HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: TÌM HIỂU CƠNG CỤ W3AF TRONG VIỆC PHÁT HIỆN VÀ PHÂN TÍCH LỖ HỔNG BẢO MẬT TRÊN ỨNG DỤNG WEB MỤC LỤC MỤC LỤC DANH MỤC CÁC BẢNG DANH MỤC CÁC TỪ VIẾT TẮT MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ LỖ HỔNG ỨNG DỤNG WEB 1.1 Tổng quan lỗ hổng ứng dụng web 1.2 Top 10 lỗ hổng ứng dụng web theo chuẩn OWASP 8 CHƯƠNG 2: GIỚI THIỆU CÔNG CỤ W3AF 2.1 Giới thiệu 2.2 Kiến trúc w3af 2.3 Các plugin hỗ trợ w3af 2.3.1 Các plugin 2.3.2 Các plugin khác 12 12 12 13 13 14 CHƯƠNG HƯỚNG DẪN CÀI ĐẶT 3.1 Cài đặt Kali Linux 3.2 Cài đặt Mac OSX 3.3 Cài đặt Windows 16 16 16 17 CHƯƠNG HƯỚNG DẪN CẤU HÌNH VÀ SỬ DỤNG W3AF 4.1 Tổng quan 4.2 Thanh cơng cụ 4.3 Scanning 4.3.1 Cấu hình trước qt 4.3.2 Cách sử dụng cấu hình 4.3.3 Rà quét 4.4 Phân tích kết 4.4.1 Browsing the Knowledge Base 4.4.2 Site Structure 19 19 20 21 21 23 24 27 27 28 4.4.3 Requests and responses 4.5 Khai thác lỗ hổng 4.5.1 Thực khai thác 4.5.2 Sử dụng shell 4.6 Sử dụng tools 4.6.1 Manual Requests 4.6.2 Fuzzy Request 4.6.3 Encode and Decode 4.6.4 Compare 4.6.5 Proxy 4.6.6 Wizards 4.7 Các cấu hình khác 29 30 32 34 34 34 35 38 38 39 41 41 CHƯƠNG CÁC BÀI LAB THỰC HÀNH 5.1 Công cụ, môi trường cần chuẩn bị 5.2 Thực hành rà quét lỗ hổng ứng dụng web sử dụng w3af 5.2.1 Quét lỗ hổng XSS SQL injection 5.2.2 Quét ứng dụng web phức tạp 5.2.3 Vét cạn mật 5.2.4 Thực hành sử dụng số chức khác a Manual Request b Encode/Decode c Compare d Proxy 43 43 43 43 45 52 54 54 55 56 57 CHƯƠNG SO SÁNH, ĐÁNH GIÁ, KẾT LUẬN 63 TÀI LIỆU THAM KHẢO 64 DANH MỤC CÁC BẢNG Bảng 6.1 Ưu điểm, nhược điểm công cụ w3af 63 DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt Thuật ngữ Tiếng Anh Ý nghĩa W3AF Web Application Attack and Audit Framework Công cụ quét mã nguồn mở, kiểm thử bảo mật cho ứng dụng web VNCERT Vietnam Cybersercurity mergency Response Teams Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam DoS Denial of Services Từ chối dịch vụ OWASP Open Web Application Security Project Tổ chức quốc tế chuyên bảo mật ứng dụng web SQL Structured Query Language Ngơn ngữ truy vấn có cấu trúc XEE XML External Entities Lỗ hổng ứng dụng web bị công cách phân tích cú pháp đầu vào XML XML Extensible Markup Language Ngôn ngữ đánh dấu mở rộng XSS Cross Site Scripting Lỗ hổng chèn đoạn script nguy hiểm WAF Web Application Firewall Tường lửa ứng dụng 10 HTTP Hypertext Transfer Protocol Giao thức internet 11 DVWA Damn Vulnerable Web Application Ứng dụng mã nguồn mở PHP/MySQL chứa sẵn lỗ hổng bảo mật MỞ ĐẦU Vấn đề an toàn an ninh mạng vấn đề cấp bách, đặc biệt việc công vào website Việc công vào hệ thống mạng ứng dụng web ngày gia tăng, cho thấy việc bảo mật an toàn thông tin website chưa thực đảm bảo [1] Theo thống kê BKAV an ninh mạng năm 2017, mức thiệt hại virus máy tính gây người dùng Việt Nam lên tới 10.400 tỷ, vượt qua mức 8.700 tỷ đồng năm 2016 Đây kết từ chương trình đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực vào tháng 12/2017 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ cơng có chủ đích APT chủ điểm nóng năm 2017 [1] Cũng theo thống kê Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT, năm 2017 Trung tâm ghi nhận tổng số 134.375 cố cơng mạng loại hình Phishing (lừa đảo), Malware (mã độc) Deface (thay đổi giao diện) So với năm 2016, số lượng vụ công mạng năm 2017 nhiều gấp 4,2 lần (năm 2016 31.585), đó, loại hình cơng Phishing 10.057 cố (gấp 1,7 lần so với năm 2016), Malware 46.664 cố (gấp gần 2,8 lần năm 2016) Deface 77.654 cố (gấp 8,7 lần năm 2016) Mặt khác, theo khảo sát Hiệp hội an tồn thơng tin Việt Nam, số an tồn thông tin Việt Nam năm 2017 59,9% Đây bước tiến đáng kể năm qua, năm 2016, số 47,4% [1] Đặc biệt theo thống kê Microsoft, nước đứng đầu tồn cầu nguy nhiễm mã độc có nước thuộc khu vực Đông Nam Á Việt Nam Indonesia Đây hai nước có tỷ lệ nhiễm mã độc 45% vào quý II/2016, gấp đôi so với mức trung bình kỳ 21% giới [1] Do nhu cầu phát triển dịch vụ thơng tin mạng internet ngày lớn, địi hỏi quan, tổ chức doanh nghiệp phải đảm bảo an tồn cho website Vì vậy, vấn đề nghiên cứu giải pháp đánh giá phát lỗ hổng cần thiết Từ lý trên, em lựa chọn đề tài “TÌM HIỂU CƠNG CỤ W3AF TRONG PHÁT HIỆN VÀ PHÂN TÍCH LỖ HỔNG BẢO MẬT TRONG ỨNG DỤNG WEB” cho báo cáo môn học Bài báo cáo gồm chương: Chương Tổng quan lỗ hổng ứng dụng web Chương Giới thiệu công cụ w3af Chương Hướng dẫn cài đặt Chương Hướng dẫn cấu hình sử dụng Chương Các Lab thực hành Chương So sánh, đánh giá, kết luận CHƯƠNG TỔNG QUAN VỀ LỖ HỔNG ỨNG DỤNG WEB Nội dung chương mô tả tổng quan lỗ hổng ứng dụng web số lỗ hổng thường gặp ứng dụng web 1.1 Tổng quan lỗ hổng ứng dụng web Theo thống kê nhất, có 90% lỗ hổng bảo mật bắt nguồn từ ứng dụng Web, 90% nhà quản trị chưa có nhìn tổng quan bảo mật WebApp Đây lý dẫn tới số lượng công mạng ngày nhiều [2] Có thể phân chia dạng lỗ hổng bảo mật hệ thống nói chung thành ba cấp độ nguy hiểm sau: ● Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp ● Lỗ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng thường có ứng dụng hệ thống; dẫn đến lộ thơng tin u cầu bảo mật ● Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống Các lỗ hổng bảo mật ứng dụng web điểm yếu hệ thống cung cấp dịch vụ Web cho phép tin tặc công đánh cắp liệu người dùng, liệu hệ thống, kiểm sốt ứng dụng web, chí kiểm sốt hệ thống máy chủ chạy ứng dụng web Các lỗ hổng bảo mật ứng dụng web đa dạng bao gồm ba loại 1.2 Top 10 lỗ hổng ứng dụng web theo chuẩn OWASP OWASP tiêu chuẩn toàn cầu để phục vụ việc kiểm thử xâm nhập Penetration Testing (Pentest) dễ dàng Tiêu chuẩn đề xuất tổ chức phi lợi nhuận: Open Web Application Security Project (OWASP) Tiêu chuẩn OWASP giúp cho chuyên gia kiểm thử (pentester) kiểm tra bảo mật cho website cách chi tiết, hiệu [3] Dưới top 10 lỗ hổng bảo mật web phổ biến theo tiêu chuẩn OWASP, hay biết đến với tên OWASP TOP 10 ● Injection: Injection attack xảy liệu khơng đáng tin cậy gửi đến trình thơng dịch mã (code interpreter) thông qua việc điền form (biểu mẫu) số liệu khác gửi đến ứng dụng web [3] Ví dụ, kẻ cơng nhập SQL database code vào biểu mẫu yêu cầu username dạng plaintext Nếu việc điền biểu mẫu khơng bảo mật cách, điều dẫn đến việc SQL code thực thi Đây gọi công SQL injection ● Broken Authentication: Các lỗ hổng hệ thống xác thực (login) cho phép kẻ cơng truy cập vào tài khoản người dùng chí có khả xâm nhập toàn hệ thống tài khoản quản trị viên [3] Ví dụ: kẻ cơng lấy danh sách chứa hàng nghìn tổ hợp tên người dùng / mật biết có lần vi phạm liệu sử dụng tập lệnh để thử tất tổ hợp hệ thống đăng nhập để xem có tổ hợp hoạt động không ● Sensitive Data Exposure: Nếu ứng dụng web không bảo vệ liệu nhạy cảm thơng tin tài mật khẩu, hacker giành quyền truy cập vào liệu sử dụng cho mục đích bất Một phương pháp phổ biến để lấy cắp thông tin nhạy cảm sử dụng công on-path attack [3] 10 Sau hoàn tất, đăng nhập vào ứng dụng DVWA bắt đầu điều hướng đến url khác Ta thấy yêu cầu ghi nhận plugin SpiderMan thể hình bên 53 Để kết thúc plugin spiderMan, ta duyệt qua url sau hiển thị bên Sau hoàn tất, plugin SpiderMan kết thúc thông tin chuyển sang plugin khác Như thấy từ hình bên dưới, plugin WebSpider tìm thấy số url mà thu thập thơng tin cách sử dụng thơng tin từ plugin SpiderMan Nếu nhìn vào cấu trúc ứng dụng, thấy thực xác 54 5.2.3 Vét cạn mật Các plugin Brute force sử dụng để công vét cạn đăng nhập form, đăng nhập http-auth Khi plugin Discovery tìm thấy biểu mẫu có đầu vào dựa form đầu vào http-auth, tự động khởi chạy công brute force plugin Brute force tương ứng bật Tuy nhiên, plugin Brute force chạy plugin riêng biệt sử dụng để thực công có chủ đích chống lại url cụ thể với biểu mẫu đăng nhập Một số điều quan trọng cần thiết lập chạy plugin Brute force thơng số cấu hình 55 Chúng ta sử dụng danh sách tệp tên người dùng mật hay sử dụng w3af có tệp chứa tên người dùng mật thường dùng Trong trường hợp này, thử thực công vét cạn vào biểu mẫu đăng nhập thể hình bên Cung cấp url biểu mẫu đăng nhập vào Target Chọn plugin formAuthBrute chọn định cấu hình thơng số tùy theo nhu cầu Sau đó, nhấp chọn Start để bắt đầu Như ta thấy rõ từ đầu ra, w3af tìm thấy tên người dùng mật admin/1234 56 5.2.4 Thực hành sử dụng số chức khác a Manual Request Tính Manual Request w3af cho phép gửi yêu cầu tạo thủ công đặc biệt sau phân tích phản hồi Kỹ thuật sử dụng trường hợp khác kiểm tra SQL Injection, Cross Site Scripting Như ví dụ bên dưới, thực yêu cầu GET đơn giản tới http://google.com 57 Ngoài ra, gửi phản hồi tới công cụ w3af khác thông qua Send Request and Response to Compare Tool b Encode/Decode Công cụ Encode/Decode w3af sử dụng để mã hóa giải mã chuỗi, url… Chúng chọn từ nhiều tùy chọn mã hóa giải mã khác 58 Ví dụ cho thấy chuỗi mã hóa base64 giải mã công cụ giải mã w3af c Compare Công cụ Compare sử dụng để thực so sánh yêu cầu/phản hồi Như hình bên dưới, gửi cho công cụ so sánh phản hồi cho yêu cầu khác Sự khác biệt câu trả lời đánh dấu công cụ so sánh 59 d Proxy w3af kèm với proxy cho phép chặn yêu cầu sửa đổi chúng cách nhanh chóng Để sử dụng proxy này, chúng tơi phải định cấu hình trình duyệt để sử dụng proxy 60 Chúng ta định cấu hình trình duyệt để định tuyến lưu lượng truy cập qua proxy 61 Sau cài đặt hoàn tất, thấy yêu cầu phản hồi xuất tab History hình bên Hiện tại, yêu cầu phản hồi chuyển qua proxy mà không bị chặn 62 Như thảo luận phần báo cáo, gửi yêu cầu/phản hồi đến công cụ khác trình chỉnh sửa Manual Request, Fuzzy Request… Để chặn yêu cầu, nhấp vào mũi tên xuống phía bên trái Nếu duyệt qua proxy bây giờ, ta nhận thấy yêu cầu bị chặn proxy hình bên 63 Sau chặn, loại bỏ yêu cầu để khơng đến đích, chuyển tiếp u cầu ban đầu sửa đổi yêu cầu chuyển tiếp Ví dụ yêu cầu bị chặn hiển thị hình bên dưới, thấy truy vấn tìm kiếm w3af Chúng ta dễ dàng thay đổi thành truy vấn tìm kiếm chúng tơi muốn 64 65 CHƯƠNG SO SÁNH, ĐÁNH GIÁ, KẾT LUẬN Sau trình tìm hiểu thực nghiệm, em rút số đánh giá công cụ sau: Ưu điểm - Tích hợp plugin đa dạng hỗ trợ tốt cho trình rà quét lỗ hổng - Dễ sử dụng với người tiếp cận có giải thích rõ ràng với chức - Có hỗ trợ hiển thị thông tin dạng đồ họa giúp người phân tích có nhìn tổng quan - Tích hợp module khai thác lỗ hổng kèm - Hỗ trợ người dùng giao diện: dòng lệnh đồ họa - Tốc độ quét lỗ hổng nhanh, tỉ lệ xác Nhược điểm - Giao diện ứng dụng chưa thực bắt mắt so với công cụ - Do công cụ đời lâu version package cũ khơng cịn hỗ trợ nên q trình cài đặt với phiên hệ điều hành gặp nhiều khó khăn - Cộng đồng hỗ trợ chưa thực mạnh - Một số module khai thác chưa cập nhật như: sqlmap… - Không hỗ trợ việc cài đặt plugin cho công cụ nên việc cập nhật phương pháp khai thác lỗ hổng hạn chế Bảng 6.1 Ưu điểm, nhược điểm công cụ w3af 66 TÀI LIỆU THAM KHẢO [1] "Sự cố công mạng vào hệ thống Việt Nam," [Online] Available: https://mt.gov.vn/vn/tin-tuc/76247/su-co-tan-cong-mang-vao-cac-he-tho ng-tai-viet-nam-giam-nhe-trong-thang-9.aspx [Accessed 12 2021] [2] "Phân loại phát lỗ hổng hệ thống thông tin," [Online] Available: http://antoanthongtin.gov.vn/lo-hong-attt/phan-loai-va-phat-hien-lo-hong -cua-he-thong-thong-tin-104751 [Accessed 12 2021] [3] "OWASP TOP 10," [Online] Available: https://owasp.org/www-project-top-ten/ [Accessed 12 2021] [4] A Riancho, "Web Application Attack and Audit Framework," [Online] Available: http://w3af.org/ [Accessed 12 2021] [5] A Riancho, "W3AF Github," [Online] Available: https://github.com/andresriancho/w3af [Accessed 12 2021] [6] A Riancho, "W3AF Documentation," [Online] Available: http://docs.w3af.org/en/latest/index.html [Accessed 12 2021] [7] "Top 10 lỗ hổng bảo mật OWASP," [Online] Available: https://cystack.net/vi/blog/10-lo-hong-bao-mat-web [Accessed 12 2021] 67 ... lý trên, em lựa chọn đề tài “TÌM HIỂU CƠNG CỤ W3AF TRONG PHÁT HIỆN VÀ PHÂN TÍCH LỖ HỔNG BẢO MẬT TRONG ỨNG DỤNG WEB? ?? cho báo cáo môn học Bài báo cáo gồm chương: Chương Tổng quan lỗ hổng ứng dụng. .. DỤNG WEB Nội dung chương mô tả tổng quan lỗ hổng ứng dụng web số lỗ hổng thường gặp ứng dụng web 1.1 Tổng quan lỗ hổng ứng dụng web Theo thống kê nhất, có 90% lỗ hổng bảo mật bắt nguồn từ ứng dụng. .. TỔNG QUAN VỀ LỖ HỔNG ỨNG DỤNG WEB 1.1 Tổng quan lỗ hổng ứng dụng web 1.2 Top 10 lỗ hổng ứng dụng web theo chuẩn OWASP 8 CHƯƠNG 2: GIỚI THIỆU CÔNG CỤ W3AF 2.1 Giới thiệu 2.2 Kiến trúc w3af 2.3 Các