Bảo mật website và do quét lỗ hổng bằng mã nguồn mở vega ( có video demo + pp)

THÔNG TIN TÀI LIỆU

MÔN KỸ THUẬT LẬP TRÌNH : ĐỀ TÀI BẢO MẬT WEBSITE VÀ DÒ QUÉT LỖ HỔNG BẰNG PHẦN MỀM NGUỒN MỞ VEGA Có VIDEO demo + chứa file powerpoint đã làm Có chứa lý thuyết về bảo mật website và demo thực hành ( email at1601vap@gmail.com dc giảm 10k )

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MÔN HỌC THỰC TẬP CƠ SỞ ĐỀ TÀI BẢO MẬT WEBSITE VÀ DÒ QUÉT LỖ HỔNG BẢO MẬT WEBSITE BẰNG VEGA Sinh viên thực hiện: Giảng viên hướng dẫn: Hà Nội, 2021 LỜI CẢM ƠN Để có thành ngày hơm nay, ngồi nỗ lực khơng ngừng nghỉ thành viên nhóm phần khơng nhỏ đóng góp nên thành cơng nhờ quan tâm, bảo, giúp đỡ thầy cơ, anh chị khóa bạn bè xung quanh Chúng em xin chân thành cảm ơn thầy - – giảng viên trực tiếp hướng dẫn, bảo, tạo điều kiện thuận lợi giúp đỡ chúng em q trình thực đề tài Tuy có nhiều cố gắng nỗ lực thành viên để hoàn thiện đề tài, chắn đề tài “ BẢO MẬT WEBSITE VÀ DÒ QUÉT LỖ HỔNG BẢO MẬT WEBSITE BẰNG VEGA ” chúng em cịn nhiều thiếu sót Chúng em mong nhận góp ý từ thầy giáo để nhóm em hồn thiện tốt đề tài nghiên cứu sau Chúng em xin chân thành cảm ơn! Hà Nội, ngày tháng năm 2021 Nhóm sinh viên thực đề tài MỤC LỤC LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU .6 MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ TẤN CÔNG LỖ HỔNG BẢO MẬT WEBSITE 1.1 Tổng quan công nghệ Web 1.1.1 Giới thiệu chung 1.1.2 Dịch vụ chế hoạt động Web 11 1.1.3 So sánh Ứng dụng website website 13 1.2 Một số phương thức công lỗ hổng bảo mật website .15 1.2.1 Giới thiệu chung 15 1.2.2 Các phương thức công lỗ hổng bảo mật website 16 1.2.3 Nhận xét đánh giá 20 CHƢƠNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN LỖ HỔNG BẢO MẬT WEBSITE 22 2.1 Tổng quan phát lỗ hổng bảo mật Website 22 2.1.1 Giới thiệu chung 22 2.1.2 Cơ chế mơ hình phát lổ hổng bảo mật Website 23 2.2 Giải pháp sử dụng công cụ phần mềm dò quét 25 2.2.1 Giới thiệu giải pháp 25 2.2.2 Một số phần mềm phát lỗ hổng bảo mật Website 26 2.3 Giải pháp sử dụng hệ thống phát xâm nhập 28 2.3.1 Giới thiệu hệ thống phát xâm nhập 28 2.3.2 Ứng dụng hệ thống IDS phát lỗ hổng bảo mật Website 32 2.3.3 Nhận xét 35 2.4 Kết luận chương 36 CHƢƠNG THỰC NGHIỆM 37 3.1 Cài đặt VEGA tảng Kali Linux .37 3.1.1 Chuẩn bị môi trường Kali - Linux Vmware 16 Pro 37 3.1.2 Tiến hành cài đặt vega 39 3.2 Thực nghiệm : 45 3.2.1 Đối tượng thực nghiêm : 45 3.2.2 Kết thực nghiệm .46 3.2.3 : Bảng tổng kết kết : 52 3.3 Kết luận đánh giá 54 3.3.1 Kết luận: 54 3.3.2 Đánh giá 54 KẾT LUẬN 55 TÀI LIỆU THAM KHẢO 56 DANH MỤC HÌNH VẼ Hình 1 Mô ứng dụng Web 11 Hình Dịch vụ Web Service 12 Hình Cơ chế hoạt động Web Service 12 Hình Website Web Application 14 Hình Mơ hình chế tổng quát phát lỗ hổng bảo mật Website 24 Hình 2 Sơ đồ thực công lỗ hổng sở liệu SQL web 26 Hình Ứng dụng Vega 27 Hình Các thành phần hệ thống IDS 29 Hình Mơ hình hệ thống HIDS 30 Hình Mơ hình hệ thống NIDS 30 Hình Mơ hình hệ thống IDS phát lỗ hổng bảo mật 35 Hình : Tải file iso Kali linux 37 Hình 2: Đường dẫn chứa file iso 38 Hình 3 : Cài Kali hệ điều hành linux 38 Hình : Thơng số kỹ thuật Kali 39 Hình : Tải file JDK 39 Hình : Chạy file JDK tải 40 Hình : Thực thêm dòng lệnh vào etc/environment 41 Hình 8: Thực việc cập nhật JDK cho Kali 42 Hình 9: Thực chuyển sang chế độ JDK 42 Hình 10: Thêm liệu vào /etc/apt/sources.list.d/deb9.list 43 Hình 11 : Tạo mở thư mục Repos để lưu file Vega 43 Hình 12: Sao chép link download file Vega 44 Hình 13: Dùng wget để tải file Vega 44 Hình 14 : Thực unzip file Vega để cài đặt 45 Hình 15 : Mở thư mục chứa Vega chạy ứng dụng 45 Hình 16 : Kết dò quét trang web MBBANK 46 Hình 17 : Kết dò quét trang web TIKI 47 Hình 18 : Kết dò quét trang chủ HVKT Mật Mã 47 Hình 19 : Kết dò quét trang web quan lý sinh viên HVKT Mật Mã 48 Hình 20 : Kết dò quét trang web Biti’s 48 Hình 21 : Kết dò quét trang web bán hàng kênh Thợ Rừng 49 Hình 22 : Kết dị qt trang web salon tóc 30shine 49 Hình 23 : Kết dò quét trang web bán tài khoản game youtuber .50 Hình 24 : Kết dị qt trang web cổng thơng tin tiêm chúng covid-19 50 Hình 25 : Kết dị qt trang web ví điện tử MOMO 51 Hình 26 : Kết dò quét trang web testphp.vulnweb.com 51 Hình 27 : Kết dị qt trang web demo.testfire.net 52 DANH MỤC BẢNG BIỂU Bảng I : Danh sách trang web dùng để dò quét 46 Bảng II : Kết thực nghiệm 53 MỞ ĐẦU 1.Tính cấp thiết đề tài Ngày công nghệ thông tin công nghệ mũi nhọn chiến lược phát triển kinh tế, xây dựng đất nước hầu hết quốc gia Các sản phẩm công nghệ thông tin ứng dụng rộng rãi lĩnh vực đời sống kinh tế, xã hội hầu hết đem đến giá trị thiết thực Đối tượng phục vụ chủ yếu ngành công nghệ thông tin tổ chức, sở doanh nghiệp… Bảo mật luôn vấn đề hàng đầu cho tất loại ứng dụng, đặc biệt website Từ ngày đầu Internet người ta quan tâm đến tính an tồn trao đổi thơng tin Tuy khơng có an tồn tuyệt đối phát triển lĩnh vực nhanh mang lại nhiều thành vấn đề cấp bách nhiều doanh nghiệp Không có mức an tồn thích hợp, khai thác thương mại Internet khơng hồn tồn an tồn Chính an tồn Web mạng khơng thể nằm ngồi vấn đề Có thể nói ngày ngồi việc nghiên cứu để tạo Website tốt mang lại nhiều lợi ích việc nghiên cứu để mang lại an toàn cho Website vấn đề quan trọng Thật khó tin tưởng để sử dụng dịch mua hàng giao diện website, chuyển tiền trực tuyến website khơng đảm bảo mức độ an tồn tối đa Vì nhóm em chọn đề tài để báo cáo cho môn thực tập sở “BẢO MẬT WEBSITE VÀ DÒ QUÉT LỖ HỔNG BẢO MẬT WEBSITE BẰNG VEGA” Đề tài tập trung vào tìm hiểu lỗ hổng kĩ thuật công website vấn đề bảo mật liên quan, sử dụng ứng dụng mã nguồn mở có tên VEGA để quét phân tích lỗ hổng tồn website Từ đưa giải pháp đảm bảo an tồn thơng tin cho website nói riêng cho hệ thống nói chung Mục đích nghiên cứu Mục đích nghiên cứu đề tài nghiên cứu phát lỗ hổng bảo mật website, nêu số giải pháp phát lỗ hổng bảo mật website thường gặp, sử dụng mã nguồn mở Vega kiểm tra số trang web để đánh giá độ bảo mật , lỗ hổng thường gặp trang web Đối tƣợng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu đề tài nghiên cứu giải pháp, công cụ phát lỗ hổng bảo mật website mã nguồn mở Vega Phƣơng pháp nghiên cứu - Về mặt lí thuyết : Thu thập, khảo sát, phân tích tài liệu thơng tin có liên quan đến phát lỗ hổng bảo mật website - Về mặt thực nghiệm : Tiến hành phát lỗ hổng bảo mật website ứng dụng Vega Kết cấu luận văn gồm chương với nội dung sau: Chương 1: Tổng quan lỗ hổng bảo mật website Chương 2: Nghiên cứu giải pháp phát ngăn chặn lỗ hổng bảo mật website Chương 3: Thử nghiệm số trang web phát lỗ hổng bảo mật phần mềm Vega Trong chương tiến hành tìm kiếm thử nghiệm phát số dạng lỗ hổng bảo mật website phần mềm Vega 3.1.2.2 Cài đặt libwebkitgtk - Trước cài libwebkitgtk ta cần cài file sources.list - Thực tạo file deb9.list Bước : Thực lệnh : sudo nano /etc/apt/sources.list.d/deb9.list Bước : Sau lưu liệu vào file : deb http://deb.debian.org/debian/ stretch main contrib non-free deb-src http://deb.debian.org/debian/ stretch main contrib non-free deb http://security.debian.org/ stretch/updates main contrib non-free deb-src http://security.debian.org/ stretch/updates main contrib non-free Hình 10: Thêm liệu vào /etc/apt/sources.list.d/deb9.list Bước : Nhấn tổ hợp Ctrl S + Ctrl X để lưu Sau cần update lại thực cài libwwebkitgtk : sudo apt-get update sudo apt-get install libwebkitgtk-1.0 3.1.2.3 Cài đặt vega Bước 1: Tạo mở thư mục Respon để lưu file linux.gtk.x86_64.zip Hình 11 : Tạo mở thƣ mục Repos để lƣu file Vega 43 VegaBuild- Bước : Mở link https://subgraph.com/vega/download.html chọn dowload để lấy copy link download phiên Linux GTK 64-bit Intel(sig) Hình 12: Sao chép link download file Vega Bước : Dùng Wget để tải vega từ https://subgraph.com/ wget https://support.subgraph.com/downloads/VegaBuild-linux.gtk.x86_64.zip Hình 13: Dùng wget để tải file Vega 44 Bước : Thực unzip file VegaBuild-linux.gtk.x86_64.zip : unzip VegaBuild-linux.gtk.x86_64.zip Hình 14 : Thực unzip file Vega để cài đặt Để mở vega ta thực : Hình 15 : Mở thƣ mục chứa Vega chạy ứng dụng 3.2 Thực nghiệm : 3.2.1 Đối tượng thực nghiêm : Chúng ta tiến hành dò quét số trang Web hành xem thu kết - Thực dò quét trang web vega: Trang web ngân hàng quân https://mbbank.com.vn đội MBBANK Trang web sàn thương mai https://tiki.vn điện tử TIKI Trang chủ Học Viện Kỹ https://www.actvn.edu.vn Thuật Mật Mã Trang web quản lý sinh viên http://qldt.actvn.edu.vn trường Học Viện Kỹ Thuật Mật Mã Trang web Công ty TNHH https://bitis.com.vn/ sản xuất hàng tiêu dùng Bình Tiên (Biti’s) 45 Trang web bán hàng kênh https://thorung.vn/ Thợ Rừng youtube Trang web salon tóc https://30shine.com/ tiếng Việt Nam Trang web bán tài khoản game https://rikaki.net/ game thủ Trang web cổng thông tin https://www.tiemchungcovid19 tiêm chủng Covid-19 gov.vn 10 Trang web ví điện tử https://momo.vn/ MOMO 11 Một số trang web dùng để thực hành khai thác lỗi http://testphp.vulnweb.com http://demo.testfire.net Bảng I : Danh sách trang web dùng để dò quét 3.2.2 Kết thực nghiệm Kết dò quét trang web Trang web ngân hàng quân đội MBBANK https://mbbank.com.vn Hình 16 : Kết dị qt trang web MBBANK 46 Trang web sàn thương mai điện tử TIKI https://tiki.vn Hình 17 : Kết dò quét trang web TIKI Trang chủ Học Viện Kỹ Thuật Mật Mã https://www.actvn.edu.vn Hình 18 : Kết dò quét trang chủ HVKT Mật Mã 47 Trang web quản lý sinh viên trường Học Viện Kỹ Thuật Mật Mã http://qldt.actvn.edu.vn Hình 19 : Kết dị qt trang web quan lý sinh viên HVKT Mật Mã Trang web Cơng ty TNHH sản xuất hàng tiêu dùng Bình Tiên (Biti’s) https://bitis.com.vn/ Hình 20 : Kết dị quét trang web Biti’s 48 Trang web bán hàng kênh Thợ Rừng youtube https://thorung.vn/ Hình 21 : Kết dò quét trang web bán hàng kênh Thợ Rừng Trang web salon tóc tiếng Việt Nam https://30shine.com/ Hình 22 : Kết dị qt trang web salon tóc 30shine 49 Trang web bán tài khoản game youtuber https://rikaki.net/ Hình 23 : Kết dị qt trang web bán tài khoản game youtuber Trang web cổng thông tin tiêm chủng Covid-19 https://www.tiemchungcovid19.gov.vn Hình 24 : Kết dị qt trang web cổng thông tin tiêm chúng covid-19 50 10 Trang web ví điện tử MoMo https://momo.vn/ Hình 25 : Kết dị qt trang web ví điện tử MOMO Một số trang web dùng để thực hành khai thác lỗi : 11 - http://testphp.vulnweb.com Hình 26 : Kết dò quét trang web testphp.vulnweb.com 51 - http://demo.testfire.net Hình 27 : Kết dị qt trang web demo.testfire.net 3.2.3 : Bảng tổng kết kết : Trang web thực nghiệm https://mbbank.com.vn Thời gian Kết thực nghiệm thu Số thực nghiệm lỗi 35 phút Cross-Site Script Include Local Filesystem Paths Found https://tiki.vn 10 phút Cross-Site Script Include 115 115 https://actvn.edu.vn/ 26 phút none http://qldt.actvn.edu.vn 55 phút Cross-Site Scripting 33 SQL Injection Page Fingerprint Differential Detected - Possible Local File Include https://bitis.com.vn/ 15 phút URL Injecttion 43 SQL Injection Shell Injection Possible XML Injection SQL Injection 16 52 https://thorung.vn/ phút Shell Injection Possible XML Injection URL Injecttion Possible HTTP PUT File Uplpad https://30shine.com/ phút https://rikaki.net/ 31 phút https://www.tiemchung 50 giây SQL Injection Cross-Site Scripting SQL Injection Shell Injection Possible XML Injection Certificate signed using SHA-1 Forward covid19.gov.vn/ https://momo.vn phút Secrecy Not Prioritized http://testphp.vulnweb.com phút Cross Site Scripting 11 SQL Injection MySQL Error Detected – Possible SQL Injection http://demo.testfire.net phút session cookie Without Secure Flag Cleartext Password over HTTP Cross-Site Scripting Local File Include Possible Disclosure Bảng II : Kết thực nghiệm 53 Source Code 3.3 Kết luận đánh giá 3.3.1 Kết luận: Qua việc thực dò quét trang web ngẫu nhiên ta nhận thấy đa phần trang web có lỗ hổng sau : + SQL Injection + Cross-Site Scripting + Shell Injection 3.3.2 Đánh giá Trong chương , nhóm em nghiệm thu thử nghiệm lỗ hổng thường gặp số Website thông dụng nay, thời gian thực quét chúng phần mềm Vega Từ xây dựng giải pháp kịp thời, nhằm đảm bảo an tồn thơng tin cho cá nhân nói riêng cho tồn hệ thống nói chung 54 KẾT LUẬN Các kết đạt đƣợc luân văn : Với mục tiêu nghiên cứu vấn đề xoay quanh việc đảm bảo an toàn cho website thử nghiệm, luận văn đạt số kết sau đây: Nghiên cứu tổng quan công nghệ Web vấn đề liên quan - Nghiên cứu tổng quan công lỗ hổng bảo mật WEB - Nghiên cứu đề xuất mơ hình tổng qt phát lỗ hổng bảo mật WEB - - Nghiên cứu hai giải pháp phát lỗ hổng bảo mật WEB vấn đề liên quan - Cài đặt tiến hành dò quét thử nghiêm phát lỗ hổng bảo mật số trang web phổ biến Hƣớng phát triển tiếp theo: - Thực đưa giải pháp tối ưu để hạn chế tối đa xuất lỗ hổng website - Xây dựng nghiên cứu thêm hệ thống dị qt lỗ hổng bảo mật phân tích lỗ hổng chi tiết nhằm hỗ trợ cho bảo đảm an toàn hệ thống Website 55 TÀI LIỆU THAM KHẢO [1] http://bkav.com.vn/ [2] https://github.com/subgraph/Vega/wiki/Vega-Scanner [3] https://subgraph.com/vega/ [4] https://www.mi2.com.vn/cac-cong-cu-quet-lo-hong-bao-mat-website-tot-nhat-hien- nay/ [5] “Phân loại phát lỗ hổng hệ thống thơng tin”, Tạp chí An tồn thơng tin 2014 [6] Jason Weir (2014) - “Building a Debian\Snort based IDS”, McGraw-Hill [7] http://vncert.gov.vn [8] https://cystack.net/vi/blog/10-lo-hong-bao-mat-web ... sở “BẢO MẬT WEBSITE VÀ DÒ QUÉT LỖ HỔNG BẢO MẬT WEBSITE BẰNG VEGA? ?? Đề tài tập trung vào tìm hiểu lỗ hổng kĩ thuật công website vấn đề bảo mật liên quan, sử dụng ứng dụng mã nguồn mở có tên VEGA. .. nhiên, lỗ hổng bảo mật Website chia thành ba loại: lỗ hổng khách quan, lỗ hổng chủ quan lỗ hổng ngẫu nhiên Lỗ hổng khách quan xuất phát từ đặc tính kỹ thuật vốn có thiết bị phần mềm Website Lỗ hổng. .. TỔNG QUAN VỀ TẤN CÔNG LỖ HỔNG BẢO MẬT WEBSITE Nội dung chương khảo sát tổng quan công nghệ web, số phương thức công lỗ hổng bảo mật website, số nguyên nhân gây lỗ hổng bảo mật website vấn đề khác

Ngày đăng: 11/10/2022, 17:02

Xem thêm:

Bảo mật website và do quét lỗ hổng bằng mã nguồn mở vega ( có video demo + pp)

Mơ hình hệ thống NIDS

Chạy file JDK8 đã tải