Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 51 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
51
Dung lượng
2,99 MB
Nội dung
BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CÁC GIẢI PHÁP ĐỂ ĐẢM BẢO AN TOÀN BẢO MẬT MỘT WEBSITE GVHD: TS Trương Thành Công Sinh viên thực hiện: Trần Thị Hồng Ngát MSSV: 1921006756 Lớp HP: 2111112002702 TP.Hồ Chí Minh, tháng 11, năm 2021 TIEU LUAN MOI download : skknchat123@gmail.com TIEU LUAN MOI download : skknchat123@gmail.com LỜI CẢM ƠN Sau thời gian thực hiện, đồ án “Các giải pháp để đảm bảo an toàn bảo mật website” em hoàn thành Ngoài nỗ lực cố gắng thân, em nhận hướng dẫn khích lệ tạo điều kiện thuận lợi của nhà trường thầy cô khoa Công nghệ thông tin trường Đại Học Tài Chính Marketing Em xin chân thành cảm ơn thầy Trương Thành Công thầy cô khoa công nghệ thơng tin cung cấp tài liệu, tận tình hướng dẫn tạo điều kiện cho em tìn hiểu, nghiên cứu học hỏi kinh nghiệm trình học làm đồ án Do quy mơ đề tài, thời gian kiến thức cịn hạn chế nên khơng tránh khỏi sai sót Kính mong q thầy đóng góp ý kiến để em củng cố, bỏ sung hoàn thiện thêm kiến thức cho thân TIEU LUAN MOI download : skknchat123@gmail.com NHẬN XÉT CỦA GIẢNG VIÊN TRƯƠNG THÀNH CÔNG Từ viết tắt CNTT ATBT TT TIEU LUAN MOI download : skknchat123@gmail.com DANH MỤC THUẬT NGỮ ANH – VIỆT Tiếng Anh Tiếng Việt Server Máy chủ Resquest Yêu cầu TIEU LUAN MOI download : skknchat123@gmail.com DANH MỤC HÌNH ẢNH Hình Top 15 quốốc gia thêố gi i tấốnị cống web nhiêều nhấốt Hình Mố hình CIA Hình Mố hình OSI 12 Hình Tấốn cống t ừchốối dịch vụ Internet DDoS 22 Hình Tấốn cống bằềng SQL Injection 25 Hình Tấốn cống bằềng XSS 27 Hình OWASP ZAP 34 Hình Nhậ p URL để quét web blogtuoitre OWASP ZAP 35 Hình Kêốt quét blogtuoitre bằềng OWASP ZAP 35 Hình 10 Nhậ p URL để quét web testasp OWASP ZAP 36 Hình 11 Kêốt quét testasp bằềng OWASP ZAP 36 Hình 12 CyStack 38 Hình 13 Đằng ký tài khoản CyStack 38 Hình 14 Chức nằng Deep Sacn CyStack 39 Hình 15 Quét trang truyenfull.om bằềng CyStack 39 Hình 16 Kêốt quét truyenfull.com bằềng CyStack 40 TIEU LUAN MOI download : skknchat123@gmail.com MỤC LỤC Table of Contents CHƯƠ NG I: GIỚ I THIỆU TỔNG QUAN Tổng quan vêề đêề tài CH ƯƠNG II: C ƠS ỞLÝ THUYẾẾT 1.1.Khái niệm: 1.2.Những yêu cấều an toàn bả o mậ t thố Mtộ sốố thuật ngữ: 2.1.Mốối đe dọa (threat): 2.2.Một lốỗ hổ ng (vulnerability): 2.3.M ột cu ộc tấốn cống (atack): 2.4.Chính sách an tồn bảo mật (security 2.5.C ơchêố an toàn bả o mật (security me 2.6.ICMP: 2.7.HTTP: 2.8.Mố hình OSI: 2.9.Hacker: 3.M t ộsốố mốối de dọa: 3.1.Gian l ận đánh cằốp (Fraud and The 3.2.Nội gián (Insider Threat) 3.3.Tin tặc (Malicious Hacker) 3.4.Mã độc (Malicious code hay maliciou 4.Website: 4.1.Khái niệm Website 4.2.Thành phấền ơc bả n ủc a mộ t websit 4.3.Chức nằng website 4.4.Các dịch vụ ứng dụng nêền we 4.5.Vấốn đêề bả o mậ t ủc a website CH ƯƠNG III: KYỸ THUẬ T TẤẾN CÔNG WEBSITE CƠ BẢ N VÀGIẢI PHÁP KHẮẾC PHỤC Mt ộsốố kyỗ thuật tấốn cống website: 1.1.Tấốn cống t ừchốối dịch vụ interne 1.2.Tấốn cống bằềng SQL Injection: 1.3.Tấốn cống bằềng XSS TIEU LUAN MOI download : skknchat123@gmail.com 1.4 Tấốn cống bằềng CSRF Giải pháp ngằn chặn 2.1 Gi iảpháp ngằn ch nặ tấốn cống dịc 2.2 Giải pháp ngằn chặn SQL Injection 2.3 Gi iảpháp ngằn ch nặ tấốn cống XSS 2.4 Gi iảpháp ngằn ch nặ tấốn cống CSR CH ƯƠNG IV: MƠ HÌNH HĨA Đ ƠN GI ẢN NGẮN CH ẶN TẤẾN CÔNG WEBSITE 1.Quét lốỗ hổ ng web bằềng cốngụ c OWASP ZAP 1.1 OWASP ZAP ? 1.2 Thực hiệ n quét lốỗ hổ ng web bằền 2.Quét lốỗ hổ ng bằềng CyStack Scan 2.1 CyStack Scan ? 2.2 Thực quét lốỗ hổ ng web bằền CH ƯƠNG V: KẾẾT LUẬN TÀI LIỆ U THAM KHẢO: TIEU LUAN MOI download : skknchat123@gmail.com CHƯƠNG I: GIỚI THIỆU TỔNG QUAN Tổng quan đề tài Cuộc Cách mạng cơng nghiệp 4.0 diễn nhanh chóng với phát triển mạnh mẽ không gian mạng Sự kết hợp hệ thống ảo thực tế làm thay đổi cách thức làm việc người, từ tạo nên “cuộc cách mạng” để thúc đẩy phát triển kinh tế - xã hội Bên cạnh lợi ích to lớn khơng thể phủ nhận việc kết nối tồn cầu với đặc tính khơng biên giới đặt nhiều thách thức lớn an ninh, trật tự quốc gia giới, khiến cho an ninh mạng trở thành vấn đề toàn cầu Ngày nay, kỷ nguyên kỹ thuật số vấn đề thách thức lớn quốc gia doanh nghiệp lĩnh vực đảm bảo an tồn thơng tin an tồn thơng tin mạng Những cơng mạng, có cơng Website xảy ngày phổ biến làm cho nhiều doanh nghiệp gặp rủi ro lớn Vậy đâu giải pháp đảm bảo an toàn bảo mật website hiệu quả? Hiện nay, ngày có nhiều cơng website tinh vi có tổ chức với quy mơ lớn hướng đến doanh nghiệp tập đoàn lớn Bất kỳ trang Web cá nhân, doanh nghiệp hay tập đồn lớn có nguy bị xâm phạm Khi Website có lỗ hổng, hacker dễ dàng xâm nhập, công khai thác đữ liệu khiến Website bị nhiễm độc gây nguy hiểm không cho chủ sở hữu trang web mà cho khách truy cập Phần lớn vi phạm bảo mật trang web để đánh cắp liệu phá hoại bố cục trang web,, mà sử dụng máy chủ trang để chuyển tiếp email spam thiết lập máy chủ web tạm thời, thông thường để phục vụ file bất hợp pháp Hiện trạng website bị công, đánh cắp thông tin liệu diễn phổ biến Các tổ chức an ninh cho biết ngày có khoảng 30.000 website bị hacker công giới Theo số liệu thống kê Việt Nam năm 2019, 45 phút trơi qua lại có website cơng Trong năm vừa qua, số vụ công vào website tồn cầu có dấu hiệu tăng cao Theo Báo cáo an ninh TIEU LUAN MOI download : skknchat123@gmail.com website năm 2019 từ CyStask, năm 2019 giới xảy 560.000 vụ công website Việt Nam đứng thứ 11 giới với 9.000 trang web bị cơng Điều cho thấy tình trạng bảo mật website Việt Nam chưa thực tốt Hình Top 15 quốốc gia thêố gi i tấốnị cống web nhiêều nhấốt Vì vậy, website bạn khơng an tồn khơng có biện pháp bảo mật tốt Với phổ biến Internet, liệu cần lưu bảo tồn mạng ngày nhiều, nhu cầu bảo mật trang web ngày quan tâm Để giúp website hoạt động hiệu tránh rủi ro liệu, bị hack, nhà quản trị mạng cần quan tâm đến phương pháp bảo mật website công cụ bảo mật trang web hiệu Báo cáo tơi tìm hiểu kỹ nguyên nhân giải pháp an toàn để bảo mật website hiệu Phạm vi đề tài Vì đề tài nghiên cứu sinh viên nên phạm vị nghiên cứu đề tài mang tầm vi mô, giới hạn thời gian ngắn Cụ thể, đề tài “ Các giải pháp để đảm bảo an toàn bảo mật website” tập trung nghiên cứu tìm hiểu website, TIEU LUAN MOI download : skknchat123@gmail.com Đằng ký ch ngứ ch SSL:ỉ Đằng ký ch ngứ ch SSLỉ thiêốt l pậ giao th ức liên kêốt HTTPS cho website để tằng c ngườb o mả t dậ li ữu vàệ chốống l i ạcác cu cộtấốn cống t ừhacker, virus phát tán 2.2 Giải pháp ngăn chặn SQL Injection L ọc d ữli ệu t ừng ười dùng: Cách phòng chốống tươ ng tự XSS Ta sử dụ ng flter (bộ l ọc) để l ọc kí t ựđ ặt bi ệt (; “ ‘) ho ặc t ừkhóa (Select, Union) người dùng nhập vào Nên sử dụng t viưn/ ệfuntion đ cượcung cấốp b i frameworkở t viêốtự l iạt ừđấều v ừa tốốn thờ i gian vừ a dêỗơs sót Khống c ngộ chuốỗi đ ểt oạ SQL: S vào khống h pợ pháp, SQL Engine seỗ tự độ ng báo lốỗi, takhống cấền dùng hàm ựt Khống hi n ểth exception,ị d liữu.ệKhi có lốỗi, ta ch ỉhi ện thống báo lốỗi đừ ngi hnểth đấềyị đ ủthống tin vêề lốỗi, tránhẻk cống lợ i dụng Phấn quyêền Database: Nêốu ch ỉtruy c ập d ữli ệu t mừ c ơs ởd ữli ệu, gán quyêền truy ậc p cho tài khoả n đừ ngdùng tài khoản root hay superuser Lúc này, dù k tấốnẻ xóa liệu Backup d uữli u ệth xóa ta vấỗn 2.3 Giải pháp ngăn chặn công XSS Đ cượđánh giá d ngạtấốn cống nguy hi mể mang l i ạnhiêều r ủi ro nhấốt, biệ n pháp ngằn chặ n XSS rấốt đáng đ ểquan Các chuyên gia hàng đấều êềv an ninh mạng khuyêốn khích ửs dụ ng ph ương pháp Data validation, Filtering Escaping đ ểngằn ch nặ cu cộ tấốn cống Data validation (xác định đấều vào):Đ mả b oả d ữli uệ đấều vào cung cấốp vớ i ngườ i dùng mạ ng xác Tuy khống thể ngằn chặ n hồn tồn song cách seỗ giả m thiể u nhiêềuủ r i ro vêề lốỗ h b ảo m ật, tránh tấốn cống ng Stored XSS Filtering (lọ c đấều vào ngườ i dùng):Bi ện pháp giúp tm kiêốm keyword nguy hiểm có phấền nh ập c người dùng để k ịp thời thay thêố hoặ c óax bỏ chúng Lọc đấều vào đượ c th ực hành b ởinh ững developers viêốt mã phía server Escape: Đấy bi nệ pháp ngằn ch nặ XSS t ương đốối hiệu bằềng cách thay đổ i ký ựt bằềng mã đ cặbi tệ.Điêều nhấốt bạ n cấềnưl u ý trườ ng ợh p tm kiêốm thư viện Escape thích hợp Ngồi ra, ng ườidùng m ngạ nên t ựb oả v ệd ữli uệ c aủ bằềng việc cẩn th ận nhấốp vào m tộlink đ ượcchia s nàoẻ Đấy chiêu trị hay dùng c aủhacker tấốn cống XSS, đặc biệt ng Refected XSS Quét mã độc website: Đ ểcó th ểs ớm phát hi nệ lốỗi khằốc phụ c mọ i người cấền ửs dụ ng biện pháp nhằềmquét mã độc website c a ủmình t đóừ có kêố ho chạ x ửlý tốốt Vêề phía doanh nghi ệp, đ ể tránh cu ộc tấốn cống DOMBased XSS bạn cấền ạt o mộ t list thẻ HTML h pợ l ệĐốềng th ời xóa b ỏ th ẻ, nhữ ng đoạ n script lốỗià vkí t ựnh ư“>”, “ 2.4 Giải pháp ngăn chặn công CSRF TIEU LUAN MOI download : skknchat123@gmail.com Thống th ng ườđ tránhể tấốn cống ta seỗ chia làm hai đốối t ng,ượ m t ộlà đốối t ượng coder hai đốối t ượng ng ườidùng cuốối (user) - V i đốốiớ t ượng ng ườidùng cuốối thì: H n chêốạ s dử ngụ login vào h thốốngệ nói chuy nệ tiêốp xúc với người lạ qua kênh khác nhau, nh ngữ email khống rõ nguốền gốốc Khi khống dùng h ệthốống logout Nên login vào m tộmáy riêng khống cho ng ườith ứ2 tiêốp xúc với máy Thay đ iổm tậkh uẩ liên t c,ụ ch ọn nh ững m ật kh ẩu khó đốn, có kyỗ ựt đặ c biệ t Vì hiệ n có rấốt nhiêều phấền mêềm dị pass - V ớiđốối tượng coder: -Th cựhi nệt oạnh ngữ token auto random v i ớt ngừ máy, t ừng trình tệvà thiêốt lập th ời gian sốống cho token Khống s ửd ụng ph ương th ức GET v ớinh ững request mà có nhả h ưởng đêốn CSDL Khi lấốy liệu từ người dùng kiểm tra chặt cheỗ URL admin khó nh ớcàng bí hi mể tốốt CHƯƠNG IV: MƠ HÌNH HĨA ĐƠN GIẢN NGĂN CHẶN TẤN CƠNG WEBSITE Quét lỗ hổng web công cụ OWASP ZAP 1.1 OWASP ZAP ? Owasp Zap – The Open Web Application Security Project hiểu dự án mở bảo mật ứng dụng web Đây dự án cộng đồng chung tay tham gia, giúp tổ chức phát triển mở bảo trì ứng dụng trạng thái an tồn Chúng người dùng biết đến nhiều với tính quét lỗi bảo mật ứng dụng web, mã nguồn mở Owasp Zap đưa 10 rủi ro mà bạn gặp phải TIEU LUAN MOI download : skknchat123@gmail.com - Khả bị tiêm nhiễm mã độc - Tính san lầm việc kiểm tra định danh phiên làm việc 1.2 - Thực thi mã Scrip xấu - Đối tượng tham chiếu không an tồn tuyệt đối - Cấu hình an ninh bị sai - Có thể bị lộ cấu hình nhạy cảm - Đơi cịn bị kiểm sốt mức độ truy cập chức - Giả mạo yêu cầu - Bị công sử dụng thành phần với lỗ hổng bảo mật - Chuyển hướng khơng an tồn Thực qt lỗ hổng web OWASP ZAP Để thực dò quét lỗ hổng trang web ta dụng cơng cụ chuyên dò quét lỗ hổng website ta sử dụng công cụ OWASP ZAP: https://www.zaproxy.org/download/ Khi tải xuống, thơng báo "Bạn có muốn lưu ?" xuất hiện, lưu Tiếp theo, xuất thơng báo hỏi "Bạn muốn lưu ZAP session ?", check vào checkbox "Không lưu liên tục, lưu session cần" nhấp vào "Bắt đầu" Như vậy, OWASP ZAP sẵn sàng để chạy máy tính, sau thực cài đặt proxy ta thực kiểm tra lỗ hổng OWASP ZAP kiểm tra lỗ hổng ứng dụng web "Scan" nghĩa công ứng dụng web mục tiêu Khi nhập URL ứng dụng Web cần kiểm tra OWASP ZAP, trình scan đơn giản bắt đầu Tùy trường hợp mà việc scan thực vài phút, vài OWASP ZAP gửi số lượng lớn request đến ứng dụng Web mục tiêu ("Request" theo thuật ngữ máy tính "yêu cầu" "tin nhắn" trao đổi hệ thống máy tính.) TIEU LUAN MOI download : skknchat123@gmail.com Khi q trình scan đơn giản hồn tất, lỗ hổng tìm thấy hiển thị mục "Alert (warning)" hình Trong đồ án ta quét lỗ hổng trang web cách đơn giản nên bước ta cần thu thập thông tin địa IP ứng dụng web Ở ta thực quét lỗ hổng trang web báo Thanh Niên: https://blogtuoitre.vn/ Để quét lỗ hổng trang web ta sử dụng chức Automated scan Hình OWASP ZAP cơng cụ sau: Nhập URL trang web mong muốn dò quét sau click vào nút Attack: Hình Nhập URL để quét web blogtuoitre OWASP ZAP TIEU LUAN MOI download : skknchat123@gmail.com Kết có 11 Alerts, click chuột vào Alerts để xem chi tiết Hình Kêốt quét blogtuoitre bằềng OWASP ZAP Thực quét lỗ hổng cho http://testasp.vulnweb.com/ theo cách tương tự: Hình 10 Nh ập URL đ ể quét web testasp OWASP ZAP TIEU LUAN MOI download : skknchat123@gmail.com Kết có 18 cảnh báo (New Alerts), click chuột vào Alerts để xem chi tiết Hình 11 Kêốt qu ả quét testasp bằềng OWASP ZAP Quét lỗ hổng CyStack Scan 2.1 CyStack Scan ? CyStack Scan cơng cụ qt lỗ hổng website, web server miễn phí phát triển CyStack Hệ thống tích hợp cơng nghệ Plugins & Web fuzzing Giúp cho việc kiểm tra bảo mật website server trở nên dễ dàng Phần mềm hoạt động hoàn toàn online miễn phí CyStack có chức năng: - Scanning: Dị qt, phát cảnh báo sớm lỗ hổng website định kỳ - Monitoring: Giám sát cảnh báo sớm cố website 24/7 - Responding: Dò quét làm mã độc website - Protecting: Hệ thống tường lửa giúp bảo vệ website khỏi công malware tin tặc Ưu điểm: - Quét lỗ hổng bảo mật cho website server TIEU LUAN MOI download : skknchat123@gmail.com - Sử dụng chung công nghệ với phần mềm Premium (trả phí) CyStack Cloud Security - Cơ sở liệu cập nhật thường xuyên, giúp bảo vệ website khỏi rủi ro - Hoạt động online, không cần cài đặt - Dễ sử dụng Nhược điểm: Giới hạn lượt quét miễn phí/ngày 2.2 Thực quét lỗ hổng web CyStack Để sử dụng CyStack Scan, ta cần truy cập trang web https://cystack.net/ Chọn Products chọn CyStack Web Security để quét lỗ hổng trang web Hình 12 CyStack Hình 13 Đằng ký tài khoản CyStack TIEU LUAN MOI download : skknchat123@gmail.com Đăng ký tài khoản CyStack: Chọn Deep Scan Hình 14 Chức nằng Deep Sacn CyStack Nhập địa trang web: https://truyenfull.com/ TIEU LUAN MOI download : skknchat123@gmail.com Hình 15 Quét trang truyenfull.om bằềng CyStack Kết trả về: Hình 16 Kêốt quét truyenfull.com bằềng CyStack TIEU LUAN MOI download : skknchat123@gmail.com CHƯƠNG V: KẾT LUẬN 1.1 Kết đạt - Phân tích phương thức công lỗ hổng bảo mật website thường gặp - Tìm hiểu số nguyên nhân gây lỗ hổng bảo mật website - Tìm hiểu giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website 1.2 Hạn chế đề tài Bên cạnh kết đạt số hạn chế: - Chưa tìm hiểu cách thức cơng website - Chỉ tìm hiểu, phân tích số phương thức cơng, ngun nhân giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website 1.3 Hướng nghiên cứu TIEU LUAN MOI download : skknchat123@gmail.com - Tiếp tục tìm hiểu kỹ phương thức công, nguyên nhân giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website để đưa góc nhìn đầy đủ - Tiếp tục tìm hiểu cách thức công website TÀI LIỆU THAM KHẢO: Bảo mật website A-Z: Hướng dẫn cách bảo mật trang web hiệu quả: https://cystack.net/vi/blog/bao-mat-website Wikipedia Việt Nam: https://vi.wikipedia.org/wiki/Website Giáo trình An tồn thơng tin: TS.Trương Thành Cơng TIEU LUAN MOI download : skknchat123@gmail.com ... hack, nhà quản trị mạng cần quan tâm đến phương pháp bảo mật website công cụ bảo mật trang web hiệu Báo cáo tơi tìm hiểu kỹ nguyên nhân giải pháp an toàn để bảo mật website hiệu Phạm vi đề tài... phát lỗ hổng, đảm bảo an toàn bảo mật website để đưa góc nhìn đầy đủ - Tiếp tục tìm hiểu cách thức công website TÀI LIỆU THAM KHẢO: Bảo mật website A-Z: Hướng dẫn cách bảo mật trang web hiệu quả:... nghiên cứu đề tài mang tầm vi mô, giới hạn thời gian ngắn Cụ thể, đề tài “ Các giải pháp để đảm bảo an toàn bảo mật website? ?? tập trung nghiên cứu tìm hiểu website, TIEU LUAN MOI download : skknchat123@gmail.com