Triển khai PrestaShop có sử dụng giao thức bảo mật
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.28 MB, 24 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
BÁO CÁO BÀI TẬP LỚN
MÔN HỌC: AN TOÀN INTERNET VÀ THƯƠNG MẠI ĐIỆN TỬ
Đề tài: Triển khai trang web thương mại điện tử dựa trên
PrestaShop có sử dụng các giao thức bảo mật giao dịch
Giảng viên :
Nguyễn Thị Hồng Hà
Sinh viên:
Đỗ Huy Hùng
Nguyễn Thành Đạt
Trịnh Khắc Tùng
Lớp:
AT9B
Hà Nội, Tháng 2/ 2016.
MỤC LỤC
BẢNG KÝ HIỆU ................................................................................................................ 2
DANH MỤC HÌNH VẼ...................................................................................................... 2
LỜI NÓI ĐẦU ..................................................................................................................... 3
CHƯƠNG I. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ .......................................... 4
1.1 Thương mại điện tử là gì? ......................................................................................4
1.2 Lợi ích của thương mại điện tử ..............................................................................4
1.3 Ứng dụng của thương mại điện tử .........................................................................5
CHƯƠNG II. GIỚI THIỆU VỀ PRESTASHOP ............................................................ 6
2.1 Giới thiệu về website thương mại điện tử PrestaShop ...........................................6
2.1 Cài đặt, giao diện quản lý PrestaShop....................................................................7
CHƯƠNG III. CÀI ĐẶT GIAO THỨC BẢO MẬT ....................................................... 9
3.1 Giới thiệu................................................................................................................9
3.2 Xây dựng kịch bản. .............................................................................................. 11
3.3 Thực nghiệm. .......................................................................................................11
PHỤ LỤC I. HƯỚNG DẪN CÀI ĐẶT PRESTASHOP ............................................... 16
PHỤ LỤC II. CÀI ĐẶT, TRIỂN KHAI SSL ................................................................. 20
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ...................................................................... 22
TÀI LIỆU THAM KHẢO................................................................................................ 23
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
1
BẢNG KÝ HIỆU
TMĐT
SSL
SET
Thương mại điện tử
Secure Socket Layer
Secure Electronics Transaction
DANH MỤC HÌNH VẼ
Hình 2. 1 Menu chức năng quản trị .................................................................................8
Hình 3. 1 Sơ đồ máy trạm xác thực máy chủ trong SSL .................................................9
Hình 3. 2 Sơ đồ máy chủ xác thực máy trạm trong SSL ...............................................10
Hình 3. 3 Mô hình demo................................................................................................ 11
Hình 3. 4 Bật SSL cho website ...................................................................................... 11
Hình 3. 5 Kết quả bật SSL ............................................................................................. 12
Hình 3. 6 Thông tin về SSL ........................................................................................... 12
Hình 3. 7 Thông tin chi tiết chứng chỉ SSL ...................................................................12
Phụ lục 1. 1 Tạo cơ sở dữ liệu cho website ...................................................................16
Phụ lục 1. 2 Chọn ngôn ngữ cài đặt prestashop ............................................................ 17
Phụ lục 1. 3 Chấp nhận điều khoản PrestaShop ............................................................ 17
Phụ lục 1. 4 Khai báo các trường thông tin: tên shop, họ tên, email và password…....18
Phụ lục 1. 5 Khai báo thông tin database ......................................................................18
Phụ lục 1. 6 Quá trình cài đặt ........................................................................................ 19
Phụ lục 1. 7 Giao diện cài đặt thành công Prestashop ...................................................19
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
2
LỜI NÓI ĐẦU
Ngày nay khi kinh tế xã hội phát triển mạnh mẽ, đòi hỏi con người phải mở rộng
phạm vi giao thương buôn bán. Bên cạnh sự bùng nổ đó cũng là sự phát triển mạnh mẽ
của công nghệ thông tin. Giờ đây con người không chỉ buôn bán các mặt hàng ở những
khu chợ tập trung mà còn khai thác môi trường internet để giao thương buôn bán ở
trên mạng. Từ đó “Thương Mại Điện Tử” được ra đời kéo theo đó là hàng loạt các
gian hàng, thương mại điện tử. Xuất phát từ nhu cầu đó mà hàng loạt các công cụ xây
dựng website được ra đời phục vụ cho thương mại điện tử như Prestashop Framework,
Magento Framework, OpenCard, ZenCart, …
Ứng dụng của thương mại điện tử trong thực tế: tạo nhóm tin, mua sắm trực
tuyến và theo dõi đặt hàng, ngân hàng điện tử, … Phần mềm mã nguồn mở PrestaShop
là một trong những Framework đáp ứng được các tiêu chí trên và được ứng dụng rất
rộng dãi trong xây dựng web thương mại điện tử hiện nay, với những tính năng ưu việt
và thân thiện người dùng, xử lí nhanh
Để tìm hiểu về thương mại điện tử cũng như các giao thức bảo mật, nhóm chúng
em sẽ đi tìm hiểu đề tài “ Triển khai website thương mại điện tử sử dụng PrestaShop
và các giao thức bảo mật giao dịch”.
Báo cáo gồm 3 chương :
CHƯƠNG I: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ : Tìm hiểu tổng quan
về thương mại điện tử, lợi ích cũng như các ứng dụng thương mại điện tử mang lại.
CHƯƠNG II: GIỚI THIỆU VỀ PRESTASHOP : Tìm hiểu về PrestaShop – một
trong những framework hỗ trợ xây dựng website thương mại điện tử. Đồng thời cũng
giới thiệu cách cài đặt, giao diện, các chức năng chính của trang quản trị.
CHƯƠNG III: CÀI ĐẶT GIAO THỨC BẢO MẬT: Giới thiệu về giao thức bảo
mật: SSL, SET. Dùng phần mềm chặn bắt gói tin WireShark để kiểm tra quá trình kết
nối, truyền dữ liệu (đăng nhập, giao dịch đơn hàng) giữa client – server trong trường
hợp có giao thức bảo mật (sử dụng SSL) và không có giao thức bảo mật.
Trong quá trình tìm hiểu, do kiến thức còn hạn chế, kiến thức thực tế chưa có
nhiều, nên chúng em không tránh khỏi những thiếu sót sai lầm. Rất mong được sự góp
ý của thầy cô và các bạn. Chúng em xin cám ơn cô Nguyễn Thị Hồng Hà đã nhiệt tình
hướng dẫn chúng em hoàn thành bài báo cáo này.
Chúng em xin chân thành cảm ơn!
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
3
CHƯƠNG I. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ
1.1 Thương mại điện tử là gì?
Thương mại điện tử (Còn gọi là E-commerce hay E-Business) là quy trình
mua bán hàng hóa và dịch vụ thông qua các phương tiện điện tử và mạng viễn
thông, đặc biệt là qua máy tính và mạng Internet.
Ngày nay người ta hiểu khái niệm thương mại điện tử thông thường là tất
cả các phương pháp tiến hành kinh doanh và các quy trình quản trị thông qua
các kênh điện tử mà trong đó Internet hay ít nhất là các kỹ thuật và giao thức
được sử dụng trong Internet đóng một vai trò cơ bản và công nghệ thông tin
được coi là điều kiện tiên quyết. Một khía cạnh quan trọng khác là không còn
phải thay đổi phương tiện truyền thông, một đặc trưng cho việc tiến hành kinh
doanh truyền thống. Thêm vào đó là tác động của con người vào quy trình kinh
doanh được giảm xuống đến mức tối thiểu. Trong trường hợp này người ta gọi
đó là Thẳng đến gia công (Straight Through Processing). Để làm được điều này
đòi hỏi phải tích hợp rộng lớn các các tính năng kinh doanh. [1]
1.2 Lợi ích của thương mại điện tử
Lợi ích lớn nhất TMĐT mang lại đó chính là tiết kiệm được chi phí lớn tạo
thuận lợi cho các bên giao dịch. Giao dịch bằng phương tiện điện tử nhanh hơn
là giao dịch bằng truyền thông, ví dụ gửi fax hay thư điện tử thì nội dung thông
tin sẽ đến người nhận nhanh hơn là gửi thư. Các giao dịch qua internet có chi phí
rất rẻ, một doanh nghiệp có thể gửi thư tiếp thị, chào hàng đến hàng loạt khách
hàng chỉ với chi phí giống như gửi cho một khách hàng. Với TMĐT, các bên có
thể tiến hành giao dịch khi ở cách xa nhau, giữa thành phố với nông thôn, từ
nước này sang nước khác hay nói cách khác là không bị giới hạn bởi không gian
địa lý. Điều này cho phép các doanh nghiệp tiết kiệm chi phí đi lại, thời gian gặp
mặt trong khi mua bán. Với người tiêu dùng họ có thể ngồi tại nhà để đặt hàng,
mua sắm nhiều loại hàng hóa dịch vụ thật nhanh chóng.
Những lợi ích như trên chỉ có được với những doanh nghiệp thực sự nhận
thức được tầm quan trọng của Thương mại điện tử. Vì vậy, TMĐT góp phần
thúc đẩy sự cạnh tranh giữa các doanh nghiệp để thu được nhiều lợi ích
nhất.Điều này đặc biệt quan trọng trong bối cảnh hội nhập kinh tế quốc tế hiện
nay. Khi các doanh nghiệp trong nước phải cạnh tranh một cách bình đẳng với
các doanh nghiệp nước ngoài.[2]
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
4
1.3 Ứng dụng của thương mại điện tử
Một số ứng dụng chung nhất của TMĐT được liệt kê dưới đây:
Tài liệu tự động hóa ở chuỗi cung ứng và hậu cần
Hệ thống thanh toán trong nước và quốc tế
Quản lý nội dung doanh nghiệp
Nhóm mua
Trợ lý tự động trực tuyến
IM (Instant Messaging)
Nhóm tin
Mua sắm trực tuyến và theo dõi đặt hàng
Ngân hàng điện tử
Văn phòng trực tuyến
Phần mềm giỏ hàng
Hội thảo truyền thông trực tuyến
Vé điện tử
Hiện nay có rất nhiều các framework cho ứng dụng thương mại điện tử
như Prestashop, Magento, OpentCard, VituarMart... Nhưng nổi bật và được ưa
chuộng nhất vẫn phải kể đến Prestashop Framework, một framework thương
mại điện tử gọn nhẹ, nhiều tính năng, và hoàn toàn miễn phí.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
5
CHƯƠNG II. GIỚI THIỆU VỀ PRESTASHOP
2.1 Giới thiệu về website thương mại điện tử PrestaShop
PrestaShop là phần mềm mã nguồn mở thương mại điện tử đáng tin cậy nhất và
chuyên nghiệp nhất hiện nay. Từ năm 2007, ngành công nghiệp PrestaShop bằng
cách cung cấp các tính năng tham gia mua sắm và tăng doanh số bán hàng trực tuyến
nhanh chóng. Các PrestaTeam bao gồm hơn 70 cá nhân đam mê và hơn 600 000 thành
viên cộng đồng dành riêng cho công nghệ mới này.
Được phát triển từ năm 2005, trước đây PrestaShop khá ít tên tuổi, do phát hành
chủ yếu với phiên bản tiếng Pháp. Nhưng thời gian gần đây, với những cải tiến vượt
bậc, PrestaShop đã trở thành mã nguồn mở khá phổ biến.
Với ưu thế về mã nguồn phát triển sau, PrestaShop kế thừa được nhiều ý tưởng
của các mã nguồn cùng loại đi trước như OsCommerce. Điểm làm lên khác biệt chủ
yếu là việc Prestashop tích hợp sẵn thư viện trình bày sản phẩm theo màu sắc. Tính
năng này giúp chủ cửa hàng tiếp cận tốt hơn với các khách hàng của họ. [3]
Prestashop cung cấp rất nhiều tài liệu để bạn có thể bắt đầu với nó và rất đa
dạng từ các tài liệu dành cho lập trình viên, người bán hàng hay thậm chí cả với người
thiết kế đồ hoạ designer. Ngoài ra, bạn cũng có thể tìm kiếm tài liệu, nhờ trợ giúp qua
diễn đàn của Prestashop. Quan trọng nhất của Prestashop là nó cung cấp cho bạn hơn
300 chức năng để thực hiện việc bán hàng như giao diện thanh toán tích hợp trong 1
chỗ, khả năng tạo các mã coupon giảm giá, hỗ trợ email marketing, chức năng theo dõi
đơn hàng và số người đang online trên website, hỗ trợ zoom ảnh sản phẩm mà không
bị vỡ hình. Ngoài ra, bạn có thể thêm không giới hạn loại tiền tệ vào trong website của
mình, chức năng “sản phẩm yêu thích” giúp khách hàng lưu lại các sản phẩm yêu thích
để mua sau. SEO là một điểm mạnh của Prestashop khi mà nó hỗ trợ bạn rất nhiều
chức năng để làm SEO từ việc tuỳ biến URL thân thiện với SEO, khả năng tạo tag (
thẻ sản phẩm ) cho đến việc thêm các dữ liệu có cấu trúc metadata vào trong
website,… Và tất nhiên là bạn có thể tạo cách danh mục và mục con cho sản phẩm như
các mã nguồn khác
Prestashop cung cấp hơn 1500 mẫu giao diện và tiện ích mở rộng giúp bạn có
thể tạo ra các website bán hàng nhanh chóng và mở rộng chức năng cho nó. Tuy nhiên,
giá thì rất là đắt, bạn thậm chí còn phải bỏ ra 20$ chỉ để mua tài liệu hướng dẫn sử
dụng cho các template và module, rẻ nhất cũng vài trăm đô
Ngoài ra, việc tích hợp trực tiếp trang quản lý thông tin vào mã nguồn, cũng
giúp PrestaShop trở nên thân thiện hơn với người sử dụng. [4]
Ưu điểm chính
Đầy đủ các chức năng của một website bán hàng trực tuyến: thêm, sửa, xóa,
thống kê sản phẩm, nhà sản xuất, nhà phân phối, khách hàng ,…
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
6
Theo dõi tình trạng bán hàng, thông báo cho khách hàng bằng tin nhắn sms, thu
thập thông tin khách hàng,…
Áp dụng được nhiều phương thức thanh toán khác nhau với các đơn vị tiền tệ
lưu hành phổ biến.
Tốc độ tải và xử lý nhanh. An toàn, bảo mật.
URL thân thiện, tối ưu máy tìm kiếm SEO, quản lý nội dung CMS…
Bạn không cần quan tâm tới chi phí mua phần mềm hay vấn đề bản quyền vì
Prestashop là phần mềm nguồn mở và hoàn toàn miễn phí.
Thường xuyên cập nhật các phiên bản mới hơn để sửa các lỗi bugs và bổ sung
thêm các chức năng, modules mới.
Dễ dàng quản trị website với các công cụ tương đối đầy đủ và bảng điều hướng
thuận tiện.
Dễ dàng tích hợp và mở rộng phát triển các modules độc lập
Giao diện thân thiện, dễ sử dụng, có thể thiết kế giao diện độc lập.
Hỗ trợ trên nhiều ngôn ngữ phổ biến bao gồm cả Tiếng Việt, người sử dụng có
thể build gói ngôn ngữ riêng phù hợp với nhu cầu của mình. PrestaShop e-Commerce
sử dụng công nghệ Web 2.0 với sức mạnh của AJAX, JQuery library. Prestashop cũng
sử dụng Smarty framework để giúp các nhà thiết kế web có thể tạo giao diện một cách
dễ dàng mà không cần am hiểu nhiều ngôn ngữ lập trình PHP.
Mặc dù được tích hợp rất nhiều chức năng như vậy, nhưng PrestaShop rất nhẹ và
nhanh.
Nhược điểm
Khả năng quản lý Url-rewrite khá yếu, không có khả năng mở rộng tùy biến.
Làm giảm đáng kể khả năng SEO của website.
Thuật toán tìm kiếm của PrestaShop được đánh giá là khá yếu so với các
Opensource khác.
Kiến trúc Extensions hỗ trợ cho bên thứ 3 tự phát triển khá yếu. Prestashop
cũng hỗ trợ cài đặt extension như Magento nhưng giá của nó thì rất đắt, có thể
nói là đắt nhất.
Mỗi khi Prestashop update cần phải tính chỉnh lại hệ thống mất nhiều thời gian
2.1 Cài đặt, giao diện quản lý PrestaShop
a. Cài đặt
Xem chi tiết tại Phụ Lục I.
b. Giao diện quản lý
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
7
Các mục quản lí chính:
- Dashboard: quản lí thống kê
website…
- Catalog: quản lí các sản phẩm, giá
tiền, hình ảnh minh họa.
- Order: quản lí các đơn hàng.
- Customer: quản lí khách hàng và
các giỏ hàng tương ứng.
- Price Rule : quản lí các đơn vị tiền
tệ.
- Modules and Service: quản lí các
module và theme.
- Shipping: quản lí vận chuyển hàng
- Localization: quản lí vùng địa lí,
thuế, ngôn ngữ…
- Employees: các user trong hệ thống
quản lí bao gồm (Administrator,
Logistician, Salesman, Translator)
- Preferences: quản lí các chức năng
nâng cao (SSL, Seo & URL)
- Administrator: quản lí các thiết lập
của admin.
Hình 2. 1 Menu chức năng quản trị
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
8
CHƯƠNG III. CÀI ĐẶT GIAO THỨC BẢO MẬT
3.1 Giới thiệu.
a. SSL
SSL viết tắt của Secure Socket Layer là một giao thức (protocol) cho phép bạn
truyền đạt thông tin một cách bảo mật và an toàn qua mạng.
SSL được chấp nhận rộng rãi làm giao thức truyền tin giữa client – server trên
mạng World Wide Web.
SSL bao gồm 2 giao thức con:
Giao thức bản ghi SSL
Giao thức bắt tay SSL
Giao thức bản ghi SSL xác định định dạng được dùng để truyển dữ liệu.
Giao thức bắt tay SSL bao gồm sử dụng giao thức bản ghi SSL để trao đổi một
loạt các thông điệp giữa máy chủ áp dụng SSL và máy trạm sử dụng SSL khi các máy
này lần đầu tiên xác lập một kết nối SSL.
Sự trao đổi thông điệp này được thiết kế để thực hiện các hành động sau:
- Xác thực máy chủ cho máy trạm.
- Cho phép máy trạm và máy chủ lựa chọn thuật toán mã hóa mà cả hai đều hỗ
trợ.
-
Có thể xác thực máy trạm cho máy chủ
Sử dụng các kỹ thuật mã hóa công cộng để tạo ra các dữ liệu bí mật riêng
được chia sẻ giữa các máy chủ và máy trạm.
- Giao thức SSL hỗ trợ sử dụng các giao thức mã hóa khác nhau dùng trong
hoạt động của giao thức như xác thực máy chủ và máy trạm, truyền tin chứng
thực số và tạo ra các khóa phiên.
Hình 3. 1 Sơ đồ máy trạm xác thực máy chủ trong SSL
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
9
Hình 3. 2 Sơ đồ máy chủ xác thực máy trạm trong SSL
b. SET
SET (Secure Electronics Transaction) là một giao thức được thiết kế riêng để
thực hiện các giao dịch thương mại điện tử trên Internet. Giao thức này nhằm đảm bảo
việc truyền các thông tin thẻ tín dụng, các thông tin về giao dịch và thanh toán một các
an toàn qua mạng Internet và các mạng phân tán khác.
Các thành phần của SET:
-
Chứng chỉ số: kiểm tra danh tính của người dùng.
Mã hóa khóa công khai: đảm bảo thông tin giao dịch không thể bị đọc bởi
người không phải người nhận.
Chữ ký số: cùng với chứng chỉ số và chữ ký số kiểm tra thông tin yêu cầu là
từ đúng người yêu cầu.
Kết nối hệ thống thanh toán: đảm bảo giao dịch xảy ra đúng hạn và không sai
sót.
Các quy tắc vận hành: các quy tắc cần thiết cho việc thực hiện kinh doanh
trong môi trường điện tử.
Các thành viên sáng lập ra SET: Eurocard, MasterCard International, VISA,
IDM, Microsoft, Netscape, RSA [5]
Trong giới hạn của bài tập, nhóm em chỉ tiến hành cài đặt giao thức SSL lên
PrestaShop và tiến hành demo.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
10
3.2 Xây dựng kịch bản.
Hình 3. 3 Mô hình demo
Sử dụng phần mềm WireShark để tiến hành chặn, bắt các gói tin trao đổi giữa
Client – Server.
Địa chỉ IP của client: 192.168.100.12, Server: 192.168.100.13
Các bước tiến hành:
1. Cài đặt SSL, tạo chứng chỉ SSL để có thể truy cập website thông qua https.
2. Bật SSL cho website trong trang quản trị.
3. Tiến hành chặn bắt, phân tích các gói tin giữa client – server trong 3 tình
huống sau:
+ Đăng nhập trang quản trị.
+ Đăng kí, đăng nhập tài khoản khách hàng.
+ Tiến hành mua hàng.
Tất cả các tình huống trên đều xét 2 trường hợp: có sử dụng SSL (truy cập với
https://domain) và không sử dụng SSL.
3.3 Thực nghiệm.
Các bước cài đặt SSL, tạo chứng chỉ SSL: Xem tại Phụ lục II. Cài đặt, triển
khai SSL (Secure Socket Layer).
Khi đã triển khai SSL thành công, ta tiến hành đăng nhập vào trang quản trị để
bật SSL cho site. Vào Preferences General, click vào dòng “Please click here to
heck if your shop supports HTTPS” để kiểm tra xem đã triển khai SSL thành công và
áp dụng cho site được chưa. Nếu thành công, trên thanh url sẽ hiện https://domain và
một ổ khóa xanh thân thiện. Đồng thời, sẽ hiển thị tùy chọn bật SSL cho site của bạn.
Hình 3. 4 Bật SSL cho website
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
11
Hình 3. 5 Kết quả bật SSL
Chúng ta có thể xem
thông tin về chứng chỉ bằng
cách nhấn vào hình ổ khóa,
chọn More Information (hoặc
Right Click View Page
Info) vào tab Security ta sẽ
thấy kết quả như hình.
Phần Website Identity
mô tả định danh của website
với tên website, chứng chỉ
được xác nhận bởi đơn vị
nào.
Phần Technical Details
sẽ cho ta biết kết nối được
mã hóa với thuật toán nào.
Hình 3. 6 Thông tin về SSL
Để xem chi tiết các thông tin về chứng chỉ, nhấn View Certificate, kết quả thu
được:
Common Name(CN): Tên
của đơn vị đăng kí chứng chỉ
(Ở đây là IP hoặc tên miền
của website)
Organization(O): Tổ chức
cấp phát chứng chỉ SSL.
Period of Validity: Thời gian
chứng chỉ có hiệu lực.
Có thể sang tab Details để
xem chi tiết hơn.
Hình 3. 7 Thông tin chi tiết chứng chỉ SSL
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
12
Bây giờ ta sẽ tiến hành chặn bắt gói tin để thấy sự khác biệt giữa sử dụng https và
không sử dụng https.
Tình huống 1: Đăng nhập trang quản trị.
Bật WireShark, cho phép chặn bắt các gói tin, bằng cách vào Capture
Interface Chọn interface để lắng nghe Start.
a. Không sử dụng https
Sau khi đăng nhập thành công, ta Stop việc WireShark bắt gói tin lại để phân
tích. Có rất nhiều gói tin được WireShark tóm giữ lại, để lọc ra các gói tin liên quan
đến phần demo, ta sẽ lọc các gói tin theo tiêu chí có địa chỉ ip của server
(192.168.100.13) với câu lệnh ip.addr==192.168.100.13
Tuy nhiên, vẫn còn có rất nhiều các gói tin, để ý rằng thông thường trong quá
trình đăng nhập, các thông tin về username, password đều được gửi thông qua phương
thức POST Ta thêm một điều kiện để lọc nữa đó là http.request.method==POST
và kết quả thu được:
Như vậy, số lượng gói tin sau khi lọc đã giảm đi đáng kể. Ta tiến hành Follow
TCP Stream gói tin số 17 để xem nội dung của gói tin.
Ta có thể thấy, toàn bộ thông tin đăng nhập đều được gửi đi dưới dạng rõ,
không hề được mã hóa hay che dấu.
b. Sử dụng https
Trước tiên, để truy cập website sử dụng https, ta có thể đánh vào thanh url
https://domain hoặc thay đổi trong trang quản trị như đã nêu ở trên (Chọn YES tại mục
Enable SSL và Enable SSL on all pages).
Thực hiện quá trình tương tự như phần không sử dụng https, sau khi lọc gói tin
với điều kiện là IP của server, ta thu được các gói tin với phương thức TCP, TLSv1.2
chứ không hề có các gói tin có phương thức là HTTP nữa.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
13
Vùng 1: Quá trình bắt tay 3 bước của giao thức TCP.
Vùng 2: Thể hiện quá trình bắt tay của SSL và truyền dữ liệu đã được mã hóa.
Tình huống 2: Tiến hành đăng kí, đăng nhập đối với khách hàng.
a. Không có https
Sau khi bật tính năng bắt gói tin trên Wireshark, và tiến hành quá trình đăng kí,
đăng nhập dành cho khách hàng, ta thu được một loạt các gói tin. Thực hiện tương tự
như phần đăng nhập trang quản trị, ta tiến hành lọc các gói tin theo câu lệnh
ip.addr==192.168.100.13 and httpd.request.method==POST, thu được
Tiến hành Follow TCP Stream gói tin 5369 để xem quá trình đăng kí
Các thông tin đăng kí của khách hàng hoàn toàn không được mã hóa. Có thể
thấy, khách hàng đã đăng kí với email: và mật khẩu là 123456.
Tương tự, ta sẽ follow gói tin số 5729 để xem quá trình khách hàng đăng nhập.
Các thông tin vẫn được truyền dưới dạng bản rõ.
b. Sử dụng https
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
14
Toàn bộ thông tin đều được mã hóa, không thể đọc được.
Tình huống 3: Tiến hành mua hàng.
a. Không sử dụng https
Cách thức tiến hành tương tự như 2 tình huống trước, tiến hành follow gói tin có
ip nguồn: 192.168.100.13 với phương thức POST, và có tham số order ta thu được:
Các thông tin chi tiết về khách hàng (số điện thoại, địa chỉ, …), cũng như thông
tin về hóa đơn (địa chỉ giao hàng, …) đều được có thể bắt được.
Do chưa tích hợp tính năng thanh toán online nên không bắt được các thông tin
về tài khoản ngân hàng.
b. Sử dụng https
Chỉ có thể lọc gói tin theo địa chỉ IP của server chứ không thể lọc theo phương
thức POST của giao thức HTTP vì ở đây ta đã sử dụng HTTPS.
Tiến hành Follow một gói tin (có info là Application Data), ta chỉ thu được dữ
liệu dưới dạng mã hóa.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
15
PHỤ LỤC I. HƯỚNG DẪN CÀI ĐẶT PRESTASHOP
Trong phần này, sẽ hướng dẫn cách cài đặt website thương mại điện tử PrestaShop
trên XAMPP (Chương trình tạo máy chủ webserver).
Để cài đặt XAMPP, tham khảo tại: />Để cài đặt PrestaShop cần vào trang tải
mã nguồn về rồi tiến hành cài đặt theo các bước sau (lưu ý máy tính đã được cài đặt
XAMPP)
Bước 1: Đầu tiên các bạn tạo database cho website sắp cài đặt bằng trình quản trị
database phpmyadmin (thông thường là http://localhost/phpmyadmin)
Phụ lục 1. 1 Tạo cơ sở dữ liệu cho website
Bước 2: Giải nén file download source cài đặt PrestaShop ở trên, copy source
vào folder htdocs trong thư mục cài đặt XAMPP.
Khi đó, đường link để truy cập tới PrestaShop là: http://localhost/prestashop/
hoặc http://127.0.0.1/prestashop/install
Bước 3: Mở trình duyệt lên và nhập vào đường dẫn dẫn tới folder chứa source
code và nhập đường dẫn http://localhost/prestashop/install
hoặc http://127.0.0.1/prestashop/install và làm theo hướng dẫn.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
16
Phụ lục 1. 2 Chọn ngôn ngữ cài đặt prestashop
Phụ lục 1. 3 Chấp nhận điều khoản PrestaShop
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
17
Phụ lục 1. 4 Khai báo các trường thông tin: tên shop, họ tên, email và password…
Phụ lục 1. 5 Khai báo thông tin database
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
18
Phụ lục 1. 6 Quá trình cài đặt
Phụ lục 1. 7 Giao diện cài đặt thành công Prestashop
Lưu ý: sau khi cài đặt thành công, PrestaShop sẽ yêu cầu ta xóa thư mục install để
tăng cường độ bảo mật. Đồng thời, khi truy cập lần đầu vào trang quản trị /admin
PrestaShop sẽ tự động thay đổi đường link quản trị một cách ngẫu nhiên để tránh sự dò
tìm của hacker, attacker, …
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
19
PHỤ LỤC II. CÀI ĐẶT, TRIỂN KHAI SSL
Chứng chỉ SSL (Secure Sockets Layer) là công nghệ mã hóa trao đổi dữ liệu giữa
máy chủ web và máy tính cá nhân, đảm bảo việc trao đổi thông tin luôn luôn được bảo
mật và an toàn, không thể bị khai thác và giải mã bởi đối tượng thứ ba. Ngoài ra SSL
còn có nhiệm vụ như chứng thực Website, bảo mật FTP, Mail Service, VPN…. và rất
nhiều ứng dụng khác.
Dưới đây là các bước để có thể tạo SSL Certificate trên nginx cho CentOS.
1. Cài đặt SSL.
Để cài đặt SSL, thực hiện lệnh “sudo yum install –y openssl”.
Kiểm tra phiên bản của SSL: “sudo openssl version”.
Output: OpenSSL 1.0.2f 28 Jan 2016
2. Tạo thư mục chứa chứng chỉ.
Chứng chỉ SSL có 2 phần chính, bao gồm: giấy chứng nhận bản thân và khóa
công khai (public key). Để dễ dàng truy cập tới các file liên quan, ta nên tạo một thư
mục để lưu trữ.
Tạo thư mục: “sudo mkdir /etc/nginx/ssl”
Và di chuyển tới thư mục vừa tạo: “sudo cd /etc/nginx/ssl”
3. Tạo Server Key và Certificate Signing Request.
Bắt đầu với việc tạo private server key. Trong quá trình này, ta sẽ phải nhập mật
khẩu để bảo vệ việc truy cập tới chứng chỉ. Vì vậy, hãy giữ nó cẩn thận, nếu quên sẽ
không thể truy cập tới chứng chỉ.
sudo openssl genrsa -des3 -out server.key 1024
Tiếp theo là tạo Certificate Signing Request
sudo openssl req -new -key server.key -out server.csr
Tiếp theo điền các thông tin như mẫu bên dưới. Chú ý phần Common Name cần
nhập chính xác tên domain (nếu có) hoặc địa chỉ IP. Phần Challenge Password và
Option Company Name để trống.
You are about to be asked to enter information that will be
incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name
or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [AU]:VI
State or Province Name (full name) [Some-State]:Ha Noi
Locality Name (eg, city) []:HN
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Awesome
Inc
Organizational Unit Name (eg, section) []:Hoc Vien Ky Thuat Mat Ma
Common Name (e.g. server FQDN or YOUR name) []:hungdh.dev
Email Address []:
4. Xóa Passphrase.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
20
Đến đây, gần như đã hoàn tất việc tạo chứng chỉ. Tuy nhiên, nên xóa bỏ mật
khẩu truy cập tới chứng chỉ mặc dù nó cung cấp tính năng bảo mật nâng cao. Trong
trường hợp nginx bị crash hoặc cần phải khởi động lại, ta phải nhập mật khẩu mới có
thể đưa nginx hoạt động bình thường.
Sử dụng câu lệnh phía dưới để xóa mật khẩu:
sudo cp server.key server.key.org
sudo openssl rsa -in server.key.org -out server.key
5. Sign SSL Certificate (Đăng kí chứng chỉ SSL)
Bây giờ, ta phải kí lên chứng chỉ, chúng ta có thể chỉ định thời gian hết hạn của
chứng chỉ bằng cách thay 365 với số ngày bạn thích. Như câu lệnh bên dưới, chứng
chỉ sẽ hết hạn sau 1 năm.
sudo openssl x509 -req -days 365 -in server.csr -signkey
server.key -out server.crt
6. Cài đặt chứng chỉ.
Mở file SSL config:
vi /etc/nginx/conf.d/ssl.conf
Chỉnh các thông tin như sau (lưu ý sửa hungdh.dev thành domain của bạn):
# HTTPS server
server {
listen
443;
server_name hungdh.dev;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
}
Cuối cùng là khởi động lại nginx
service nginx restart
Truy cập website với đường link: sẽ thấy website hoạt động
bình thường. [6]
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
21
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Trong khoảng thời gian thực hiện, mặc dù đã rất cố gắng để hoàn thành theo
những mục tiêu đã đề ra. Tuy nhiên, vì thời gian có hạn nên ứng dụng còn nhiều thiếu
sót. Sau đây là những kết quả mà ứng dụng đã làm được, chưa làm được và hướng
phát triển sau này:
1. Kết quả đạt được.
-
Tìm hiều được tổng quan về thương mại điện tử.
-
Triển khai website thương mại điện tử sử dụng PrestaShop
-
Cài đặt thành công giao thức bảo mật SSL.
-
Tiến hành bắt, phân tích gói tin để chỉ ra độ mất an toàn thông tin khi sử
dụng các website thương mại điện tử không có giao thức bảo mật.
2. Chưa làm đươc.
-
Tích hợp tính năng thanh toán online.
-
Bắt, phân tích gói tin trong quá trình thanh toán online
3. Hướng phát triển trong tương lai.
-
Hoàn thành các mục tiêu chưa làm được.
-
Tìm hiểu và triển khai SET để tăng mức độ bảo mật.
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
22
TÀI LIỆU THAM KHẢO
[1]. Wikipedia, Thảo luận: Thương mại điện tử, />[2]. HHSC, Thương mại điện tử là gì?, />[3]. Mã nguồn Web, Xây dựng một website bán hàng trực tuyến miễn phí với
Prestashop, />[4]. Crazytut, Mã nguồn mở tốt nhất để làm website bán hàng, />[5]. TS. Vũ Quốc Thành, KS. Nguyễn Khánh Minh, KS. Vũ Đình Thu, Giáo trình
An toàn internet và thương mại điện tử, Học viện Kỹ thuật Mật Mã, 2006
[6]. Digital Ocean, How To Create a SSL Certificate on nginx for CentOS 6,
/>
Triển khai website thương mại điện tử dựa trên PrestaShop, sử dụng giao thức bảo mật
23
