TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT Ngành đào tạo: CNTT, KTDL

TP. HỒ CHÍ MINH Trình độ đào tạo: Đại học

KHOA CNTT Chương trình đào tạo: KTDL

Đề Cương chi tiết học phần

(Kế hoạch giảng dạy)
1. Tên học phần: Bảo mật Web
Mã học phần: WESE331479
2. Tên Tiếng Anh: Web Security
3. Số tín chỉ: 3 tín chỉ (2/1/6) (2 tín chỉ lý thuyết, 1 tín chỉ thực hành/thí nghiệm, 6 tín chỉ tự
học)
4. Giảng viên phụ trách học phần:
1/ GV phụ trách chính: : ThS. Lê Thị Minh Châu
2/ Danh sách giảng viên cùng giảng dạy: ThS. Nguyễn Trần Thi Văn
5. Điều kiện tham gia học tập học phần:
Học phần tiên quyết: Không
Học phần trước: An Toàn Thông Tin (INSE330380), Lập Trình Web (WEPR330479)
6. Mô tả học phần:
Học phần trang bị cho người học các kiến thức cơ bản về các rủi ro hàng đầu (OWASP Top 10)
đối với ứng dụng Web, các hình thức tấn công phía Client: lừa đảo (phishing), session hijacking,
browser extension exploration...; các hình thức tấn công phía Server: directory traversal, file
inlcusion...; một số hình thức tấn công khác: buffer overflow, SQL Injection. Học phần cũng
trang bị cho người học kỹ năng tìm hiểu các giải pháp phòng chống, bảo vệ và sử dụng các kỹ
thuật, công cụ hỗ trợ để xây dựng ứng dụng Web an toàn. Bên cạnh đó, người học cũng được
trang bị một số kỹ năng mềm bao gồm: kỹ năng tìm kiếm, chọn lọc và tổng hợp tài liệu, kỹ năng
viết và trình bày báo cáo, kỹ năng làm việc nhóm.
7. Chuẩn đầu ra của học phần (CLOs)
CLOs Mô tả (Sau khi học xong học phần này, người học có ELO(s) TĐNL(b)
thể) /PI(s)
CLO1 - Trình bày được các rủi ro hàng đầu đối với ứng dụng PI1.2 3
Web
- Trình bày được những giải pháp phòng chống các tấn
công vào ứng dụng Web
CLO2 - Cài đặt và sử dụng các công cụ, phần mềm hỗ trợ để PI4.2 3
giả lập tấn công, phát hiện và ngăn chặn các tấn công PI6.2 3
vào ứng dụng Web
CLO3 - Cài đặt và xây dựng một hệ thống Web có tính bảo PI4.2 3
mật PI6.2 4

8. Nội dung chi tiết học phần theo tuần:

Trìn
CĐR Phương
Tuầ h độ Phương pháp
Nội dung học pháp dạy
n năng đánh giá
phần học
lực

1
 Chương 1: TỔNG QUAN VỀ BẢO
MẬT ỨNG DỤNG WEB
A/ Các nội dung và PPGD chính trên CLO 3 - Thuyết - Trả lời câu
lớp: (3) 1 trình hỏi ngắn
Nội dung GD lý thuyết:
- Thảo
 Tổng quan về bảo mật ứng dụng luận theo
Web. nhóm
 Các rủi ro hàng đầu (Top 10
1 OWASP 2021) và hình thức tấn
công vào ứng dụng Web.
 Đạo đức của chuyên viên bảo mật
Web.
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
1 - Nêu và qua thực
 Tìm hiểu các rủi ro hàng đầu (Top
giải hiện Dự án
10 OWASP 2021) và hình thức tấn
quyết học tập cá
công vào ứng dụng Web.
vấn đề nhân
Chương 2: HOẠT ĐỘNG CỦA ỨNG
DỤNG WEB
A/ Tóm tắt các ND và PPGD chính CLO 3 - Thuyết - Trả lời câu
trên lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
3 - Thảo qua thực
luận hiện Dự án
 Các thành phần và chức năng của hệ nhóm
thống Web học tập cá
nhân
 Các cơ chế xác thực - Thực
o Kiểm soát truy cập hành trên - BT thực
máy hành cá
2 o Xác thực ứng dụng Web nhân
 Các cơ chế phân quyền
o Nguyên tắc phân quyền
o Nguyên tắc quản lý phiên
làm việc
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
2 - Nêu và qua thực
 Tìm hiểu cơ chế xác thực và phân 3
CLO giải hiện Dự án
quyền trên ứng dụng Web
3 quyết học tập cá
 Làm bài tập về xác thực và phân vấn đề nhân
quyền
Chương 3: TẤN CÔNG SQL
INJECTION
A/ Tóm tắt các ND và PPGD chính CLO 3 - Thuyết - Trả lời câu
trên lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
3 - Thảo qua thực
luận hiện Dự án
3  Các hướng khai thác:
học tập cá
2
 o Thông qua “user input” nhóm nhân
o Thông qua cookies - BT thực
- Thực hành cá
o Thông qua các biến server hành trên nhân
o Second-order injection máy
 Các kỹ thuật khai thác:
o Boolean-based và Time-
based Blind SQL Injection
o Union query based
o Batched query
o Order by clause
 Các bước khai thác
o Phát hiện
o Thu thập thông tin về DBMS
o Xác định số lượng cột trong
mệnh đề Select
o Xác định thông tin
 Biện pháp phòng chống
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
2 - Nêu và qua thực
 Làm bài tập về SQL Injection 3
CLO giải hiện Dự án
3 quyết học tập cá
vấn đề nhân
Chương 4: CÁC CÔNG CỤ BẢO MẬT

A/ Các nội dung và PPGD chính trên CLO 3 - Thuyết - Trả lời câu
lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
- Thảo
 Cài đặt và cấu hình các công cụ hỗ 3 qua thực
luận hiện Dự án
trợ kiểm tra lỗ hổng của các ứng
nhóm học tập cá
dụng Web: OWASP ZAP, Web
Scarab, SQL Map, Hack Bar… nhân
- Thực
 Cài đặt và cấu hình hệ thống giả lập hành trên - BT thực
tấn công Web: OWASP WebGoat, máy hành cá
WebWolf. nhân
4

B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh

2 - Nêu và giá qua
 Làm bài tập về các công cụ hỗ trợ 3
CLO giải thực
3 quyết hiện Dự
vấn đề án học
tập cá
nhân
Chương 5: CÁC BIỆN PHÁP BẢO
MẬT ỨNG DỤNG WEB
A/ Các nội dung và PPGD chính trên CLO 3 - Thuyết - Trả lời câu
lớp: (3) 2
3
 Nội dung GD lý thuyết: CLO 3 trình hỏi ngắn
 Các biện pháp bảo mật ứng dụng 3 - Đánh giá
- Thảo qua thực
Web chống lại các tấn công:
luận hiện Dự án
o Phía Client: nhóm học tập cá
 Lừa đảo (Phishing): nhân
XSS, CSRF… - Thực
 Session hijacking hành trên - BT thực
máy hành cá
 AJAX Security nhân
 Browser extension
exploration
 …
 Phía Server:
 Access control
5  SQL Injection
 Directory traversal
 File inclusion
 Cấu hình
ModSecurity
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
2 - Nêu và qua thực
 Làm bài tập về các biện pháp bảo 3
CLO giải hiện Dự án
mật ứng dụng Web
3 quyết học tập cá
vấn đề nhân
9. Phương pháp giảng dạy:
- Thuyết trình và làm việc theo nhóm
- Dạy học theo tình huống
Đánh giá sinh viên:
 Thang điểm: 10
 Kế hoạch kiểm tra/đánh giá:
Thời TĐN Công cụ
PP đánh Tỉ lệ
TT Nội dung điểm CLOs L đánh
giá(c) (%)
giá (d)
Đánh giá quá trình 50
Kiểm tra chương 1, 2: tổng Tuần 2 CLO1 3 - Trả lời - Câu 10
quan về hệ thống Web và câu hỏi hỏi
Lần 1
bảo mật hệ thống Web ngắn, trắc
nghiệm
Kiểm tra chương 3: SQL Tuần 4 CLO2 3 - Trả lời - Câu 10
Injection câu hỏi hỏi
ngắn - Bài tập
Lần 2
- Thực
hiện dự án
học tập
Lần 3 Kiểm tra chương 4, 5: Sử Tuần 6 CLO2 3 - Trả lời - Câu 30
- 5 dụng công cụ, phần mềm hỗ - 14 câu hỏi hỏi
trợ để kiểm tra các lỗ hổng ngắn - Bài tập
và phòng chống tấn công của - Thực
ứng dụng Web hiện dự án
4
 học tập
Đề tài cuối kỳ 50
Làm việc nhóm theo đề tài CLO1 3 Thuyết Rubric
Lần 4 cụ thể cho từng nhóm CLO2 3 trình, báo
CLO3 4 cáo

CĐR Nội dung giảng dạy Hình thức kiểm tra

học Báo
phần Chương Chương Chương Chương Chương Lần Lần Lần Lần Lần cáo
1 2 3 4 5 1 2 3 4 5
Project
CLO1 x x x
CLO2 x x x x x x x x x
CLO3 x x x x x

10. Tài liệu học tập

 Giáo trình chính:
[1] OWASP Top 10 2021
[2] Justin Clarke, SQL Injection Attacks and Defense, Elsevier, 2012.
 Tài liệu tham khảo:
[1] Course Advanced Web hacking and security, Udemy, 2017
11. Thông tin chung
Đạo đức khoa học:
Sinh viên phải tuân thủ nghiêm các quy định về Đạo đức khoa học của Nhà trường (số
1047/QĐ-ĐHSPKT ngày 14/3/2022). Nghiêm cấm bất kỳ hình thức đạo văn (sao chép) nào trong
quá trình học cũng như khi làm báo cáo hay thi cử. Mọi vi phạm về đạo đức khoa học của SV sẽ
được xử lý theo quy định.
Lưu ý thay đổi:
Các thông tin trong ĐCCT này có thể bị thay đổi trong quá trình giảng dạy tùy theo mục
đích của GV. SV cần cập nhật thường xuyên thông tin của lớp học phần đã đăng ký.
Quyền tác giả:
Toàn bộ nội dung giảng dạy, tài liệu học tập của học phần này được bảo vệ bởi quy định về
Sở hữu trí tuệ (số 934/QĐ-ĐHSPKT ngày 12/3/2020) của trường ĐH SPKT TPHCM. Nghiêm
cấm bất kỳ hình thức sao chép, chia sẻ mà chưa được sự cho phép của tác giả.
12. Ngày phê duyệt lần đầu:
13. Cấp phê duyệt:
Trưởng khoa Trưởng BM Nhóm biên soạn

14. Tiến trình cập nhật ĐCCT

Nội Dung Cập nhật ĐCCT lần 1: <ngày/tháng/năm> <người cập nhật ký và ghi rõ họ tên>

Tổ trưởng Bộ môn:
Nội Dung Cập nhật ĐCCT lần 2: <ngày/tháng/năm> <Đã đọc và thông qua>

5
6
 PHỤ LỤC 1. THANG TRÌNH ĐỘ NĂNG LỰC
Theo định nghĩa của PĐT
Trình độ năng lực Mô tả ngắn
0.0 ≤ TĐNL ≤ 1.0 Cơ bản Nhớ: Sinh viên ghi nhớ/ nhận ra/ nhớ lại được kiến thức bằng các
hành động như định nghĩa, nhắc lại, liệt kê, nhận diện, xác định,...
1.0 < TĐNL ≤ 2.0 Hiểu: Sinh viên tự kiến tạo được kiến thức từ các tài liệu, kiến
thức bằng các hành động như giải thích, phân loại, minh họa, suy
Đạt yêu luận, ...
cầu
2.0 < TĐNL ≤ 3.0 Áp dụng: Sinh viên thực hiện/ áp dụng kiến thức để tạo ra các sản
phẩm như mô hình, vật thật, sản phẩm mô phỏng, bài báo cáo,...
3.0 < TĐNL ≤ 4.0 Phân tích: Sinh viên phân tích tài liệu/ kiến thức thành các chi
tiết/ bộ phận và chỉ ra được mối quan hệ của chúng tổng thể bằng
Thành các hành động như phân tích, phân loại, so sánh, tổng hợp,...
4.0 < TĐNL ≤ 5.0 thạo Đánh giá: SV đưa ra được nhận định, dự báo về kiến thức/ thông
tin theo các tiêu chuẩn, tiêu chí và chỉ số đo lường đã được xác
định bằng các hành động như nhận xét, phản biện, đề xuất,...
5.0 < TĐNL ≤ 6.0 Xuất Sáng tạo: SV kiến tạo/ sắp xếp/ tổ chức/ thiết kế/ khái quát hóa
sắc các chi tiết/ bộ phận theo cách khác/ mới để tạo ra cấu trúc/ mô
hình/ sản phẩm mới.
 Ghi chú:
 Bảng phụ lục này không cần đính kèm trong ĐCCT.