Professional Documents
Culture Documents
WESE331479 - Bao Mat Web (7ELO)
WESE331479 - Bao Mat Web (7ELO)
WESE331479 - Bao Mat Web (7ELO)
1
Chương 1: TỔNG QUAN VỀ BẢO
MẬT ỨNG DỤNG WEB
A/ Các nội dung và PPGD chính trên CLO 3 - Thuyết - Trả lời câu
lớp: (3) 1 trình hỏi ngắn
Nội dung GD lý thuyết:
- Thảo
Tổng quan về bảo mật ứng dụng luận theo
Web. nhóm
Các rủi ro hàng đầu (Top 10
1 OWASP 2021) và hình thức tấn
công vào ứng dụng Web.
Đạo đức của chuyên viên bảo mật
Web.
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
1 - Nêu và qua thực
Tìm hiểu các rủi ro hàng đầu (Top
giải hiện Dự án
10 OWASP 2021) và hình thức tấn
quyết học tập cá
công vào ứng dụng Web.
vấn đề nhân
Chương 2: HOẠT ĐỘNG CỦA ỨNG
DỤNG WEB
A/ Tóm tắt các ND và PPGD chính CLO 3 - Thuyết - Trả lời câu
trên lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
3 - Thảo qua thực
luận hiện Dự án
Các thành phần và chức năng của hệ nhóm
thống Web học tập cá
nhân
Các cơ chế xác thực - Thực
o Kiểm soát truy cập hành trên - BT thực
máy hành cá
2 o Xác thực ứng dụng Web nhân
Các cơ chế phân quyền
o Nguyên tắc phân quyền
o Nguyên tắc quản lý phiên
làm việc
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
2 - Nêu và qua thực
Tìm hiểu cơ chế xác thực và phân 3
CLO giải hiện Dự án
quyền trên ứng dụng Web
3 quyết học tập cá
Làm bài tập về xác thực và phân vấn đề nhân
quyền
Chương 3: TẤN CÔNG SQL
INJECTION
A/ Tóm tắt các ND và PPGD chính CLO 3 - Thuyết - Trả lời câu
trên lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
3 - Thảo qua thực
luận hiện Dự án
3 Các hướng khai thác:
học tập cá
2
o Thông qua “user input” nhóm nhân
o Thông qua cookies - BT thực
- Thực hành cá
o Thông qua các biến server hành trên nhân
o Second-order injection máy
Các kỹ thuật khai thác:
o Boolean-based và Time-
based Blind SQL Injection
o Union query based
o Batched query
o Order by clause
Các bước khai thác
o Phát hiện
o Thu thập thông tin về DBMS
o Xác định số lượng cột trong
mệnh đề Select
o Xác định thông tin
Biện pháp phòng chống
B/ Các nội dung cần tự học ở nhà: (6) CLO 3 - Đánh giá
2 - Nêu và qua thực
Làm bài tập về SQL Injection 3
CLO giải hiện Dự án
3 quyết học tập cá
vấn đề nhân
Chương 4: CÁC CÔNG CỤ BẢO MẬT
A/ Các nội dung và PPGD chính trên CLO 3 - Thuyết - Trả lời câu
lớp: (3) 2 trình hỏi ngắn
3
Nội dung GD lý thuyết: CLO - Đánh giá
- Thảo
Cài đặt và cấu hình các công cụ hỗ 3 qua thực
luận hiện Dự án
trợ kiểm tra lỗ hổng của các ứng
nhóm học tập cá
dụng Web: OWASP ZAP, Web
Scarab, SQL Map, Hack Bar… nhân
- Thực
Cài đặt và cấu hình hệ thống giả lập hành trên - BT thực
tấn công Web: OWASP WebGoat, máy hành cá
WebWolf. nhân
4
Tổ trưởng Bộ môn:
Nội Dung Cập nhật ĐCCT lần 2: <ngày/tháng/năm> <Đã đọc và thông qua>
5
6
PHỤ LỤC 1. THANG TRÌNH ĐỘ NĂNG LỰC
Theo định nghĩa của PĐT
Trình độ năng lực Mô tả ngắn
0.0 ≤ TĐNL ≤ 1.0 Cơ bản Nhớ: Sinh viên ghi nhớ/ nhận ra/ nhớ lại được kiến thức bằng các
hành động như định nghĩa, nhắc lại, liệt kê, nhận diện, xác định,...
1.0 < TĐNL ≤ 2.0 Hiểu: Sinh viên tự kiến tạo được kiến thức từ các tài liệu, kiến
thức bằng các hành động như giải thích, phân loại, minh họa, suy
Đạt yêu luận, ...
cầu
2.0 < TĐNL ≤ 3.0 Áp dụng: Sinh viên thực hiện/ áp dụng kiến thức để tạo ra các sản
phẩm như mô hình, vật thật, sản phẩm mô phỏng, bài báo cáo,...
3.0 < TĐNL ≤ 4.0 Phân tích: Sinh viên phân tích tài liệu/ kiến thức thành các chi
tiết/ bộ phận và chỉ ra được mối quan hệ của chúng tổng thể bằng
Thành các hành động như phân tích, phân loại, so sánh, tổng hợp,...
4.0 < TĐNL ≤ 5.0 thạo Đánh giá: SV đưa ra được nhận định, dự báo về kiến thức/ thông
tin theo các tiêu chuẩn, tiêu chí và chỉ số đo lường đã được xác
định bằng các hành động như nhận xét, phản biện, đề xuất,...
5.0 < TĐNL ≤ 6.0 Xuất Sáng tạo: SV kiến tạo/ sắp xếp/ tổ chức/ thiết kế/ khái quát hóa
sắc các chi tiết/ bộ phận theo cách khác/ mới để tạo ra cấu trúc/ mô
hình/ sản phẩm mới.
Ghi chú:
Bảng phụ lục này không cần đính kèm trong ĐCCT.