yenphuong4486
New Member
Download miễn phí Tài liệu hướng dẫn về các phương pháp tấn công của hacker vào các ứng dụng Web bị lỗi SQL
Điều kiện :
- Có kiến thức về Hệ điều hành mạng Windows (tương đương MCSA) .
- Có kiến thức về Hệ quản trị cớ sở dữ liệu Microsoft SQL Server (tương đương MCDBA) .
- Có kiến thức về lập trình Web : HTML, ASP, PHP .
- Có kiến thức về Anh ngữ .
- Quan tâm đến bảo mật thông tin trên ứng dụng Web .
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
Công Hòa Xã Hội Chủ Nghĩa Việt Nam .Cuối cùng thì chân thành Thank tài liệu của các tác giả O’Reilly, Kevin Spett, AirScanner và các diễn đàn về bảo mật đã cung cấp tài liệu để chúng tui hoàn thành cuốn tài liệu hướng dẫn thực hành LAB này .
Mọi thắc mắc xin gửi về : [email protected]
Giới thiệu chung :
Nội dung của phần LAB của module 14 – SQL Injection thể hiện rất rõ phương châm “Hack để bảo mật hơn !”, module này bao gồm chuyên về những cách và kỹ năng thực hành thâm nhập hệ thống như : quét lỗi bảo mật, truyền các lệnh thực thi trái phép, xâm nhập hệ thống máy chủ Web …của hacker để người quản trị có cái nhìn tổng quan từ phía những hacker để thực hiện chế độ bảo mật cho Web site của mình một cách tốt hơn .
Vì lý do các lỗi bảo mật về SQL Injection thì rất nhiều các ứng dụng Web bị mắc phải .Do đó trong giới hạn của tài liệu này tui lấy một ví dụ điển hình về lỗi SQL Injection đó là lỗi ứng dụng Web ASP (Active Server Pages) làm ví dụ để hướng dẫn trong phần LAB của module này .
Mục tiêu :
Tham gia quản trị bảo mật hệ thống máy chủ chạy các ứng dụng Web có sử dụng cơ sở dữ liệu ở các tổ chức, công ty, xí nghiệp, cơ quan .
Nắm vững các phương pháp khảo sát, đánh giá mức độ an ninh mạng .
Nắm vững các kỹ năng về kiến thức, thực hành và kinh nghiệm Ethical Hacking .
Xác định được nguyên nhân, nhận diện chính xác đối tượng, động cơ, cách thức của kẻ tấn công xâm nhập dữ liệu hệ thống .Xác định mục tiêu, mối nguy hiểm thường trực về an ninh ứng dụng Web của tổ chức .
cách thiết kế hệ thống và ứng dụng Web theo hướng bảo mật .cách đối phó với sự cố khi xảy ra .
Hiểu rõ khái niệm, cách hoạt động của các hacker .
Biết sử dụng phương pháp và các công cụ cơ bản để kiểm tra an ninh bảo mật trên ứng dụng Web của tổ chức .
Điều kiện :
Có kiến thức về Hệ điều hành mạng Windows (tương đương MCSA) .
Có kiến thức về Hệ quản trị cớ sở dữ liệu Microsoft SQL Server (tương đương MCDBA) .
Có kiến thức về lập trình Web : HTML, ASP, PHP .
Có kiến thức về Anh ngữ .
Quan tâm đến bảo mật thông tin trên ứng dụng Web .
Nội dung :
Phần chuẩn bị cho bài thực hành LAB .
Phần thực hành LAB .
Phần chuẩn bị cho bài thực hành LAB:
Phần này yêu cầu các bạn sử dụng 2 hệ thống PC để có thể thực hành bài LAB và thấy được hiệu quả của những bài thực hành .
Tốt nhất các bạn nên sử dụng công cụ tạo máy ảo(VMware Workstation, Micsoft Virtual PC) để có thể thực hiện tốt phần thực hành LAB .
Ở đây tui sẽ đưa ra mô hình thực hành như sau :
Trong đó máy Attack sẽ sử dụng Windows XP sp2 và máy chủ Web là victim sử dụng Windows 2000 Server .
Máy chủ Web Server victim :
Một hệ điều hành (OS) Microsoft Windows 2000 Server :
tui sử dụng phiên bản Windows 2000 Server để hướng dẫn các bạn thực hành bài LAB này cho thuận tiện .
Việc làm sao để có hệ điều hành trên tất nhiên các bạn đã biết tui sẽ không nhắc tới, bên cạnh đó ta cần có 1 Web Server chạy trên nền Web Server IIS 5.0 (Internet Information Service) .Phần này các bạn đã học qua môn MCSA (Microsoft Certified System Administrator ) tất nhiên phải biết cách cài đặt gói phần mềm Web Server này ở đâu ra .
Ở đây tui xin nhắc lại để những bạn nào chưa biết có thể biết cách cài đặt gói phần mềm này để phục vụ cho bài thực hành LAB dưới đây .
Vào Start à Setting à Control Panel à Add / Remove Programs .
Chọn Add / Remove Windows Components .
Chọn dấu chọn gói Internet Information Services (IIS), gói phần mềm này sẽ chạy được các ứng dụng Web Application ASP .
Chọn Next à .
Chờ hệ thống cài đặt gói phần mềm IIS vào .
Chọn Finish .
Đến đây ta đã chuẩn bị xong phần Web Server cho hệ thống victim để phục vụ bài thực hành LAB dưới đây .
Một hệ quản trị cơ sở dữ liệu (database) Microsoft SQL Server 2000 :
tui sử dụng hệ quản trị cơ sở dữ liệu Microsoft SQL Server 2000 Standard để hướng dẫn cho các bạn bài thực hành LAB này cho thuận tiện .
Việc làm sao để có và cách thức cài đặt gói phần mềm hệ quản trị cơ sở dữ liệu Microsoft SQL Server thì bạn nào đã học qua MCDBA (Micosoft Certified Database Administrator ) tất nhiên phải biết cách cài đặt và sử dụng như thế nào .
Ở đây tui xin nhắc lại một cách cơ bản để các bạn chưa biết có thể tự mình cài đặt gói phần mềm này để phục vụ cho bài thực hành LAB dưới đây .
Chọn file à setup.bat (trong thư mục gốc cài đặt) .
Chọn Next à .
Chọn Local Computer à chọn Next à .
Chọn Create a new instance of SQL Server, or càiClient Tools à chọn Next à .
Chọn Next à .
Chọn Server and Client Tools à chọn Next à .
Chọn Yes à .
Điền CD key vào và chọn Next à .
Để mặc định Default à chọn Next à .
Chọn Custom à chọn Next à .
Chọn Next à .
Chọn Use the same account … à chọn Use the Local System account à chọn Next à .
Chọn Mixed Mode (Windows Authentication and SQL Server Authentication) à chọn Blank Password (Chú ý : do ở đây làm thực hành LAB tui sẽ để password rổng, trên thực tế không ai làm điều này !) à Chọn Next à .
Chọn Next à .
Chọn Muti – Protocol à chọn Enable Multi – Protocol Encryption à chọn Next à . (Chú ý : các bạn hãy chú ý và nhớ port number của Microsoft SQL Server “1433” để phục vụ cho bài thực hành LAB dưới đây) .
Chọn Next à .
Chọn Per Seat for : à nhập vào 10 (Ở đây tui chọn là 10) à chọn Continue à.
Chờ trong giây lát để hệ thống cài đặt gói phần mềm vào à .
Chọn Finish à .
Đến đây ta chuẩn bị xong phần Microsoft SQL Server cho hệ thống victim để phục vụ bài thực hành LAB dưới đây .
Một source Web Application bị lỗi SQL Injection :
tui sử dụng một bộ source Web Application ASP bị lỗi SQL Injection của “Juggy Bank” để hướng dẫn các bạn chuẩn bị cho bài thực hành LAB này một cách thuận tiện .
Vào Start à Programs à Microsoft SQL Server à Enterprise Manager à .
Start SQL à .
Vào Start à Programs à Microsoft SQL Server à Query Analyzer à .
Chọn SQL Server Machine (Ở đây tui chọn máy victim vừa cài đặt xong) à OK à .
Import dữ liệu database vào SQL Server 2000 à File à Open (Ctrl + Shift + O) à đường dẫn đến thư mục source Web Application (Ví dụ : Desktop\Sql\data) à chọn “juggybank.sql” à Open .
Execute query (F5) à Close .
Click chuột phải à chọn All tasks à chọn Import data à chọn Next à
Data Source : à chọn Text File à .
File name : à đường dẫn đến thư mục source Web Application (Ví dụ : Desktop\Sql\data) à chọn “juggybank-userinfo-data.txt” à Open .
Chọn Next à .
Chọn Next à .
Chọn Next à .
Database : à chọn “juggybank” à chọn Next à .
Destination : à chọn “userinfo” à chọn Next à .
Chọn Next à .
Chọn Finish à .
Chọn OK à .
Chọn Done à .
Click chuột phải à chọn All tasks à chọn Import data à chọn Next à
Data Source : à chọn Text File à .
File name : à đường dẫn đến thư mục source Web Application (Ví dụ : Desktop\Sql\data) à chọn “juggybank-usercreditcard-data.txt” à Open
Chọn Next à .
Chọn Next à .
Chọn Next à .
Database : à chọn “juggybank” à chọn Next à .
Destination : à chọn “Creditcard” à chọn Next à .
Chọn Next à .
Chọn Finish à .
Chọn OK à .
Chọn Done à .
Chọn thư mục source Web Application (Ví dụ : Desktop\Sql) à click chuột phải à chọn Properties à chọn Tab Web Sharing à .
Chọn Share this folder à chọn Directory browsing à...