BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃBÁO CÁO MÔN KỸ THUẬT LẬP TRÌNH : ĐỀ TÀI KIỂM THỬ WEBSITE DỰA TRÊN KỸ THUẬT FUZZING Có 5 phần code demo + chứa file powerpoint đã làm Có chứa lý thuyết về kiểm thử website và demo thực hành (nt email at1601vap@gmail.com dc giảm giá 10k)
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO MƠN KỸ THUẬT LẬP TRÌNH ĐỀ TÀI KIỂM THỬ WEBSITE DỰA TRÊN KỸ THUẬT FUZZING Sinh viên thực hiện: Giảng viên hướng dẫn: Khóa An tồn thông tin – Học viện kỹ thuật Mật Mã Hà Nội, 2022 LỜI CẢM ƠN Nhóm chúng em đặc biệt gửi lời cảm ơn sâu sắc đến thầy tận tình hướng dẫn, giúp đỡ chúng em thời gian học tập Học viện thời gian nghiên cứu, hoàn thành báo cáo Trong trình thực báo cáo, hạn chế kinh nghiệm thực tiễn nên báo cáo chúng em cịn vài thiếu sót, chúng em mong nhận nhận xét, đánh giá góp ý từ thầy Một lần nữa, chúng em xin chân thành cảm ơn thầy cô, chúc thầy cô thành công sống công việc Hà Nội, ngày tháng năm Nhóm sinh viên thực thiện MỤC LỤC DANH MỤC TỪ NGỮ VIẾT TẮT Từ viết tắt Nghĩa URL FTP HTTP API SQL LDAP XSS CSRF XML CSDL HTML PHP OWASP IP UDP TCP Uniform Resource Locator File Transfer Protocol Hypertext Transfer Protocol Application Programming Interface Structured Query Language Lightweight Directory Access Protocol Cross Site Scripting Cross-Site Request Forgery Extensible Markup Language Cở sở liệu Hypertext Markup Language Hypertext Preprocessor Open Web Application Security Project Internet Protocol User Datagram Protocol Transmission Control Protocol DANH MỤC HÌNH VẼ Lý chọn đề tài Hiện nay, vấn đề bảo mật an tồn thơng tin ngày phủ, quan, doanh nghiệp trọng đầu tư Tuy nhiên, tất tổ chức, doanh nghiệp trang bị đầy đủ đảm bảo an tồn, bảo mật thơng tin cách tồn diện Theo khảo sát, khoảng 75% công mạng thực thông qua ứng dụng web thông qua website Website không kiểm tra kỹ lưỡng đảm bảo an tồn, dễ dàng làm mồi cho kẻ cơng Từ tình hình ta thấy cần thiết có giải pháp, kỹ thuật xây dựng hệ thống kiểm thử bảo mật cho hệ thống website, nhằm phát cảnh báo lỗ hổng hệ thống website cách xác Các lỗ hổng lỗi người lập trình hệ thống: SQL Injection, Code Injection, Cross Site Scripting, URL Redirect,… Các lỗi việc cấu hình hệ thống khơng an tồn phân quyền tài nguyên máy chủ không nghiêm ngặt, đặt tài khoản mặc định,… Trong phương pháp kiểm thử hộp đen, Fuzzing kỹ thuật phát lỗ hổng phần mềm, thực cách cung cấp tự động bán tự động liệu đầu vào bất thường, không hợp lệ hay ngẫu nhiên vào chương trình nhằm theo dõi xác định trường hợp, hành vi bất thường trình xử lý kết trả để phát lỗ hổng bảo mật tiềm ẩn Kỹ thuật fuzzing mang lại hiệu lớn cho việc kiểm thử cho vấn đề an ninh phần mềm, hệ thống máy tính ứng dụng dịch vụ Hiện tại, fuzzing kỹ thuật tách rời cộng đồng kiểm thử với nhiều mã nguồn mở, cơng cụ thương mại cơng trình nghiên cứu liên quan Xuất phát từ thực tế trên, nhóm em lựa chọn đề tài “Kiểm thử website dựa kỹ thuật fuzzing” thuộc phạm vi vấn đề nêu để làm báo cáo nhằm góp phần đáp ứng yêu cầu nghiên cứu lý luận, phục vụ công tác đảm bảo an toàn, bảo mật website CHƯƠNG : TỔNG QUAN VỀ BẢO MẬT WEBSITE 1.1 Các khái niệm 1.1.1 Lỗ hổng bảo mật Lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp … Ngoài lỗ hổng cịn tồn tại hệ điều hành Windows XP, Windows NT, UNIX; ứng dụng mà người sử dụng thường xuyên sử dụng Word processing, Các hệ databases… Có thể nói lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại hay chiếm đoạt tài nguyên hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: - Do lỗi thân hệ thống - Do phần mềm cung cấp người lập trình - Do người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp 1.1.2 Lỗ hổng website Lỗ hổng website điểm yếu hệ thống website mà tin tặc lợi dụng để khai thác nhằm thu thập thông tin hệ thống, công lấy cắp thông tin, công vào người dùng hệ thống hay công chiếm quyền điều khiển hệ thống website Lỗ hổng website xuất phát từ nhiều nguyên nhân, nhiên chủ yếu nguyên nhân sau: - Lỗi người lập trình, phát triển ứng dụng tập trung vào chức tốc độ mà khơng quan tâm đến an tồn Ứng dụng khơng có thành phần kiểm tra hay kiểm tra yếu liệu đầu vào từ người dùng, từ đó, kẻ cơng lợi dụng lỗ hổng từ mã nguồn để khai thác công hệ thống - Lỗi người quản trị cấu hình hệ thống yếu, cấu hình hệ thống mặc định, tài khoản mặc định, khơng thường xuyên cập nhật phiên cho dịch vụ triển khai hệ thống - Lỗi nằm giao thức, tảng hay chuẩn xây dựng hệ thống cơng khai Ví dụ giao thức HTTP hoạt động theo ch̉n mơ hình client/server đơn giản xây dựng giao thức người ta chưa quan tâm đến vấn đề bảo mật 1.1.3 Kiểm thử phần mềm Kiểm thử phần mềm định nghĩa theo nhiều cách khác nhau, số định nghĩa: Kiểm thử phần mềm trình khảo sát hệ thống hay thành phần điều kiện xác định, quan sát ghi lại kết quả, đánh giá khía cạnh hệ thống hay thành phần Kiểm thử phần mềm trình thực thi chương trình với mục đích tìm lỗi Kiểm thử phần mềm hoạt động khảo sát thực tiễn sản phẩm hay dịch vụ phần mềm môi trường chúng dự định triển khai nhằm cung cấp cho người có lợi ích liên quan thông tin chất lượng sản phẩm hay dịch vụ phần mềm Mục đích kiểm thử phần mềm tìm lỗi hay khiếm khuyết phần mềm nhằm đảm bảo hiệu hoạt động tối ưu phần mềm nhiều ngành khác Có thể định nghĩa cách dễ hiểu sau: Kiểm thử phần mềm tiến trình hay tập hợp tiến trình thiết kế thực nhằm đảm bảo cho hệ thống thực theo yêu cầu mà chúng thiết kế không thực điều không mong muốn Kiểm thử phần mềm pha quan trọng trình xây dựng phát triển hệ thống, chúng giúp cho người phát triển hệ thống khách hàng thấy hệ thống đáp ứng yêu cầu đặt Các phương pháp kiểm thử phần mềm chia làm loại: - Kiểm thử hộp đen (Black box testing) - Kiểm thử hộp trắng (White box testing) - Kiểm thử hộp xám (Gray box testing) 1.1.3.1 Kiểm thử hộp đen Là phương pháp kiểm thử thực mà cấu trúc hành vi bên phần mềm, cách kiểm thử mà hệ thống xem hộp đen, khơng cách nhìn thấy phía bên hộp Một số phương pháp kiểm thử hộp đen: - Kiểm thử fuzzing (Fuzz testing) - Phân lớp tương đương (Equivalence partitioning) - Phân tích giá trị biên (Boundary value analysis) - Kiểm thử cặp (All-pairs testing) - Ma trận dấu vết (Traceability matrix) - Kiểm thử thăm dị (Exploratory testing) Hình 1.1 : Kiểm thử hộp đen Kiểm thử hộp đen khơng có mối liên quan tới mã lệnh, kiểm thử viên hộp đen tìm lỗi mà lập trình viên khơng tìm Nhưng, mặt khác, người ta nói kiểm thử hộp đen “giống bóng tối mà khơng có đèn”, kiểm thử viên phần mềm kiểm tra thực xây dựng Đó lý mà có nhiều trường hợp mà kiểm thử viên hộp đen viết nhiều ca kiểm thử để kiểm tra thứ mà cần kiểm tra ca kiểm thử Do vậy, kiểm thử hộp đen có ưu điểm đánh giá khách quan, mặt khác lại có nhược điểm thăm dị mù 1.1.3.2 Kiểm thử hộp trắng Là phương pháp kiểm thử trái ngược hồn tồn với kiểm thử hộp đen, cho phép kiểm tra cấu trúc bên phần mềm với mục đích đảm bảo tất mã lệnh, thuật toán điều kiện thực lần Một số phương pháp kiểm thử hộp trắng: - Kiểm thử giao diện lập trình ứng dụng (API testing) - Bao phủ mã lệnh (Code coverage) - Các phương pháp gán lỗi (Fault injection) - Các phương pháp kiểm thử hoán chuyển (Mutation testing methods) - Kiểm thử tĩnh (Static testing) Hình 1.2: Kiểm thử hộp trắng Kiểm thử hộp trắng áp dụng cấp đơn vị, tích hợp hệ thống cấp độ trình kiểm thử phần mềm Mặc dù phương pháp thiết kế kiểm thử phát nhiều lỗi vấn đề, khơng phát phần chưa thực đặc điểm kỹ thuật yêu cầu thiếu sót 1.1.3.3 Kiểm thử hộp xám Là kết hợp kiểm thử hộp đen hộp trắng Trong kiểm thử hộp xám, cấu trúc bên sản phẩm biết phần, người kiểm thử truy cập vào cấu trúc liệu bên thuật tốn chương trình với mục đích để thiết kế đầu vào, kiểm tra mức hộp đen Hình 1.3: Kiểm thử hộp xám Việc thao tác tới liệu đầu vào định dạng liệu đầu không rõ ràng, giống hộp xám, đầu vào đầu rõ ràng bên hộp đen mà gọi hệ thống kiểm tra 1.1.4 Kiểm thử website Kiểm thử website thành phần kiểm thử phần mềm tập trung vào ứng dụng web, nhằm đảm bảo ứng dụng web hoạt động cách hiệu quả, xác đáp ứng nhu cầu khách hàng Hiện nay, thành phần phát triển nhanh kiểm thử phần mềm Hồn thành q trình kiểm thử hệ thống web trước vào hoạt động bước đầu để có đảm bảo khả ứng dụng xây dựng trang web hoạt động Nó giúp giải vấn đề tính sẵn sàng, tồn vẹn, bảo mật hệ thống web, đáp ứng cho số lượng ngày tăng cao người sử dụng khả sống sót lưu lượng truy cập người dùng Việc bỏ qua vấn đề kiểm thử trước vào hoạt động ảnh hưởng đến khả hoạt động website Sau thực kiểm thử web, kiểm thử viên tìm thấy cố hệ thống trước chúng xảy môi trường người dùng 10 Các lỗi tràn đệm làm cho tiến trình bị đổ vỡ cho kết sai Các lỗi kích hoạt liệu vào thiết kế đặc biệt để thực thi đoạn mã phá hoại để làm cho chương trình hoạt động khơng mong đợi Bằng cách lỗi tràn đệm gây nhiều lỗ hổng bảo mật phần mềm tạo sở cho nhiều thủ thuật khai thác Kỹ thuật Fuzzing Bufer overflow cho phép ta xác định xem có lỗ hổng phần mềm hay khơng cho phép xác định số lượng byte cần cho lần bị tràn nhớ Fuzzing cách dễ để tìm "Tràn đệm" Fuzzing cho phép ta gửi byte liệu đến chương trình dễ bị cơng lần lặp ngày tăng, với mong muốn làm tràn không gian đệm ghi đè lên ghi EIP Ta có đoạn mã viết Python sử dụng kỹ thuật fuzzing máy Kali sau: Hình 3.11 Đoạn mã kiểm tra lỗ hổng “tràn đệm” Đoạn mã thực sau: Đặt biến “buffer” 100 A Thực vòng lặp while, gửi lần lặp lại ngày tăng A tới Vulnserver (một ứng dụng máy chủ TCP thiết kế dựa Windows để khai thác) dừng lại Vulnserver gặp cố 49 Cần lưu ý IP ta sử dụng máy Windows chạy Vulnserver, Vulnserver chạy cổng 9999 theo mặc định lỗ hổng mà công lệnh “TRUN” Hãy tải Vulnserver Immunity Debugger với tư cách quản trị viên (rất quan trọng) Trong Trình gỡ lỗi miễn dịch, nhấp vào File > Attach chọn vulnserver.exe Cuối cùng, thực thi tập lệnh Ta nhận thấy Vulnserver gặp cố: Hình 3.12 Vulnserver gặp cớ Tất ghi ghi đè 41 (hex ‘A’) Điều có nghĩa có lỗ hổng tràn đệm ta chứng minh ta ghi đè lên EIP Tại thời điểm này, biết EIP nằm từ đến 50 2200 byte Những cần làm tìm xác vị trí EIP (tính byte) cố gắng kiểm sốt *Lưu ý: Trong số trường hợp, Vulnserver không bị crash, Immunity tạm dừng, điều cho thấy có cố Trong trường hợp này, ta 1) phải nhấn “Ctrl + C” để dừng tập lệnh fuzzing 2) khơng có tất ghi bị ghi đè “A” Điều khơng miễn chương trình gặp cố ta có ý tưởng chung số byte gửi - Một ví dụ cách công Bufer overflow qua Web Code Red Worm 3.2.4 Testing XSS XSS cho phép kẻ công thực thi tập lệnh trình duyệt củanạn nhân, cho phép chúng chiếm quyền điều khiển phiên người dùng chuyển hướng người dùng đến trang web độc hại Để kiểm tra xem trang web bị cơng XSS hay khơng, sử dụng tập lệnh sau, từ tệp XSS-attack-vectors.txt có chứa tất vectơ cơng có: alert('XSS'); '';! "=&{()} SRC= alert(\"XSS\") BODY{-mozbinding:url("http://xss.rocks/xssmoz.xml#xss")} 52 Ta có đoạn mã fuzz_xss.py viết Python sau: Hình 3.13 fuzz_xss.py 53 Trong tập lệnh trước, mở tệp có chứa XSS playload (phần liệu thực truyền gói tin hai phía, mà khơng chứa liệu giao thức hay siêu liệu - phần gởi để dùng cho việc chuyên chở payload) ta lưu playloads mảng xsspayloads Sau đó, sử dụng phản hồi kết hợp với mơ-đun BeautifulSoup để phân tích cú pháp đầu vào trang biểu mẫu Sử dụng playload data form, kiểm tra diện playload phản hồi để xác minh diện lỗ hổng này: Hình 3.14 Kết chạy module Testing XSS Kết việc thực thi tập lệnh trước đó, payload mà ta kiểm tra request, payload có response trang web bị cơng XSS Chúng ta kiểm tra lỗ hổng trang testphp.vulnweb.com Hình 3.15 Kết kiểm tra lỗ hổng trang testphp.vulnweb.com 54 Đây kiểu công injection xảy vectơ công tiêm dạng tập lệnh phía trình duyệt Nếu nhập vào trường tìm kiếm vectơ cơng, thấy thực thi mã mà ta chèn vào thẻ script 3.2.5 Kiểm tra phương thức HTTP được server hỗ trợ Sử dụng http_methods.txt để kiểm tra phương thức server hỗ trợ: OPTIONS GET HEAD POST PUT DELETE TRACE TRACK CONNECT PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK VERSION-CONTROL REPORT CHECKOUT CHECKIN UNCHECKOUT MKWORKSPACE UPDATE LABEL MERGE BASELINE-CONTROL 55 MKACTIVITY ORDERPATCH ACL PATCH SEARCH ARBITRARY BCOPY BDELETE BMOVE BPROPFIND BPROPPATCH DEBUG INDEX NOTIFY POLL RPC_IN_DATA RPC_OUT_DATA SUBSCRIBE UNSUBSCRIBE X-MS-ENUMATTS Ta chạy đoạn chương sau: import requests methods = [] # open file and read the content in a list with open('http_methods.txt', 'r') as filehandle: for line in filehandle: method = line[:-1] methods.append(method) domain = 'http://127.0.0.1:8000' list = list(range(500, 600)) list.append(404) list.append(405) for method in methods: 56 print("Testing " + method + " in "+ domain) response = requests.request(method, domain) if response.status_code not in list: print('Method allowed: '+ method) Chúng ta kiểm tra domain 127.0.0.1:8000 có phương thức hình: Hình 3.16 Các phương thức của 127.0.0.1:8000 - Ta được kết là: Hình 3.17 Kết chạy module kiểm tra phương thức HTTP được server hỗ trợ 57 3.3 Đánh giá kết thực nghiệm 3.3.1 Ưu điểm - Bước đầu thu thập địa truy cập dễ bị công server kỹ thuật Fuzzing - Tìm kiếm, phát lỗ hổng SQL Injection trang web thực thi công vào trang web nhằm lấy thơng tin nhạy cảm - Kiểm tra, tìm kiếm lỗ hổng Buffer overflow, Testing XSS - Kiểm tra phương thức HTTP server hỗ trợ - Cả năm kịch thực nghiệm có khả phát lỗ hổng đơn giản nguy hiểm - Cho phép người dùng thực giai đoạn cơng phát lỗ hổng 3.3.2 Nhược điểm - Chưa sử dụng nhiều kỹ thuật Fuzzing khác liệu Fuzzing chưa đa dạng để phát tất loại lỗi - Qúa trình lọc thu thập điểm đầu vào cịn chưa xác website có thiết kế đặc biệt 58 Kết luận Chương Trong chương 3, nhóm em hồn thành thực nghiệm năm kịch kỹ thuật Fuzzing để tìm kiếm địa dễ cơng, phát lỗ hổng SQL Injection tìm kiếm lỗ hổng “tràn đệm”, Testing XSS, kiểm tra phương thức HTTP server hỗ trợ với độ xác tin cậy Chương trình bày chi tiết bước để người dùng vận dụng thử nghiệm để kiểm tra lỗ hổng bảo mật web Cùng với đó, theo dõi đánh giá trang web để đưa biện pháp bảo vệ website tránh khỏi công đơn giản trang web dễ gặp phải Do hạn chế mặt thời gian kiến thức nên nhóm em chưa thể thực thêm nhiều kỹ thuật Fuzzing khác để phát thêm lỗ hổng 59 KẾT LUẬN Ngày nay, website ngày mở rộng phát triển mạnh mẽ, vấn đề bảo mật cho website ngày quan tâm Nó trở thành yếu tố định sinh tồn website hay tổ chức, doanh nghiệp đứng sau Kiểm thử website trở thành hoạt động thiếu trình xây dựng vận hành, nhằm đảm bảo hoạt động định chất lượng website Việc lựa chọn phương pháp kiểm thử kỹ thuật Fuzzing giúp cho việc kiểm thử web trở nên hiệu quả, giảm chi phí thời gian Kết luận Sau khoảng thời gian nghiên cứu thực tập lớn, theo yêu cầu ban đầu đặt nghiên cứu kỹ thuật Fuzzing áp dụng kiểm tra lỗ hổng bảo mật website, báo cáo đạt kết sau: - Đưa sở lý thuyết website, cách thức hoạt động, phân loại lỗ hổng bảo mật website giải pháp khắc phục cho loại lỗ hổng, tạo tảng cho việc nghiên cứu phương thức phát lỗ hổng bảo mật web ngơn ngữ máy - Trình bày tổng quan phương pháp kiểm thử phần mềm kiểm thử hộp đen, hộp trắng, hộp xám kỹ thuật Fuzzing Buffer overflow, String format attack, SQL Injection… - Thực nghiệm thành công năm kịch Fuzzing để phát URL dễ bị công, công thành công web phương pháp SQL Injection, Buffer overflow, Testing XSS, Kiểm tra phương thức HTTP server hỗ trợ - Đã thực thử nghiệm số website đưa đánh giá hiệu phần mềm Trong trình nghiên cứu thực báo cáo, nghiên cứu, áp dụng kỹ thuật nhằm tìm kiếm phát lỗ hổng bảo mật nhưng: - Chưa xử lý đa dạng cho trường hợp mơ hình website có độ phức tạp lớn - Kết phát lỗ hổng mang tính tương đối, mà chưa có độ xác cao Hướng phát triển Bước đầu báo cáo đạt yêu cầu đề ra, nhiên kết nghiên cứu mức khiêm tốn Nhóm em xin đề xuất số hướng phát triển báo cáo trình thực tiếp theo: 60 - Nghiên cứu áp số kỹ thuật phương pháp kiểm thử hộp trắng, hộp xám nhằm tận dụng việc thực kiểm thử biết cấu trúc hay có sẵn mã nguồn website - Phát triển, nâng cấp mở rộng trường hợp xử lý cho việc thực kiểm thử mơ hình tốn website rộng hơn, phức tạp Phát triển sâu để bảo mật mức hệ thống mạng dịch vụ - Nghiên cứu số thuật toán kỹ thuật nhằm nâng cao chất lượng phần mềm tốc độ lấy liệu độ xác phân tích lỗ hổng tồn kết trả từ máy chủ web - Phát triển phần mềm để phát lỗ hổng có liên quan đến tính sẵn sàng website DOS/DDOS, 61 TÀI LIỆU THAM KHẢO [1] Jose Manuel Ortega - Mastering Python for Networking and Security_ Leverage the scripts and libraries of Python version 3.7 and beyond to overcome networking and security issues-Packt Publishing Ltd [2] TJ O'Connor - Violent Python A cookbook for hackers, forensic analysts, penetration testers and security engineers-Syngress (2013) [3] https://github.com/fuzzdb-project/fuzzdb [4] Slide giảng Kỹ Thuật Lập Trình – Học viện Kỹ Thuật Mật Mã [5] https://academy.fuzzinglabs.com/introduction-python-fuzzing? [6] https://www.fuzzingbook.org/html/Fuzzer.html [7] https://fuzzing.readthedocs.io/en/latest/tutorial.html 62 ... s.recv(102 4) s.close () except: print("Could not connect to " + ip + ":" + str(port )) sys.exit( 0) time.sleep( 1) Kết luận chương 2: Chương trình bày tồn kỹ thuật fuzzing kiểm tra lỗ hổng bảo mật Website. .. socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.settimeout(timeout) connect = s.connect((ip, port )) s.recv(102 4) print( "Fuzzing with %s bytes" % len(string )) s.send("OVERFLOW1 " + string + " ") s.recv(102 4). .. chia làm loại: - Kiểm thử hộp đen (Black box testing) - Kiểm thử hộp trắng (White box testing) - Kiểm thử hộp xám (Gray box testing) 1.1.3.1 Kiểm thử hộp đen Là phương pháp kiểm thử thực mà cấu