BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

HỌC PHẦN
ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN

BÁO CÁO BÀI THỰC HÀNH SỐ 07

KIỂM THỬ AN TOÀN ỨNG DỤNG WEB

Họ tên SV : Nguyễn Thị Hà Chi

Lớp : AT13A
Mã SV : AT130105
Ngày gửi : ………………….

Hà Nội, 2020
 MỤC LỤC

Mục lục.........................................................................................................2
Phần 1. Kiểm thử Command Execution....................................................3
Phần 5. Kiểm thử SQL Injection...............................................................9
Phần 6. Kiểm thử Cross Site Scripting....................................................11
Phần 7. Kiểm thử Cross Site Request Forgery.......................................13
Phần 8. Sử dụng BurpSuite kiểm thử Man in the Middle Attack................14

2
 PHẦN 1. KIỂM THỬ COMMAND EXECUTION
1. Thực hiện kiểm tra địa chỉ IP trên server thông qua phương thức command
execution và chụp ảnh, dán vào bên dưới.

2. Thực hiện tạo 1 tài khoản với username là họ tên sinh viên (ví dụ:
thuanpm) và mật khẩu do sinh viên tự đặt và chụp ảnh, dán vào bên dưới.
*** đặt ảnh tại đây ***

3. Thực hiện gán tài khoản vừa tạo vào quyền quản trị và chụp ảnh, dán vào
bên dưới.
*** đặt ảnh tại đây ***

3
4
 PHẦN 2. KIỂM THỬ XPATH INJECTION
1. Chụp ảnh giao diện đăng nhập vào form Login của bWAPP và dán vào bên
dưới.
*** đặt ảnh tại đây ***

2. Chụp ảnh câu lệnh kiểm thử XPATH Injection và dán vào bên dưới.
*** đặt ảnh tại đây ***

3. Chụp ảnh kết quả sau khi thực hiện kiểm thử XPATH Injection và dán vào
bên dưới.
*** đặt ảnh tại đây ***

5
 PHẦN 3. KIỂM THỬ FORMULA INJECTION
1. Chụp ảnh upload file thành công sau khi đã nhập đầy đủ các thông tin
chuẩn bị thực hiện kiểm thử Formula Injection và dán vào bên dưới.
*** đặt ảnh tại đây ***

2. Chụp ảnh giao diện export sang file CSV sau khi đã upload file và dán vào
bên dưới.
*** đặt ảnh tại đây ***

3. Chụp ảnh cấu hình Excel hỗ trợ thực thi chương trình và dán vào bên dưới.
*** đặt ảnh tại đây ***

6
 4. Chụp ảnh kết quả cuối cùng sau khi kiểm thử Formula Injection và dán vào
bên dưới.
*** đặt ảnh tại đây ***

7
 PHẦN 4. KIỂM THỬ UNRESTRICTED FILE UPLOAD
1. Chụp ảnh kết quả sau khi đã upload file shell thành công và dán vào bên
dưới.
*** đặt ảnh tại đây ***

2. Chụp ảnh giao diện sau khi truy cập vào file shell và dán vào bên dưới.
*** đặt ảnh tại đây ***

8
 PHẦN 5. KIỂM THỬ SQL INJECTION
1. Chụp ảnh các kết quả kiểm thử sau khi sử dụng các câu lệnh để kiểm thử
SQL Injection và dán vào bên dưới.
- Type 1

-Type: %' or '0'='0

-Type : %' or 0=0 union select null, version() #

9
-Type: %' or 0=0 union select null, user() #

10
 - Type : %' and 1=0 union select null, table_name from
information_schema.tables where table_name like 'user%'#

2. Chụp ảnh các kết quả kiểm thử SQL Injection mà có sử dụng kết hợp
SQLMap và dán vào bên dưới.

3. Chụp ảnh các kết quả kiểm thử Blind SQL Injection với mệnh đề ORDER
BY và dán vào bên dưới.
-Type 1’ and 1=0 order by 2 #

-Type: 1’ and 1=1 order by 1 #

11
12
 PHẦN 6. KIỂM THỬ CROSS SITE SCRIPTING
1. Chụp ảnh các kết quả kiểm thử Reflected Cross Site Scripting và dán vào
bên dưới.

2. Chụp ảnh các kết quả kiểm thử Stored Cross Site Scripting và dán vào bên
dưới.

3. Chụp ảnh các kết quả kiểm thử DOM Based Cross Site Scripting và dán
vào bên dưới.

13
14
 PHẦN 7. KIỂM THỬ CROSS SITE REQUEST FORGERY
1. Chụp ảnh các code và giao diện trang demo.html và dán vào bên dưới.

2. Chụp ảnh kết quả sau khi đã thay đổi mật khẩu thành công sử dụng CSRF
và dán vào bên dưới.

15
 PHẦN 8. SỬ DỤNG BURPSUITE KIỂM THỬ MAN IN THE MIDDLE
ATTACK
1. Chụp ảnh giao diện cấu hình Proxy trên Browser và dán vào bên dưới.

2. Chụp ảnh kết quả chặn bắt tới trang login trên Proxy và dán vào bên dưới.

16
 3. Chụp ảnh kết quả chặn bắt cookie trên Proxy và dán vào bên dưới.

4. Chụp ảnh kết quả chi tiết các thông tin của trang login.php trên Proxy và
dán vào bên dưới.

17
18