ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ  NGUYỄN THỊ THU HIỀN XÂY DỰNG CÁC CA KIỂM THỬ AN TỒN THƠNG TIN CHO ỨNG DỤNG WEB LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN Hà Nội - 2014 i TIEU LUAN MOI download : skknchat@gmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ  NGUYỄN THỊ THU HIỀN XÂY DỰNG CÁC CA KIỂM THỬ AN TỒN THƠNG TIN CHO ỨNG DỤNG WEB Ngành: Công nghệ thông tin Chuyên ngành: Kỹ thuật phần mềm Mã số: 60480103 LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS ĐẶNG ĐỨC HẠNH Hà Nội - 2014 ii TIEU LUAN MOI download : skknchat@gmail.com LỜI CẢM ƠN Trƣớc hết, xin gửi lời cảm ơn đặc biệt đến TS Đặng Đức Hạnh, Bộ môn Công nghệ phần mềm, Khoa Công nghệ Thông tin, Trƣờng Đại học Công nghệ, Đại học Quốc Gia Hà Nội, ngƣời định hƣớng đề tài, cung cấp tài liệu tận tình hƣớng dẫn bảo tơi suốt q trình thực luận văn cao học Tôi xin đƣợc gửi lời cảm ơn sâu sắc tới thầy cô giáo khoa Công nghệ Thông tin, Trƣờng Đại học Công nghệ, Đại học Quốc Gia Hà Nội tận tình giảng dạy truyền đạt kiến thức, kinh nghiệm quý báu nhƣ tình cảm tốt đẹp cho tơi suốt thời gian học Cao học Cuối cùng, tơi xin dành tình cảm biết ơn chân thành đến gia đình, bạn bè đồng nghiệp, ngƣời bên cạnh tôi, động viên, chia sẻ suốt thời gian học Cao học nhƣ trình thực luận văn Cao học Hà Nội, tháng 05 năm 2014 Nguyễn Thị Thu Hiền i TIEU LUAN MOI download : skknchat@gmail.com LỜI CAM ĐOAN Tôi xin cam đoan: luận văn “Xây dựng ca kiểm thử an tồn thơng tin cho ứng dụng web” tơi viết dƣới hƣớng dẫn khoa học TS Đặng Đức Hạnh Nội dung luận văn có tham khảo nhƣng khơng chép từ tài liệu đƣợc công bố Hà Nội, tháng 05 năm 2014 Học viên Nguyễn Thị Thu Hiền ii TIEU LUAN MOI download : skknchat@gmail.com MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC KÝ HIỆU, TỪ VIẾT TẮT .vi DANH MỤC BẢNG vii DANH MỤC HÌNH VẼ viii MỞ ĐẦU CHƢƠNG KHÁI NIỆM CƠ BẢN 1.1 Các khái niệm kiểm thử phần mềm 1.1.1 Khái niệm kiểm thử phần mềm 1.1.2 Các phƣơng pháp kiểm thử 1.1.3 Các chiến lƣợc kiểm thử .3 1.2 Kiểm thử an tồn thơng tin cho ứng dụng web 1.2.1 Khái niệm ứng dụng web 1.2.2 Hoạt động ứng dụng Web 1.2.3 Kiểm thử ATTT cho ứng dụng web 1.2.4 Quy trình kiểm thử an tồn thơng tin CHƢƠNG THIẾT KẾ CA KIỂM THỬ ATTT CHO ỨNG DỤNG WEB 2.1 Phƣơng pháp thiết kế ca kiểm thử ATTT 2.2 Tổng hợp nguy ATTT cho ứng dụng web .10 R1 Tƣơng tác với sở liệu tránh lỗ hổng SQL Injection 10 R2 Xử lý liệu đầu vào tránh lỗ hổng XSS 10 iii TIEU LUAN MOI download : skknchat@gmail.com R3 Sử dụng Token phƣơng thức GET POST tránh lỗ hổng CSRF .11 R4 Kiểm tra quyền truy cập ngƣời dùng 12 R5 Session Hijacking 12 R6 Session fixation 12 R7 Kiểm soát thao tác với file 13 R8 Mã hóa liệu nhạy cảm 14 R9 User enumeration 15 R10 HTTP Only cookie 15 R11 Chuyển hƣớng chuyển tiếp thiếu thẩm tra 15 R12 Thất thơng tin xử lý lỗi khơng cách 16 R13 Sử dụng captcha an toàn 16 R14 Mật mạnh 16 2.3 Các ca kiểm thử ATTT 17 F1 Ca kiểm thử mức chung 19 F2 Ca kiểm thử cho chức Đăng nhập – Đăng xuất .24 F3 Ca kiểm thử cho chức Tìm kiếm 28 F4 Ca kiểm thử cho chức Thêm 35 F5 Ca kiểm thử cho chức Sửa .44 F6 Ca kiểm thử cho chức Xóa 60 F7 Ca kiểm thử cho chức Xem thông tin 66 F8 Ca kiểm thử cho chức Download 71 F9 Ca kiểm thử cho chức Upload 78 F10 Ca kiểm thử cho chức Import 84 F11 Ca kiểm thử cho chức Trang có chuyển hƣớng .93 iv TIEU LUAN MOI download : skknchat@gmail.com F12 Ca kiểm thử liên quan đến liệu nhạy cảm 94 F13 Ca kiểm thử cho chức liên quan đến mật 96 CHƢƠNG VẬN DỤNG VÀ CÔNG CỤ HỖ TRỢ 98 3.1 Minh họa phƣơng pháp kiểm thử .98 3.2 Công cụ hỗ trợ 100 3.2.1 Quản lý ca kiểm thử an tồn thơng tin 100 3.2.2 Sinh ca kiểm thử với chức hệ thống website 101 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 102 TÀI LIỆU THAM KHẢO 103 v TIEU LUAN MOI download : skknchat@gmail.com DANH MỤC KÝ HIỆU, TỪ VIẾT TẮT Từ viết tắt XSS CSRF URL ATTT HTTP HTTPS HTML DB SQL Tiếng Anh Cross-site script Cross-site request forgery Uniform Resource Locator Information security HyperText Transfer Protocol Hypertext Transfer Protocol Secure HyperText Markup Language Database Structured Query Language HQL Hibernate Query Language IP ID MAC VD DL Internet Protocol identification Media Access Control Example Data Tiếng Việt Lỗ hổng XSS Lỗ hổng CSRF Định vị Tài ngun thống An tồn thơng tin Giao thức truyền tải siêu văn Giao thức truyền tải siêu văn an tồn Ngơn ngữ Đánh dấu Siêu văn Cơ sở liệu ngơn ngữ truy vấn mang tính cấu trúc Ngôn ngữ truy vấn hƣớng đối tƣợng Giao thức liên mạng Định danh Điều khiển truy nhập môi trƣờng Ví dụ Dữ liệu vi TIEU LUAN MOI download : skknchat@gmail.com DANH MỤC BẢNG Bảng 2.1 Các ký tự đặc biệt có nguy gây lỗ hổng XSS 11 Bảng 2.2 Bảng tổng hợp nguy ATTT tƣơng ứng với chức ứng dụng web 18 Bảng 2.3 Các ca kiểm thử cần kiểm tra lần toàn hệ thống 19 Bảng 2.4 Các ca kiểm thử với hình có chức Đăng nhập – Đăng xuất 24 Bảng 2.5 Các ca kiểm thử với hình có chức Tìm kiếm 28 Bảng 2.6 Các ca kiểm thử với hình có chức Thêm 35 Bảng 2.7 Các ca kiểm thử với hình có chức Sửa 44 Bảng 2.8 Các ca kiểm thử với hình có chức Xóa 60 Bảng 2.9 Các ca kiểm thử với hình có chức Xem thông tin chi tiết ghi 66 Bảng 2.10 Các ca kiểm thử với hình có chức Download 71 Bảng 2.11 Các ca kiểm thử với hình có chức Upload 78 Bảng 2.12 Các ca kiểm thử với hình có chức Import 84 Bảng 2.13 Các ca kiểm thử với hình có chức Chuyển hƣớng 93 Bảng 2.14 Các ca kiểm thử với chức có liệu nhạy cảm 94 Bảng 2.15 Các ca kiểm thử với hình có chức liên quan đến mật 96 vii TIEU LUAN MOI download : skknchat@gmail.com DANH MỤC HÌNH VẼ Hình 1.1 : Kiến trúc ứng dụng Web Database Hình 1.2 : Mơ hình hoạt động ứng dụng Web Hình 1.3 Quy trình kiểm thử ATTT Hình 3.1 Chức quản lý kiện 98 Hình 3.2 Chức quản lý ca kiểm thử ATTT ứng dụng web 100 Hình 3.3 Chức sinh tập ca kiểm thử cho chức ứng dụng web 101 viii TIEU LUAN MOI download : skknchat@gmail.com F10_R4_ 10 Kiểm tra xác thực, phân quyền (Kiểm tra URL Manipulation Lỗi leo quyền với action có ràng buộc quyền thực ) Đăng nhập user Chọn liệu mà user khơng có quyền thực action (do có ràng buộc, VD: ghi bị khóa - không cho phép thực action): lấy ID liệu thao tác Chọn liệu mà user có quyền thực hiện: sửa ID liệu thao tác = ID lấy đƣợc bƣớc Thực action Thơng báo khơng có quyền thực action (việc check validate ràng buộc phải thực server) - Phạm vi kiểm thử: Check với trƣờng hợp: + Các action tác động đến DL bị ràng buộc không cho phép thực action (VD: Thêm, sửa, xóa… với DL bị khóa hết hiệu lực, vv ) + Và việc validate ràng buộc thực phía client, khơng check server - Biểu lỗi: Hệ thống cho phép thực action với DL có ràng buộc khơng cho phép thực (VD: Dữ liệu bị khóa, hết hiệu lực…) 90 TIEU LUAN MOI download : skknchat@gmail.com F10_R3_ 11 CSRF (Kiểm tra lỗi với chức - action tác động đến DB) - Cách 1: Mở firebug Vào hình nhập đầy đủ thông tin (chƣa nhấn action) Gõ lệnh java script: tctResetToken("") để reset lại toàn token trƣớc nhấn action Nhấn action Kiểm tra hồi đáp từ ứng dụng - Cách 2: Ứng dụng: Vào hình nhập đầy đủ thơng tin (chƣa nhấn action) Chƣơng trình thơng báo Tamper data: click start Token không hợp lệ Ứng dụng: Nhấn action Tamper data: Click Tamper => Sửa trƣờng value tất Token Post data = giá trị => submit Tuy nhiên, với số trƣờng hợp server lại check giá trị token đc gửi kèm link, post data, cách test khơng xác Ứng dụng: Kiểm tra hồi đáp từ ứng dụng - Phạm vi kiểm thử: Mỗi action tƣơng ứng case (thƣờng check với chức làm thay đổi DL DB (Thêm, sửa, Xóa, action quan trọng khác ) + action quan trọng - Biểu lỗi: + Khơng tìm thấy token (khơng gửi token lên server) + Hoặc thực thao tác thành công 91 TIEU LUAN MOI download : skknchat@gmail.com F10_R12 _12 Để lộ thông tin xử lý không cách (Không bắt exception dẫn đến full trang lỗi gặp ngoại lệ) Dùng tool hỗ trợ để tạo DL ngoại lệ gửi lên server (VD: firebug, tamper data ) Ví dụ: + Với Tìm kiếm: Có thể xóa control tiêu chí tìm kiếm => Tìm kiếm + Với Thêm mới/ Sửa: nhập DL maxlength trƣờng DB Cách thực => Chỉnh lại maxlength control (VD: textbox) firebug: => Vào Firebug/ HTML/ Click trỏ inspect (phía trên, bên trái Hệ thống forward sang Firebug) trang thơng báo "Có => Click vào control chƣơng lỗi xảy ra" trình => Vào firebug sửa maxlength (maxsize) textbox maxlength lƣu trƣờng DB (Hệ thống cho phép lƣu tối đa 10 ký tự DB, sửa thành 20 ký tự) => Nhập DL lớn Maxlength thực (10 ký tự) => Nhấn nút thực hiện: Thêm mới/ Sửa/ Đăng nhập/ … + Với Xóa: Vào firebug xóa ID ghi đƣợc click action xóa => Xóa Thực action - Phạm vi kiểm thử: Tất action hình (Tìm kiếm, thêm, sửa, xóa, nghiệp vụ, …) - Biểu lỗi: Hệ thống full exception dev chƣa bắt ngoại lệ 92 TIEU LUAN MOI download : skknchat@gmail.com F11 Ca kiểm thử cho chức Trang có chuyển hướng Chức Trang có chuyển hƣớng thƣờng gặp chuyến hƣớng chuyển tiếp thiếu thẩm tra Phƣơng pháp tiếp cận hệ thống để kiểm tra lỗi dựa vào việc sửa tham số URL với hỗ trợ công cụ nhƣ firebug Chúng thiết kế trƣờng hợp kiểm tra cho chức nhƣ bảng 2.13 Bảng 2.13 Các ca kiểm thử với hình có chức Chuyển hƣớng Mã ca kiểm thử Mục đích kiểm thử Các bƣớc thực Kết mong muốn Ghi Hệ thống báo không kết nối đến link đƣợc báo link khơng đƣợc trust - Phạm vi kiểm thử: + Mỗi trang có chuyển hƣớng tƣơng ứng case + Các trang login thƣờng qua cas nên phải test case - Biểu lỗi: Hệ thống trả URL mà bạn thay đổi CHỨC NĂNG: Các trang có chuyển hƣớng Chuyển hƣớng chuyển tiếp Chuyển hƣớng F11_R11_ chuyển tiếp thiếu thẩm tra Copy link trang có chuyển tiếp VD: http://192.168.174.14:5676/passportv3/login?appCode=ViettelSVN& service=http%3A%2F%2F192.168.174.14%3A8090%2Fsvnadmin Trong đó, URL đƣợc chuyển tiếp đến là: http%3A%2F%2F192.168.174.14%3A8090%2Fsvnadmin Thay URL đƣợc chuyển tiếp = URL mà bạn mong muốn đƣợc chuyển tiếp đến VD sửa URL thành: http://192.168.174.14:5676/passportv3/login?appCode=ViettelSVN &service=http://vtv.vn Paste link vừa sửa trình duyệt => Dùng user/pass hệ thống test để đăng nhập 93 TIEU LUAN MOI download : skknchat@gmail.com F12 Ca kiểm thử liên quan đến liệu nhạy cảm Các liệu nhạy cảm thƣờng đƣợc hacker tập chung khai thác Phƣơng pháp tiếp cận hệ thống để kiểm tra lỗi liên quan đến liệu nhạy cảm thƣờng dùng công cụ hỗ trợ nhƣ firebug, tamper data truy xuất trực tiếp DB Chúng thiết kế trƣờng hợp kiểm tra cho trƣờng hợp nhƣ bảng 2.14 Bảng 2.14 Các ca kiểm thử với chức có liệu nhạy cảm Mã ca Mục đích kiểm thử kiểm thử Các bƣớc thực Kết mong muốn Ghi CHỨC NĂNG: Mã hóa liệu nhạy cảm Dữ liệu DB Tạo liệu nhạy cảm (VD: account, pass) F12_R8_1 Mã hóa F12_R8_2 Check liệu lƣu DB (VD: liệu pass) Check DB: hệ thống lƣu liệu đƣợc mã hóa liệu nhạy Tạo nhiều liệu nhạy cảm giống (VD: cảm account có pass) Check DB: DB Check liệu nhạy cảm lƣu DB (VD: mật chuỗi mã hoá khác khẩu) - Phạm vi kiểm thử: Mỗi loại liệu case - Phạm vi kiểm thử: Mỗi loại liệu case 94 TIEU LUAN MOI download : skknchat@gmail.com Dữ liệu cookie F12_R8_3 F12_R8_4 Mã hóa liệu nhạy cảm cookie Đăng nhập vào hệ thống với user/ pass Kiểm tra thơng tin nhạy cảm (VD: Pass) có bị hiển thị dạng rõ không? + Cách 1: Vào Firebug gõ lệnh: document.cookie để xem thông tin Cookie (chỉ dùng đƣợc cách chƣa fix HttpOnly) + Cách 2: Vào firebug xem cookie (net/ all/ cookie) Dữ liệu link Thực thao tác có liên quan đến DL nhạy cảm Mã hóa Copy link with parameter với thao tác vừa thực liệu nhạy cảm link Kiểm tra link vừa copy xem có hiển thị DL nhạy cảm dạng rõ không? Dữ liệu nhạy cảm không đƣợc hiển thị phải đƣợc mã hóa (VD: Pass) - Phạm vi kiểm thử: Check với chức đăng nhập DL nhạy cảm phải - Phạm vi kiểm thử: Mỗi đƣợc mã hóa link loại liệu case 95 TIEU LUAN MOI download : skknchat@gmail.com F13 Ca kiểm thử cho chức liên quan đến mật Chức liên quan đến mật thƣờng đƣợc kiểm tra độ mạnh mật kiểm tra việc sử dụng captcha để tránh việc hệ thống bị công từ chối dịch vụ Chúng thiết kế trƣờng hợp kiểm tra cho chức liên quan đến mật nhƣ bảng 2.15 Bảng 2.15 Các ca kiểm thử với hình có chức liên quan đến mật Mã ca kiểm thử Mục đích kiểm thử Các bƣớc thực Kết mong muốn Ghi Việc đặt mật ngƣời dùng cần đảm bảo mật mạnh Tức mật đảm bảo yếu tố sau: - Số ký tự >= ký tữ - Mật phải bao gồm: Chữ số, chữ ký tự đặc biệt - Phạm vi kiểm thử: Cần test với hình liên quan đến việc thiết lập mật VD: + Đăng ký + Đổi mật Có yêu cầu bắt buộc nhập mã captcha với lần thực chức Với chức năng: - Tạo tài khoản - Đăng nhập sai lần liên tiếp mã captcha - Các chức liên quan đến gửi email CHỨC NĂNG: Các chức liên quan đến mật Đăng ký Kiểm tra việc đặt mật Mật mạnh (Độ F13_R14_1 ngƣời dùng có đảm bảo mật phức tạp độ dài) mạnh chƣa? Captcha an toàn (Kiểm tra chức F13_R13_2 bắt buộc phải dùng mã captchar) Vào chức Kiểm tra xem có yêu cầu nhập mã captcha lần thực chức không? 96 TIEU LUAN MOI download : skknchat@gmail.com Captcha an tồn (Kiểm tra tính sinh F13_R13_3 ngẫu nhiên mã captcha) Vào chức có bắt buộc dùng mã captcha Vào chức nhiều lần liên tục Kiểm tra xem mã Captcha có đƣợc sinh ngẫu nhiên lần vào chức không Hệ thống sinh ngẫu nhiên mã captcha lần vào Với chức cần sử dụng mã captcha Đổi mật Kiểm tra việc đặt mật Mật mạnh (Độ F13_R14_4 ngƣời dùng có đảm bảo mật phức tạp độ dài) mạnh chƣa? Mật mạnh (Số lần đặt mật F13_R14_5 không đƣợc trùng nhau) Mật mạnh F13_R14_6 (Thời gian hiệu lực mật khẩu) Mật mạnh (Đổi mật cho F13_R14_7 lần sửa dụng đầu tiên) Kiểm tra số lần đặt mật không đƣợc trùng phải >= Thời gian hiệu lực mật = ký tữ - Mật phải bao gồm: Chữ số, chữ ký tự đặc biệt Kiểm tra số lần đặt mật không đƣợc trùng phải >= (mật lần sau phải khác mật lần trƣớc) Thời gian hiệu lực mật