Please enable JavaScript.
Coggle requires JavaScript to display documents.
Chương 2 các loại hình tấn công (Xu hướng tấn công HTTT (lý do việc bảo…
Chương 2 các loại hình tấn công
SQL lnjection
Chèn cậu lệnh SQL thông qua đầu vào người dùng chưa đọc
Không thể định dạng lại ổ cứng của máy chủ ứng dụng web thông qua SQL lnjection
Có thể ngăn sql bằng cách bắt lỗi dữ liệu của người dùng
khái niệm : SQL là 1 một loại khai thác bảo mật trong đó kẻ tấn công thêm mã ngôn ngữ truy vấn mang tính cấu trúc và hộp nhập biểu mẫu của trang web để truy cập vào tài nguyên hoặc thay đổi dữ liệu
Tấn công phát lại
tạo bản truyền để sử dụng sau này
tấn công DDos : tấn công từ chối dịch vụ
các loại tấn công Dos : SYN flood , Ping flood,Smurf
phòng chống tấn công từ chối dịch vụ phân bố (Dos) cách hiểu quả duy nhất là lưu trữ và phục hồi (backup và restore)
phòng chống tấn công từ chối dịch vụ phân bố ( DDos )
có thể hạn chế trong bằng cách lập trình
Tấn công bằng mã độc virut
Chức năng chính của virut là : sống kí sinh và lây nhiễm
Virut máy tính không thể lây lan qua đĩa CD
Troajn
Trojan house là 1 phương thức tấn công kiểu điều khiển máy tính nạn nhân từ xa thông qua phần mền cài sẵn trong máy nạn nhân
Trojan house là 1 chương trình độc hại lấy cắp tên người dùng và mật khẩu của bạn
Tấn công sử dụng
Tuyên bố chính xác về lý do tại sao các thiết bị bảo mật mạnh truyền thông không thể sử dụng để ngăn chặn các cuộc tấn công ứng dụng web là cuộc tấn công ứng dụng web sử dụng các trình duyệt web không thể điều khiển máy tính cục bộ
Loại tấn công được thưc hiện bỏi kẻ tấn công lợi dụng sự xâm nhập và truy cập trái phép được xậy dưng thông qua 3 hệ thống thành công mà tất cả đều tin tưởng lẫn nhau là transitve
khi 1 hacker cố gắng tấn công 1 máy chủ qua intemat nó được gọi là tấn công từ xa
Social Engineering là kỹ thuật sai khiến mọi người thực hiện hành vi nào đó hoặc tiết lộ thông tin bí mật
Ngôn ngữ đánh dấu được thiết kế mạng dữ liệu là XML
Kiến trúc TCP/IP sử dụng 4 lớp
XSS ( cross-sitescripting )
XSS không tấn công máy chủ ứng dụng web để ăn cắp hoặc làm hỏng nó
Một loại lỗ hổng bảo mật máy tính thường được tìm thấy trong các ứng dụng web , cho phép kẻ tấn công chèn tập lệnh phía máy khách vào các trang web được người dùng khác xem
Cookie-Flash cookie
Cookie đang được tạo bởi trang web tên là Cookie của bên thứ ba
Plug-in trình duyệt có thể được nhúng bên trong trang web nhưng không thể thêm vào tiện ích
Một tên khác cho 1 đối tượng chia sẻ cục bộ : Flash cookie
Rootkit
Rootkit là được thiết kế để qua mặt các phương pháp bảo mật máy tính
Xu hướng tấn công HTTT
Khi 1 hacker tấn công 1 máy chủ qua lnternet là tấn công từ xa
Các thiết bị bảo mật mạng truyền thông bỏ qua nội dung lưu lượng HTTP, là phương tiện tấn công ứng dụng Web
Kiến trúc dùng bao nhiêu lớp
Mô hình OSI
Gồm 7 lớp ( 7 tâng )
TCP/IP
gồm 4 lớp
Ngôn ngữ đánh dấu được thiết kế để mang dữ liệu : XML(Extensible Makup Language)
Điều KHÔNG phải tấn công tiêu đề HTTP : Content-length
Loại tấn công thực hiện bởi kẻ tấn công lợi dụng sự xâm nhập và truy cập trái phép được xây dựng thông qua 3 hệ thống thành công mà tất cả đều được tin tưởng lẫn nhau là transitive( bắc cầu )
lý do việc bảo mật các ứng dụng Web là khó
Nhiều cuộc tấn công ứng dụng Web khai thách lỗ hổng chưa biết trước đó
Bằng cách thiết kế các ứng dụng web phía bên máy chủ động , chấp nhận đầu vào của người dùng có thể chứa mã độc
Mặc dù các thiết bị bảo mật mạng truyền thông có thể chặn được các cuộc tấn công truyền thống chúng không thể luôn chặn các cuộc tấn công ứng dụng web
Tấn công sử dụng kỹ nghệ xã hội
Social Engineering là kĩ thuật sai khiến mọi người thực hiện hành vi nào đó hoặc tiết lộ thông tin bí mật
Lỗi tràn bộ nhớ đệm
kẻ tấn công sử dụng tràn bộ nhớ để trỏ đến 1 khu vực khác trong bộ nhớ dữ liệu chứ mã phần mền độc hại của kẻ tấn công
Muốn tấn công kích thước tối đa của 1 loại số nguên ta dùng lntger overflow