SlideShare una empresa de Scribd logo

Những lỗi bảo mật web thường gặp ở phần application

Descargar como PPT, PDF
Ngoc Dao
Ngoc Dao

Giải thích về session, cookie v.v.

Tecnología
1 de 27
GNTech Seminar Những lỗi bảo mật web thường gặp ở phần application
Mục đích buổi seminar Load balancer Web server Application MySQL Memcached ... Những phần khác application thì cả thế giới đều dùng chung nên cả thế giới đều ra sức bịt lỗi bảo mật. Còn phần application lập trình viên tự viết nên phải tự giải quyết. => Chúng ta là lập trình viên web. Buổi seminar này nâng cao hiểu biết về các lỗi bảo mật thường gặp ở phần application, phần do chính chúng ta tự tay tạo ra ! ,[object Object],[object Object],[object Object],[object Object],...
Triết lí để tránh lỗi bảo mật ,[object Object],[object Object],[object Object]
Input: Lợi dụng lòng tin của server dành cho user Output: Lợi dụng lòng tin của user dành cho server
Căn bản về session Nhiều lỗ hổng liên quan đến session => Trước hết chúng ta ôn lại về session
WHAT: Session là gì? Server Client Cùng 1 client Server nhận nhiều request độc lập Vấn đề là server phải làm sao để nhận biết chúng cùng thuộc về 1 user => Khái niệm session Request Request Request
Ví dụ thực tế ,[object Object],[object Object],[object Object],[object Object]
HOW: Các cách lưu session ,[object Object],Nhóm 1: Chỉ lưu ở client * Nhúng vào URL (href của link hoặc action của form) * Cookie Nhóm 2: Lưu ở cả client và server * Client: chỉ lưu key (lưu ở URL hoặc cookie) * Server: lưu key và value (lưu ở file, memory, ở máy khác (DB, memcached v.v.)) Chắc chắn phải lưu cái gì đó ở client Session thường được biểu diễn dưới dạng hash (key-value)
Demo ,[object Object],[object Object],[object Object]
Q: Cookie là gì?
A: Header Key – Value Key – Value Body Header Key – Value Set-Cookie – Value Key – Value Body Header Key – Value Cookie – Value Key – Value Body Client Server Cookie là opaque data: server set cái gì trong response thì client lần request sau sẽ trả về nguyên xi Response Request Request
Q: Làm thế nào để thực hiện tính năng login cho trang web?
Lời khuyên về session ,[object Object],[object Object],[object Object],[object Object]
Mục lục ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SQL injection ,[object Object],[object Object],[object Object],[object Object]
CSRF Trên blog của mình, nạn nhân Camanh viết: Khóc... như một đứa trẻ bị người khác giật lấy 200 trang nhật ký... xé tan... Q: 2 screenshot giống nhau ở điểm nào? http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2007/03/3B9F3B21/ http://vnexpress.net/Vietnam/Vi-tinh/2007/03/3B9F3BF1/
[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Redirection (một trong nhiều cách phising) ,[object Object],[object Object]
Cookie replay ,[object Object],[object Object],[object Object],[object Object],[object Object]
XSS ,[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object]
Session fixation ,[object Object],[object Object],[object Object],[object Object],[object Object]
 
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Tham khảo ,[object Object],[object Object]

Recomendados

Sql injection lab_5477
Sql injection lab_5477Sql injection lab_5477
Sql injection lab_5477oncestar
 
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web application
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web applicationCông cụ và phương pháp phát hiện lỗ hổng bảo mật web application
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web applicationducmanhkthd
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttionDuy Nguyenduc
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh webNhóc Mèo
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongVu Trung Kien
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Tim hieu ve lo hong web va cach phong chong
Tim hieu ve lo hong web va cach phong chongTim hieu ve lo hong web va cach phong chong
Tim hieu ve lo hong web va cach phong chongVu Trung Kien
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comSql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comphanleson
 

Recomendados

Sql injection lab_5477
Sql injection lab_5477Sql injection lab_5477
Sql injection lab_5477oncestar
 
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web application
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web applicationCông cụ và phương pháp phát hiện lỗ hổng bảo mật web application
Công cụ và phương pháp phát hiện lỗ hổng bảo mật web applicationducmanhkthd
 
Báo cáo SQL injecttion
Báo cáo SQL injecttionBáo cáo SQL injecttion
Báo cáo SQL injecttionDuy Nguyenduc
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh webNhóc Mèo
 
Tim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongTim hieu lo hong web va cach phong chong
Tim hieu lo hong web va cach phong chongVu Trung Kien
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Tim hieu ve lo hong web va cach phong chong
Tim hieu ve lo hong web va cach phong chongTim hieu ve lo hong web va cach phong chong
Tim hieu ve lo hong web va cach phong chongVu Trung Kien
 
Sql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comSql injection demo - it-slideshares.blogspot.com
Sql injection demo - it-slideshares.blogspot.comphanleson
 
SQL injection
SQL injectionSQL injection
SQL injectionPhong Tử
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injectionThieu Mao
 
Kiểm thử bảo mật web
Kiểm thử bảo mật webKiểm thử bảo mật web
Kiểm thử bảo mật webMinh Tri Nguyen
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10Linh Hoang
 
Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013Security Bootcamp
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng webNguyễn Thế Vinh
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionNguyễn Danh Thanh
 
Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5phanleson
 
Sql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comSql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comphanleson
 
Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Luc Cao
 
Tan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vnTan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vnJenny Nguyen
 
Web application-security
Web application-securityWeb application-security
Web application-securityVisla Team
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạoLuc Cao
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Tan cong
Tan congTan cong
Tan congtoan
 
báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1Luc Cao
 
Bao caocuoiki
Bao caocuoikiBao caocuoiki
Bao caocuoikiNguyễn Minh Tiến
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionCongDoanVan1
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hackingHuynh Khang
 
tìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mậttìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mậtanhkhoa2222
 
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lanNghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lanleokidd
 
Protecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP HeadersProtecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP HeadersFrank Kim
 

Más contenido relacionado

La actualidad más candente

XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injectionThieu Mao
 
Kiểm thử bảo mật web
Kiểm thử bảo mật webKiểm thử bảo mật web
Kiểm thử bảo mật webMinh Tri Nguyen
 
Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013Security Bootcamp
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionNguyễn Danh Thanh
 
Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5phanleson
 
Sql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comSql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comphanleson
 
Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Luc Cao
 
Tan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vnTan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vnJenny Nguyen
 
Web application-security
Web application-securityWeb application-security
Web application-securityVisla Team
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạoLuc Cao
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Luc Cao
 
Tan cong
Tan congTan cong
Tan congtoan
 
báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1Luc Cao
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hackingHuynh Khang
 

La actualidad más candente (19)

SQL injection
SQL injectionSQL injection
SQL injection
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injection
 
Kiểm thử bảo mật web
Kiểm thử bảo mật webKiểm thử bảo mật web
Kiểm thử bảo mật web
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10
 
Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013Security Bootcamp 2013 owasp top 10- 2013
Security Bootcamp 2013 owasp top 10- 2013
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select union
 
Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5Sql injection bao cao - http://ouo.io/Mqc8L5
Sql injection bao cao - http://ouo.io/Mqc8L5
 
Sql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.comSql injection it-slideshares.blogspot.com
Sql injection it-slideshares.blogspot.com
 
Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2Athena báo cáo thực tập tuần 2
Athena báo cáo thực tập tuần 2
 
Tan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vnTan cong kieu sql injection tac hai va phong tranh vn
Tan cong kieu sql injection tac hai va phong tranh vn
 
Web application-security
Web application-securityWeb application-security
Web application-security
 
Trung tâm đào tạo
Trung tâm đào tạoTrung tâm đào tạo
Trung tâm đào tạo
 
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo hàng tuần - Các chuẩn bảo mật web (OWASP)
 
Tan cong
Tan congTan cong
Tan cong
 
báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1báo cáo thực tập Athena - tuần1
báo cáo thực tập Athena - tuần1
 
Bao caocuoiki
Bao caocuoikiBao caocuoiki
Bao caocuoiki
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hacking
 

Destacado

tìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mậttìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mậtanhkhoa2222
 
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lanNghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lanleokidd
 
Protecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP HeadersProtecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP HeadersFrank Kim
 
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚ
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚBáo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚ
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚCon Ranh
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
Apcera: Agility and Security in Docker Delivery
Apcera: Agility and Security in Docker DeliveryApcera: Agility and Security in Docker Delivery
Apcera: Agility and Security in Docker DeliveryApcera
 
Wireless hacking - http://ouo.io/Mqc8L5
Wireless hacking - http://ouo.io/Mqc8L5Wireless hacking - http://ouo.io/Mqc8L5
Wireless hacking - http://ouo.io/Mqc8L5phanleson
 
Quản lý quy trình phần mềm KHTN
Quản lý quy trình phần mềm KHTNQuản lý quy trình phần mềm KHTN
Quản lý quy trình phần mềm KHTNNguyen Van Toan
 
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...MasterCode.vn
 
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vn
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vnCac ky thuat tan cong dos ddos drdos botnet tại 123doc.vn
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vnDocx VN
 
Phan mem quan ly phong kham
Phan mem quan ly phong khamPhan mem quan ly phong kham
Phan mem quan ly phong khamthemoonhot
 
Chương 4 Kết nối mạng và Internet - Giáo trình FPT
Chương 4 Kết nối mạng và Internet - Giáo trình FPTChương 4 Kết nối mạng và Internet - Giáo trình FPT
Chương 4 Kết nối mạng và Internet - Giáo trình FPTMasterCode.vn
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tậpLuc Cao
 
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPT
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPTChương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPT
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPTMasterCode.vn
 
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)Tú Cao
 
Bao mat ung_dung_web
Bao mat ung_dung_webBao mat ung_dung_web
Bao mat ung_dung_webViet Nam
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSThieu Mao
 
Tong Quan Ve Malware
Tong Quan Ve MalwareTong Quan Ve Malware
Tong Quan Ve Malwareguest4a3ff91
 

Destacado (20)

tìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mậttìm hiểu các lỗ hổng bảo mật
tìm hiểu các lỗ hổng bảo mật
 
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lanNghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
Nghiên cứu và hướng dẫn sử dụng bộ công cụ quét lỗ hổng hệ thống trong mạng lan
 
Protecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP HeadersProtecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP Headers
 
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚ
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚBáo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚ
Báo Cáo Thực Tập Athena - SYSTEM HACKING - DƯƠNG ĐÌNH TÚ
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 
information security
information securityinformation security
information security
 
Apcera: Agility and Security in Docker Delivery
Apcera: Agility and Security in Docker DeliveryApcera: Agility and Security in Docker Delivery
Apcera: Agility and Security in Docker Delivery
 
Wireless hacking - http://ouo.io/Mqc8L5
Wireless hacking - http://ouo.io/Mqc8L5Wireless hacking - http://ouo.io/Mqc8L5
Wireless hacking - http://ouo.io/Mqc8L5
 
Quản lý quy trình phần mềm KHTN
Quản lý quy trình phần mềm KHTNQuản lý quy trình phần mềm KHTN
Quản lý quy trình phần mềm KHTN
 
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...
Bài 7: Bảo mật website Joomla Các lỗi và một số vấn đề thường gặp với website...
 
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vn
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vnCac ky thuat tan cong dos ddos drdos botnet tại 123doc.vn
Cac ky thuat tan cong dos ddos drdos botnet tại 123doc.vn
 
Phan mem quan ly phong kham
Phan mem quan ly phong khamPhan mem quan ly phong kham
Phan mem quan ly phong kham
 
Chương 4 Kết nối mạng và Internet - Giáo trình FPT
Chương 4 Kết nối mạng và Internet - Giáo trình FPTChương 4 Kết nối mạng và Internet - Giáo trình FPT
Chương 4 Kết nối mạng và Internet - Giáo trình FPT
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPT
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPTChương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPT
Chương 5 Chia sẻ file và máy in trên mạng - Giáo trình FPT
 
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)
HTTP POST DOS (Denial Of Service) (Demo tấn công DOS, phòng chống)
 
Bao mat ung_dung_web
Bao mat ung_dung_webBao mat ung_dung_web
Bao mat ung_dung_web
 
Luan van
Luan vanLuan van
Luan van
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoS
 
Tong Quan Ve Malware
Tong Quan Ve MalwareTong Quan Ve Malware
Tong Quan Ve Malware
 

Similar a Những lỗi bảo mật web thường gặp ở phần application

File inclusion attack(nop thay)
File inclusion attack(nop thay)File inclusion attack(nop thay)
File inclusion attack(nop thay)phanleson
 
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHP
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHPPHP có thể làm gì? 9 Thứ thú vị có thể làm với PHP
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHPNIIT - ICT Hà Nội
 
các bước hack server
các bước hack servercác bước hack server
các bước hack servertruong le hung
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comphanleson
 
Bao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.comBao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.comphanleson
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳNguyễn Vân
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳThu Hien
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳTai Ly
 
Cac buochackserver tech24_vn
Cac buochackserver tech24_vnCac buochackserver tech24_vn
Cac buochackserver tech24_vnhantinh169
 
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoBài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoMasterCode.vn
 
Authentication and Authorization
Authentication and AuthorizationAuthentication and Authorization
Authentication and AuthorizationTechMaster Vietnam
 
ceh-lab_book_tieng_viet_phan3
ceh-lab_book_tieng_viet_phan3ceh-lab_book_tieng_viet_phan3
ceh-lab_book_tieng_viet_phan3VNG
 
The First 2015 Saigon WordPress Meetup
The First 2015 Saigon WordPress MeetupThe First 2015 Saigon WordPress Meetup
The First 2015 Saigon WordPress MeetupKhanhPham
 
B tl internet
B tl internetB tl internet
B tl internettoan
 
Lập trình web asp.net MVC
Lập trình web asp.net MVCLập trình web asp.net MVC
Lập trình web asp.net MVCMasterCode.vn
 
Tu hoc javascript
Tu hoc javascriptTu hoc javascript
Tu hoc javascriptzingoncmu2
 

Similar a Những lỗi bảo mật web thường gặp ở phần application (20)

File inclusion attack(nop thay)
File inclusion attack(nop thay)File inclusion attack(nop thay)
File inclusion attack(nop thay)
 
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHP
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHPPHP có thể làm gì? 9 Thứ thú vị có thể làm với PHP
PHP có thể làm gì? 9 Thứ thú vị có thể làm với PHP
 
các bước hack server
các bước hack servercác bước hack server
các bước hack server
 
Cac buochackserver
Cac buochackserverCac buochackserver
Cac buochackserver
 
Dos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.comDos web server it-slideshares.blogspot.com
Dos web server it-slideshares.blogspot.com
 
Bao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.comBao cao session hijacking it-slideshares.blogspot.com
Bao cao session hijacking it-slideshares.blogspot.com
 
Java script
Java scriptJava script
Java script
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳ
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳ
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳ
 
Cac buochackserver tech24_vn
Cac buochackserver tech24_vnCac buochackserver tech24_vn
Cac buochackserver tech24_vn
 
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theoBài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
Bài 1: Làm quen với ASP.NET - Giáo trình FPT - Có ví dụ kèm theo
 
Authentication and Authorization
Authentication and AuthorizationAuthentication and Authorization
Authentication and Authorization
 
Ceh phan3
Ceh phan3Ceh phan3
Ceh phan3
 
ceh-lab_book_tieng_viet_phan3
ceh-lab_book_tieng_viet_phan3ceh-lab_book_tieng_viet_phan3
ceh-lab_book_tieng_viet_phan3
 
The First 2015 Saigon WordPress Meetup
The First 2015 Saigon WordPress MeetupThe First 2015 Saigon WordPress Meetup
The First 2015 Saigon WordPress Meetup
 
B tl internet
B tl internetB tl internet
B tl internet
 
Baocaothuctap
BaocaothuctapBaocaothuctap
Baocaothuctap
 
Lập trình web asp.net MVC
Lập trình web asp.net MVCLập trình web asp.net MVC
Lập trình web asp.net MVC
 
Tu hoc javascript
Tu hoc javascriptTu hoc javascript
Tu hoc javascript
 

Más de Ngoc Dao

Model with actors and implement with Akka
Model with actors and implement with AkkaModel with actors and implement with Akka
Model with actors and implement with AkkaNgoc Dao
 
I18nize Scala programs à la gettext
I18nize Scala programs à la gettextI18nize Scala programs à la gettext
I18nize Scala programs à la gettextNgoc Dao
 
Develop realtime web with Scala and Xitrum
Develop realtime web with Scala and XitrumDevelop realtime web with Scala and Xitrum
Develop realtime web with Scala and XitrumNgoc Dao
 
BIG DATA サービス と ツール
BIG DATA サービス と ツールBIG DATA サービス と ツール
BIG DATA サービス と ツールNgoc Dao
 
How to write a web framework
How to write a web frameworkHow to write a web framework
How to write a web frameworkNgoc Dao
 
Xitrum @ Scala Matsuri Tokyo 2014
Xitrum @ Scala Matsuri Tokyo 2014Xitrum @ Scala Matsuri Tokyo 2014
Xitrum @ Scala Matsuri Tokyo 2014Ngoc Dao
 
Actor-based concurrency and Akka Fundamentals
Actor-based concurrency and Akka FundamentalsActor-based concurrency and Akka Fundamentals
Actor-based concurrency and Akka FundamentalsNgoc Dao
 
Xitrum HOWTOs
Xitrum HOWTOsXitrum HOWTOs
Xitrum HOWTOsNgoc Dao
 
Xitrum @ Scala Conference in Japan 2013
Xitrum @ Scala Conference in Japan 2013Xitrum @ Scala Conference in Japan 2013
Xitrum @ Scala Conference in Japan 2013Ngoc Dao
 
SockJS Intro
SockJS IntroSockJS Intro
SockJS IntroNgoc Dao
 
Easy distributed load test with Tsung
Easy distributed load test with TsungEasy distributed load test with Tsung
Easy distributed load test with TsungNgoc Dao
 
How to start using Scala
How to start using ScalaHow to start using Scala
How to start using ScalaNgoc Dao
 
Cloud Erlang
Cloud ErlangCloud Erlang
Cloud ErlangNgoc Dao
 
Xitrum internals
Xitrum internalsXitrum internals
Xitrum internalsNgoc Dao
 
Erlang Web
Erlang WebErlang Web
Erlang WebNgoc Dao
 
Nitrogen Web Framework
Nitrogen Web FrameworkNitrogen Web Framework
Nitrogen Web FrameworkNgoc Dao
 
スポイトができるまで
スポイトができるまでスポイトができるまで
スポイトができるまでNgoc Dao
 
Camellia General
Camellia GeneralCamellia General
Camellia GeneralNgoc Dao
 
Nhập môn BDD
Nhập môn BDDNhập môn BDD
Nhập môn BDDNgoc Dao
 
何でRuby
何でRuby何でRuby
何でRubyNgoc Dao
 

Más de Ngoc Dao (20)

Model with actors and implement with Akka
Model with actors and implement with AkkaModel with actors and implement with Akka
Model with actors and implement with Akka
 
I18nize Scala programs à la gettext
I18nize Scala programs à la gettextI18nize Scala programs à la gettext
I18nize Scala programs à la gettext
 
Develop realtime web with Scala and Xitrum
Develop realtime web with Scala and XitrumDevelop realtime web with Scala and Xitrum
Develop realtime web with Scala and Xitrum
 
BIG DATA サービス と ツール
BIG DATA サービス と ツールBIG DATA サービス と ツール
BIG DATA サービス と ツール
 
How to write a web framework
How to write a web frameworkHow to write a web framework
How to write a web framework
 
Xitrum @ Scala Matsuri Tokyo 2014
Xitrum @ Scala Matsuri Tokyo 2014Xitrum @ Scala Matsuri Tokyo 2014
Xitrum @ Scala Matsuri Tokyo 2014
 
Actor-based concurrency and Akka Fundamentals
Actor-based concurrency and Akka FundamentalsActor-based concurrency and Akka Fundamentals
Actor-based concurrency and Akka Fundamentals
 
Xitrum HOWTOs
Xitrum HOWTOsXitrum HOWTOs
Xitrum HOWTOs
 
Xitrum @ Scala Conference in Japan 2013
Xitrum @ Scala Conference in Japan 2013Xitrum @ Scala Conference in Japan 2013
Xitrum @ Scala Conference in Japan 2013
 
SockJS Intro
SockJS IntroSockJS Intro
SockJS Intro
 
Easy distributed load test with Tsung
Easy distributed load test with TsungEasy distributed load test with Tsung
Easy distributed load test with Tsung
 
How to start using Scala
How to start using ScalaHow to start using Scala
How to start using Scala
 
Cloud Erlang
Cloud ErlangCloud Erlang
Cloud Erlang
 
Xitrum internals
Xitrum internalsXitrum internals
Xitrum internals
 
Erlang Web
Erlang WebErlang Web
Erlang Web
 
Nitrogen Web Framework
Nitrogen Web FrameworkNitrogen Web Framework
Nitrogen Web Framework
 
スポイトができるまで
スポイトができるまでスポイトができるまで
スポイトができるまで
 
Camellia General
Camellia GeneralCamellia General
Camellia General
 
Nhập môn BDD
Nhập môn BDDNhập môn BDD
Nhập môn BDD
 
何でRuby
何でRuby何でRuby
何でRuby
 

Những lỗi bảo mật web thường gặp ở phần application

  • 1. GNTech Seminar Những lỗi bảo mật web thường gặp ở phần application
  • 2.
  • 3.
  • 4. Input: Lợi dụng lòng tin của server dành cho user Output: Lợi dụng lòng tin của user dành cho server
  • 5. Căn bản về session Nhiều lỗ hổng liên quan đến session => Trước hết chúng ta ôn lại về session
  • 6. WHAT: Session là gì? Server Client Cùng 1 client Server nhận nhiều request độc lập Vấn đề là server phải làm sao để nhận biết chúng cùng thuộc về 1 user => Khái niệm session Request Request Request
  • 7.
  • 8.
  • 9.
  • 11. A: Header Key – Value Key – Value Body Header Key – Value Set-Cookie – Value Key – Value Body Header Key – Value Cookie – Value Key – Value Body Client Server Cookie là opaque data: server set cái gì trong response thì client lần request sau sẽ trả về nguyên xi Response Request Request
  • 12. Q: Làm thế nào để thực hiện tính năng login cho trang web?
  • 13.
  • 14.
  • 15.
  • 16. CSRF Trên blog của mình, nạn nhân Camanh viết: Khóc... như một đứa trẻ bị người khác giật lấy 200 trang nhật ký... xé tan... Q: 2 screenshot giống nhau ở điểm nào? http://vnexpress.net/Vietnam/Vi-tinh/Hacker-Virus/2007/03/3B9F3B21/ http://vnexpress.net/Vietnam/Vi-tinh/2007/03/3B9F3BF1/
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.  
  • 26.
  • 27.