h NGHIÊN CỨU TẤN CÔNG WEB ỨNG DỤNG VÀ PHƯƠNG PHÁP PHỊNG CHỐNG Niên khóa: 2011-2015 NGUYỄN THỊ THU HƯỜNG VŨ CHÍ THÀNH NGHIÊN CỨU TẤN CƠNG WEB ỨNG DỤNG VÀ PHƯƠNG PHÁP PHỊNG CHỐNG Chun ngành: Cơng nghệ Thơng tin ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội - Năm 2015 NGUYỄN THỊ THU HƯỜNG VŨ CHÍ THÀNH h NGHIÊN CỨU TẤN CÔNG WEB ỨNG DỤNG VÀ PHƯƠNG PHÁP PHÒNG CHỐNG Giáo viên hướng dẫn: TS Đỗ Xuân Chợ Chuyên ngành: Công nghệ Thông tin ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội – 2015 VIỆN ĐẠI HỌC MỞ HÀ NỘI CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA CÔNG NGHỆ THÔNG TIN Độc lập – Tự – Hạnh Phúc Hà Nội, ngày 11 tháng 05 năm 2015 NHIỆM VỤ CỦA ĐỒ ÁN TỐT NGHIỆP Tên đề tài Nghiên cứu công Web ứng dụng phương pháp phòng chống Nhiệm vụ nội dung  Nghiên cứu sâu dạng công vào web ứng dụng, nghiên cứu công nghệ kỹ thuật kẻ cơng sử dụng để cơng vào web ứng dụng Bên cạnh đồ án nghiên cứu đề xuất phương án, công nghệ, kỹ thuật để phịng chống cơng lên web ứng dụng Từ hiểu rõ mối đe dọa an tồn thơng tin làm việc ứng dụng web hàng ngày h phương án xây dựng web ứng dụng an toàn  Đề tài cho phép: Ngày giao nhiệm vụ 1/10/2015 Ngày hoàn thành nhiệm vụ Cán hướng dẫn 11/05/2015 Ths.Trần Duy Hùng Nội dung đề cương đồ án Hội đồng chuyên ngành thông qua Ngày tháng 09 năm 2014 CÁN BỘ HƯỚNG DẪN KHOA CÔNG NGHỆ THÔNG TIN h 1.1 Phân công công việc: Sinh viên Vũ Chí Thành: - Trình bày hình thức cơng Web ứng dụng, đặc điểm, giai đoạn công - Demo công web Sinh viên Nguyễn Thị Thu Hường: - Trình bày hệ thống thơng tin, an tồn bảo mật hệ thống thơng tin dạng công hệ thống thông tin thơng dụng - Trình bày phương pháp phịng chống công Web ứng dụng h LỜI CẢM ƠN Để hồn thành đồ án “Nghiên cứu cơng Web ứng dụng phương pháp phòng chống”, trước tiên chúng em xin gửi lời cảm ơn sâu sắc đến thầy giáo Trần Duy Hùng - Viện Đại học Mở Hà Nội, tận tình hướng dẫn giúp đỡ chúng em suốt trình nghiên cứu, xây dựng thực đồ án Chúng em xin chân thành cảm ơn Ban chủ nhiệm khoa Công nghệ thông tin – Viện Đại học Mở Hà Nội, quý thầy cô hỗ trợ tạo nhiều điều kiện thuận lợi cho chúng em trình học tập trình thực đồ án Trong trình thực đồ án, chúng em học hỏi thêm nhiều kiến thức Mặc dù cố gắng nỗ lực để hoàn thành tốt đồ án tránh khỏi sai sót Kính mong q thầy đóng h góp ý kiến để đồ án chúng em hồn thiện tốt Hà Nội, tháng 05 năm 2015 Sinh viên thực Vũ Chí Thành Nguyễn Thị Thu Hường MỤC LỤC LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 13 Chương GIỚI THIỆU VỀ AN TOÀN HỆ THỐNG THÔNG TIN VÀ CÁC DẠNG TẤN CÔNG HỆ THỐNG 1.1 Tổng quan An tồn thơng tin 1.1.1 An ninh mạng ? 1.1.2 Hacker .1 1.1.3 Lỗ hổng bảo mật 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 1.2.1 Phương diện vật lý .3 1.2.2 Phương diện logic 1.2.3 Tình hình an ninh mạng CHƯƠNG h NGHIÊN CỨU VỀ TẤN CÔNG ỨNG DỤNG WEB 2.1 Khái niệm ứng dụng WEB .6 2.1.1 Thống kê bảo mật ứng dụng Web 2.1.2 Giới thiệu ứng dụng Web 2.1.3 Các thành phần ứng dụng Web .7 2.1.4 Hoạt động ứng dụng Web .8 2.1.5 Kiến trúc ứng dụng Web .9 2.1.6 Ứng dụng Web 2.0 10 2.1.7 Các mối đe dọa ứng dụng Web 11 2.2 Các phương pháp công ứng dụng Web 12 2.2.1 Bộ công cụ công ứng dụng Web 12 2.3 Các phương pháp công web ứng dụng 15 2.3.1 In dấu vết sở hạ tầng Web 15 2.3.2 Tấn công máy chủ WEB .17 2.3.2 Tấn công chế xác thực 19 2.3.3 Tấn công phiên làm việc .21 2.3.4 Khai thác cookie: 21 2.3.5 Tấn công ủy quyền 21 2.3.6 Tấn công chế quản lý phiên làm việc .22 2.4 Tấn công thêm lệnh .22 2.4.1 Tấn công kết nối liệu 23 2.4.2 Tấn công ứng dụng Web Client 24 2.4.3 Tấn công dịch vụ WEB 25 2.5 CÁC KĨ THUẬT TẤN CÔNG WEB 26 2.5.1 Các thiếu xót việc kiểm tra liệu nhập vào .26 2.5.2 Thao tác tham số truyền 27 2.5.3 Chiếm hữu phiên làm việc 29 2.5.4 Từ chối dịch vụ (DOS) 31 2.5.5 Chèn câu truy vấn SQL (Injection SQL) 36 2.5.6 Chèn mã lệnh thực thi trình duyệt nạn nhân (Cross Site Scripting) .38 Chương h CÁC PHƯƠNG PHÁP PHỊNG CHỐNG TẤN CƠNG WEB ỨNG DỤNG 3.1 Kiểm thử ứng dụng web 43 3.1.1 Thu thập thông tin .44 3.1.2 Kiểm tra quản lý cấu hình 45 3.1.3 Kiểm Tra Chứng Thực 46 3.1.4 Kiểm tra quản lý phiên làm việc 47 3.1.5 Kiểm tra ủy quyền .48 3.1.6 Kiểm Tra Xác Nhận Dữ Liệu 49 3.1.7 Kiểm tra từ chối dịch vụ 51 3.1.8 Kiểm Tra Dịch Vụ WEB .52 3.1.9 Kiểm Tra AJAX 53 3.2 Bộ công cụ bảo mật 54 3.2.1 Acunetix Web Vulnerability Scanner 54 3.2.2 Falcove WEB Vulnerability Scanner 55 3.2.3 Netsparker 56 3.2.4 N-Stalker Web Application Security Scanner .56 3.2.5 Sandcat Suite .57 3.2.6 V Force 58 3.2.7 DotDefender 59 3.2.8 Maxisploit scanner 59 3.2.9 IBM AppScan 61 3.3 Biện pháp đối phó 62 3.3.1 Phòng chống công SQL Injection 62 3.3.2 Phịng chống cơng Injection Flaws .62 3.3.3 Phịng chống cơng DOS 63 3.3.4 Phòng chống công XSS 63 3.3.5 Phịng chống cơng dịch vụ WEB 64 3.3.6 Phương Pháp Bảo Vệ Ứng Dụng WEB 65 3.3.7 Làm để phịng tránh Tấn cơng dịch vụ Web 68 KẾT LUẬN 69 TÀI LIỆU THAM KHẢO .70 h DANH MỤC HÌNH VẼ Hình 1.2: Danh sách 10 quốc gia có tỷ lệ lây nhiễm máy tính qua Internet cao năm 2013 Hình 2.1: Thống kê bảo mật ứng dụng Web Hình 2.2: Các thành phần ứng dụng WEB Hình 2.3: Hoạt động ứng dụng WEB .8 Hình 2.4: Kiến trúc ứng dụng WEB Hình 2.5 Ứng dụng Web 2.0 10 Hình 2.6 Burp Suite .12 Hình 2.7 WebScarab .13 Hình 2.8 Backtrack 15 Hình 2.9 Zenmap 16 Hình 2.10 Tấn công mật .20 Hình 2.11 Tấn cơng ứng dụng Web Client 24 h Hình 2.12 Ấn định phiên làm việc 30 Hình 2.13 SYN Flood 34 Hình 2.14 DDOS băng thông 35 Hình 2.15 SQL Injection .37 Hình 2.16 XSS .39 Hình 2.17 Kịch XSS .40 Hình 2.18 Quá trình thực XSS 40 Hình 2.19 Tổng quát XSS .42 Hình 3.1: Quá trình kiểm thử web 43 Hình 3.2: Quá trình kiểm tra quản lý cấu hình 45 Hình 3.2: Kiểm tra chứng thực 46 Hình 3.3: Kiểm tra quản lý phiên làm việc 47 Hình 3.4 Kiểm tra ủy quyền 48 Hình 3.5 Kiểm tra xác nhận liệu .49 Hình 3.6 Kiểm tra xác nhận liệu 50 57 Hình 3.13 N-Stalker Web Application Security Scanner N-Stalker công cụng đánh giá hiệu độ bảo mật trang web, chống lại lỗ hổng công Attacker Nó đánh giá bảo mật web như: Code Injection Cross-site Scriping Giả mạo thông số Các lỗ hổng máy chủ web 3.2.5 Sandcat Suite h Hình 3.14 Sandcat Suite 58 Cho phép tổ chức, đảm bảo việc tuân thủ đắn tối thiểu mối nguy hiểm Sandcat tools giúp bạn bảo mật nhiều ứng dụng Web khác   Có thể dùng Sandcat để bảo mật Web Servers, Application servers môi trường ứng dụng Web Application Dùng đánh giá bảo mật: - Buffer overflow - CParameter tampering - Ross site scripting - Unauthorized access - Remotely-triggered attack 3.2.6 V Force Vforce chương trình quét bảo mật, giả lập công nhằm mục đích kiểm tra, phân tích đánh giá điểm yếu ứng dụng web h Nó quét: – Bufer overruns – Manipulation of HTTP repuest – Brute force vulnerabilities, … 59 3.2.7 DotDefender h Hình 3.15 DotDefender - DotDerfender ứng dụng web dựa phần mềm tường lửa 60 - DotDerfender bổ sung chức tường lửa, IPS bảo mật khác - Kiểm tra lưu lượng HTTP/HTTPS - Ngăn cản công SQL Injection 3.2.8 Maxisploit scanner - SQL Injection quét trang web dễ bị tổn tương dựa  lỗi SQL phổ biển cho nhiều hệ quản trị sở liệu, như: MySQL, SQL server, Microsoft Access - XSS scanner: Nó mã hóa XSS vector cố gắng quét kết quả  nhận từ máy chủ web (web server) Nếu XSS vector tìm thấy bên mã nguồn trang web có lỗi Nó sử dụng yêu cầu GET đến web server - Admin scanner: Nó quét tới trang đăng nhập admin, dựa vào danh sách mặc định hay danh sách mà bạn cung cấp Nếu h nhận hồi đáp với mã 200 306 xem xét thành cơng - Shared hosting scanner: Nó gửi u cầu tới sameip.org sau phân tích mã html cho trang 61 Hình 3.16 Maxisploit scanner h 62 3.2.9 IBM AppScan h Hình 3.17 IBM AppScan - IBM Appscan ứng dụng bảo mật web, đánh giá lỗ hổng - Ngăn ngừa công SQL Injection trang Web - Quét phần mềm độc hại nhúng vào - Lập lịch báo cáo - Ngăn ngừa công: SQL-injection, cross-site scripting, buffer overflow, and flash/flex application and Web 2.0 scans 63 3.3 Biện pháp đối phó 3.3.1 Phịng chống cơng SQL Injection h Hình 3.18 Phịng chống cơng SQL Injection 3.3.2 Phịng chống cơng Injection Flaws - Thực xác nhận liệu đầu vào - Sử dụng thư viện language-specific tránh vấn đề shell commands - Sử dụng API an toàn, tránh sử dụng trình thơng dịch hồn tồn - Sử dụng tham số truy vấn SQL - Các ký tự thoát - Thực mã hóa liệu đầu vào - Yêu cầu cấu trúc cung cấp thông số liệu, nội dung có khả thực thi - Sử dụng modul disassociation từ nhân 64 3.3.3 Phịng chống cơng DOS Hình 3.19 Phịng chống cơng DOS 3.3.4 Phịng chống công XSS - Xác nhận tất Header, Cookie, truy vấn chuỗi, biểu mẫu trường ẩn (tức tham số) số đặc điểm kĩ thuật nghiêm h ngặt - Lọc kịch đầu ngăn chặn lỗ hổng XSS cách ngăn chặn chúng truyền cho người sử dụng - Mã hóa liệu đầu vào đầu ra, lọc kỹ tự nhập vào - Sử dụng tường lửa để ngăn chặn thực scrip độc hại - Đúng lúc tin tưởng trang web sử dung HTTPS nói đến XSS - Chuyển đổi ký tự chữ số cho ký tự HTML trước hiển thị cho người sử dụng nhập vào cơng cụ tìm kiếm diễn đàn - Sử dụng công cụ kiểm tra mở rộng giai đoạn thiết kế để loại bỏ lỗ hổng XSS ứng dụng trước vào sử dụng - Phát triển số scrip chuẩn để chắn scrip giới thiệu thực xác nhận 65 3.3.5 Phịng chống cơng dịch vụ WEB h Hình 3.20 Phịng chống cơng dịch vụ WEB 66 3.3.6 Phương Pháp Bảo Vệ Ứng Dụng WEB Lỗi xác thực quản lý phiên Sử dụng SSL cho tất phận ứng dụng Kiểm tra tất định danh củ người dùng thông tin lưu trữ hình thức hàm băm Giả mạo yêu cầu Cross-Site Logoff sau sử dụng ứng dụng web xóa lịch sử Khơng cho phép trình duyệt bạn lưu thơng tin đăng nhập Mã hóa lưu trữ khơng an tồn Khơng sủ dụng thuật tốn yếu Tạp mật mã gián truyền lưu trữ chúng cách an toàn Đảm bảo liệu mã hóa lưu trữ đĩa khơng phải dễ dàng giải mã h Chuyển hướng chuyển tiếp Tránh sử dụng chuyển hướng chuyển tiếp Đảm bảo giá trị cung cấp hợp lệ ủy quyền cho người sử dụng Hình 3.21 Phương pháp bảo vệ ứng dụng WEB 67  Security Misconfiguration Cấu hình tất chế bảo mật tắt tất dịch vụ không sử dụng Thiết lập vai trò, quyền, tài khoản vơ hiệu hóa tất tài khoản mặc định thay đổi mật mặc định Quét lỗ hổng bảo mật vá lỗi bảo mật  LDAP Injection Attacks Thực loại hình, mơ hình xác nhận giá trị miền cho tất giá trị nhập vào Thực lọc LDAP cụ thể tốt Xác nhận hạn chế lượng liệu trả cho người sử dụng Thực kiểm soát truy cập chặt chẽ Thực kiểm tra phân tích nguồn h  File Injection Attack Xác nhận đầu vào người dùng khắt khe PHP: Disable allow_url_fopen and allow_url_include in php.ini PHP: Disable register_globals and use E_strict PHP: Đảm bảo tất tập tin chức (Stream _*) kiểm tra cẩn thận 68  Bảo vệ lớp giao vận không đầy đủ Không yêu cầu SSL cho trang web nên chuyền hướng Thiết lập cờ an toàn cho tất cookie Cấu hình cung cấp SSL hỗ trợ thuật toán mạnh Đảm bảo giấy chứng nhận hợp lệ không hết hạn Sử dụng cơng nghệ mã hóa khác  Vượt rào đường dẫn Xác định quyền truy cập vào thư mục chứa Website Áp dụng kiểm tra/sửa chữa để ngăn chặn việc khai thác lỗ hổng Các máy chủ web cập nhật vá lỗi bảo mật nhanh chóng  Cookie/nhiễm độc phiên Khơng lưu trữ mã hóa dạng text mật yếu Cookie h Thực thời gian chờ Cookie Thông tin xác thực Cookie nên kết hợp với địa IP Hãy đăng xuất chức có sẵn 69 3.3.7 Làm để phòng tránh Tấn cơng dịch vụ Web h Hình 3.22 Phịng tránh Tấn công dịch vụ Web 70 KẾT LUẬN Trên em đã phân tích và thiết kế hệ thống quản lý trung tâm thẩm mỹ dựa theo mô hình cho trung tâm vừa và nhỏ hiện Tuy nhiên đề tài vẫn không thể tránh khỏi một số điểm hạn chế, tính áp dụng vào sở thực tiễn chưa cao quá trình khảo sát nghiên cứu thực tế không đầy đủ Hướng phát triển tiếp theo chúng em là tiếp tục mở rộng, nâng cao đề tài với các ứng dụng về quản lý kho hàng sản phẩm hay hệ thống thông tin khuyến mại áp dụng cho các hóa đơn, phân loại khách hàng theo tiêu chí của trung tâm, … vv Do thời gian thực hiện đề tài hạn hẹp, kinh nghiệm và khả của em còn hạn chế nên không thể tránh khỏi những thiếu sót, sai lầm Một lần nữa xin chân thành cảm ơn sự chỉ dạy, hướng dẫn, góp ý của thầy cô bạn cho đề tài cũng suốt quá trình học tập vừa qua h Em mong thầy cô bạn đóng góp ý kiến nhiệt tình để em hồn thiện tốt chương trình 71 TÀI LIỆU THAM KHẢO Tiếng việt: [ ] Nguyễn Văn Ba, Phân tích thiết kế hệ thống thơng tin quản lý, NXB – ĐHQG, 2002 [ ] Lê Văn Phùng, Phân tích thiết kế hệ thống thơng tin, NXBLĐ – XH, 2004 [ ] Thạc Bình Cường, Nguyễn Thị Tĩnh, Phân tích thiết kế hệ thống thông tin, NXBĐHSP, 2005 [ ] Đào Thanh Tĩnh, Phân tích thiết kế hệ thống thơng tin, NXBQĐND, 2004 Nguồn tham khảo từ Internet: [5] http://www.e-ptit.edu.vn/hoctap/hoclieu/PTTKHTTT.pdf [6] http://www.slideshare.net/interboy9x/giao-trinh-phan-tich-thiet-ke-he- thong h [7] http://uet.vnu.edu.vn/tltk/Learning/File_PDF/GiaoTrinh_PT_TKHT.pdf