daigai

Well-Known Member
Link tải luận văn miễn phí cho ae Kết Nối

MỤC LỤC

LỜI CẢM ƠN 4
DANH MỤC SƠ ĐỒ 5
DANH MỤC BẢNG 5
KÝ HIỆU VÀ VIẾT TẮT 6
MỞ ĐẦU 8
1. Đặt Vấn Đề 8
2. Giải Quyết Vấn Đề 8
3. Phạm Vi Đề Tài 9
4. Phương Pháp Nghiên Cứu 9
5. Bố Cục Chuyên Đề 9
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT WEBSITE 10
1. Tổng Quan Về Bảo mật 10
2. Kiểm Thử An Ninh Mạng 10
2.1 Kiểm Thử An Ninh Phần Mềm 12
2.2 Kiểm Thử An Ninh Phần Mạng 12
2.3 So Sánh KTAN Phần Mềm Và KTAN Mạng 14
2.4 Mục Đích 15
2.5 Trách Nhiệm Của Kiểm Thử Bảo mật 15
2.6 Những Ưu Điểm Trong Kiểm Thử Bảo mật 16
3. Các Kỹ Thuật Tấn Công Web Và Cách Phòng Chống 17
3.1 SQL Injection 17
3.1.1 Tìm Hiểu Về Sql Injection 17
3.1.2 Tấn công SQL Injection. 19
3.1.3 Cách Phòng Tránh SQL Injection 26
3.2 Cross Site Scripting (XSS) 31
3.2.1 Tìm hiểu về XSS. 31
3.2.2 Tấn công bằng XSS 32
3.2.3 Phương pháp phòng chống XSS 35
CHƯƠNG 2: GIỚI THIỆU CÔNG CỤ NIKTO 36
1. Giới Thiệu Phần Mềm Nikto 36
1.1 Tổng Quan 36
1.2 Lịch Sử 36
2. Cài Đặt 37
2.1 Yêu Cầu 37
2.2 Cài Đặt 37
3. Sử Dụng 37
3.1 Kiểm Tra Cơ Bản 37
3.2 Kiểm Tra Nhiều Port 38
3.3 Kiểm Tra Nhiều Host 38
3.4 Sử Dụng Proxy 39
3.5 Cập Nhật 39
3.6 Các chức năng Tương Tác Khác 40
4.Command Line Tùy Chọn 41
4.1 Tất Cả Tùy Chọn 41
4.2 Kỹ Thuật Tấn Công 46
4.3 Display 46
4.4 Scan Tuning 47
5. Cấu Hình Tập Tin 49
5.1 Nơi Lưu Trữ 49
5.2 Định Dạng 49
6. Đầu Ra Và Báo Cáo 49
6.1 Các Định Dạng Xuất Khẩu 49
6.2 Html Và Xml 50
6.3 Đóng Góp Mã Nguồn Mở 50
6.4 Phát Triển Mã Nguồn 50
7. Sử Lý Sự Cố Và Giấy Phép 51
7.1 Xử lý sự cố 51
7.2 Giấy Phép 51
CHƯƠNG 3: TRIỂN KHAI KIỂM THỬ BẢO MẬT WEBSITE VỚI NIKTO 52
1 Mục Đích Triển Khai 52
2 Các Bước Thực Hiện 52
3 Demo Kết Quả 52
3.1 Cài Đặt Hệ Điều Hành Backtrack 5 R3 52
3.2 Khởi Động Nikto 53
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 56
TÀI LIỆU THAM KHẢO 58
TÓM TẮT
Ngày nay, ứng dụng Web đã có mặt trong hầu hết mọi lĩnh vực của cuộc sống hiện đại. Cùng với sự phát triển nhanh chóng của ứng dụng Web thì vấn đề bảo mật ứng dụng Web đang là lĩnh vực vô cùng nóng hổi nhằm đảm bảo an toàn cho tất cả người dùng ứng dụng. Vậy nếu có một lỗi bảo mật xảy ra trong ứng dụng Web thì điều này có thể ảnh hưởng tới tất cảngười dùng, ảnh hưởng tới uy tín của công ty, tổ chức đó, gây mất mát về mặt tài chính và các ràng buộc về pháp lý,…
Đề tài “ Tìm hiểu các loại lỗi bảo mật Web với Nikto” sẽ đáp ứng phần nào nhu cầu cấp thiết về bảo mật hiện nay. Xây dựng nên quy trình phục vụ cho việc kiểm tra và phát hiện các điểm yếu an toàn thông tin trong ứng dụng Web, từ đó đưa ra báo cáo đánh giá vềan toàn thông tin cho Website.
ABSTRACT
Today, the Web application has been present in almost all areas of modern life . Along with the rapid development of Web applications , the problem is Web application security is extremely hot areas to ensure safety for all users of the application . So if there is a security error occurs in the Web application , this can affect all users , which affects the reputation of the company or organization , causing financial loss and the constraints legal, ...
Titled " Learn the types of security vulnerabilities with Nikto Web " will partially meet the urgent need for security today . Construction should serve the process of inspection and detection of information security weaknesses in Web applications , which released a report on the safety assessment information for the Website .
KEY WORD
Safety
Security
Testing

MỞ ĐẦU
1. Đặt Vấn Đề
Hoạt động ổn định của một trang web thường có rất nhiều yêu cầu nhất là chủ yếu về bảo mật. Thông qua vấn đề bảo mật, các website sẽ thu hơn 50% lợi nhuận. Do vậy, một website muốn phát triển bền vững thì cần kiểm soát được bảo mậtbảo mật cho người dùng.
Đất nước ta đang trong quá trình công nghiệp hóa – hiện đại hóa, có rất nhiều dự án đầu tư thuộc mọi thành phần công nghệ thông tin, mọi ngành nghề và mọi lĩnh vực. Để thực hiện được các dự án này thì việc đảm bảo tính an toàn, toàn vẹn, sẵn sàng của thông tin là vô cùng quang trọng. Có rất nhiều cách để bảo mật nhưng làm cách nào để biết hệ thống bảo mật của trang web đó có lỗ hỗng gì và làm sao khắc phục nó.
Hiện nay , Các vấn đề này đã và đang được rất nhiều viện ngiên cứu, các cơ quan, công ty về bảo mật cũng như những nhà mạng đang quan tâm.
Qua thời gian thực tập tại trung tâm VDC Training Đà Nẵng, em nhận thấy được việc kiểm thử vấn đề bảo mật của một trang web là vô cùng quan trọng. Vì thế em đã mạnh dạn chọn đề tài với tiêu đề: : “Tìm hiểu các loại lỗi bảo mật Web với Nikto”
2. Giải Quyết Vấn Đề
Chính vì nhu cầu của con người ngày càng được nâng cao, đòi hỏi các ứng dụng phục vụ ngày càng được cải tiến ở mức cao hơn. Nên nguy cơ các hệ thống bảo mật bị tấn công ngày càng cao hơn và nhiều hơn ở mức độ nghiêm trọng hơn. Đòi hỏi chúng ta cần nhanh chóng xây dựng các biện pháp đề phòng hiệu quả hơn.
Có nhiều công cụ để bạn có thể kiểm tra trang Web bất kì nào đó có những lỗi hệ thống nào hay mức độ an toàn của nó là bao nhiêu. Nhưng đối Nikto thì bạn sẽ biết chính xác và một cách cụ thể nhất.

3. Phạm Vi Đề Tài
Kiểm thử các lỗi bảo mật Web, từ đó đề xuất xây dựng quy trình kiểm thử bảo mật nhằm ứng dụng kiểm thử các lỗi bảo mật Web đối với các ứng dụng Web đã hoàn thiện.
4. Phương Pháp Nghiên Cứu
Nghiên cứu tổng quan về các lỗi bảo mật.
Nghiên cứu những lỗi bảo mật ảnh hưởng đến ứng dụng Web hiện nay.
Nghiên cứu các quy trình, công cụ kiểm tra lỗi bảo mật Web đã phát triển và đề xuất quy trình mới.
5. Bố Cục Chuyên Đề
Ngoài phần mở đầu và kết luận, chuyên đề chia thành 3 chương:
Chương 1: Tổng quan về bảo mật website.
Chương 2: Giới thiệu công cụ Nikto.
Chương 3 : Triển khai kiểm thử bảo mật website với Nikto.


CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT WEBSITE
1. Tổng Quan Về Bảo mật
Bảo mật là sự thỏa hiệp chức năng trên khả năng sử dụng . Nếu bảo mật của hệ thống quá chặt chẽ, nó sẽ trở nên rất khó sử dụng hay khó hoạt động một cách hiệu quả. Nếu bảo mật quá đơn giản, hệ thống dễ bị tấn công và xâm nhập.
Kiểm thử bảo mật web, trong nghĩa truyền thống, là kiểm thử hiệu quả sự bảo vệ toàn bộ hệ thống web. Nó yêu cầu kết hợp nhiều kiến thức về các công nghệ bảo mật,công nghệ mạng, lập trình và kinh nghiệm thực tế về thâm nhập các hệ thống mạng. Hầu hết các kiểm thử viên phần mềm không có loại kiến thức này. Tuy nhiên, chúng ta nên hiểu các vấn đề bảo mật sao cho chúng ta hiểu được các công việc chúng ta nên làm và các công việc nên được thực hiện bởi các chuyên gia khác.
2. Cài Đặt
2.1 Yêu Cầu
Bất kỳ hệ thống nào hỗ trợ Perl cơ bản đều cho phép cài đặt Nikto. Nó đã được thử nghiệm rộng rãi trên:
 Windows(sử dụng ActiveState Perl và Strawberry Perl). Một số chức năng POSIX, chẳng hạn như các lệnh tương tác có thể không làm việc với Windows.
 Mac OSX.
 Và một số hệ điều hành khác như Linux và Unix (bao gồm cả RedHat, Solaris, Debian, Ubuntu, Backtrack, vv).
2.2 Cài Đặt
Về cách cài đặt và cấu hình các gói phần mềm.
Giải nén tập tin tải về:
tar -xvfz nikto-current.tar.gz
3. Sử Dụng
3.1 Kiểm Tra Cơ Bản
Quét Nikto cơ bản chỉ yêu cầu đơn giản là một host để nhắm mục tiêu, từ cổng 80 giả định nếu không được chỉ định. Các host có thể là một IP hay tên máy của máy, và được xác định bằng cách sử dụng -h ( host ) tùy chọn. Điều này sẽ quét 192.168.0.1 IP trên cổng TCP 80:
perl nikto.pl -h 192.168.0.1
Để kiểm tra trên các cổng khác nhau, xác định số cổng với -p ( cổng ) tùy chọn. Điều này sẽ quét 192.168.0.1 IP trên cổng TCP 443:
perl nikto.pl -h 192.168.0.1 -p 443

Host, cổng và giao thức cũng có thể được xác định bằng cách sử dụng một cú pháp URL đầy đủ, và nó sẽ quét:
perl nikto.pl -h

Nếu xác định rằng cổng 443 sử dụng SSL, Nikto đầu tiên sẽ kiểm tra HTTP và nếu thất bại, đó là HTTPS. Nếu chắc chắn nó là một host SSL, xác định -s ( -ssl )
perl nikto.pl -h 192.168.0.1 -p 443 –ssl

3.2 Kiểm Tra Nhiều Port
Nikto có thể quét nhiều cổng trong cùng một phiên quét. Để kiểm tra nhiều hơn một cổng trên cùng một host, xác định danh sách các cổng trong -p (port ) tùy chọn. Cổng có thể được quy định như một phạm vi (tức là, 80-90), hay là một danh sách phẩy phân cách, (tức là, 80,88,90). Điều này sẽ quét các host trên cổng 80, 88 và 443.
perl nikto.pl -h 192.168.0.1 -p 80,88,443
3.3 Kiểm Tra Nhiều Host
Nikto hỗ trợ quét nhiều host trong cùng một phiên thông qua một tập tin văn bản của tên máy chủ. Thay vì đưa ra một tên host hay IP cho -h ( host ), một tên tập tin có thể được đưa ra. Một tập tin của host phải được định dạng như một host trên mỗi dòng, với số cổng (s) ở cuối mỗi dòng. Cổng có thể được tách ra từ các host và các cổng khác thông qua dấu phẩy. Nếu không có cổng chỉ định, cổng 80 được giả định.
Đây là một ví dụ về một tập tin host hợp lệ:
Ví dụ 3.1. Host tập tin hợp lệ
192.168.0.1:80

192.168.0.3

3.4 Sử Dụng Proxy
Nếu máy chạy Nikto truy cập vào host mục tiêu (hay host cập nhật) thông qua một proxy HTTP, Nikto vẫn có thể thực hiện . Có hai cách để sử dụng một proxy với Nikto, thông qua các tập tin nikto.conf hay trực tiếp trên dòng lệnh.
Sử dụng các tập tin nikto.conf, thiết lập PROXY * biến và sau đó thực hiện Nikto với-useproxy lựa chọn. Tất cả các kết nối sẽ được chuyển tiếp thông qua proxy HTTP được chỉ định trong file cấu hình.
perl nikto.pl -h 192.168.0.1 -p 80 -u
Để thiết lập proxy trên dòng lệnh, sử dụng-useproxy tùy chọn với các proxy thiết lập như là đối số.
3.5 Cập Nhật
Nikto có thể được tự động cập nhật nếu có kết nối Internet từ máy chủ Nikto. Để cập nhật các plugin mới nhất và cơ sở dữ liệu, chỉ cần chạy Nikto với lệnh cập nhật.
perl nikto.pl -update
Nếu cập nhật được yêu cầu, một danh sách các tập tin tải về:
perl nikto.pl -update
+ Retrieving 'nikto_core.plugin'
+ Retrieving 'CHANGES.txt'

Link Download bản DOC
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link tải, không dùng IDM để tải:

 
Top