Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
➤ Gửi thông báo lỗi ⚠️ Báo cáo tài liệu vi phạmNội dung chi tiết: Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
Bộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 DỮ LIỆUHANOI 2017CHƯƠNG 4. BẢO .MẶT TRONG PHẤT TR1ẺN VÀ TRIẺN KHAI ỨNG DỤNG WEBChương 4 đề cập mội số hướng liếp cận D ong phái Irien và D iên khai ứng dụng web an toàn trong phần dầu. Phần cuối cua chương trinh bày một sổ mô hình và phương phâp phát D iên phần mềm an loàn.4.1.Các hướng tiếp cận tr Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 ong phát triên và triên khai ứng dụng web an toàn4.1.1.Giói thiệuNhư dã dể cập trong CHƯƠNG 1 ứng dụng web là một trong các ứng dụng phò biến nhai vàBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
cùng là ứng dụng có số lượng lỗ hồng và lan cóng khai thác lớn nhầl Iren mạng Internet. Do vậy. dè dám bao an toàn, các biện pháp bão mật cần dược thựBộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 iển vã triển khai. các biện pháp bao mật cân được triền khai lù khâu phân lích, thiết kê, lập trinh, kiêm thứ, triên khai và bào tri. Trong quá trinh hoạt dộng cãc hướng dẫn và biện pháp bão mật cần dược áp dụng trong các khâu giám sát. vá lồi và nâng cấp,...Hình 4.1 biêu diễn quan hệ giừa mức chi p Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 hí khác phục lỏi theo thòi điểm lỗi được phát hiện và khắc phục. Theo đõ. các lồi dược phát hiện sớm vả khắc phục ở các khâu Xác định yêu Cầu/Thiết kếBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
(Requirements Design) đòi hỏi chi phí nhỏ hơn rất nhiều so với các lỗi được phát hiện muộn và khắc phục ớ các khâu Kiêm thư Beta (Beta Testing), hoặcBộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 và đôi khi việc sứa lỏi triệt đè và toàn diện không thể thực hiện được.Hình 4.1. Chi phí khấc phục theo thời diêm phát hiện lồiCó 2 hưởng lièp cận báo mạt ứng dụng xvcb chính: (1) hưtrng “thâm nhập và vá” (penetrate and patch) và (2) hướng tiếp cận toàn diện. Theo hướng "thâm nhập và vá”, ứng dụng w Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 eb được phát triên iheo quy trinh phát triền phân mèm thòng thường, sau đó tiến hành kiềm thử bão mật kiêu "thâm nhập" (penetration testing) và thực hBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
iện chinh sữa94phẩn mềm nếu phái hiện lỏi. Hướng (iêp cận này tương tự hướng tiêp cận hộp đen và có thể thực hiện nhanh chóng trong thời gian ngắn. TuBộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 a quy trinh phát triển phần mềm thường phức tạp vã tốn kém. Ngược Lại với hướng “thâm nhập và vá”, vói hướng liếp cận loàn diện, các yêu cầu và thực tế báo mật được đưa vào ngay tử khâu đầu tiên (Pha phân tích yêu cầu) đến khâu cuối cùng (Pha phát hành) của quy trình phát trièn phần mềm. Ưu diêm của Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 hướng tiếp cận này là do các rúi ro. nguy co tiềm tàng được nhận dạng và đánh giá kỳ. nên các biện pháp kiếm soát được áp dụng đầy đú giúp hạn chế đếBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
n tối thiếu các lồi báo mật. Tuy nhiên, hạn che của nó là thời gian thực hiện dài và chi phí lớn. Mục tiếp theo trình bây nội dung chi tiết cũa hướng Bộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 .2. Mõ hình ứng dụng web và các biện pháp báo mật kèm theoHĩnh 4.2 mỏ tã các biện pháp bão mật áp dụng cho lừng thành phẩn trong mô hình hệ thống ứng dụng web. Theo đó. từng biện pháp, hoặc nhóm biện pháp bão mật cần được xác định và áp dụng phù hợp vói từng thành phần cua hệ thống ứng dụng web. Cụ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 thế:-Vói trình duyệt (Browser): cằn xác thực người dùng (Authenticating users):-Vói dừ liệu truyền nhận giữa trinh duyệt và máy chu web:+ Bão vệ dử liBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
ệu nhạy căm (Protecting sensitive data)+ Ngăn chặn việc xư lý tham số (Preventing parameter manipulation)+ Ngăn chặn lấn công chiêm phiên lãm việc và Bộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 e configuration)95+ Kiềm Ira dừ liệu đầu vào (Validating input)+ Câp quyên người dùng (Authorising users)+ Xữ lý các ngoại lệ (Handling exceptions)-Với máy chù úng dụng (Application server):I Xác thực và câp quyên cho người dùng luông den (Authenticating and authorising upstream identities)I Kiềm to Bài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2 án và ghi log các hoạt động và các giao dịch (Auditing and logging activity and transactions)-Vói dù liệu truyền nhận giừa máy chù ứng dụng và máy chùBài giảng An toàn ứng dụng web và cơ sở dữ liệu: Phần 2
cơ sỡ dù liệu:Bộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎ Bộ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIÊN CÔNG NGHẸ Bưu CHỈNH VIỀN THÔNG --oOo-....................--HOÀNG XUÂN DẬUBÀI GIẢNGAN TOÀN ỨNG DỤNG WEB VÀ CO SỎGọi ngay
Chat zalo
Facebook