Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 37 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
37
Dung lượng
735,59 KB
Nội dung
LI M U Các máy ch Web (Webserver) luôn là nh t màu m cho các hacker tìm kim các thông tin giá tr hay gây ri vì mt mm ho có th là bt c cái gì t kiu tn công t chi dch v, qung cáo các website có ni dung không lành mi ni dung các file hay phn mm cha mã nguy him.Các nhà qun tr luôn phu, lo l bo v máy ch webvà an toàn thông tin cho toàn b h thng. Vì vy, tôi quynh ch tài o M tìm hi v quan trng này. Trong lu, tôi xin trình bày nhng phn chính sau : ng quan webserver t s c tn côngwebserver t s gii pháp bo mt webserver Thông qua nh tài, tôi mong rng nhng v mà c trình bày có th làm rõ phn nào v bo mt webserver hin nay. Mc du c g lý lun, thi gian có h tài yêu cu hiu bit v thc t cao, nên không th c nhng thiu sót, rc s thông cm, ch dn a thy giáo và các bn. Em xin chân thành c Thành phố Hồ Chí Minh, ngày 27 tháng 10 năm 2012 4 4 5 1.2.1.Internet Information Services (IIS) 6 1.2.2.Apache WebServer 7 9 1.3.1.SSL là gì? 9 1.3.2. Giao thc SSL 10 1.3.3.Các thut toán mã hoá dùng trong SSL 12 14 2.1. SQL injection 14 2.1.1. SQL Injection là gì? 14 2.1.2. Các dng tn công bng SQL Injection 14 2.1.3. Cáchphòng tránh 20 phòng tránh, ta có th thc hin hai mc: 20 2.2 Tn công Cross-Site 21 2.2.1 Cross-Site Scripting hay XSS là gì? 21 2.2.2 Cách hong ca XSS. 21 2.2.3 Cáchphòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cáchphòng chng 28 30 31 31 3.2.1.Gii thiu v Mod_security 31 t và cu hình 32 3.3. Secure WebServer (HTTPS) 34 36 Kt Lun 37 WebServer là máy ch ng ln, t tr t ngân hàng d liu, cha nhc thit k cùng vi nh Multimedia). WebServer có kh n máy khách nhng trang Web thông qua môi ng Internet (hoc Intranet) qua giao thc HTTP - giao thc thit k gi n trình duyt Web (Web Browser), và các giao thc khác. Tt c u có ma ch IP (IP Address) ho có mt Domain Name. Gi s khi bánh vào thanh Address trên trình duyt ca bn mn s gi mt yêu cu n mt Server có Domain Name là www.abc.com. Server này s tìm trang Web có tên là index.htm ri gn trình duyt ca bn.Bt k m có th tr thành mt WebServer bi vit lên nó mn mt ni vào Internet. Khi máy tính ca bn kt nn mt WebServervà gn yêu cu truy cp các thông tin t mt trang We nhn yêu cu và gi li cho bn nhng thông tin mà bn mong mun. Ging ng phn mm khác mà bt trên máy tính ca là mt ng dng phn mt, và chy trên máy tính dùng làm Web Server, nh i s dng có th truy cn các thông tin ca trang Web t mt máy tính khác trên mng (Internet, Intranet). WebServer Software còn có th c tích hp vi CSDL (Database), hay u khin vic kt n có th truy cp và kt xut thông tin t CSDL lên các trang Webvà truyn ti dùng.Server phi hong liên tc 24/24 gi, 7 ngày mt tun và 365 ngày m phc v cho vic cung cp thông tin trc tuyn. V ng trong chng và t n thông tin t servervà máy tính truy cp. 1.2. Có khá nhiu sn phm webserver khác nhau, vic la chn mt webserver phù hp s da c vi h u hành và các ng dng khác, kh t lng dng phía server, kh o mt d liu, kh t bn trang web, các công c h tr khi xây d Internet Information Services (IIS), Apache Web Server web 1.2.1.Internet Information Services (IIS) IIS là dch v thông tin Internet do Microsoft phát trin, sn phc tích hp cùng vi h u hành Windows. Phiên bn mi nht hin nay là IIS 7.5 c chy trên h u hành Windows server 2008 (hay windows 7). Trong IIS bao gm nhiu dch v dch v ch v Web Server, dch v cn dch v Web Server. IIS WebServer (gi tng mi yêu cu ch yu ca m tin cy, hi giám sát (qun tr), tính bo mt và tính kh thi trong vic phát trin các dch v ng dng. Tt c các ci tin này là kt qu là s kt hp cht ch cùng vi các tính c cung cp trong h u hành Windows. 1.2.2.Apache WebServer t s n lc rt ln trong vic phát trin và duy trì mt WebServer mã ngun m cho các h u hành, bao gm Unix, Linux và t WebServer hi t tt c bo mt, hiu sut, m rng và phát trin cung cp các dch v ng b trong các chun Web hin hành. m ni bt ca Apache: Ngày nay Apache có th chy kt hp (hybrid) gia ch lý và ch lnh. H tr nhiu giao thc phát tri có th phc v trên nhiu giao thc khác nhau. Ngày càng h tr t h BeOS,OS/2vàWindows. Ngày càng phát trin và hoàn thin các API (Application Program Interface). H tr IPv6. H tr nhi lc (Filtering) các dòng d lin ho server. H tr nhiu ngôn ng hin th các thông báo li. n và d dàng thit lp các tham s cho WebServer qua các file cu hình. 1.3.1.SSL là gì? Vic kt ni gia mt Web browser ti bt k m nào trên m qua rt nhiu các h thc lp mà không có bt k s bo v nào vi các thông ng truyn. Không mt ai k c i s dng ln Webserver có bt k s kii va d liu hay có th kic liu có ai ng truy bo v nhng thông tin mt trên mng Internet hay bt k mt hp nhng yu t thit lc mt giao dch an toàn: Xác thc: m bo tính xác thc ca trang mà bn s làm vic u kia ca kt ny, các trang Wen phi kim tra tính xác thc ci s dng. Mã hoá: m bo thông tin không th b truy cp bng th loi tr vic nghe trm nhy cc truyn qua Internet, d liu ph không th b c bi nhng i gi nhn. Toàn vn d liu: m bo thông tin không b sai lch và nó phi th hin chính xác thông tin gc gn. Vi vic s dng SSL, các Web site có th cung cp kh o mt thông tin, xác thc và toàn vn d li c tích hp sn vào các i s dng làm vic vi các trang Web ch an toàn. Khi Web browser s dng kt ni SSL ti server, bing khóa s xut hin trên thanh trng thái ca ca s p nhp a ch URL s t phiên giao dch HTTPS s dng cng 443 thay vì s dng c. 1.3.2. G c phát trin bi Netscape, ngày nay giao thc Secure Socket Layer c s dng rng rãi trên World Wide Web trong vic xác thc và mã hoá thông tin gia client và server. T chc IETF (Internet Engineering Task Force t li tên là TLS (Transport Layer Security). Mc dù là có s thai v là mt phiên bn mi ca SSL. Phiên bn TSL i phiên bn SSL 3.1. Tuy nhiên SSL là thut ng c s dng r Cu trúc ca SSL và giao thc SSL c thit k t giao thc riêng cho v bo mt có th h tr cho rt nhiu ng dng. Giao thc SSL hoi các giao thc ng dng t Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có th s d h tr các giao dch an toàn cho rt nhiu ng dng khác nhau trên Internet, thì hic s dng chính cho các giao dch trên Web. SSL không phi là mt giao th, mà là mt tp các th tc chun hoá thc hin các nhim v bo mt sau: [...]... bộ máy phát hiện và phòngchống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall) Hoạt động như một module của máy chủ web pache, mục đích của ModSecurity là tăng cường bảomật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn c ng đã biết và chưa biết Modsecurity có thể : Theo dõi HTTP traffic để phát hiện những dấu hiệu bất thường Lọc các dữ liệu ra vào webserver Ghi lại... hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường Xây dựng và triển khai hệ thống dự phòng Chương t số giải ph p bảomật cho webserver Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấncông từ chối dịch vụ, quảng cáo các website có nội... hợp lệ và sẽ trả về tất cả các bản ghi của T USERS và đoạn mã tiếp theo x lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ b D ng tấncông sử d ng câu lệnh SELECT Dạng tấncông này phức tạp hơn Để thực hiện được kiểu tấncông này, kẻ tấncông phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấncông Xét... client vàserver Khi một client vàserver trao đổi th ng tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và s dụng chúng trong phiên giao dịch SSL Chương t số phương th c tấn c ng webserver 2.1 SQL injection 2.1.1 SQL Injection là gì? SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và. .. encoding và UTF-8 SecFilterCheckURLEncoding On SecFilterCheckUnicodeEncoding On 3.3 Secure WebServer (HTTPS) Khái niệm https: Là một sự kết hợp giữa giao thức HTTP và giao thức bảomật SSL hay TLS cho phép trao đổi thông tin một cáchbảomật trên Internet Các kết nối HTTPS thường được s dụng cho các giao dịch thanh toán trên World Wide Webvà cho các giao dịch nhạy cảm trong các hệ thống thông tin công. .. cũng s dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS kh ng làm ảnh hưởng đến hệ thống website nằm trên server Mục tiêu tấn công của XSS không ai khác chính là những người s dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy... Intranet Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL Quét Webserver theo định k với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảomật Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session... để mã hoá và giải mã thông tin Giao thức SSL hỗ trợ rất nhiều các thuật toán mã hoá, được s dụng để thực hiện các công việc trong quá trình xác thực servervà client, truyền tải các certificates và thiết lập các khoá của từng phiên giao dịch (sesion key) Client vàserver có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tu thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty... đoạn mã tiêm vào dạng: ' ; EXEC xp cmdshell „cmd.exe dir C: ' Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server Việc phá hoại kiểu nào tu thuộc vào câu lệnh đằng sau cmd.exe 2.1.3 Cách phòng tránh Để phòng tránh, ta có thể thực hiện ở hai mức: a Kiểm soát chặt chẽ dữ liệu nhập vào Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát... các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web Xét một ví dụ điển hình, th ng thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập vàmật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên đăng nhập vàmật khẩu có hợp lệ hay không để quyết định cho phép hay . bày nhng phn chính sau : ng quan web server t s c tn công web server t s gii pháp bo mt web server Thông qua nh tài,. hong ca XSS. 21 2.2.3 Cách phòng chng. 22 2.3. Tn công t chi dch v (DOS) 25 2.3.1.Khái nim : 25 2.3.2. Các cách thc tn công: 25 2.3.3.Các cách phòng chng 28 . chng và t n thông tin t server và máy tính truy cp. 1.2. Có khá nhiu sn phm web server khác nhau, vic la chn mt web server phù