Hướng dẫn lập trình an toàn cho ứng dụng web Web Sercurity

1. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
1

2. NỘI DUNG TRÌNH BÀY
2

3. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
3

4.  ATTT là một định nghĩa rộng cho nhiều lĩnh vực với
mục đính là bảo đảm toàn vẹn thông tin trước các tác
động của tự nhiên hoặc các tấn công bất hợp pháp và có
mục đích xấu của con người.
 ATTT số là thuật ngữ dùng để chỉ việc bảo vệ thông tin
số và các hệ thống thông tin chống lại các nguy cơ tự
nhiên, các hành động truy cập, sử dụng, phát tán, phá
hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm
cho các hệ thống thông tin thực hiện đúng chức năng,
phục vụ đúng đối tượng một cách sẵn sàng, chính xác và
tin cậy.
4

5.  Khi nói đến ATTT số chúng ta thường nghĩ tới đến đó là
các Firewall hay các ứng dụng AntiVirus.
 Tuy nhiên đây là một suy nghĩ hạn hẹp vì ATTT số phải
là một giải pháp tổng thể được kết hợp bởi nhiều công
nghệ, nền tảng kỹ thuật khác nhau và ở cả quy định đối
với người khai thác thông tin để đảm bảo tính bảo mật
dữ liệu, tính toàn vẹn dữ liệu, tính sẳn sàng cao của dữ
liệu.
5

6. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
6

7.  Câu hỏi đặt ra là bảo đảm ATTT số như thế nào? Và có
chắc là bảo đảm được an toàn 100% không?
 Bảo đảm ATTT cũng tương tự như một ổ khóa dù tốt đến
mức nào thì vẫn có khả năng có thể mở được vì vậy câu
trả lời bảo đảm an toàn 100% là hầu như là không thể.
 Tuy nhiên chúng ta có thể hạn chế đến mức thấp nhất các
rủi ro có thể xảy ra bằng rất nhiều giải pháp kỹ thuật
khác nhau.
7

8.  Có rất nhiều phương pháp kỹ thuật để bảo đảm ATTT số
tuy nhiên tùy vào mức độ quan trọng của dữ liệu, khả
năng đầu tư của khách hàng mà chúng ta có thể lựa chọn
giải pháp ATTT phù hợp.
 VD:
ATTT bằng các mã hóa thông tin.
ATTT bằng các thiết bị phần cứng.
ATTT bằng các phần mềm ứng dụng.
ATTT mạng.
ATTT ứng dụng đầu cuối.
ATTT người dùng. 8

9.  Có rất nhiều giải pháp kỹ thuật được áp được áp dụng
vào các giai đoạn khác nhau để bảo đảm ATTT cho ứng
dụng.
 Tuy nhiên ở đây sẽ chỉ đi sâu chi tiết vào giai đoạn phát
triển phần mềm và phân tích cụ thể các lỗi ATTT thường
gặp trên ứng dụng web và cách khắc phục thông qua mã
nguồn của ứng dụng.
9

10. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
10

11. Top 10 lỗi bảo mật thường gặp
 A1-Injection
 A2-Broken Authentication and Session Management
 A3-Cross-Site Scripting (XSS)
 A4-Insecure Direct Object References
 A5-Security Misconfiguration
 A6-Sensitive Data Exposure
 A7-Missing Function Level Access Control
 A8-Cross-Site Request Forgery (CSRF)
 A9-Using Components with Known Vulnerabilities
 A10-Unvalidated Redirects and Forwards
11

12. 12

13. 13
Đoạn code lỗi ATTT trên SQL:
String query = "SELECT * FROM accounts WHERE custID='" +
request.getParameter("id") + "'";
Đoạn code lỗi ATTT trên HQL (Hibernate)
Query HQLQuery = session.createQuery(“FROM accounts WHERE
custID='“ + request.getParameter("id") + "'");
Tình huống tấn công
http://example.com/app/accountView?id=' or '1'='1

14. 14

15. 15

16. 16

17. 17

18. 18

19. 19

20. 20

21. 21

22. 22

23. 23

24. 24

25. 25

26. 26

27. 27

28. 28

29. 29

30. 30

31. 31

32. 32

33. 33

34. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
34

35. Author: Minh Tri Lam
Contact: minhtri.itp@gmail.com
35

36. https://www.owasp.org/36
THANKYOU!