Thông tin tài liệu
LI M U Các máy ch Web (Webserver) luôn là nh t màu m cho các hacker tìm kim các thông tin giá tr hay gây ri vì mt mm ho có th là bt c cái gì t kiu tn công t chi dch v, qung cáo các website có ni dung không lành mi ni dung các file hay phn mm cha mã nguy him.Các nhà qun tr luôn phu, lo l bo v máy ch web và an toàn thông tin cho toàn b h thng. Vì vy, tôi quynh ch tài o M tìm hi v quan trng này. Trong lu, tôi xin trình bày nhng phn chính sau : ng quan web server t s c tn công web server t s gii pháp bo mt web server Thông qua nh tài, tôi mong rng nhng v mà c trình bày có th làm rõ phn nào v bo mt web server hin nay. Mc du c g lý lun, thi gian có h tài yêu cu hiu bit v thc t cao, nên không th c nhng thiu sót, rc s thông cm, ch dn a thy giáo và các bn. Em xin chân thành c Thành phố Hồ Chí Minh, ngày 27 tháng 10 năm 2012 4 4 5 1.2.1.Internet Information Services (IIS) 6 1.2.2.Apache Web Server 7 9 1.3.1.SSL là gì? 9 1.3.2. Giao thc SSL 10 1.3.3.Các thut toán mã hoá dùng trong SSL 12 14 2.1. SQL injection 14 2.1.1. SQL Injection là gì? 14 2.1.2. Các dng tn công bng SQL Injection 14 2.1.3. Cách phòng tránh 20 phòng tránh, ta có th thc hin hai mc: 20 2.2 Tn công Cross-Site 21 2.2.1 Cross-Site Scripting hay XSS là gì? 21 2.2.2 Cách hong ca XSS. 21 2.2.3 Cách phòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cách phòng chng 28 30 31 31 3.2.1.Gii thiu v Mod_security 31 t và cu hình 32 3.3. Secure Web Server (HTTPS) 34 36 Kt Lun 37 Web Server là máy ch ng ln, t tr t ngân hàng d liu, cha nhc thit k cùng vi nh Multimedia). Web Server có kh n máy khách nhng trang Web thông qua môi ng Internet (hoc Intranet) qua giao thc HTTP - giao thc thit k gi n trình duyt Web (Web Browser), và các giao thc khác. Tt c u có ma ch IP (IP Address) ho có mt Domain Name. Gi s khi bánh vào thanh Address trên trình duyt ca bn mn s gi mt yêu cu n mt Server có Domain Name là www.abc.com. Server này s tìm trang Web có tên là index.htm ri gn trình duyt ca bn.Bt k m có th tr thành mt Web Server bi vit lên nó mn mt ni vào Internet. Khi máy tính ca bn kt nn mt Web Server và gn yêu cu truy cp các thông tin t mt trang We nhn yêu cu và gi li cho bn nhng thông tin mà bn mong mun. Ging ng phn mm khác mà bt trên máy tính ca là mt ng dng phn mt, và chy trên máy tính dùng làm Web Server, nh i s dng có th truy cn các thông tin ca trang Web t mt máy tính khác trên mng (Internet, Intranet). Web Server Software còn có th c tích hp vi CSDL (Database), hay u khin vic kt n có th truy cp và kt xut thông tin t CSDL lên các trang Web và truyn ti dùng.Server phi hong liên tc 24/24 gi, 7 ngày mt tun và 365 ngày m phc v cho vic cung cp thông tin trc tuyn. V ng trong chng và t n thông tin t server và máy tính truy cp. 1.2. Có khá nhiu sn phm web server khác nhau, vic la chn mt web server phù hp s da c vi h u hành và các ng dng khác, kh t lng dng phía server, kh o mt d liu, kh t bn trang web, các công c h tr khi xây d Internet Information Services (IIS), Apache Web Server web 1.2.1.Internet Information Services (IIS) IIS là dch v thông tin Internet do Microsoft phát trin, sn phc tích hp cùng vi h u hành Windows. Phiên bn mi nht hin nay là IIS 7.5 c chy trên h u hành Windows server 2008 (hay windows 7). Trong IIS bao gm nhiu dch v dch v ch v Web Server, dch v cn dch v Web Server. IIS Web Server (gi tng mi yêu cu ch yu ca m tin cy, hi giám sát (qun tr), tính bo mt và tính kh thi trong vic phát trin các dch v ng dng. Tt c các ci tin này là kt qu là s kt hp cht ch cùng vi các tính c cung cp trong h u hành Windows. 1.2.2.Apache Web Server t s n lc rt ln trong vic phát trin và duy trì mt Web Server mã ngun m cho các h u hành, bao gm Unix, Linux và t Web Server hi t tt c bo mt, hiu sut, m rng và phát trin cung cp các dch v ng b trong các chun Web hin hành. m ni bt ca Apache: Ngày nay Apache có th chy kt hp (hybrid) gia ch lý và ch lnh. H tr nhiu giao thc phát tri có th phc v trên nhiu giao thc khác nhau. Ngày càng h tr t h BeOS,OS/2vàWindows. Ngày càng phát trin và hoàn thin các API (Application Program Interface). H tr IPv6. H tr nhi lc (Filtering) các dòng d lin ho server. H tr nhiu ngôn ng hin th các thông báo li. n và d dàng thit lp các tham s cho Web Server qua các file cu hình. 1.3.1.SSL là gì? Vic kt ni gia mt Web browser ti bt k m nào trên m qua rt nhiu các h thc lp mà không có bt k s bo v nào vi các thông ng truyn. Không mt ai k c i s dng ln Web server có bt k s kii va d liu hay có th kic liu có ai ng truy bo v nhng thông tin mt trên mng Internet hay bt k mt hp nhng yu t thit lc mt giao dch an toàn: Xác thc: m bo tính xác thc ca trang mà bn s làm vic u kia ca kt ny, các trang Wen phi kim tra tính xác thc ci s dng. Mã hoá: m bo thông tin không th b truy cp bng th loi tr vic nghe trm nhy cc truyn qua Internet, d liu ph không th b c bi nhng i gi nhn. Toàn vn d liu: m bo thông tin không b sai lch và nó phi th hin chính xác thông tin gc gn. Vi vic s dng SSL, các Web site có th cung cp kh o mt thông tin, xác thc và toàn vn d li c tích hp sn vào các i s dng làm vic vi các trang Web ch an toàn. Khi Web browser s dng kt ni SSL ti server, bing khóa s xut hin trên thanh trng thái ca ca s p nhp a ch URL s t phiên giao dch HTTPS s dng cng 443 thay vì s dng c. 1.3.2. G c phát trin bi Netscape, ngày nay giao thc Secure Socket Layer c s dng rng rãi trên World Wide Web trong vic xác thc và mã hoá thông tin gia client và server. T chc IETF (Internet Engineering Task Force t li tên là TLS (Transport Layer Security). Mc dù là có s thai v là mt phiên bn mi ca SSL. Phiên bn TSL i phiên bn SSL 3.1. Tuy nhiên SSL là thut ng c s dng r Cu trúc ca SSL và giao thc SSL c thit k t giao thc riêng cho v bo mt có th h tr cho rt nhiu ng dng. Giao thc SSL hoi các giao thc ng dng t Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có th s d h tr các giao dch an toàn cho rt nhiu ng dng khác nhau trên Internet, thì hic s dng chính cho các giao dch trên Web. SSL không phi là mt giao th, mà là mt tp các th tc chun hoá thc hin các nhim v bo mt sau: [...]... bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall) Hoạt động như một module của máy chủ web pache, mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn c ng đã biết và chưa biết Modsecurity có thể : Theo dõi HTTP traffic để phát hiện những dấu hiệu bất thường Lọc các dữ liệu ra vào webserver Ghi lại... hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường Xây dựng và triển khai hệ thống dự phòng Chương t số giải ph p bảo mật cho web server Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội... hợp lệ và sẽ trả về tất cả các bản ghi của T USERS và đoạn mã tiếp theo x lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ b D ng tấn công sử d ng câu lệnh SELECT Dạng tấn công này phức tạp hơn Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công Xét... client và server Khi một client và server trao đổi th ng tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và s dụng chúng trong phiên giao dịch SSL Chương t số phương th c tấn c ng web server 2.1 SQL injection 2.1.1 SQL Injection là gì? SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và. .. encoding và UTF-8 SecFilterCheckURLEncoding On SecFilterCheckUnicodeEncoding On 3.3 Secure Web Server (HTTPS) Khái niệm https: Là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet Các kết nối HTTPS thường được s dụng cho các giao dịch thanh toán trên World Wide Web và cho các giao dịch nhạy cảm trong các hệ thống thông tin công. .. cũng s dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS kh ng làm ảnh hưởng đến hệ thống website nằm trên server Mục tiêu tấn công của XSS không ai khác chính là những người s dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy... Intranet Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL Quét Webserver theo định k với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session... để mã hoá và giải mã thông tin Giao thức SSL hỗ trợ rất nhiều các thuật toán mã hoá, được s dụng để thực hiện các công việc trong quá trình xác thực server và client, truyền tải các certificates và thiết lập các khoá của từng phiên giao dịch (sesion key) Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tu thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty... đoạn mã tiêm vào dạng: ' ; EXEC xp cmdshell „cmd.exe dir C: ' Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server Việc phá hoại kiểu nào tu thuộc vào câu lệnh đằng sau cmd.exe 2.1.3 Cách phòng tránh Để phòng tránh, ta có thể thực hiện ở hai mức: a Kiểm soát chặt chẽ dữ liệu nhập vào Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát... các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web Xét một ví dụ điển hình, th ng thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập và mật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay . bày nhng phn chính sau : ng quan web server t s c tn công web server t s gii pháp bo mt web server Thông qua nh tài,. hong ca XSS. 21 2.2.3 Cách phòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cách phòng chng 28 . chng và t n thông tin t server và máy tính truy cp. 1.2. Có khá nhiu sn phm web server khác nhau, vic la chn mt web server phù
Ngày đăng: 18/06/2014, 21:23
Xem thêm: bảo mật web saver và cách phòng chống tấn công web server, bảo mật web saver và cách phòng chống tấn công web server