Tài liệu Luận văn nghiên cứu xây dựng hệ thống giám sát sự thay đổi nội dung website

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG VŨ MINH HUY NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT SỰ THAY ĐỔI NỘI DUNG WEBSITE LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH KHOA HỌC MÁY TÍNH THÁI NGUYÊN - 2017 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG VŨ MINH HUY NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT SỰ THAY ĐỔI NỘI DUNG WEBSITE LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH KHOA HỌC MÁY TÍNH THÁI NGUYÊN - 2017 1 LỜI CẢM ƠN Trước hết tôi xin gửi lời cảm ơn sâu sắc nhất đến thầy hướng dẫn khoa học TS. Lê Quang Minh về những chỉ dẫn khoa học, định hướng nghiên cứu và tận tình hướng dẫn tôi trong suốt quá trình làm luận văn. Tôi cũng xin cảm ơn các Thầy trong Viện Công nghệ thông tin và các Thầy Cô trong trường Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên đã quan tâm chỉ bảo và trực tiếp giảng dạy, giúp đỡ trong suốt quá trình học tập và nghiên cứu. Tôi xin chân thành cảm ơn lãnh đạo các phòng ban, đồng nghiệp đơn vị công tác cũ là Chi nhánh Viettel Thái Nguyên và đơn vị công tác mới là Công ty cổ phần VETC đã tạo điều kiện cho tôi học tập và nghiên cứu đề tài này. Cuối cùng tôi xin cảm ơn gia đình và bạn bè, những người đã luôn ủng hộ và động viên tôi trong suốt quá trình học tập và nghiên cứu luận văn này. Thái Nguyên, tháng 05 năm 2017 Học viên Vũ Minh Huy 2 LỜI CAM ĐOAN Tôi xin cam đoan: Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung thực của tôi, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt Nam. Nếu sai, tôi xin chịu hoàn toàn trách nhiệm trước pháp luật. Thái Nguyên, tháng 05 năm 2017 Học viên Vũ Minh Huy 3 MỤC LỤC LỜI CẢM ƠN .......................................................................................................... 1 LỜI CAM ĐOAN .................................................................................................... 2 MỤC LỤC ............................................................................................................... 3 DANH MỤC CÁC KÝ HIỆU ................................................................................. 6 DANH MỤC HÌNH VẼ .......................................................................................... 8 LỜI MỞ ĐẦU.......................................................................................................... 9 CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE VÀ MỘT SỐ VẤN ĐỀ AN NINH ............................................................................................................................... 12 1.1. Một số khái niệm cơ bản về Website ............................................................. 12 1.1.1. Khái niệm Web ........................................................................................... 12 1.1.2. Hoạt động của Web ..................................................................................... 13 1.1.3. Trình duyệt Web ......................................................................................... 13 1.1.4. Địa chỉ URL ................................................................................................ 13 1.1.5. Tên miền...................................................................................................... 14 1.1.6. Giao thức HTTP và HTTPS ........................................................................ 15 1.1.7. Web Server .................................................................................................. 16 1.1.8. Database Server........................................................................................... 17 1.1.9. Các dịch vụ và ứng dụng trên nền Web ...................................................... 17 1.2. Thực trạng an ninh Web tại Việt Nam và trên thế giới .................................. 18 1.3. Vai trò và mục đích của việc theo dõi sự thay đổi nội dung trang web ......... 19 1.4. Một số lỗ hổng an ninh trên Website.............................................................. 20 1.5. Một số kỹ thuật tấn công Website .................................................................. 21 1.5.1. Tấn công SQL Injection .............................................................................. 21 1.5.2. Tấn công XSS (Cross Site Scripting).......................................................... 30 1.5.3. Tấn công từ chối dịch vụ DOS (Denial of Service) .................................... 34 4 1.6. Kết luận chương 1........................................................................................... 41 CHƯƠNG 2: CÁC THUẬT TOÁN GIÁM SÁT VÀ MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN NINH WEBSITE .......................................................... 42 2.1. Một số phương pháp đảm bảo an ninh Website ............................................. 42 2.1.1. Đảm bảo an ninh hệ điều hành Webserver ................................................. 42 2.1.2. Đảm bảo an ninh Webserver ....................................................................... 43 2.1.3. Quản trị Webserver ..................................................................................... 47 2.1.3.1. Logging ................................................................................................... 47 2.1.3.2. Thủ tục sao lưu Webserver ..................................................................... 47 2.1.3.3. Phục hồi từ một sự làm hại an ninh ........................................................ 48 2.1.3.4. Kiểm tra bảo mật Webserver .................................................................. 48 2.1.4. Bảo đảm an ninh nội dung Web .................................................................. 49 2.1.5. Sử dụng kỹ thuật xác thực và mã hóa ......................................................... 51 2.1.5.1. Xác định các yêu cầu xác thực và mã hóa ............................................... 51 2.1.5.2. Xác thực dựa trên địa chỉ ......................................................................... 52 2.1.5.3. Xác thực cơ bản........................................................................................ 52 2.1.5.4. Xác thực Digest ........................................................................................ 53 2.1.5.5. SSL/TLS................................................................................................... 53 2.1.6. Triển khai cơ sở hạ tầng mạng an ninh ....................................................... 55 2.1.6.1. Thành phần và cấu trúc mạng .................................................................. 55 2.1.6.2. Cấu hình phần tử mạng ............................................................................ 55 2.2. Các thuật toán giám sát ................................................................................... 56 2.2.1. Hàm băm mật mã ........................................................................................ 56 2.2.1.1. Giới thiệu hàm băm mật mã ..................................................................... 56 2.2.1.2. Tính một chiều của hàm băm ................................................................... 57 2.2.1.3. Cấu trúc hàm băm .................................................................................... 58 2.2.2. Thuật toán đối sánh chuỗi ........................................................................... 60 5 2.2.3.1. Khái niệm đối sánh chuỗi ....................................................................... 60 2.2.2.2. Phân loại thuật toán đối sánh chuỗi ......................................................... 61 2.2.3. Dấu vân tay tài liệu ..................................................................................... 61 2.2.4. Thuật toán Rabin Fingerprint ...................................................................... 62 2.2.5. Thuật toán Rabin Fingerprint cải tiến ......................................................... 64 2.3 Kết luận chương 2............................................................................................ 66 CHƯƠNG 3: ỨNG DỤNG THUẬT TOÁN RABIN FINGERPRINT CẢI TIẾN XÂY DỰNG HỆ THỐNG GIÁM SÁT SỰ THAY ĐỔI NỘI DUNG WEBSITE ............................................................................................................. 67 3.1 Giới thiệu ......................................................................................................... 67 3.2. Hệ thống giám sát nội dung Website .............................................................. 68 3.2.1. Hệ thống Builder ......................................................................................... 70 3.2.2. Hoạt động Multi-checker ............................................................................ 70 3.2.3. Hệ thống Recover........................................................................................ 72 3.2.4. Hệ thống Self-watcher ................................................................................ 73 3.2.5. Hệ thống Admin .......................................................................................... 74 3.3. Hoạt động hệ thống dựa trên các phát hiện thay đổi bất thường.................... 74 3.3.1. Tổng quan hệ thống..................................................................................... 74 3.3.2. Kiến trúc hệ thống ....................................................................................... 75 3.4. Phân tích hoạt động của hệ thống ................................................................... 76 3.5 Cài đặt và thử nghiệm chương trình ................................................................ 79 3.5.1. Cài đặt chương trình.................................................................................... 79 3.5.2. Thử nghiệm chương trình ........................................................................... 80 3.5.3. Nhận xét kết quả .......................................................................................... 82 3.6. Kết luận chương 3........................................................................................... 83 KẾT LUẬN........................................................................................................... 84 TÀI LIỆU THAM KHẢO................................................................................... 85 6 DANH MỤC CÁC KÝ HIỆU STT Kí hiệu Tiếng việt Tiếng anh 1 ACK Là một báo nhận 2 CNTT Công nghệ thông tin 3 CSDL 4 CSS 5 DNS Cơ sở dữ liệu Database Ngôn ngữ quy định cách trình bày của các thẻ html Cascading Style Sheet trên trang web Hệ thống tên miền Domain name System 6 DOS Từ chối dịch vụ Dinal of Services 7 Firewall 8 Hosting 9 HTML 10 HTTP Hypertext Markup Language Hypertext Transfer Protocol 11 HTTPS 12 Hyperlink Tường lửa Nơi cung cấp dịch vụ và lưu trữ website Ngôn ngữ đánh dấu siêu văn bản Giao thức truyền siêu văn bản Kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS Liên kết siêu văn bản 13 Hypertext 14 ICMP 15 Internet 16 IP Địa chỉ IP 17 IPS Hệ thống chống xâm nhập 18 OSI Mô hình hệ thống mở Acknowledgment Hệ thống siêu văn bản Giao thức thông điệp vận Internet Control Message chuyển Internet Protocol Mạng toàn cầu Internet protocol Intrusion Prevention System Open Systems Interconnection 7 19 SQL 20 SSL 21 SYN 22 TLS 23 UDP 24 URL 25 26 27 28 Ngôn ngữ truy vấn mang tính Structured Query Language cấu trúc Giao thức bảo mật Secure Sockets Layer The Synchronous Idle Ký tự đồng bộ hoá Character Giao thức bảo mật Transport Layer Security Giao thức dữ liệu người User Datagram Protocol dùng Định vị tài nguyên thống Uniform Resource Locator nhất Web Trình duyệt web browser Web server Máy chủ phục vụ web XML Ngôn ngữ Đánh dấu Mở rộng XSS Là một kiểu tấn công cho phép kẻ tấn công chèn những đoạn script độc hại (thông thường là javascript hoặc HTML) vào website (Cross Site Scripting) Xtensible Markup Language 8 DANH MỤC HÌNH VẼ Hình 1.1. Một số Webserver thông dụng .............................................................. 17 Hình 1.2. Mô hình tấn công SQL Injection ........................................................... 21 Hình 1.3. Mô hình tấn công XXS (Cross-Site Scripting)...................................... 33 Hình 1.4. Một mô hình tấn công từ chối dịch vụ DOS .......................................... 37 Hình 1.5. Mô hình tấn công SYNFlood Attack ..................................................... 39 Hình 2.1. SSL/TLS đặt trong Internet Protocol Stack ........................................... 55 Hình 3.1. Sơ đồ Merkel-Damgard ......................................................................... 60 Hình 3.2. Mô tả thuật toán Rabin Fingerprint ....................................................... 65 Hình 3.3. Minh hoạ cải tiến giải thuật ................................................................... 67 Hình 3.4. Sơ đồ kiến trúc hệ thống giám sát website ............................................ 71 Hình 3.5. Các thuộc tính cơ bản của tập tin .......................................................... 73 Hình 3.6. Kiến trúc hệ thống phát hiện thay đổi bất thường ................................. 77 Hình 3.7. Sơ đồ phương pháp phát hiện sự thay đổi nội dung trang web ............. 79 Hình 3.8. Giao diện chính của chương trình giám sát website ............................. 82 Hình 3.9. Chương trình giám sát website theo dõi 4 website đồng thời ............... 84 Hình 3.10. Hoạt động của chức năng Advanced Mode......................................... 82 9 LỜI MỞ ĐẦU Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó. Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, đề tài sẽ tìm hiểu về một số kiểu tấn công phổ biến hiện nay và cách phòng chống các loại tấn công này. Thông qua việc nghiên cứu một số phương pháp tấn công và cách bảo mật các lọai tấn công này, mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các vấn đề phát hiện tấn công làm thay đổi nội dung các trang web đưa ra cảnh báo sớm có ý nghĩa giúp cho việc duy trì các trang web trên hệ thống máy chủ được ổn định. 1. Lý do chọn đề tài Với sự phát triể n rấ t nhanh của các ứng du ̣ng trên nề n Web, việc bảo mật an ninh an toàn cho các trang Web là một lĩnh vực đặc biệt quan trọng vì nó được truy cập mọi lúc mọi nơi và bất kỳ ai. Tuy vâ ̣y không phải bấ t kỳ nhà phát triể n phầ n mề m Web nào cũng chú tâm đế n viê ̣c bảo mật anh ninh, vì vậy nhiều ứng du ̣ng Web vẫn tồ n ta ̣i với các nguy cơ mất an ninh, an toàn, bảo mật và gây ra nhiề u thiêṭ ha ̣i khi bị tấn công. Tuy nhiên viê ̣c tìm kiế m và phát hiện ra các nguy cơ an ninh thủ công khá khó khăn trong khi đó có nhiều nguy cơ an ninh có thể phát hiện được 10 bằng các công cu ̣ tự đô ̣ng. Bên ca ̣nh đó, các loa ̣i nguy cơ an ninh không ít, và cũng có rất nhiều công cu ̣ tự động phát hiện nguy cơ bảo mật nên người phát triển phần mềm khi muốn kiểm tra mức độ an ninh an toàn của trang web của mình cũng gặp phải nhiều khó khăn. Chính vì vậy đề tài này nghiên cứu một số kiể u tấ n công đang phổ biến hiện nay và từ đó xây dựng một hệ thống với công cu ̣ phát hiê ̣n các nguy cơ mất an ninh an toàn các trang web đồ ng thời đưa ra các cảnh báo với các nhà quản trị web để có biện pháp xử lý kịp thời. Ngày nay việc kiểm soát an ninh mạng như tường lửa (Firewall), Mạng riêng ảo (VPN - Virtual Private Network) là những công cụ quan trọng để giữ cho các trang web được an toàn hơn, nhưng những công cụ này không đủ để đảm bảo an toàn an ninh cho các trang web hiện nay. Như chúng ta biết, môi trường web là môi trường mở, có nguy cơ lúc nào cũng có thể bị tấn công xẩy ra mất an toàn an ninh cho trang web là rất cao. Chính vì vậy phải xây dựng một hệ thống với công cụ phát hiện sớm những thay đổi bất thường không như mong muốn đồng thời đưa ra những cảnh báo cho các nhà quản trị web để họ kịp thời có những giải pháp phù hợp là rất cần thiết. 2. Mục tiêu Mục tiêu của luận văn nghiên cứu tìm hiểu tổng quan về website, các mối đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc trên ứng dụng web hàng ngày, hiểu rõ hơn về các kỹ thuật tấn công và bảo mật website. Từ đó có sự đánh giá một cách tổng quan, để áp dụng các chính sách về bảo mật trang web an toàn dữ liệu cho hệ thống. Đồng thời phát triển xây dựng phần mềm phát hiện sớm các tấn công làm thay đổi nội dung trang web từ đó đưa ra các cảnh báo giúp cho người quản trị web biết được có sự thay đổi bất thường và đưa ra các biện pháp làm cho hệ thống bảo mật được tốt hơn. 11 3. Bố cục luận văn gồm Chương 1: Tổng quan về Website và một số vấn đề an ninh. Trong chương 1 luận văn đã nêu một số các khái niệm cơ bản về Website, đánh giá tổng quan tình hình mất an ninh, an toàn trên nền Web. Nêu lên một số lỗ hổng an ninh trên Web và các kỹ thuật tấn công Web. Chương 2: Các thuật toán giám sát và một số phương pháp đảm bảo an ninh Website. Trong chương 2 luận văn nghiên cứu các thuật toán giám sát và phân tích sâu một số phương pháp đảm bảo an ninh Web: đảm bảo an ninh hệ điều hành Webserver, đảm bảo an ninh Webserver, đảm bảo an ninh nội dung Web, các cơ chế xác thực và mã hóa, triển khai cơ sở hạ tầng mạng an ninh, quản trị Webserver. Chương 3: Ứng dụng thuật toán Rabin fingerprint cải tiến xây dựng hệ thống giám sát sự thay đổi nội dung Website. Trong chương này, dựa trên nghiên cứu lý thuyết hàm băm mật mã và thuật toán đối sánh chuỗi, cũng như phân tích thuật toán Rabin Fingerprint và cải tiến thuật toán Rabin Fingerprint và xây dựng hệ thống giám sát website dựa trên các thay đổi bất thường nội dung trang web, đưa ra cảnh báo kịp thời có ý nghĩa. 12 CHƯƠNG 1 TỔNG QUAN VỀ WEBSITE VÀ MỘT SỐ VẤN ĐỀ AN NINH 1.1. Một số khái niệm cơ bản về Website 1.1.1. Khái niệm Web World Wide Web, gọi tắt là Web hoặc WWW, mạng lưới toàn cầu là một không gian thông tin toàn cầu mà mọi người có thể truy nhập (đọc và viết) qua các máy tính nối với mạng Internet. Thuật ngữ này thường được hiểu nhầm là từ đồng nghĩa với chính thuật ngữ Internet. Nhưng Web thực ra chỉ là một trong các dịch vụ chạy trên Internet, chẳng hạn như dịch vụ thư điện tử. Web được phát minh và đưa vào sử dụng vào khoảng năm 1990, 1991 bởi viện sĩ Viện Hàn lâm Anh Tim Berners-Lee và Robert Cailliau (Bỉ) tại CERN, Geneva, Switzerland. Các tài liệu trên World Wide Web được lưu trữ trong một hệ thống siêu văn bản (hypertext), đặt tại các máy tính trong mạng Internet. Người dùng phải sử dụng một chương trình được gọi là trình duyệt web (web browser) để xem siêu văn bản. Chương trình này sẽ nhận thông tin (documents) tại ô địa chỉ (address) do người sử dụng yêu cầu (thông tin trong ô địa chỉ được gọi là tên miền (domain name)), rồi sau đó chương trình sẽ tự động gửi thông tin đến máy chủ (web server) và hiển thị trên màn hình máy tính của người xem. Người dùng có thể theo các liên kết siêu văn bản (hyperlink) trên mỗi trang web để nối với các tài liệu khác hoặc gửi thông tin phản hồi theo máy chủ trong một quá trình tương tác. Hoạt động truy tìm theo các siêu liên kết thường được gọi là duyệt Web. Quá trình này cho phép người dùng có thể lướt các trang web để lấy thông tin. Tuy nhiên độ chính xác và chứng thực của thông tin không được đảm bảo. 13 1.1.2. Hoạt động của Web Thông qua trình duyệt, người dùng cuối sẽ kết nối đến máy chủ phục vụ web bằng địa chỉ URL. Tại đây, máy chủ phục vụ web sẽ xử lý kết nối và gửi yêu cầu đến ứng dụng web. Tùy theo yêu cầu, ứng dụng web sẽ truy vấn đến cơ sở dữ liệu và nhận kết quả trả về, sau đó sẽ gửi phản hồi về máy chủ phục vụ web. Cuối cùng máy chủ phục vụ web sẽ gửi dữ liệu về trình duyệt dưới dạng siêu văn bản và người dùng cuối sẽ nhận thông tin hiển thị trên trình duyệt. 1.1.3. Trình duyệt Web Trình duyệt web là một phần mềm ứng dụng cho phép người sử dụng xem và tương tác với các văn bản, hình ảnh, đoạn phim, nhạc, trò chơi và các thông tin khác ở trên một trang web của một địa chỉ web trên mạng toàn cầu hoặc mạng nội bộ. Văn bản và hình ảnh trên một trang web có thể chứa siêu liên kết tới các trang web khác của cùng một địa chỉ web hoặc địa chỉ web khác. Trình duyệt web cho phép người sử dụng truy cập các thông tin trên các trang web một cách nhanh chóng và dễ dàng thông qua các liên kết đó. Trình duyệt web đọc định dạng HTML, CSS, XML,… để hiển thị, do vậy một trang web có thể hiển thị khác nhau trên các trình duyệt khác nhau. Một số trình duyệt web hiện nay cho máy tính cá nhân bao gồm Internet Explorer, Mozilla Firefox, Safari, Opera, Avant Browser, Konqueror, Lynx, Google Chrome, Flock, Arachne, Epiphany, K-Meleon và AOL Explorer. 1.1.4. Địa chỉ URL Địa chỉ URL (Uniform Resource Locator) [21] được dùng để tham chiếu tới tài nguyên trên Internet. URL mang lại khả năng siêu liên kết cho các trang mạng, các tài nguyên khác nhau. 14 Một URL gồm các thành phần sau:  Giao thức (ví dụ: http, ftp) nhưng cũng có thể là một cái tên khác (ví dụ: news, mailto).  Tên miền (ví dụ: example.com.vn, abc.vn).  Cổng (ví dụ: 80, 8080), tuy nhiên thành phần này có thế không bắt buộc.  Đường dẫn tuyệt đối trên máy phục vụ của tài nguyên (ví dụ: thumuc/trang). 1.1.5. Tên miền Mục đích chính của tên miền là để cung cấp một hình thức đại diện, hay nói cách khác, dùng những tên dễ nhận biết, thay cho những tài nguyên Internet mà đa số được đánh số bằng địa chỉ IP rất khó nhớ. Việc dịch từ tên miền sang địa chỉ IP và ngược lại do hệ thống DNS trên toàn cầu thực hiện [21]. Tên miền có chiều dài tối đa 67 ký tự và chỉ bao gồm các ký tự chữ cái thông thường và các ký tự số. Tên miền gồm hai dạng là tên miền Quốc gia và tên miền Quốc tế.  Tên miền Quốc gia quy định theo Quốc gia của bạn, ví dụ: Việt Nam là .vn; Nhật Bản là .jp; Anh là .uk; Mỹ là .us ….  Tên miền Quốc tế: được dùng khắp trên thế giới như: .com; .net; .org; .edu. Ý nghĩa một số tên miền mở rộng thông dụng:  .com: Dành cho các công ty thương mại.  .net: Dành cho các công ty về mạng (network) hay cung cấp dịch vụ mạng.  .org: Dành cho các tổ chức, nhóm.  .gov: Dành cho các tổ chức chính phủ. 15  .edu: Dành cho các tổ chức giáo dục, trường học.  .biz: Dành cho các công ty thương mại trực tuyến. 1.1.6. Giao thức HTTP và HTTPS - HTTP (Hypertext Transfer Protocol) [21], là giao thức thuộc lớp ứng dụng trong mô hình tham chiếu OSI. Hoạt động thông thường ở cổng (port) 80 và là giao thức hướng kết nối. GET /page/index.php HTTP/1.1 Phương thức: GET Tên miền: securitydaily.net Đường dẫn: /page/index.php Phiên bản: HTTP/1.1 - Các phương thức hoạt động của HTTP:  GET: Phương thức lấy một đối tượng hoặc tài nguyên nào đó trên máy chủ (server).  POST: Phương thức mà máy trạm (Client) sử dụng để gửi thông tin đến các Server.  PUT: Phương thức dùng để máy trạm (Client) tải dữ liệu lên (upload) Server.  DELETE: Phương thức giúp Client xoá các đối tượng, tài nguyên từ các máy chủ (server).  HEAD: Phương thức xác minh rằng một đối tượng có tồn tại hay không.  TRACE: Phương thức được sử dụng để gọi từ xa một lớp ứng dụng trở lại. - HTTPS (HTTP over SSL/TLS). 16 Là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet. Các kết nối HTTPS thường được sử dụng cho các giao dịch thanh toán trên Web và cho các giao dịch nhạy cảm trong các hệ thống thông tin, khi dữ liệu cần phải được bảo vệ an toàn. Khi một HTTPS được thiết lập nó sẽ giúp bảo mật thông tin truyền giữa hai máy tính. Vậy, cứ thông tin nào cần bảo mật trên nền web thì có thể sử dụng nó. Nhưng đi kèm với quá trình bảo mật có nghĩa là hệ thống phải xử lý nhiều hơn. 1.1.7. Web Server Web Server [22] là máy chủ cài đặt các chương trình phục vụ các ứng dụng web. Web Server có khả năng tiếp nhận yêu cầu từ các trình duyệt web và gửi phản hồi đến máy khách những trang web thông qua môi trường mạng Internet qua giao thức HTTP hoặc các giao thức khác. Một số Web Server thông dụng hiện nay: Hình 1.1. Một số Web Server thông dụng 17 Web Application là nơi các kịch bản hay mã nguồn phát triển ra ứng dụng web được thực thi. Lớp này sẽ biên dịch các mã nguồn tương ứng và thực hiện các truy vấn đến cơ sở dữ liệu dựa vào mã nguồn ứng dụng. Trong giai đoạn khởi đầu của website, có rất nhiều ngôn ngữ lập trình được sử dụng như: JSP, ASP, PHP, ASP.NET,… Nhưng hiện tại có hai ngôn ngữ được dùng phổ biến là PHP và ASP.NET. 1.1.8. Database Server Cơ sở dữ liệu máy chủ (Database Server) lưu trữ tất cả các dữ liệu liên quan đến website. Bất kỳ người sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo quyền hạn hay tương tác mà không phụ thuộc vào vị trí địa lý [22]. 1.1.9. Các dịch vụ và ứng dụng trên nền Web Với công nghệ hiện nay, website không chỉ đơn giản là một trang tin cung cấp các tin bài đơn giản. Những ứng dụng viết trên nền web không chỉ được gọi là một phần của website nữa, giờ đây chúng được gọi là phần mềm viết trên nền web. Có rất nhiều phần mềm chạy trên nền web như chương trình xử lý văn bản Google word, chương trình xử lý bảng tính Google spreadsheets, thư điện tử (Email)… Một số ưu điểm của phần mềm hay ứng dụng chạy trên nền web: - Mọi người đều có trình duyệt và bạn chỉ cần trình duyệt để chạy phần mềm. - Phần mềm luôn luôn được cập nhật vì chúng chạy trên máy chủ (server) - Luôn sẵn sàng 24/7 - Dễ dàng sao lưu (backup) dữ liệu thường xuyên 18 - Có thể truy cập mọi lúc, mọi nơi, miễn là bạn có mạng - Chi phí triển khai cực rẻ so với phần mềm chạy trên máy tính bàn (desktop). Hãy hình dung bạn có một phần mềm quản lý bán hàng hay quản lý công việc ở công ty. Không phải lúc nào bạn cũng ở công ty, với phần mềm viết trên nền web, bạn có thể vào kiểm tra, điều hành ở bất cứ đâu, thậm chí bạn chỉ cần một chiếc điện thoại chạy được trình duyệt như iPhone mà không cần đến một chiếc máy tính. 1.2. Thực trạng an ninh Web tại Việt Nam và trên thế giới Năm 2016 chứng kiến nhiều cuộc tấn công mạng nghiêm trọng trên thế giới nhằm vào các tổ chức như Sony Pictures, Nhà Trắng, trang web Ashley Madison và thậm chí cả FBI. Các sự cố an ninh mạng đã tăng 38% so với năm 2015, trong khi gần một triệu các mối đe dọa từ các phần mềm độc hại mới được phát hành mỗi ngày. Chi phí cho các cuộc tấn công mạng sử dụng mã độc tốn khoảng 300 tỷ đến 1 nghìn tỷ đô la mỗi năm, các vụ xâm phạm dữ liệu trung bình mất 154 đô la Mỹ cho mỗi vụ, trong khi chi phí trung bình cho một vụ xâm phạm dữ liệu mất gần 4 triệu đô la. Những con số này cho thấy một thực trạng đáng báo động về việc người dùng máy tính ngày càng gặp khó khăn trong việc đảm bảo an toàn khi trực tuyến. Điều này cũng tương tự đối với Việt Nam - thị trường an toàn thông tin quốc gia trong năm 2016 diễn biến khá phức tạp. Tại Việt Nam, cùng với sự phát triển mạnh mẽ ứng dụng công nghệ thông tin, các cuộc tấn công, xâm nhập trái phép vào hệ thống mạng của các cơ quan nhà nước, các tổ chức, doanh nghiệp để phá hoại hoặc thu thập lấy cắp thông tin ngày càng gia tăng. Theo VNCERT