Bài giảng "Thiết kế và lập trình Web - Bài 10: PHP bảo mật" cung cấp cho người học các kiến thức: Các dạng tấn công, các nguy cơ, an toàn PHP, an toàn MySQL, lập trình thế nào để an toàn,. nội dung chi tiết. | Bài giảng Thiết kế và lập trình Web - Bài 10: PHP bảo mật Thiết kế và lập trình Web Bài 10 PHP bảo mật Viện CNTT & TT Thiết kế và lập trình Web Các Dạng Tấn Công DoS, DDoS Thiết kế và lập trình Web Các Dạng Tấn Công Virus hacking – Virus là chương trình (hay một đoạnh mã) có thể tự nhân bản và gây rắc rối cho máy tính hay hệ điều hành Worms Applet lừa đảo (Rogue Applets) Đánh cắp thông tin thẻ tín dụng Đánh cắp thông tin cá nhân Ăn cắp thông tin Thiết kế và lập trình Web Các Nguy Cơ Một số nguy cơ đe dọa ứng dụng Web: Hidden Manipulation Parameter Tampering (giả mạo tham số) Buffer Overflow (tràn bộ đệm) Cookie Poisoning SQL Injection Thiết kế và lập trình Web Các Nguy Cơ Hidden manipulation Mô tả: thay đổi các trường ẩn (hidden fields) của trang web Ví dụ: – – Sửa value thành Giải pháp: mã hóa Thiết kế và lập trình Web Các Nguy Cơ Parameter Tampering (giả mạo tham số) Mô tả: giả mạo hoặc thay đổi một số tham số trên URL hay web form Ví dụ: – ProductID=15704&price= – Sửa price thành Giải pháp: mã hóa, dùng HTTP Secure (https), kiểm tra các tham số Thiết kế và lập trình Web Các Nguy Cơ Cross-site Scripting (CSS) – Mô tả: Chèn script độc vào trang web động – Ví dụ: • alert() – Giải Pháp: • Lọc các ký tự đặc biệt (special characters) • Mã hóa Thiết kế và lập trình Web Các Nguy Cơ Cookie Poisoning Mô tả: thay đổi các tham số, giá trị, lưu trong cookie Ví dụ: – Cookie gốc: SessionID=123456 ; Admin=no – Cookie bị thay đổi: SessionID=123456 ; Admin=yes Giải pháp: – Mã hóa, xác thực, dùng HTTPS – Thêm IP của user – Thêm số ngẫu nhiên – Thiết kế và lập trình Web Các Nguy Cơ SQL Injection Mô tả: chèn code SQL vào trong câu lệnh SQL, thường xảy ra ở nơi vốn chỉ dành để điền giá trị của các