BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CÁC GIẢI PHÁP ĐỂ ĐẢM BẢO AN TOÀN BẢO MẬT MỘT WEBSITE GVHD: TS Trương Thành Công Sinh viên thực hiện: Trần Thị Hồng Ngát MSSV: 1921006756 Lớp HP: 2111112002702 TP.Hồ Chí Minh, tháng 11, năm 2021 0 0 LỜI CẢM ƠN Sau thời gian thực hiện, đồ án “Các giải pháp để đảm bảo an toàn bảo mật website” em hoàn thành Ngoài nỗ lực cố gắng thân, em nhận hướng dẫn khích lệ tạo điều kiện thuận lợi của nhà trường thầy cô khoa Công nghệ thông tin trường Đại Học Tài Chính Marketing Em xin chân thành cảm ơn thầy Trương Thành Công thầy cô khoa công nghệ thông tin cung cấp tài liệu, tận tình hướng dẫn tạo điều kiện cho em tìn hiểu, nghiên cứu học hỏi kinh nghiệm trình học làm đồ án Do quy mô đề tài, thời gian kiến thức cịn hạn chế nên khơng tránh khỏi sai sót Kính mong q thầy đóng góp ý kiến để em củng cố, bỏ sung hoàn thiện thêm kiến thức cho thân 0 NHẬN XÉT CỦA GIẢNG VIÊN TRƯƠNG THÀNH CÔNG DANH MỤC TỪ VIẾT TẮT Từ viết tắt Ý nghĩa CNTT Cơng nghệ thơng tin ATBT TT An tồn bảo mật thông tin 0 DANH MỤC THUẬT NGỮ ANH – VIỆT Tiếng Anh Tiếng Việt Server Máy chủ Resquest u cầu 0 DANH MỤC HÌNH ẢNH Hình Top 15 quốốc gia thêố gi i tấốn ị cống web nhiêều nhấốt Hình Mố hình CIA Hình Mố hình OSI 12 Hình Tấốn cống t ừchốối d ịch vụ Internet DDoS 22 Hình Tấốn cống bằềng SQL Injection .25 Hình Tấốn cống bằềng XSS .27 Hình OWASP ZAP .34 Hình Nhập URL để quét web blogtuoitre OWASP ZAP 35 Hình Kêốt quét blogtuoitre bằềng OWASP ZAP 35 Hình 10 Nhập URL để quét web testasp OWASP ZAP .36 Hình 11 Kêốt quét testasp bằềng OWASP ZAP 36 Hình 12 CyStack 38 Hình 13 Đằng ký tài khoản CyStack 38 Hình 14 Chức nằng Deep Sacn c CyStack 39 Hình 15 Quét trang truyenfull.om bằềng CyStack 39 Hình 16 Kêốt quét truyenfull.com bằềng CyStack .40 0 MỤC LỤC Table of Contents CHƯƠ NG I: GIỚ I THIỆU TỔNG QUAN 1 Tổng quan vêề đêề tài .1 CH ƯƠNG II: C ƠS ỞLÝ THUYẾẾT 4 1.1 Khái niệm: 1.2 Những yêu cấều an toàn b ảo m ật thống tin: M tộsốố thu ật ngữ: .9 2.1 Mốối đe dọa (threat): 2.2 Một lốỗ hổng (vulnerability): 2.3 M ột cu ộc tấốn cống (atack): .10 2.4 Chính sách an tồn bảo mật (security policy): 10 2.5 C ơchêố an toàn bảo mật (security mechanism): 10 2.6 ICMP: 11 2.7 HTTP: 11 2.8 Mố hình OSI: 12 2.9 Hacker: .15 M t ộsốố mốối de dọa: 16 3.1 Gian l ận đánh cằốp (Fraud and Thef) .16 3.2 Nội gián (Insider Threat) 16 3.3 Tin tặc (Malicious Hacker) 16 3.4 Mã độ c (Malicious code hay malicious sofware, malware) 16 Website: 16 4.1 Khái niệm Website .16 4.2 Thành phấền mộ t website 16 4.3 Chức nằng c website 18 4.4 Các dịch vụ ứng dụng nêền website 18 4.5 Vấốn đêề bảo mật website 19 CH ƯƠNG III: KYỸ THU ẬT TẤẾN CÔNG WEBSITE CƠ BẢN VÀ GIẢI PHÁP KHẮẾC PHỤC 21 M tộ sốố kyỗ thu tậtấốn cống website: 21 1.1 Tấốn cống t ừchốối d ịch vụ internet DDoS: 21 1.2 Tấốn cống bằềng SQL Injection: .25 1.3 Tấốn cống bằềng XSS .26 0 1.4 Tấốn cống bằềng CSRF 29 Giải pháp ngằn chặn 29 2.1 Gi iảpháp ngằn ch nặ tấốn cống dịch vụ .29 2.2 Giải pháp ngằn chặn SQL Injection 30 2.3 Gi iảpháp ngằn ch nặ tấốn cống XSS .31 2.4 Gi iảpháp ngằn ch nặ tấốn cống CSRF 32 CH ƯƠNG IV: MƠ HÌNH HĨA Đ ƠN GI ẢN NGẮN CH ẶN TẤẾN CÔNG WEBSITE 33 Quét lốỗ hổng web bằềng cống cụ OWASP ZAP 33 1.1 OWASP ZAP ? 33 1.2 Thực quét lốỗ hổng web bằềng OWASP ZAP 33 Quét lốỗ hổng bằềng CyStack Scan 36 2.1 CyStack Scan ? 36 2.2 Thực quét lốỗ hổng web bằềng CyStack 37 CH ƯƠNG V: KẾẾT LU ẬN 41 TÀI LIỆU THAM KHẢO: 42 0 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN Tổng quan đề tài Cuộc Cách mạng công nghiệp 4.0 diễn nhanh chóng với phát triển mạnh mẽ khơng gian mạng Sự kết hợp hệ thống ảo thực tế làm thay đổi cách thức làm việc người, từ tạo nên “cuộc cách mạng” để thúc đẩy phát triển kinh tế - xã hội Bên cạnh lợi ích to lớn khơng thể phủ nhận việc kết nối tồn cầu với đặc tính khơng biên giới đặt nhiều thách thức lớn an ninh, trật tự quốc gia giới, khiến cho an ninh mạng trở thành vấn đề toàn cầu Ngày nay, kỷ nguyên kỹ thuật số vấn đề thách thức lớn quốc gia doanh nghiệp lĩnh vực đảm bảo an tồn thơng tin an tồn thơng tin mạng Những cơng mạng, có cơng Website xảy ngày phổ biến làm cho nhiều doanh nghiệp gặp rủi ro lớn Vậy đâu giải pháp đảm bảo an toàn bảo mật website hiệu quả? Hiện nay, ngày có nhiều cơng website tinh vi có tổ chức với quy mơ lớn hướng đến doanh nghiệp tập đồn lớn Bất kỳ trang Web cá nhân, doanh nghiệp hay tập đồn lớn có nguy bị xâm phạm Khi Website có lỗ hổng, hacker dễ dàng xâm nhập, công khai thác đữ liệu khiến Website bị nhiễm độc gây nguy hiểm không cho chủ sở hữu trang web mà cho khách truy cập Phần lớn vi phạm bảo mật trang web để đánh cắp liệu phá hoại bố cục trang web,, mà sử dụng máy chủ trang để chuyển tiếp email spam thiết lập máy chủ web tạm thời, thông thường để phục vụ file bất hợp pháp Hiện trạng website bị công, đánh cắp thông tin liệu diễn phổ biến Các tổ chức an ninh cho biết ngày có khoảng 30.000 website bị hacker công giới Theo số liệu thống kê Việt Nam năm 2019, 45 phút trơi qua lại có website cơng Trong năm vừa qua, số vụ công vào website tồn cầu có dấu hiệu tăng cao Theo Báo cáo an ninh 0 website năm 2019 từ CyStask, năm 2019 giới xảy 560.000 vụ công website Việt Nam đứng thứ 11 giới với 9.000 trang web bị công Điều cho thấy tình trạng bảo mật website Việt Nam chưa thực tốt Hình Top 15 quốốc gia thêố gi i tấốn ị cống web nhiêều nhấốt Vì vậy, website bạn khơng an tồn khơng có biện pháp bảo mật tốt Với phổ biến Internet, liệu cần lưu bảo tồn mạng ngày nhiều, nhu cầu bảo mật trang web ngày quan tâm Để giúp website hoạt động hiệu tránh rủi ro liệu, bị hack, nhà quản trị mạng cần quan tâm đến phương pháp bảo mật website công cụ bảo mật trang web hiệu Báo cáo tơi tìm hiểu kỹ nguyên nhân giải pháp an toàn để bảo mật website hiệu Phạm vi đề tài Vì đề tài nghiên cứu sinh viên nên phạm vị nghiên cứu đề tài mang tầm vi mô, giới hạn thời gian ngắn Cụ thể, đề tài “ Các giải pháp để đảm bảo an toàn bảo mật website” tập trung nghiên cứu tìm hiểu website, 0 HTTP Flood hay SYN Flood,…Kẻ cơng sử dụng hình thức mong muốn gây thiệt hại nghiêm trọng Cuộc công lớn nguy hiểm kéo dài hàng tuần hàng tháng, với điều kiện hacker phải có khả thay đổi chiến thuật liên tục tránh bảo vệ an ninh 1.1.3 Cách nhận biết xảy tình trạng cơng từ chối dịch vụ DDoS Thơng thường server website bị công DDoS có dấu hiệu sau: - Mạng bạn mạng hệ thống bị chậm bất thường truy cập vào website mở tệp mạng internet ổn định, truy cập website khác bình thường - Khơng thể truy cập vào trang website - Không thể truy cập vào nhiều website - Nhận nhiều thư rác tài khoản cách bất thường 1.2 Tấn công SQL Injection: SQL Injection gì? SQL Injection m t ki ộ u ểtấốn cống m ng chốống lại ứng d ụng web s d ụng c sở liệu SQL nh ưIBM Db2, Oracle, MySQL MariaDB Đấy cách ứng dụng web ho ạt đ ộng bình thường Ng ười dùng tr ước tiên nh ập thống tin đằng nhập c họ vào biểu mấỗu đằng nh ập Sau thống tin đằng nhập đ ược xác th ực thành cống, gi ờh ọseỗ có th ểtruy c pậ th ự c hi nệ yêu cấều liên quan đêốn tài kho ản Hình Tấốn cống bằềng SQL Injection 0 Bấy gi ,ờ lốỗ h SQL injection tốền t ại, tác nhấn đe dọa trái phép bằềng cách b ỏqua trình xác th ự c đ aư cấu l nh ệ SQL theo cách th ủcống đ ểg iửcác truy vấốn gian l ận đêốn c s d ữ li u.ệ Điêều seỗ cho phép k tấốn ẻ cống xem, sửa đổi xóa d ữ li ệu kh ỏi c sở liệu SQL injection khống ch rấốtỉph biêốn ổ mà rấốt nguy hi m ể có th ểdấỗn đêốn vi ệc truy c ập trái phép vào d ữli uệ cá nhấn, thống tin tài chính, sở hữu trí tu ệ bí mật th ương m ại Nó đ ược li ệt kê r i ro ủ sốố m ột danh sách 10 mốối đe dọa bảo mật ứng dụng web hàng đấều OWASP M t sốố ộ l ượ ng l n ớcác vi ph mạd liữ u ệlà kêốt qu ảc aủ cu cộ tấốn cống SQL injection SQL Injection ho tạđ ộ ng nh ưthêố M t cu ộ c ộtấốn cống SQL Injection nhằốm vào lốỗ hổng cấu lệnh SQL động Hãy nghĩ vêề m ột cấu l nh SQL ệ đ ng giốống ộ nh m ưt hàm ộ đa biêốn toán h c,ọtrong tham sốố đ ượ c cốố đ nh, ịtrong giá tr đ ị cượ thay thêố biêốn đ cộ l pậ xác đ nh ị kêốt qu ả T ươ ng t ,ựm tộcấu l nh ệ SQL đ ng ộ bao gốềm m pậ h ợ p tham sốố xác đ ịnh trước (ch ẳng h ạn nh ưbi ểu mấỗu web), cấu lệnh hồn ch ỉnh ch ỉ tạo ng ười dùng điêền vào đấều vào họ Sau ng ườ i dùng nh p ậtên ng iườ dùng m t kh ậ u ẩc a ủh , ọcấu l nh ệ seỗ đ ượ c hồn tấốt, sau m t truy ộ vấốn seỗ đ ượ c g i đêốn máy ch ủđ ểtruy xuấốt thống tin c ng ười dùng t c sở d ữ li ệu Khi m t ộlốỗ h ng ổ tốền t i ạtrong m tộcấu l nh ệ SQL đ ng, ộ k ẻtấốn cống seỗ có th ể nh ập t ập l ệnh ph ứ c t pạ vào bi uể mấỗu đ ểcan thi pệ vào tham sốố có t tr ước đ ể thay đ ổi ý nghĩa c cấu lệnh hồn chỉnh 1.3 Tấn cơng XSS Tấốn cống bằềng XSS gì? Cross Site Scripting (XSS) m t ộ nh ng tấốn ữ cống ph biêốn ổ dêỗ b tấốn ị cống nhấốt mà tấốt c ả Tester có kinh nghi m đêềệu biêốt đêốn Nó đ ượ c coi m t ộ nh ngữ tấốn cống nguy hi m ể nhấốt đốối v i ứ ng d ng ụ web có th ểmang l iạnh ữ ng h uậ qu ảnghiêm tr ng ọ Gi i thi uệ vêề tấốn cống XSS Tấốn cống XSS m tộđo nạ mã đ c, ộ đ ểkhái thác m ột lốỗ h XSS, hacker seỗ chèn mã đ ộc thống qua đo nạscript đ th ể cựthi chúng phía Client Thống th ườ ng, cu cộ tấốn cống XSS đ ược s dụng để vượt qua truy cập mạo danh người dùng 0Hình Tấốn cống bằềng XSS M c ụđích c a ủcu c ộtấốn cống ằn cằốp d ữ liệu nh ận d ạng c ng ười dùng cookies thống tin khác Trong hấều hêốt tr ườ ng h p, ợ cu cộ tấốn cống đ ược s d ụng đ ể ằn cằốp cookie c aủng ườ i khác Nh chúng ta biêốt, cookie giúp chúng tối đằng nhập t ự đ ộng Do v i ớcookie b đánh ị cằốp, chúng tối có th ể đằng nhập bằềng thống tin nh ận d ạng khác Và m t ộ nh ngữlý do, t i cu c ộtấốn cống đ ượ c coi m tộtrong nh ữ ng cu cộ tấốn cống nguy hi m ể nhấốt Tấốn cống XSS đ ược thực hi ện phía client Nó có th ể đ ược th ực hi ện v ới ngốn ngữ l ập trình phía client khác Tuy nhiên, th ườ ng xuyên nhấốt cu cộ tấốn cống đ ược th ực hi ện v ới Javascript HTML Các lo iạtấốn cống XSS th ường gặp Hi u ểvêề lo i tấốn cống XSS gì, b ạn m ới có th ểphịng ng ừa chu đáo, tránh nh ững rủi ro t kyỗ thu t tấốn ậ cống XSS gốềm lo i tấốn cống hay g ặp, bao gốềm Refected XSS, Stores XSS DOM Based XSS Refected XSS: Refected XSS hình th c tấốn ứ cống XSS đ ượ c s dử ngụ nhiêều nhấốt chiêốm phiên làm vi c c ệa ng ủ i dùng ườ m ng.ạQua đó, hacker đánh cằốp d liữ uệng ườ i dùng, chiêốm quyêền truy cập hoạt động họ website thống qua việc chia s ẻ đ ịa ch ỉ URL chứa mã đ ộc ch n nờnhấn ‘cằốn cấu’ Hình th c tấốn ứ cống th ườ ng nhằốm vào m tộ sốố nạn nhấn Stored XSS: Khống giốống nh Refected XSS, Stored XSS nhằốm đêốn nhiêều n ạn nhấn lúc V i ớhình th cứtấốn cống này, hacker chèn mã độc vào database thống qua nh ững d ữ li ệu đấều vào nh form, input, textarea…Khi ng ườ i dùng m ng truy c pậ website tiêốn hành nh ững thao tác liên quan đêốn d ữli ệu l ưu, mã đ ộc l ập t ức ho ạt đ ộng trình ệt c ng ười dùng DOM Based XSS: D ngạ tấốn cống XSS th ườ ng g pặ cuốối DOM Based XSS Đấy dạng kyỗ thu ật dùng đ ểkhai thác XSS d ựa vào c ơs ởthay đ ổi HTML c tài li ệu, nói cách khác thay đổi cấốu trúc DOM Tấốn cống XSS th ự c hi n ệ nh ưthêố nào? Tấốn cống Cross Site Scripting nghĩa g ửi chèn l ệnh script đ ộc h ại, nh ững mã đ ộc th ường đ c ượ viêốt v i ngốn ng l ữp trình ậ phía client nh Javascript, HTML, VBScript, Flash… Tuy nhiên, cách tấốn cống thống th ườ ng s ửd ng ụ Javascript HTML Cách tấốn cống có th ể đ ược th ực hi n ệtheo nhiêều cách khác nhau, ph thu ụ cộvào lo i ạtấốn cống XSS, nh ững mã đ ộc có th ể đ ược ph nả chiêốu trình duyệt c nạn nhấn ho ặc đ ược l ưu tr ữ c sở d ữ li ệu đ ược ch ạy mốỗi ng ườ i dùng g iọch ứ c nằng thích h p ợ Nguyên nhấn c aủ lo iạtấốn cống xác th ực đấều vào d ữli ệu ng ười dùng khống phù h ợp, liệu độc hại t đấều vào có th ể xấm nh ập vào d ữ li ệu đấều Mã độc nhập script chèn vào mã nguốền website Khi trình tệkhống th ểbiêốt mã thực thi có ph ải đ ộc h ại hay khống Do mã đ ộc h ại có th ể đ ược th ự c thi trình tệc aủ n nạ nh nậ ho cặ bấốt kỳ hình th ức gi ả đ ược hi ển th ị cho ng i ườ s d ửng.ụCó m t sốố ộ hình th c ứtấốn cống XSS có th ểx yả Bên d ướ i nh ữ ng hình th tấốn cống Cross Site Scripting: 0 Cross Site Scripting x ảy tập lệnh đ ộc h ại đ ược th ực hi ện phía client Trang web form giả mạo hiển thị cho người dùng (nơi nạn nhấn nh ập thống tin đằng nh p ậho c ặnhấốp vào liên kêốt độc hại) Trên trang web có quảng cáo hiển thị Email đ c hộ i đạ cượ g i đêốn n nạnhấn Tấốn cống x ảy tin t ặc tm kiêốm nh ững lốỗ h website gử i làm đấều vào độc hại Tập lệnh độc hại tiêm vào mã lệnh sau g i d ướ i d ng đấều cho ng ườ i dùng cuốối 1.4 Tấn công CSRF Tấn công sử dụng kỹ thuật dành cho người am hiểu hệ thống, phát triển hệ thống đó, mã nguồn mở, mã nguồn cơng khai code Hacker thực gửi tin nhắn dến Admin, admin đọc tin nhắn trình duyệt request đến link lấy cookie trình duyệt tiến hành hoạt động (active) Trường hợp không gửi mail, giả sử ta biết admin login hacker gửi trang web mà hacher lập ra, có đoạn code độc hại gửi qua yahoo hay gì đó, admin viếng thăm vào thực thao tác Như hacker thực truy vấn trái phép dựa vào người dùng Giải pháp ngăn chặn 2.1 Giải pháp ngăn chặn công dịch vụ Liên l c vạ i nhà cung cấốp Internet (ISP): Trong m i ọtr ườ ng h pợliên quan đêốn m ạng, khống truy c pậ đ ượ c website ng ườ i đấều tiên b nạ nên cấền s ựgiúp đ ỡđó nhà cung cấốp d ịch vụ internet B ởi h ọs ởh ữu nh ững kyỗ thu ật m ạng l ập trình viên có chun mốn cao, nên có th ể seỗ phấn tch đ cượ vấốn đêề, tm đích tấốn cống, h ướng dấỗn bạn th ực nh ững ph ương pháp x lý phù h ợp, hiệu Liên h v ệi nhà cung cấốp host: Nhà cung cấốp host ng ườ i cung cấốp máy chủ v ận hành máy chủ Khi server b ịtấốn cống, h ọ seỗ ạt o “lốỗ đen” để hút trafc (l ưu l ượng truy c ập c website) cho đêốn t ựd ng l i.ạ Khi dù yêu cấều truy c pậ thốống hay khống thốống b ịg ạt qua, đốềng thời phương pháp seỗ b ảo vệ nh ững máy ch ủ khách hàng khác khống b nh ị ả h ưở ng Sau m t ộth i gian, h ọseỗ truyêền l iạtấốt c ả trafc, l ọc l ại, cho phép u cấều thốống hoạt động bình thường Liên l c vạ i chuyên gia: Nêốu trang web b tấốn ị cống ởm ức đ ộc ực l ớn nguy hi ểm, ph ương pháp khống th giểi quyêốt ả đ ượ c b nạcó th nh ể đêốn s ựgiúp đ ỡc chuyên gia, nh ững ng ườ i seỗ có nh ữ ng máy ch ủ ực c kh ủ ng ểđ điêều ướ h ng trafc, loạ i bỏ nhữ ng trafc khống thốống 0 Đằng ký ch ng ứ ch SSL: ỉ Đằng ký ch ng ứ ch SSL ỉ thiêốt l pậ giao th ứ c liên kêốt HTTPS cho website đ ể tằng c ng ườb o m ả t dậ li ữu ệ chốống l i ạcác cu cộtấốn cống t ừhacker, virus phát tán 2.2 Giải pháp ngăn chặn SQL Injection L ọc d ữli ệu t ừng ười dùng: Cách phòng chốống tươ ng tự XSS Ta sử dụ ng flter (b ộ l ọc) đ ể l ọc kí t ựđ ặt bi ệt (; “ ‘) ho ặc t ừkhóa (Select, Union) ng ười dùng nh ập vào Nên s d ụng t vi ưn/ ệfuntion đ cượ cung cấốp b i framework t viêốt ự l iạt ừđấều v a tốốn th ời gian v ừa dêỗ s sót Khống c ngộ chuốỗi đ tểoạSQL: S dử ngụ parameter (tham sốố) thay c ng ộ chuốỗi Nêốu liệu truyêền vào khống h pợ pháp, SQL Engine seỗ t ựđ ộng báo lốỗi, ta khống cấền dùng hàm t ự tạo đ ể ki ểm tra Khống hi n ểth exception, ị massage lốỗi: K tấốn ẻ cống d ựa vào thống báo lốỗi đ ểtm cấốu trúc c s d liữu.ệKhi có lốỗi, ta ch hiỉ nệthống báo lốỗi ch đứ ng hi nểth đấề ị y đ thống ủ tin vêề lốỗi, tránh k ẻtấốn cống lợi dụng Phấn quyêền Database: Nêốu ch truy ỉ c pậd liữ uệt m t ộsốố b ảng, t ạo tài khoản c ơs ởd ữli ệu, gán quyêền truy cậ p cho tài khoản đừng dùng tài khoản root hay superuser Lúc này, dù k tấốn ẻ cống có tiêm đ ược SQL khống th ểđ ọc d ữli ệu t ừcác b ảng chính, s hay xóa liệu Backup d uữli u ệth ườ ng xuyên D liữ u ệph i th ả xóa ta vấỗn khối ph ục 2.3 ườ ng xuyên đ ượ c l uưđ nêốu ể có k ẻtấốn cống Giải pháp ngăn chặn công XSS Đ cượ đánh giá d ngạtấốn cống nguy hi mể mang l i ạnhiêều r i ủro nhấốt, bi ện pháp ngằn ch ặn XSS rấốt đáng đ ểquan Các chuyên gia hàng đấều vêề an ninh m ng khuyêốn khích s d ụng ph ươ ng pháp Data validation, Filtering Escaping đ ểngằn ch nặ cu cộ tấốn cống Data validation (xác định đấều vào): Đ m ả b oả d ữli uệ đấều vào đ ượ c cung cấốp với người dùng mạng xác Tuy khống thể ngằn chặn hoàn toàn song cách seỗ giảm thiểu nhiêều rủi ro vêề lốỗ h ng ổ b oảm t, ậ tránh tấốn cống dạng Stored XSS Filtering (lọc đấều vào người dùng): Bi ện pháp giúp tm kiêốm keyword nguy hiểm có phấền nh pậ c aủ ng ườ i dùng đ ểk pị th i thay thêố xóa b ỏ chúng Lọc đấều vào đ ược th ự c hành b i nh ững developers viêốt mã phía server Escape: Đấy bi nệ pháp ngằn ch nặ XSS t ươ ng đốối hi ệu qu ả bằềng cách thay đ ổi ký t ự bằềng mã đ cặbi t.ệĐiêều nhấốt b ạn cấền l ưu ý tr ường h ợp tm kiêốm th vi ện Escape thích hợp Ngồi ra, ng ườ i dùng m ng nên t ựb oả v ệd ữli uệ c aủ bằềng vi cệ c nẩ th nậ nhấốp vào m tộlink đ ượ c chia s ẻ Đấy chiêu trò hay dùng c aủhacker tấốn cống XSS, đ ặc bi ệt ng Refected XSS Quét mã độc website: Đ ểcó th ểs m phát hi nệ lốỗi khằốc ph ục ng ười cấền s d ụng có kêố ho ch x ửlý tốốt biện pháp nhằềm quét mã độc website c a ủmình t Vêề phía doanh nghi p, ệ đ ểtránh cu cộ tấốn cống DOM Based XSS b ạn cấền t ạo m ột list thẻ HTML h p ợ l ệĐốềng th iờxóa b ỏth ,ẻ nh ững đo ạn script lốỗi kí t ựnh ư“>”, “ 2.4 Giải pháp ngăn chặn công CSRF 0 Thống th ng ườ đ tránh ể tấốn cống ta seỗ chia làm hai đốối t t ượ ng ng ườ i dùng cuốối (user) ng, ượ m t ộlà đốối t ượ ng coder hai đốối - V i đốối t ượ ng ng ườ i dùng cuốối thì: H n chêố s dử ngụ login vào h thốống ệ nói chuy nệ tiêốp xúc v ới ng ười l qua kênh khác nhau, nh ng ữ email khống rõ nguốền gốốc Khi khống dùng h ệthốống logout Nên login vào m tộmáy riêng khống cho ng ườ i th ứ2 tiêốp xúc v ới máy Thay đ iổm tậkh uẩ liên t c, ụ ch ọn nh ững m ật kh ẩu khó đốn, có kyỗ tự đ ặc biệt Vì hi ện có rấốt nhiêều phấền mêềm dị pass -V i đốối tượng coder: -Th cựhi nệt oạnh ng ữ token auto random v i t ng máy, t ng trình tệvà thiêốt l ập th ời gian sốống cho token Khống s ửd ụng ph ươ ng th ức GET v i nh ữ ng request mà có nh ả h ưở ng đêốn CSDL Khi lấốy li ệu từ ng ười dùng ki ểm tra chặt cheỗ URL admin khó nh ớcàng bí hi m ể tốốt CHƯƠNG IV: MƠ HÌNH HĨA ĐƠN GIẢN NGĂN CHẶN TẤN CÔNG WEBSITE Quét lỗ hổng web cơng cụ OWASP ZAP 1.1 OWASP ZAP ? Owasp Zap – The Open Web Application Security Project hiểu dự án mở bảo mật ứng dụng web Đây dự án cộng đồng chung tay tham gia, giúp tổ chức phát triển mở bảo trì ứng dụng trạng thái an toàn Chúng người dùng biết đến nhiều với tính quét lỗi bảo mật ứng dụng web, mã nguồn mở Owasp Zap đưa 10 rủi ro mà bạn gặp phải 0 - Khả bị tiêm nhiễm mã độc - Tính san lầm việc kiểm tra định danh phiên làm việc - Thực thi mã Scrip xấu - Đối tượng tham chiếu không an tồn tuyệt đối - Cấu hình an ninh bị sai - Có thể bị lộ cấu hình nhạy cảm - Đơi cịn bị kiểm sốt mức độ truy cập chức - Giả mạo yêu cầu - Bị công sử dụng thành phần với lỗ hổng bảo mật - Chuyển hướng không an toàn 1.2 Thực quét lỗ hổng web OWASP ZAP Để thực dò quét lỗ hổng trang web ta dụng cơng cụ chuyên dò quét lỗ hổng website ta sử dụng công cụ OWASP ZAP: https://www.zaproxy.org/download/ Khi tải xuống, thơng báo "Bạn có muốn lưu ?" xuất hiện, lưu Tiếp theo, xuất thơng báo hỏi "Bạn muốn lưu ZAP session ?", check vào checkbox "Không lưu liên tục, lưu session cần" nhấp vào "Bắt đầu" Như vậy, OWASP ZAP sẵn sàng để chạy máy tính, sau thực cài đặt proxy ta thực kiểm tra lỗ hổng OWASP ZAP kiểm tra lỗ hổng ứng dụng web "Scan" nghĩa công ứng dụng web mục tiêu Khi nhập URL ứng dụng Web cần kiểm tra OWASP ZAP, trình scan đơn giản bắt đầu Tùy trường hợp mà việc scan thực vài phút, vài OWASP ZAP gửi số lượng lớn request đến ứng dụng Web mục tiêu ("Request" theo thuật ngữ máy tính "yêu cầu" "tin nhắn" trao đổi hệ thống máy tính.) 0 Khi q trình scan đơn giản hồn tất, lỗ hổng tìm thấy hiển thị mục "Alert (warning)" hình Trong đồ án ta quét lỗ hổng trang web cách đơn giản nên bước ta cần thu thập thông tin địa IP ứng dụng web Ở ta thực quét lỗ hổng trang web báo Thanh Niên: https://blogtuoitre.vn/ Để quét lỗ hổng trang web ta sử dụng chức Automated scan Hình OWASP ZAP công cụ sau: Nhập URL trang web mong muốn dị qt sau click vào nút Attack: Hình Nh ập URL đ ể quét web blogtuoitre c OWASP ZAP 0 Kết có 11 Alerts, click chuột vào Alerts để xem chi tiết Hình Kêốt qu ả quét blogtuoitre bằềng OWASP ZAP Thực quét lỗ hổng cho http://testasp.vulnweb.com/ theo cách tương tự: Hình 10 Nh ập URL đ ể quét web testasp c OWASP ZAP 0 Kết có 18 cảnh báo (New Alerts), click chuột vào Alerts để xem chi tiết Hình 11 Kêốt qu ả quét testasp bằềng OWASP ZAP Quét lỗ hổng CyStack Scan 2.1 CyStack Scan ? CyStack Scan cơng cụ qt lỗ hổng website, web server miễn phí phát triển CyStack Hệ thống tích hợp công nghệ Plugins & Web fuzzing Giúp cho việc kiểm tra bảo mật website server trở nên dễ dàng Phần mềm hoạt động hoàn toàn online miễn phí CyStack có chức năng: - Scanning: Dò quét, phát cảnh báo sớm lỗ hổng website định kỳ - Monitoring: Giám sát cảnh báo sớm cố website 24/7 - Responding: Dò quét làm mã độc website - Protecting: Hệ thống tường lửa giúp bảo vệ website khỏi công malware tin tặc Ưu điểm: - Quét lỗ hổng bảo mật cho website server 0 - Sử dụng chung công nghệ với phần mềm Premium (trả phí) CyStack Cloud Security - Cơ sở liệu cập nhật thường xuyên, giúp bảo vệ website khỏi rủi ro - Hoạt động online, không cần cài đặt - Dễ sử dụng Nhược điểm: Giới hạn lượt quét miễn phí/ngày 2.2 Thực quét lỗ hổng web CyStack Để sử dụng CyStack Scan, ta cần truy cập trang web https://cystack.net/ Chọn Products chọn CyStack Web Security để quét lỗ hổng trang web Hình 12 CyStack 0 Hình 13 Đằng ký tài khoản CyStack Đăng ký tài khoản CyStack: Chọn Deep Scan Hình 14 Ch ức nằng Deep Sacn CyStack Nhập địa trang web: https://truyenfull.com/ 0 Hình 15 Quét trang truyenfull.om bằềng CyStack Kết trả về: Hình 16 Kêốt qu ả quét truyenfull.com bằềng CyStack 0 CHƯƠNG V: KẾT LUẬN 1.1 Kết đạt - Phân tích phương thức công lỗ hổng bảo mật website thường gặp - Tìm hiểu số nguyên nhân gây lỗ hổng bảo mật website - Tìm hiểu giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website 1.2 Hạn chế đề tài Bên cạnh kết đạt số hạn chế: - Chưa tìm hiểu cách thức cơng website - Chỉ tìm hiểu, phân tích số phương thức công, nguyên nhân giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website 1.3 Hướng nghiên cứu 0 - Tiếp tục tìm hiểu kỹ phương thức công, nguyên nhân giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website để đưa góc nhìn đầy đủ - Tiếp tục tìm hiểu cách thức cơng website TÀI LIỆU THAM KHẢO: Bảo mật website A-Z: Hướng dẫn cách bảo mật trang web hiệu quả: https://cystack.net/vi/blog/bao-mat-website Wikipedia Việt Nam: https://vi.wikipedia.org/wiki/Website Giáo trình An tồn thông tin: TS.Trương Thành Công 0 ... nhân giải pháp để phát lỗ hổng, đảm bảo an toàn bảo mật website để đưa góc nhìn đầy đủ - Tiếp tục tìm hiểu cách thức công website TÀI LIỆU THAM KHẢO: Bảo mật website A-Z: Hướng dẫn cách bảo mật. .. tài mang tầm vi mô, giới hạn thời gian ngắn Cụ thể, đề tài “ Các giải pháp để đảm bảo an toàn bảo mật website? ?? tập trung nghiên cứu tìm hiểu website, 0 tình hình an tồn bảo mật thơng tin website, ... hack, nhà quản trị mạng cần quan tâm đến phương pháp bảo mật website công cụ bảo mật trang web hiệu Báo cáo tơi tìm hiểu kỹ nguyên nhân giải pháp an toàn để bảo mật website hiệu Phạm vi đề tài