can be a server for storage or hosting we rented from service providers.
The contents of the site (web page)
Content tran
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Tu M'aideras un peu au travail dans la b
- The following subsections describe the s
- outdoor & Include tent
- 1.2.5 Nguyên lý hoạt động một ứng dung W
- Em yêu anh
- thương hiệu chuyên về tổ chức sự kiện qu
- だいちょうきんぐんはしょくにくはついていません
- xin chào toàn thể mọi người,em tên là th
- Hãy đi theo tôi !
- The following program generates the cutt
- rất chi tiết
- xin chào toàn thể mọi người,em tên là th
- Hôm nay tâm trạng bạn thế nào?
- Một ứng dụng web có đầy đủ các thành phầ
- feeling fresh at Sihanoukville(Kps)
- Trailer Registration Fee and Road Mainte
- If you are alerted to fire in the buildi
- Trailer Registration Fee and Road Mainte
- Fig. 13.2.5 Cutting path in end face pee
- Vào năm 1957, IBM đã cho xây dựng một nh
- 3.10 Layout DesignThe printed circuit la
- The following subsections describe the s
- Hãu đi theo tôi !
- socialyy, hobby, passion, entertains, re
