TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP MƠN QUẢN TRỊ MẠNG ĐTI: TÌM HIỂU TẤN CÔNG WEB Sinh viên thực : TRẦN VĂN NGHĨA Giảng viên hướng dẫn Ngành Chuyên ngành : TH.S HO NG THANH TÙNG Lớp Khóa : CƠNG NGHỆ THÔNG TIN : QUẢN TRỊ AN NINH MẠNG : D13QTANM : 2018-2023 Hà Nội, tháng 08 năm 2022 PHIẾU CHẤM ĐIỂM Nhận Họ tên sinh viên Trần Văn Nghĩa 18810320137 xét nội dung thực Điểm Họ tên giảng viên Giảng viên chấm 1: Giảng viên chấm 2: Chữ ký Ghi BÁO CÁO THỰC TẬP Thời gian: Từ 10/3 tới … Sinh viên thực hiện: Họ tên: Trần Văn Nghĩa MSV: 18810320137 SĐT: 0832566508 Email: nghiaepu0904@gmail.com Vị trí thực tập: Thực tập sinh Front End Giảng viên hướng dẫn: Họ tên: HO NG THANH TÙNG Học vị: THẠC SĨ Số điện thoại: 0978421326 Email: tunght@epu.edu.vn Đơn vị công tác: Khoa Công Nghệ Thông Tin trường Đại học Điện Lực Cán hướng dẫn nơi thực tập: Họ tên: NGUYỄN VĂN PHONG Chức vụ: Mentor Số điện thoại: 035556677 Email: nguyenphong.it.dvkami20198@gmail.com Phịng/Bộ phận: Training department Tên nơi thực tập: Cơng ty cổ phần tập đồn Ominext Địa chỉ: Tầng 13, tịa 789, 147 Hoàng Quốc Việt, Cầu Giấy, Hà Nội Giảng viên hướng dẫn (Ký, Ghi rõ họ tên) Cán hướng dẫn (Ký, Ghi rõ họ tên) Sinh viên thực (Ký, Ghi rõ họ tên) ……………………… …………………… .………………… MỤC LỤ LỜI NÓI ĐẦU Chương 1: Tấn công web Ứng dụng web hoạt động nào? 2 Tấn công ứng dụng web Chương 2: Các hình thức cơng web Tấn công Malware .7 Tấn công giả mạo (Phishing) .8 Tấn công từ chối dịch vụ (Dos DDoS) Tấn công trung gian (Man-in-the-middle attack) 10 Khai thác lỗ hổng Zero-day (Zero day attack) .12 Lỗi chứng thực yếu (Insufficient Authentication) 14 Dự đoán, chèn phiên (Credentical/Session Prediction) 14 XSS – Cross-Site Scripting 15 10 SQL injection 16 11 Liệt kê thư mục (Directory indexing) 17 12 Path Traversal 18 CHƯƠNG 3: DEMO TẤN CÔNG WEB 20 3.1 Công cụ triển khai công web DVWA 20 3.2 Demo công Command Injection 21 3.2.1 Command Injection với DVWA mức “low” 21 3.2.2 Command Injection với DVWA mức “medium” 23 3.2.3 Command Injection với DVWA mức “high” 25 LỜI NĨI ĐẦU Hiện nay, cơng nghệ thơng tin áp dụng rộng rãi toàn cầu, dần chuyển từ từ tiếp xúc với cơng nghệ thấy lợi ích to lớn việc áp dụng công nghệ thông tin vào lĩnh vực kinh doanh, quản lý, mua sắm, nói chung tất nhu cầu người Một dịch vụ công nghệ hàng đầu sử dụng phổ biến dịch vụ Web Với công nghệ Web đáp ứng nhu cầu người Trước đây, website biết đến để giới thiệu tập thể, công ty hay tổ chức Nhưng xã hội ngày phát triển, Web thuật ngữ thiếu sống người, chí mua hàng khơng cần phải đến cửa hàng mua mà cần cú click chuột sản phẩm giao đến tận nhà Và nhu cầu người tăng cao thơng qua ngân hàng xây dựng website tốn trực tuyến hay chuyển khoản thơng qua giao diện web, tiện lợi cho người dùng Bên cạnh đó, nguy xâm hại, đánh cắp,phá hoại thông tin, liệu cá nhân điều không tránh khỏi mà dịch vụ web nhiều lỗ hổng bảo mật Trong đề tài mơn học em trình bày số hình thức cơng web Hacker Em xin gửi lời cảm ơn chân thành tri ân sâu sắc thầy cô trường Đại học Điện Lực đặc biệt thầy cô khoa Công Nghệ Thông Tin trường tạo điều kiện cho em để em hồn thành tốt báo cáo Em xin chân thành cảm ơn thầy Hồng Thanh Tùng nhiệt tình hướng dẫn em hồn thành tốt đồ án tốt nghiệp Chương 1: Tấn công web Ứng dụng web hoạt động nào? Hình bên mơ tả chi tiết mơ hình ứng dụng web ba lớp Lớp thường trình duyệt web giao diện người dùng; lớp thứ hai công cụ công nghệ tạo nội dung động Java servlet (JSP) Active Server Pages (ASP) lớp thứ ba sở liệu chứa nội dung (ví dụ: tin tức) liệu khách hàng (ví dụ: tên người dùng mật khẩu, mạng xã hội số bảo mật chi tiết thẻ tín dụng) Recommandé pour toi Suite du document ci-dessous Bài - IN- Hiện đơn, tiếp diễn Quản lý tài Aucun Bài - IN- Hiện hoàn thành, hoàn thành tiếp diễn Quản lý tài Aucun Chapter - lý thuyết 11 Quản lý tài Aucun fnal ICQ 16 Quản lý tài Aucun Hình bên trái cho thấy cách người dùng kích hoạt u cầu ban đầu thơng qua trình duyệt qua Internet đến máy chủ ứng dụng web Ứng dụng web truy cập vào máy chủ sở liệu để thực tác vụ yêu cầu cập nhật truy xuất thông tin nằm sở liệu Sau đó, ứng dụng web trình bày thơng tin cho người dùng thơng qua trình duyệt Tấn công ứng dụng web Bây xem xét kiểu công vào ứng dụng web Bất chấp ưu điểm chúng, ứng dụng web gây số lo ngại bảo mật bắt nguồn từ việc mã hóa khơng cách Các điểm yếu lỗ hổng nghiêm trọng cho phép bọn tội phạm truy cập trực tiếp công khai vào sở liệu để đánh cắp liệu nhạy cảm - gọi công ứng dụng web Nhiều sở liệu số chứa thơng tin có giá trị (ví dụ: liệu cá nhân chi tiết tài chính) khiến chúng trở thành mục tiêu cơng thường xuyên Mặc dù hành động phá hoại (thường thực kẻ gọi kẻ lừa đảo tập lệnh) làm xấu trang web công ty diễn phổ biến, ngày kẻ cơng thích giành quyền truy cập vào liệu nhạy cảm nằm máy chủ sở liệu lợi nhuận lớn bán kết vi phạm liệu Trong khuôn khổ mơ tả trên, dễ dàng thấy tội phạm nhanh chóng truy cập liệu nằm sở liệu thông qua liều lượng sáng tạo với may rủi, sơ suất lỗi người, dẫn đến lỗ hổng ứng dụng web Như nêu, trang web phụ thuộc vào sở liệu để cung cấp thông tin cần thiết cho khách truy cập Nếu ứng dụng web khơng an tồn, tức dễ bị cơng hình thức kỹ thuật cơng khác nhau, tồn sở liệu thơng tin nhạy cảm bạn có nguy bị công ứng dụng web Các kiểu công SQL Injection, nhắm mục tiêu trực tiếp vào sở liệu, loại lỗ hổng phổ biến nguy hiểm Những kẻ công khác tiêm mã độc hại cách sử dụng đầu vào người dùng ứng dụng web dễ bị công để lừa người dùng chuyển hướng họ đến trang lừa đảo Loại công gọi Cross-Site Scripting (tấn công XSS) sử dụng thân máy chủ web công cụ sở liệu khơng chứa lỗ hổng bảo mật Nó thường sử dụng kết hợp với vectơ công khác công kỹ thuật xã hội Có nhiều kiểu cơng phổ biến khác duyệt qua thư mục, bao gồm tệp cục bộ, v.v Nghiên cứu gần cho thấy 75% công mạng thực cấp độ ứng dụng web Trang web ứng dụng web liên quan phải hoạt động 24 ngày, ngày tuần, để cung cấp dịch vụ cần thiết cho khách hàng, nhân viên, nhà cung cấp bên liên quan khác Tường lửa SSL không cung cấp khả bảo vệ chống lại công ứng dụng web, đơn giản quyền truy cập vào trang web phải công khai Tất hệ thống sở liệu đại (ví dụ: Microsoft SQL Server, Oracle MySQL) truy cập thơng qua cổng cụ thể (ví dụ: cổng 80 443) cố gắng kết nối trực tiếp đến sở liệu cách hiệu bỏ qua chế bảo mật sử dụng hệ điều hành Các cổng mở phép giao tiếp với lưu lượng truy cập hợp pháp tạo thành lỗ hổng lớn Các ứng dụng web thường có quyền truy cập trực tiếp vào liệu phụ trợ sở liệu khách hàng đó, kiểm sốt liệu phiên Và cuối nắm quyền kiểm sốt Các cơng thực thi theo nhiều cách khác Loại bỏ SSL: SSl stripping SSL Downgrade Attack loài kiếm nói đến cơng MiTM, nguy hiểm Chứng SSL/TLS giữ liên lạc chúng tơi an tồn trực tuyến thơng qua mã hóa Trong cơng SSl Kẻ công loại bỏ kết nối SSL/TLS chuyển giao thức từ HTTPS an tồn sang HTTP khơng an tồn Cách phịng chống cơng trung gian Đảm bảo Website bạn truy cập cài SSL Không mua hàng gửi liệu nhạy cảm dùng mạng công cộng Không nhấp vào Link Email độc hại Có cơng cụ bảo mật thích hợp cài đặt hệ thống bạn Tăng cường bảo mật cho hệ thống mạng gia đình bạn Khai thác lỗ hổng Zero-day (Zero day attack) Lỗ hổng zero-day (0-day Vulnerability) thực chât lỗ hổng bảo mật phần mềm phần cứng mà người dùng chưa phát Chúng tồn nhiều môi trường khác như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, Cloud, Sự khác lỗ hổng bảo mật thông thường lỗ hổng Zero-day nằm chỗ: Lỗ hổng Zero-day lỗ hổng chưa biết tới đối tượng sở hữa cung cấp sản phẩm chứa lỗ hổng Thông thường sau phát triển lỗ hổng 0-day, bên cung cấp sản phẩm tung vá bảo mật cho lỗ hổng để người dùng bảo mật tốt Tuy nhiên thực tế, người dùng cập nhật phiên phần mềm Điều khiến cho Zero-day biết đến lỗ hổng nguy hiểm Có thể gây thiệt hại nghiêm trọng cho doanh nghiệp người dùng Một công bố rộng rãi công chúng, lỗ hổng 0-day trở thành lỗ hổng n-day Cách phòng chống lỗ hổng Zero-day Thường xuyên cập nhật phần mềm hệ điều hành 12 Triển khai giám sát bảo mật theo thời gian thực Triển khai hệ thống IDS IPS Sử dụng phần mềm quét lỗ hổng bảo mật Các loại công khác Tấn công chuỗi cung ứng Tấn công Email Tấn công vào người Tấn cơng vào nội tổ chức Mỗi hình thức cơng có đặc tính riêng Và chúng ngày tiến hóa phức tạp, tinh vi địi hỏi cá nhân, tổ chức phải liên tục cảnh giác cập nhật cơng nghệ phịng chống Các giải pháp hạn chế công mạng Đối với cá nhân Bảo vệ mật cá nhân cách: đặt mật phức tạp, bật tính bảo mật lớp – xác nhận qua điện thoại, Chi tiết tại: kiểu Tấn công Password & cách phòng chống Hạn chế truy cập vào điểm Wifi cơng cộng Khơng sử dụng phần mềm bẻ khóa (crack) Luôn cập nhật phần mềm, hệ điều hành lên phiên Cẩn trọng duyệt qua Email, keiemr tra kỹ tên người gửi đề phfong tránh lừa đảo Tuyệt đối không tải File nhấp vào đường Link không rõ nguồn gốc Hạn chế sử dụng thiết bị ngoại vi (USB, ổ cứng) dùng chung Sử dụng phần mềm diệt Virus uy tín Đối với tổ chức, doanh nghiệp Xây dựng sách bảo mật với điều khoản rõ ràng, minh bạch Lựa chọn phần mềm, đối tác cách kỹ Ưu tiên bên có cam kết bảo mật cam kết cập nhật bảo mật thường xuyên Tuyệt đối không sử dụng phần mềm Crack Luôn cập nhật phần mềm, Firmware lên phiên Sử dụng dịch vụ lưu trữ đám mây uy tín cho mục đích lưu trữ 13 Đánh giá bảo mật xây dựng cách chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm thành phần: bảo mật Website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hàng Tổ chức buổi đào tạo, Training kiến thức sử dụng Internet an tồn cho nhân viên Tấn cơng Brute force Bruteforce cách thức thử tất khả có để đốn thơng tin cá nhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng Nhiều hệ thống cho phép sử dụng mật thuật tốn mã hóa yếu tạo điều kiện cho tin tặc sử dụng phương pháp cơng để đốn tài khoản mật đăng nhập Sau sử dụng thơng tin để truy cập vào hệ thống Biện pháp đối phó: Tăng cường độ mạnh cho mật (Độ dài ký tự, khơng chứa chuỗi username, chứa kí tự số, chứa ký tự đặc biệt, không cho phép thay đổi mật trùng lặp sử dụng, quản lý, điều khiển thông báo lỗi) Sử dụng chế chứng thực (Basic Digest Authentication) Hạn chế số lần đăng nhập khóa tài khoản đăng nhập sai Sử dụng module Mod_Dosevasive để xác định dấu hiệu kiểu công Lỗi chứng thực yếu (Insufficient Authentication) Lỗi chứng thực yếu xuất website cho phép truy cập nội dung, tài ngun nhạy cảm mà khơng có đủ quyền Các trang quản trị ví dụ dễ thấy Nếu khơng có chế phân quyền hợp lý thư mục tài khoản đăng nhập trang quản trị Tin tặc hồn tồn có khả vượt qua chế đăng nhập để chiếm quyền điều khiển trang Biện pháp đối phó: Thiết lập chế điều khiển truy cập thông quan htaccess tập tin cấu hình httpd.conf Ví dụ: Điều khiển truy cập thông qua httpd.conf SslRequireSSl 14 AuthTypeDigest AuthName “Admin Area” AuthDigestfile /usr/local/apache/conf/paswd_digest Require user admin Dự đoán, chèn phiên (Credentical/Session Prediction) Dự đoán, chèn phiên phương thức chiếm phiên (hijacking) Thông thường tài khoản thực trình chứng thực server (tài khoản/mật khẩu) Dựa vào thông tin này, server tạo giá trị session ID phép trì kết nối Nếu đốn session ID tin tặc có khả chiếm phiên đăng nhập người dùng hợp lệ khác Biện pháp đối phó: Sử dụng SSL (mod_ssl) trình chứng thực để chống lại việc nghe liệu quan trọng Sử dụng chế tạo session ID ngẫu nhiên Thuật tốn mã hóa mạnh Session ID phải đủ lớn để làm khó q trình cơng brute-force Giới hạn thời gian tồn session ID XSS – Cross-Site Scripting XSS kĩ thuật công phổ biến nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web Bất kì website cho phép người sử dụng đăng thông tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS Tin tặc công cách chèn vào website động (ASP, PHP, CGI, JSP ) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đoạn mã nguy hiểm chèn vào hầu hết viết Client-Site Script JavaScript, Jscript, DHTML thẻ HTML Ví dụ: Sử dụng XSS chèn mã JavaScript trực tiếp URL ‘XSS was found!’); Khi website http://www.demo.com bị lỗi XSS trình duyệt lên thơng báo “XSS was found!” Nếu kĩ thuật cơng khác thay đổi liệu nguồn web server (mã nguồn, cấu trúc, sở liệu) XSS gây tổn hại website phía client mà nạn nhân trực tiếp người khác duyệt site Biện pháp đối phó: 15