LI M U Các máy ch Web (Webserver) luôn là nh  t màu m cho các hacker tìm kim các thông tin giá tr hay gây ri vì mt mm ho có th là bt c cái gì t kiu tn công t chi dch v, qung cáo các website có ni dung không lành mi ni dung các file hay phn mm cha mã nguy him.Các nhà qun tr luôn phu, lo l bo v máy ch web và an toàn thông tin cho toàn b h thng. Vì vy, tôi quynh ch tài o M tìm hi v quan trng này. Trong lu, tôi xin trình bày nhng phn chính sau : ng quan web server t s c tn công web server t s gii pháp bo mt web server Thông qua nh tài, tôi mong rng nhng v mà  c trình bày có th làm rõ phn nào v bo mt web server hin nay. Mc du  c g lý lun, thi gian có h tài yêu cu hiu bit v thc t cao, nên không th c nhng thiu sót, rc s thông cm, ch dn a thy giáo và các bn. Em xin chân thành c Thành phố Hồ Chí Minh, ngày 27 tháng 10 năm 2012   4  4  5 1.2.1.Internet Information Services (IIS) 6 1.2.2.Apache Web Server 7  9 1.3.1.SSL là gì? 9 1.3.2. Giao thc SSL 10 1.3.3.Các thut toán mã hoá dùng trong SSL 12  14 2.1. SQL injection 14 2.1.1. SQL Injection là gì? 14 2.1.2. Các dng tn công bng SQL Injection 14 2.1.3. Cách phòng tránh 20  phòng tránh, ta có th thc hin  hai mc: 20 2.2 Tn công Cross-Site 21 2.2.1 Cross-Site Scripting hay XSS là gì? 21 2.2.2 Cách hong ca XSS. 21 2.2.3 Cách phòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cách phòng chng 28  30  31  31 3.2.1.Gii thiu v Mod_security 31 t và cu hình 32 3.3. Secure Web Server (HTTPS) 34  36 Kt Lun 37   Web Server là máy ch ng ln, t   tr t ngân hàng d liu, cha nhc thit k cùng vi nh               Multimedia). Web Server có kh n máy khách nhng trang Web thông qua môi ng Internet (hoc Intranet) qua giao thc HTTP - giao thc thit k  gi n trình duyt Web (Web Browser), và các giao thc khác. Tt c u có ma ch IP (IP Address) ho có mt Domain Name. Gi s khi bánh vào thanh Address trên trình duyt ca bn mn s gi mt yêu cu n mt Server có Domain Name là www.abc.com. Server này s tìm trang Web có tên là index.htm ri gn trình duyt ca bn.Bt k m có th tr thành mt Web Server bi vit lên nó mn mt ni vào Internet. Khi máy tính ca bn kt nn mt Web Server và gn yêu cu truy cp các thông tin t mt trang We nhn yêu cu và gi li cho bn nhng thông tin mà bn mong mun. Ging ng phn mm khác mà bt trên máy tính ca  là mt ng dng phn mt, và chy trên máy tính dùng làm Web Server, nh i s dng có th truy cn các thông tin ca trang Web t mt máy tính khác  trên mng (Internet, Intranet). Web Server Software còn có th c tích hp vi CSDL (Database), hay u khin vic kt n có th truy cp và kt xut thông tin t CSDL lên các trang Web và truyn ti dùng.Server phi hong liên tc 24/24 gi, 7 ngày mt tun và 365 ngày m phc v cho vic cung cp thông tin trc tuyn. V ng trong chng và t n thông tin t server và máy tính truy cp. 1.2. Có khá nhiu sn phm web server khác nhau, vic la chn mt web server phù hp s da  c vi h u hành và các ng dng khác, kh t lng dng phía server, kh o mt d liu, kh t bn trang web, các công c h tr khi xây d  Internet Information Services (IIS), Apache Web Server      web  1.2.1.Internet Information Services (IIS) IIS là dch v thông tin Internet do Microsoft phát trin, sn phc tích hp cùng vi h u hành Windows. Phiên bn mi nht hin nay là IIS 7.5 c chy trên h u hành Windows server 2008 (hay windows 7). Trong IIS bao gm nhiu dch v dch v ch v Web Server, dch v  cn dch v Web Server. IIS Web Server (gi tng mi yêu cu ch yu ca m tin cy, hi  giám sát (qun tr), tính bo mt và tính kh thi trong vic phát trin các dch v ng dng. Tt c các ci tin này là kt qu là s kt hp cht ch cùng vi các tính c cung cp trong h u hành Windows. 1.2.2.Apache Web Server     t s n lc rt ln trong vic phát trin và duy trì mt Web Server mã ngun m cho các h u hành, bao gm Unix, Linux và t Web Server hi t tt c  bo mt, hiu sut, m rng và phát trin cung cp các dch v ng b trong các chun Web hin hành. m ni bt ca Apache:  Ngày nay Apache có th chy kt hp (hybrid) gia ch   lý và ch   lnh.  H tr nhiu giao thc phát tri có th phc v trên nhiu giao thc khác nhau.  Ngày càng h tr t    h     BeOS,OS/2vàWindows.  Ngày càng phát trin và hoàn thin các API (Application Program Interface).  H tr IPv6.  H tr nhi lc (Filtering) các dòng d lin ho server.  H tr nhiu ngôn ng hin th các thông báo li.  n và d dàng thit lp các tham s cho Web Server qua các file cu hình.  1.3.1.SSL là gì? Vic kt ni gia mt Web browser ti bt k m nào trên m qua rt nhiu các h thc lp mà không có bt k s bo v nào vi các thông ng truyn. Không mt ai k c i s dng ln Web server có bt k s kii va d liu hay có th kic liu có ai ng truy bo v nhng thông tin mt trên mng Internet hay bt k mt hp nhng yu t  thit lc mt giao dch an toàn:  Xác thc: m bo tính xác thc ca trang mà bn s làm vic  u kia ca kt ny, các trang Wen phi kim tra tính xác thc ci s dng.  Mã hoá: m bo thông tin không th b truy cp bng th  loi tr vic nghe trm nhy cc truyn qua Internet, d liu ph     không th b  c bi nhng i gi nhn.  Toàn vn d liu: m bo thông tin không b sai lch và nó phi th hin chính xác thông tin gc gn. Vi vic s dng SSL, các Web site có th cung cp kh o mt thông tin, xác thc và toàn vn d li     c tích hp sn vào các i s dng làm vic vi các trang Web  ch  an toàn. Khi Web browser s dng kt ni SSL ti server, bing  khóa s xut hin trên thanh trng thái ca ca s p nhp a ch URL s t phiên giao dch HTTPS s dng cng 443 thay vì s dng c. 1.3.2. G c phát trin bi Netscape, ngày nay giao thc Secure Socket Layer c s dng rng rãi trên World Wide Web trong vic xác thc và mã hoá thông tin gia client và server. T chc IETF (Internet Engineering Task Force t li tên là TLS (Transport Layer Security). Mc dù là có s thai v  là mt phiên bn mi ca SSL. Phiên bn TSL i phiên bn SSL 3.1. Tuy nhiên SSL là thut ng c s dng r Cu trúc ca SSL và giao thc SSL c thit k t giao thc riêng cho v bo mt có th h tr cho rt nhiu ng dng. Giao thc SSL hoi các giao thc ng dng t         Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có th s d h tr các giao dch an toàn cho rt nhiu ng dng khác nhau trên Internet, thì hic s dng chính cho các giao dch trên Web. SSL không phi là mt giao th, mà là mt tp các th tc chun hoá  thc hin các nhim v bo mt sau: [...]... bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall) Hoạt động như một module của máy chủ web pache, mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn c ng đã biết và chưa biết Modsecurity có thể :  Theo dõi HTTP traffic để phát hiện những dấu hiệu bất thường  Lọc các dữ liệu ra vào webserver  Ghi lại... hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường  Xây dựng và triển khai hệ thống dự phòng Chương t số giải ph p bảo mật cho web server Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội... hợp lệ và sẽ trả về tất cả các bản ghi của T USERS và đoạn mã tiếp theo x lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ b D ng tấn công sử d ng câu lệnh SELECT Dạng tấn công này phức tạp hơn Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công Xét... client và server Khi một client và server trao đổi th ng tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và s dụng chúng trong phiên giao dịch SSL Chương t số phương th c tấn c ng web server 2.1 SQL injection 2.1.1 SQL Injection là gì? SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và. .. encoding và UTF-8 SecFilterCheckURLEncoding On SecFilterCheckUnicodeEncoding On 3.3 Secure Web Server (HTTPS)  Khái niệm https: Là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet Các kết nối HTTPS thường được s dụng cho các giao dịch thanh toán trên World Wide Web và cho các giao dịch nhạy cảm trong các hệ thống thông tin công. .. cũng s dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS kh ng làm ảnh hưởng đến hệ thống website nằm trên server Mục tiêu tấn công của XSS không ai khác chính là những người s dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy... Intranet Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL  Quét Webserver theo định k với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật  Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session... để mã hoá và giải mã thông tin Giao thức SSL hỗ trợ rất nhiều các thuật toán mã hoá, được s dụng để thực hiện các công việc trong quá trình xác thực server và client, truyền tải các certificates và thiết lập các khoá của từng phiên giao dịch (sesion key) Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tu thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty... đoạn mã tiêm vào dạng: ' ; EXEC xp cmdshell „cmd.exe dir C: ' Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server Việc phá hoại kiểu nào tu thuộc vào câu lệnh đằng sau cmd.exe 2.1.3 Cách phòng tránh Để phòng tránh, ta có thể thực hiện ở hai mức: a Kiểm soát chặt chẽ dữ liệu nhập vào Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát... các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web Xét một ví dụ điển hình, th ng thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập và mật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay . bày nhng phn chính sau : ng quan web server t s c tn công web server t s gii pháp bo mt web server Thông qua nh tài,. hong ca XSS. 21 2.2.3 Cách phòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cách phòng chng 28 . chng và t n thông tin t server và máy tính truy cp. 1.2. Có khá nhiu sn phm web server khác nhau, vic la chn mt web server phù