HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO MÔN HỌC THỰC TẬP CƠ SỞ ĐỀ TÀI MỘT SỐ KĨ THUẬT ĐẢM BẢO AN TỒN THƠNG TIN CHO WEBSITE Sinh viên thực hiện: Dương Văn Minh AT160726 Nguyễn Văn Anh AT160701 Mai Văn Thắng AT160744 Nhóm 57 Giảng viên hướng dẫn: TS Phạm Văn Hưởng LỜI CẢM ƠN Để có thành ngày hơm nay, ngồi nỗ lực không ngừng nghỉ thành viên nhóm phần khơng nhỏ đóng góp nên thành công nhờ quan tâm, bảo, giúp đỡ thầy cơ, anh chị khóa bạn bè xung quanh Chúng em xin chân thành cảm ơn thầy Phạm Văn Hưởng – giảng viên trực tiếp hướng dẫn, bảo, tạo điều kiện thuận lợi giúp đỡ chúng em trình thực đề tài Tuy có nhiều cố gắng nỗ lực thành viên để hoàn thiện đề tài, chắn đề tài “ MỘT SỐ KĨ THUẬT ĐẢM BẢO AN TỒN THƠNG TIN TRONG WEBSITE ” chúng em cịn nhiều thiếu sót Chúng em mong nhận góp ý từ thầy giáo để nhóm em hồn thiện tốt đề tài nghiên cứu sau Chúng em xin chân thành cảm ơn! Hà Nội, ngày 24 tháng năm 2022 Nhóm sinh viên thực đề tài Nhóm 57 MỤC LỤC LỜI CẢM ƠN MỤC LỤC CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG LỖ HỔNG BẢO MẬT WEBSITE 1.1 Tổng quan công nghệ Web 1.1.1 Giới thiệu chung .7 1.1.2 Dịch vụ chế hoạt động Web 10 1.1.3 Công nghệ Web 2.0 3.0 11 1.1.4 Ưu điểm hạn chế Web app 11 1.2 Một số phương thức công lỗ hổng bảo mật Website 12 1.2.1 Giới thiệu chung 11 1.2.2 Các phương thức công lỗ hổng bảo mật Website 12 1.2.3 Nhận xét đánh giá 12 1.3 Một số nguyên nhân gây lỗ hổng bảo mật Website 13 1.2.1 Nguyên nhân tảng xây dựng website 11 1.2.2 Nguyên nhân hạ tầng cung cấp hạ tầng web 12 1.2.3 Nguyên nhân người vận hàng sử dụng dịch vụ web 12 1.4 Kết luận 20 CHƯƠNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN LỖ HỔNG BẢO MẬT WEBSITE 20 2.1 Tổng quan phát hiên lỗ hổng bảo mật Website 20 2.1.1 Giới thiệu chung 11 2.1.2 Cơ chế mơ hình phát lỗ hổng bảo mật Website 11 2.2 Giải pháp sử dụng cơng cụ phần mềm dị qt 21 2.2.1 Giới thiệu giải pháp 11 2.2.2 Một số phần mềm phát lỗ hổng bảo mật Website 11 2.2.3 Nhận xét 11 2.3 Giải pháp sử dụng hệ thống phát 25 2.3.1 Giới thiệu chung 25 2.3.2 Ứng dụng hệ thống IDS phát xâm nhập 11 2.3.3 Nhận xét 11 2.4 Kết luận 32 CHƯƠNG THỰC NGHIỆM 24 3.1 Cài đặt phầm mềm 24 3.2 Tiến hành quét 24 3.3 Kết thực nghiệm 24 3.3 Kết luận 24 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 25 DANH SÁCH CÁC HÌNH VẼ MỞ ĐẦU 1.Tính cấp thiết đề tài Ngày công nghệ thông tin công nghệ mũi nhọn chiến lược phát triển kinh tế, xây dựng đất nước hầu hết quốc gia Các sản phẩm công nghệ thông tin ứng dụng rộng rãi lĩnh vực đời sống kinh tế, xã hội hầu hết đem đến giá trị thiết thực Đối tượng phục vụ chủ yếu ngành cơng nghệ thơng tin tổ chức, sở doanh nghiệp… Bảo mật luôn vấn đề hàng đầu cho tất loại ứng dụng, đặc biệt website Từ ngày đầu Internet người ta quan tâm đến tính an tồn trao đổi thơng tin Tuy khơng có an tồn tuyệt đối phát triển lĩnh vực nhanh mang lại nhiều thành vấn đề cấp bách nhiều doanh nghiệp Khơng có mức an tồn thích hợp, khai thác thương mại Internet khơng hồn tồn an tồn Chính an tồn Web mạng khơng thể nằm ngồi vấn đề Có thể nói ngày việc nghiên cứu để tạo Website tốt mang lại nhiều lợi ích việc nghiên cứu để mang lại an toàn cho Website vấn đề quan trọng Thật khó tin tưởng để sử dụng dịch mua hàng giao diện website, chuyển tiền trực tuyến website không đảm bảo mức độ an tồn tối đa Vì em chọn đề tài để báo cáo cho môn thực tập sở “Một số kĩ thuật đảm bảo an tồn thơng tin cho Website” Đề tài tập trung sâu vào tìm hiểu lỗ hổng kĩ thuật công website vấn đề bảo mật liên quan, sử dụng ứng dụng mã nguồn mở có tên VEGA để phân tích lỗ hổng giải toán đề Mục đích nghiên cứu Mục đích nghiên cứu đề tài nghiên cứu phát lỗ hổng bảo mật website thử nghiệm số giải pháp phát lỗ hổng bảo mật website thường gặp Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu luận văn nghiên cứu giải pháp công cụ phát lỗ hổng bảo mật website Phương pháp nghiên cứu - Về mặt lí thuyết : Thu thập, khảo sát, phân tích tài liệu thơng tin có liên quan đến phát lỗ hổng bảo mật website - Về mặt thực nghiệm : Tiến hành phát lỗ hổng bảo mật ứng dụng Vega xây dựng số chương trình Kết cấu luận văn gồm chương với nội dung sau: Chương 1: Tổng quan Chương 2: Nghiên cứu giải pháp Chương 3: Thử nghiệm Trong chương tiến hành tìm kiếm thử nghiệm phát số dạng lỗ hổng bảo mật website vấn đề liên quan CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG LỖ HỔNG BẢO MẬT WEBSITE Nội dung chương khảo sát tổng quan công nghệ web, số phương thức công lỗ hổng bảo mật website, số nguyên nhân gây lỗ hổng bảo mật website vấn đề khác liên quan 1.1 Tổng quan công nghệ Web 1.1.1 Giới thiệu chung Trang web (web page) mạng Internet nơi giới thiệu thơng tin, hình ảnh doanh nghiệp sản phẩm, dịch vụ doanh nghiệp (hay giới thiệu thơng tin gì) để khách hàng truy cập nơi đâu, lúc Website tập hợp nhiều trang web Khi doanh nghiệp xây dựng website nghĩa xây dựng nhiều trang thông tin, catalog sản phẩm, dịch vụ, Để tạo nên website cần phải có yếu tố [1]:  Cần phải có tên miền (domain)  Nơi lưu trữ website (hosting)  Nội dung trang thông tin (web page) Một số thuật ngữ bản: Website động (Dynamic website) website có sở liệu, cung cấp cơng cụ quản lý website (Admin Tool) Đặc điểm website động tính linh hoạt cập nhật thông tin thường xuyên, quản lý thành phần website dễ dàng Loại website thường viết ngơn ngữ lập trình PHP, Asp.net, JSP, Perl, , quản trị Cơ sở liệu SQL MySQL Website tĩnh lập trình ngơn ngữ HTML theo trang brochure, khơng có sở liệu khơng có cơng cụ quản lý thơng tin website Thông thường website tĩnh thiết kế phần mềm FrontPage, Dreamwaver, Đặc điểm website tĩnh thay đổi nội dung, Hình 3.7 Sau ấn ctrl O + Enter + ctrl X để lưu thoát Thực lệnh để hoàn tất việc cài JDK : sudo update-alternatives install "/usr/bin/java" "java" "/usr/lib/jvm/jdk1.8.0_333/bin/java" sudo update-alternatives install "/usr/bin/javac" "javac" "/usr/lib/jvm/jdk1.8.0_333/bin/javac" sudo update-alternatives set java /usr/lib/jvm/jdk1.8.0_333/bin/java sudo update-alternatives set javac /usr/lib/jvm/jdk1.8.0_333/bin/javac update-alternatives list java update-alternatives list javac 40 41 Hình 3.8 Khi cài xong JDK ta cần chuyển đổi từ JDK 11 sang JDK để chạy Vega Ta thực lệnh: sudo update-alternatives config java Và chọn mode để chuyển sang JDK 41 Hình 3.9 3.1.2.2 Cài đặt libwebkitgtk - Trước cài libwebkitgtk ta cần cài file sources.list - Thực tạo file deb9.list sudo nano /etc/apt/sources.list.d/deb9.list Sau lưu liệu vào file : deb http://deb.debian.org/debian/ stretch main contrib non-free deb-src http://deb.debian.org/debian/ stretch main contrib non-free deb http://security.debian.org/ stretch/updates main contrib non-free debsrc http://security.debian.org/ stretch/updates main contrib non-free Hình 3.10 Nhấn tổ hợp Ctrl S + Ctrl X để lưu Sau cần update lại thực cài libwwebkitgtk sudo apt-get update sudo apt-get install libwebkitgtk-1.0 3.1.2.3 Cài đặt vega - Tạo mở thư mục Respon linux.gtk.x86_64.zip 42 để lưu file VegaBuild- 43 Hình 3.11 Mở link https://subgraph.com/vega/download.html chọn dowload để lấy copy link download phiên Linux GTK 64-bit Intel(sig) Hình 3.12 43 - Dùng Wget để tải vega từ https://subgraph.com/ wget https://support.subgraph.com/downloads/VegaBuild-linux.gtk.x86_64.zip Hình 3.14 Thực unzip file VegaBuild-linux.gtk.x86_64.zip unzip VegaBuild-linux.gtk.x86_64.zip Hình 3.9 Để mở vega ta thực : Hình 3.16 44 45 3.2 Tiến hành : Chúng ta tiến hành quét số trang Web hành xem thu kết Thực quét trang web vega: Trang mạng xã hội Facebook https://www.facebook.com/ Trang web ngân hàng quân đội MBBANK https://mbbank.com.vn Trang web sàn thương mai điện tử TIKI https://tiki.vn Trang web quản lý sinh viên trường Học Viện Kỹ Thuật Mật Mã http://qldt.actvn.edu.vn số trang web dùng để thực hành khai thác lỗi http://testphp.vulnweb.com http://demo.testfire.net 3.3 Kết thực nghiệm : - Kết quét trang web Trang mạng xã hội tiếng Facebook https://www.facebook.com/ Trang web ngân hàng quân đội MBBANK https://mbbank.com.vn 45 Trang web sàn thương mai điện tử TIKI https://tiki.vn Trang web quản lý sinh viên trường Học Viện Kỹ Thuật Mật Mã http://qldt.actvn.edu.vn 46 47 số trang web dùng để thực hành khai thác lỗi http://testphp.vulnweb.com 47 http://demo.testfire.net Trang web thực nghiệm https://www.facebook.com/ https://mbbank.com.vn https://tiki.vn http://qldt.actvn.edu.vn http://testphp.vulnweb.com http://demo.testfire.net 48 49 3.4 Kết đánh giá Trong chương , nghiệm thu thử nghiệm lỗ hổng thường gặp số Website thông dụng nay, thời gian thực quét chúng phần mềm Vega Từ xây dựng giải pháp kịp thời, cách sử dụng để truy cập sử dụng trang Website cách hợp lý cho nhân doanh nghiệp 49 TÀI LIỆU THAM KHẢO Trang Web [1] http://bkav.com.vn/ [2] https://github.com/subgraph/Vega/wiki/Vega-Scanner [3] https://subgraph.com/vega/ [4] https://www.mi2.com.vn/cac-cong-cu-quet-lo-hong-bao-mat-website-tot-nhathien-nay/ [5] “Phân loại phát lỗ hổng hệ thống thơng tin”, Tạp chí An tồn thơng tin 2014 [6] Jason Weir (2014) - “Building a Debian\Snort based IDS”, McGraw-Hill [7] http://vncert.gov.vn 50 51 Hà Nội, ngày 24 tháng năm 2022 XÁC NHẬN CỦA GIẢNG VIÊN HƯỚNG DẪN 51 52 53 53 54 ... không đảm bảo mức độ an tồn tối đa Vì em chọn đề tài để báo cáo cho môn thực tập sở ? ?Một số kĩ thuật đảm bảo an tồn thơng tin cho Website? ?? Đề tài tập trung sâu vào tìm hiểu lỗ hổng kĩ thuật công website. .. lợi giúp đỡ chúng em q trình thực đề tài Tuy có nhiều cố gắng nỗ lực thành viên để hoàn thiện đề tài, chắn đề tài “ MỘT SỐ KĨ THUẬT ĐẢM BẢO AN TỒN THƠNG TIN TRONG WEBSITE ” chúng em cịn nhiều... trữ website (hosting)  Nội dung trang thông tin (web page) Một số thuật ngữ bản: Website động (Dynamic website) website có sở liệu, cung cấp công cụ quản lý website (Admin Tool) Đặc điểm website