ĐẠI HỌC MỞ HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO BÀI TẬP LỚN

Môn: An toàn và bảo mật dữ liệu
Đề tài: CÁC PHƯƠNG PHÁP TẤN CÔNG WEB VÀ BIỆN PHÁP
PHÒNG TRÁNH

Giảng viên hướng dẫn: Trần Duy Hùng

Sinh viên thực hiện:Tô Quang Vinh – 2210A03
Hoàng Văn Trung – 2210A01
Nguyễn Thành Lộc – 2210A05

Hà Nội – 2024

THÀNH VIÊN TRONG NHÓM

 Tô Quang Nguyễn Thành Hoàng Văn
Vinh Lộc Trung
Làm powerpoint x x
Tìm hiểu nội dung x x x
Thuyết trình x x x
Làm báo cáo x
 MỤC LỤC
I. GIỚI THIỆU CHUNG 2

II.CÁC HÌNH THỨC TẤN CÔNG 2

1.SQL Injection 3

2.XSS 4

3.CSRF 5

4.Phissing 6

5.Brute Force Attack 7

6.DdoS 9

III. DEMO 11
I. GIỚI THIỆU CHUNG
 Là hành vi xâm nhập của tội phạm công nghệ cao mà kẻ tấn
công cố gắng tìm và sử dụng các lỗ hổng để xâm nhập vào hệ
thống mạng máy tính, cơ sở dữ liệu, cơ sở hạ tầng mạng, trang
web hoặc thiết bị kỹ thuật số của một cá nhân/tổ chức.
 Họ có thể sử dụng một hoặc nhiều máy tính để chống lại các
mạng hoặc máy khác.
 Kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau để
triển khai các cuộc tấn công web, mỗi phương pháp có thể vô
hiệu hóa máy tính hoặc đánh cắp dữ liệu hoặc thậm chí đóng
vai trò là điểm khởi đầu cho một cuộc tấn công khác lớn hơn.

II. Các hình thức tấn công

1, SQL Injection
A, Khái niệm:
- SQL Injection là một kỹ thuật lợi dụng những lỗ hổng về
câu truy vấn của các ứng dụng. Được thực hiện bằng cách
chèn thêm một đoạn SQL để làm sai lệnh đi câu truy vấn
ban đầu, từ đó có thể khai thác dữ liệu từ database. SQL
injection có thể cho phép những kẻ tấn công thực hiện các
thao tác như một người quản trị web, trên cơ sở dữ liệu
của ứng dụng.
B, Ví dụ
- Trong form đăng nhập, người dùng nhập dữ liệu, trong
trường tìm kiếm người dùng nhập văn bản tìm kiếm, trong
biểu mẫu lưu dữ liệu, người dùng nhập dữ liệu cần lưu.
Tất cả các dữ liệu được chỉ định này đều đi vào cơ sở dữ
liệu.
- Thay vì nhập dữ liệu đúng, kẻ tấn công lợi dụng lỗ hổng
để insert và thực thi các câu lệnh SQL bất hợp pháp để lấy
 dữ liệu của người dùng… SQL Injection được thực hiện
với ngôn ngữ lập trình SQL. SQL (Structured Query
Language) được sử dụng để quản lý dữ liệu được lưu trữ
trong toàn bộ cơ sở dữ liệu.

- Tuy nhiên ngày nay chứng ta thường làm việc trên những
framework hiện đại. Các framework đều đã được test cẩn
thận để phòng tránh các lỗi, trong đó có SQL Injection.
C, Sự nguy hiểm của SQL Injection
- Hack tài khoản cá nhân.
- Ăn cắp hoặc sao chép dữ liệu của trang web hoặc hệ
thống.
- Thay đổi dữ liệu nhạy cảm của hệ thống.
- Xóa dữ liệu nhạy cảm và quan trọng của hệ thống.
- Người dùng có thể đăng nhập vào ứng dụng với tư cách
người dùng khác, ngay cả với tư cách quản trị viên.
- Người dùng có thể xem thông tin cá nhân thuộc về những
người dùng khác, ví dụ chi tiết hồ sơ của người dùng
khác, chi tiết giao dịch của họ,…
- Người dùng có thể sửa đổi cấu trúc của cơ sở dữ liệu,
thậm chí xóa các bảng trong cơ sở dữ liệu ứng dụng.
- Người dùng có thể kiểm soát máy chủ cơ sở dữ liệu và
thực thi lệnh theo ý muốn.
D, Phòng tránh
- Luôn kiểm tra kỹ các trường nhập dữ liệu và các bạn cần
ràng buộc thật kỹ dữ liệu người dùng nhập vào.
- Dùng Regular Expression để loại bỏ đi các ký tự lạ hoặc
các ký tự không phải là số.
- Dùng các hàm có sẵn để giảm thiểu lỗi. Mỗi khi truy vấn
thì mọi người nên sử dụng thêm hàm
 mysqli_real_escape_string để chuyển đổi một chuỗi
thành một query an toàn.
2, XSS
A, Khái niệm
- Đây là một hình thức tấn công bằng mã độc phổ biến. Các
hacker sẽ lợi dụng lỗ hổng trong bảo mật web để chèn các
mã script, sau đó gửi cho người dùng để truy cập và mạo
danh người dùng.
- Mục đích của việc này chính là ăn cắp dữ liệu nhận dạng
của người dùng như session tokens, cookies và các thông
tin khác. Khi đăng nhập vào được các tài khoản website,
hacker có thể truy cập vào bất cứ dữ liệu nào và toàn quyền
kiểm soát tất cả các chức năng và dữ liệu của ứng dụng.
B, Cách thức hoạt động
- Tấn công XSS nghĩa là gửi chèn lệnh và script độc hại,
những mã đôc hại này thường được viết bằng các ngôn ngữ
lập trình phía client như JavaScript, VBScript, Flash,
HTML,… Tuy nhiên, cách tấn công này thường sử dụng
JavaScript và HTML.
- XSS hoạt động bằng cách điều khiển một trang web dễ bị
tấn công để trả về JavaScript độc hại cho người dùng. Khi
mã độc thực thi bên trong trình duyệt, hacker hoàn toàn có
thể xâm nhập vào tài khoản và sử dụng dữ liệu của người
dùng.
C, Tác hại
- Mạo danh hoặc giả dạng người dùng của nạn nhân.
- Thực hiện bất kỳ hành động nào mà người dùng có thể thực
hiện.
- Đọc bất kỳ dữ liệu nào mà người dùng có thể truy cập.
 - Nắm bắt thông tin đăng nhập của người dùng.
- Thực hiện thay đổi bề mặt ảo của trang web.
- Chèn trojan độc hại vào trang web.
D, Phòng tránh
- Data validation.
- Filtering.
- Escaping.
3, CSRF
A, Khái niệm
- Kỹ thuật này được tiến hành thông qua việc sử dụng
cookies để tấn công vào bộ phận chứng thực request của
website, từ đó giả mạo chính chủ để tạo ra các request mà
không để người dùng biết. Có thể nói, kỹ thuật tấn công này
được áp dụng dựa trên lòng tin của trình duyệt với người
truy cập mạng.
B, Cách thức hoạt động
- Hacker tạo mã độc chèn vào các trang web
- Người dùng truy cập vào trang web như thường lệ
- Trang web chứa mã độc
- Người dùng truy cập bị đánh cắp dữ liệu, tài sản,…
C, Phòng chống
Phía User
- Nên đăng xuất khỏi các website quan trọng: Tài khoản ngân
hàng, thanh toán trực tuyến, các mạng xã hội, gmail… khi
đã thực hiện xong giao dịch.
- Nên login vào một máy riêng và không cho người thứ 2 tiếp
xúc với máy đó.
- Không nên click vào các đường dẫn mà bạn nhận được qua
email, qua facebook …
 - Không lưu các thông tin về mật khẩu tại trình duyệt của
mình. Không nên chọn các phương thức “đăng nhập lần
sau”, “lưu mật khẩu” …
Phía Server
- Sử dụng captcha, các thông báo xác nhận
- Sử dụng csrf_token
- Sử dụng cookie riêng biệt cho trang admin
- Kiểm tra IP
4, Phissing
A, Khái niệm
- Là hình thức tấn công mạng mà kẻ tấn công giả mạo thành
một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin
cá nhân cho chúng.
- Phương thức tấn công này thường được tin tặc thực hiện
thông qua email và tin nhắn. Người dùng khi mở email và
click vào đường link giả mạo sẽ được yêu cầu đăng nhập.
Nếu “mắc câu”, tin tặc sẽ có được thông tin ngay tức khắc
B, Phương thức tấn công
- Giả mạo Email
- Giả mạo Website
- Vượt qua các bộ lọc Phishing
- Giả mạo thông báo rút tiền
C, Phòng chống
Đối với cá nhân:
- Không click vào bất kỳ đường link nào được gửi qua email
nếu bạn không chắc chắn 100% an toàn.
- Không bao giờ gửi thông tin bí mật qua email.
- Không trả lời những thư lừa đảo
 - Sử dụng Tường lửa và phần mềm diệt virus
Đối với tổ chức, doanh nghiệp:
- Training cho nhân viên để tăng kiến thức sử dụng internet an
toàn
- Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên
sử dụng dịch vụ Gmail miễn phí vì dễ bị giả mạo.
- Triển khai bộ lọc SPAM để phòng tránh thư rác, lừa đảo
5, Brute Force Attack
A, Khái niệm
- Là hình thức “hack” cổ điển, nhưng nó vẫn hiệu quả và được
các hacker ưa chuộng. Đó là hình thức thử mật khẩu đúng sai.
- Hacker sẽ sử dụng phần mềm tự động thử đăng nhập
username và password phổ biến nhằm đăng nhập trái phép
vào các tài khoản. Vì tùy thuộc vào độ dài và độ phức tạp của
mật khẩu, việc bẻ khóa mật khẩu có thể mất từ vài giây đến
nhiều năm.
B, Tác hại
- Đánh cắp dữ liệu cá nhân.
- Phát tán phần mềm độc hại để gây ảnh hưởng công việc.
- Sự dụng hệ thống của bạn cho mục đích xấu.
- Thu lợi từ quảng cáo hoặc thu thập dữ liệu hoạt động.
C, Các loại tấn công của BFA
Simple Brute Force Attacks: Hacker cố gắng đoán một cách hợp lý
thông tin đăng nhập của bạn
Reverse Brute Force Attacks: Đây là một hình thức tấn công đảo
ngược chiến lược tấn công bằng cách bắt đầu với một mật khẩu đã
biết
 Credential Stuffing: Một hacker có tổ hợp tên người dùng và mật
khẩu hoạt động cho một trang web, họ cũng sẽ thử nó cho rất nhiều
trang web khác
Dictionary Attacks: Một số tin tặc chạy qua các từ điển không kết
hợp và bổ sung các từ bằng các ký tự và chữ số đặc biệt hoặc sử
dụng các từ điển từ đặc biệt, nhưng kiểu tấn công tuần tự này rất
phức tạp.
Hybrid Brute Force Attacks: Hacker lợi dụng các thông tin bên
ngoài và của bạn để một cách logic của họ để cố gắng lấy thông tin
đăng nhập
D, Cách thức tấn công
Hacker sẽ sử dụng phần mềm tự động để dò mật khẩu
Thường thì bạn sẽ dễ bị tấn công kiểu này khi:
- Đặt username là admin, administrator hoặc tương tự.
- Mật khẩu không an toàn, dễ đoán ra, sử dụng phổ biến.
- Không thay đổi mật khẩu thường xuyên.
E, Cách phòng chống
- Đặt tên đăng nhập khó đoán ra
- Mật khẩu dài, mạnh, có ký tự đặc biệt và không liên quan
đến các thông tin cá nhân
- Hạn chế số lần đăng nhập sai
- Bảo mật đường dẫn đăng nhập
- Thường xuyên thay đổi mật khẩu
- Xác thực hai yếu tố
6, DdoS
A, Khái niệm
 - Cuộc tấn công DDoS nhắm mục tiêu đến các trang web và
máy chủ bằng cách làm gián đoạn dịch vụ mạng nhằm tìm
cách làm cạn kiệt tài nguyên của ứng dụng.
- Thủ phạm đứng đằng sau các cuộc tấn công này sẽ gây tràn
site bằng lưu lượng truy nhập lỗi, làm trang web hoạt động
kém đi hoặc khiến trang web bị ngoại tuyến hoàn toàn.
B, Cách thức hoạt động của cuộc tấn công DdoS
- Trong cuộc tấn công DDoS, một chuỗi bot hoặc botnet sẽ
gây tràn một website hoặc dịch vụ bằng các yêu cầu HTTP
và lưu lượng truy nhập. Về cơ bản, trong một cuộc tấn
công, nhiều máy tính sẽ tấn công một máy tính, khiến người
dùng hợp pháp bị đẩy ra. Kết quả là dịch vụ có thể bị trì
hoãn hay nói cách khác là bị gián đoạn trong một khoảng
thời gian.
- Khi bị tấn công, tin tặc có thể đột nhập vào cơ sở dữ liệu
của bạn và truy nhập vào thông tin nhạy cảm. Cuộc tấn
công DDoS có thể khai thác các lỗ hổng về bảo mật và
nhắm mục tiêu tới bất kỳ điểm cuối nào có thể tiếp cận
công khai qua internet.
C, Cách phòng chống
- Định kỳ tiến hành phân tích rủi ro để nắm được những khu
vực mà tổ chức của bạn cần được bảo vệ trước mối đe dọa.
- Sắp xếp một nhóm ứng phó trước cuộc tấn công DDoS với
trọng tâm nhiệm vụ là xác định và giảm bớt các cuộc tấn
công.
- Kết hợp các công cụ phát hiện và phòng tránh xuyên suốt
các hoạt động trực tuyến, đồng thời đào tạo người dùng về
những điều cần lưu ý.
- Đánh giá tính hiệu quả cho chiến lược phòng vệ của bạn –
trong đó có hoạt động điều hành các buổi thực hành – và
xác định bước tiếp theo.
III. Demo về 1 cuộc tấn công mạng
Trang web vẫn hoạt động bình thường như mọi khi
Tên hacker đã thêm 1 mã JavaScript độc hại vào trang web

Và đây là màn hình của người dùng sau khi bị hack