Web

Application
Attack &
Defense
Trình bày : Võ Đỗ Thắng
Giám đốc Trung tâm an ninh mạng
Athena.
 A. Web app, Webserver: Các khái
niệm và mô hình

B. Giới thiệu một số phương pháp

attack cơ bản nhắm vào web
app/webserver

C. Phát hiện và phòng chống

ATHENA
 A. Web app, Webserver:
Các khái niệm và mô hình
Web application là gì?

Web app hay web service là một phần

mềm ứng dụng chạy phía server (thuộc
layer 7 trong mô hình OSI)

User có thể truy xuất web app bằng các

trình duyệt (web browser, telnet) hay
bằng các giao thức HTTP(s)

ATHENA 2001(c)WhiteHat Security, Inc.

 A. Web app, Webserver: Các khái niệm
và mô hình
• Một số trình duyệt thông dụng:
IE (internet explorer)
FF( Mozilla Firefox)
Opera
• Một số webserver thông dụng
IIS : www.microsoft.com
Apache : www.apache.org
Jrun : www.marcomedia.com
Tomcat jakarta.apache.org
Iplanet webserver
Cold Fusion Webserver
ATHENA 2001(c)WhiteHat Security, Inc.
 Mô hình chuẩn Web App
HTTP Firewall SQL
request Databas
(cleartext e
or SSL) Web app

Web app
DB
Web Web
Web app
Client Server DB
Web app

HTTP
reply
•Apache Plugins: Database
(HTML,
•IIS •Perl connection:
Javascript,
•Netscape •C/C++ •ADO,
VBscript,
etc… •JSP, etc •ODBC,
etc)
etc.

ATHENA
 FIREWALL

ATHENA 2001(c)WhiteHat Security, Inc.

 SSL

ATHENA 2001(c)WhiteHat Security, Inc.

ATHENA 2001(c)WhiteHat Security, Inc.
 B. Giới thiệu một số phương pháp attack cơ bản
nhắm vào web app/webserver

1. Google attack
2. SQL injection
3. Cross site scripting
4. Hidden form vulnerability
5. Cookies injection
6. Flood database/Flood form
7. Local Attack
8. Path disclosure/Parsing exploit
9. Dictionary Traversal
10. Remote include file
11. Secured webserver

ATHENA 2001(c)WhiteHat Security, Inc.

 Demo:

Website viện kinh tế thành phố Hồ Chí Minh bị tấn

công, chiếm quyền kiểm soát

ATHENA