TRƯỜNG ĐẠI HỌC KINH TẾ KHOA THỐNG KÊ – TIN HỌC BÁO CÁO THỰC TẬP NGHỀ NGHIỆP NGÀNH: HỆ THỐNG THÔNG TIN QUẢN LÝ CHUYÊN NGÀNH: QUẢN TRỊ HỆ THỐNG THÔNG TIN ĐỀ TÀI: PENTEST KIỂM THỬ XÂM NHẬP HỆ THỐNG (PHÍA KHÁCH HÀNG) Đơn vị thực tập : Trung tâm Phát triển CNTT Đà Nẵng Giảng viên hướng dẫn : ThS Nguyễn Văn Chức LỜI CẢM ƠN Hơn hai tháng thực tập Trung tâm phát triển hạ tầng CNTT Đà Nẵng, em học nhiều kiến thức trau dồi kinh nghiệm thực tế Để có tảng kiến thức vững kinh nghiệm ngày hôm nay, em xin chân thành cảm ơn thầy cô Trường Đại học kinh tế - Đại học Đà Nẵng đặc biệt thầy cô Khoa Thống kê – Tin học giảng dạy trang bị cho em kiến thức vững tạo điều kiện cho em thực tập thời gian qua Em xin gửi lời cảm ơn chân thành đến thầy Nguyễn Văn Chức - Giảng viên Khoa Thống kê - Tin học, Trường Đại học Kinh tế - Đại học Đà Nẵng tận tình hướng dẫn định hướng để em hồn thành tốt Báo cáo thực tập Nghề nghiệp Em xin gửi lời cảm ơn sâu sắc đến Quý Trung tâm phát triển hạ tầng CNTT Đà Nẵng anh Lê Tự Việt Thắng tạo hội giúp đỡ em suốt trình thực tập q cơng ty để hồn thiện báo cáo cách tốt Với điều kiện thời gian hạn chế kinh nghiệm, báo cáo gặp thiếu sót Em mong nhận bảo góp ý q thầy để cải thiện, nâng cao kỹ học hỏi thêm kiến thức LỜI CAM ĐOAN Em xin cam đoan báo cáo kết công sức trung thực thân thực dựa hướng dẫn Ths.Nguyễn Văn Chức Em xin cam đoan khơng chép từ nguồn mà khơng trích dẫn rõ ràng Em xin hoàn toàn chịu trách nhiệm lời cam đoan Nếu có điều sai trái, em xin chịu hình thức kỷ luật theo quy định MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN DANH MỤC HÌNH ẢNH DANH MỤC CÁC TỪ VIẾT TẮT .9 LỜI MỞ ĐẦU 10 Lý chọn đề tài 10 Mục tiêu đề tài 10 Đối tượng phạm vi nghiên cứu .10 Kết cấu đề tài 11 Chương PENTEST 1.1 TỔNG QUAN DOANH NGHIỆP THỰC TẬP VÀ CƠ SỞ LÝ THUYẾT 11 Giới thiệu tổng quan doanh nghiệp 11 A Quản lý, vận hành Khu Công viên phần mềm Đà Nẵng .12 B Quản lý vận hành hệ thống hạ tầng CNTT-TP thiết yếu phục vụ xây dựng quyền điện tử thành phố 13 1.2 Tổng quan vị trí việc làm (IT Security) 14 1.2.1 Khái niệm IT Security .14 1.2.2 Những công việc IT Security đảm nhiệm tổ chức 15 1.3 Quy trình PENTEST 15 1.3.1 Các giai đoạn PENTEST .15 1.3.1.1 Information Gathering 15 1.3.1.2 Configuration and Deployment Mangement Testing 16 1.3.1.3 Identify Management Testing 16 1.3.1.4 Authentication Testing .16 1.3.1.5 Authorization Testing .16 1.3.1.6 Sesstion Management Testing 17 1.3.1.7 Testing for Error Handing 17 1.3.1.8 Testing for weak Cryptography 17 1.3.1.9 Bussiness Logic Testing 18 1.3.1.10 Client Side Testing 18 1.3.2 Quá trình bước PENTEST .18 1.3.2.1 Lập kế hoạch thực trinh sát 18 1.3.2.2 Quét 18 1.3.2.3 Giành quyền truy cập 19 1.3.2.4 Duy trì quyền truy cập 19 1.3.2.5 Phân tích 19 Chương máy khách Các lổ Hổng Bảo mật Dựa DOM kỹ thuật xâm nhập hệ thống phía 20 2.1 DOM 20 2.2 Taint-flow 21 2.2.1 Source .22 2.2.1.1 DOM XSS kết hợp với reflected data stored data 22 2.2.2 Các sources phổ biến .27 2.2.3 Các tin nhắn từ Website 28 2.2.3.1 Kiểm soát nguồn tin nhắn Web 28 2.2.3.2 Tác động lỗ hổng tin nhắn web dựa DOM đến liệu 28 2.2.3.3 Xây dựng công source tin nhắn web 28 2.2.4 Sinks .32 2.2.4.1 2.2.5 2.3 Các Sinks dẫn đến lỗ hổng dựa DOM .33 Cách ngăn chặn lỗ hỏng taint-flow dựa DOM 33 XSS dựa DOM 34 2.3.1 Cross-site scripting (XSS) .34 2.3.2 Cross-site scripting (XSS) dựa DOM .34 2.3.3 Khai thác DOM XSS với sources sinks khác .35 2.3.3.1 DOM XSS sink document.write sử dụng source location.search 35 2.3.3.2 DOM XSS sink document.write cách sử dụng source location.search bên phần tử chọn 36 2.3.3.3 DOM XSS biểu thức AngularJS với ngoặc nhọn ngoặc kép mã hóa HTML 38 2.4 Giả mạo yêu cầu phía máy chủ (SSRF) 39 2.4.1 Tác động cơng SSRF gì? 39 2.4.2 Các công SSRF phổ biến 39 2.4.2.1 SSRF cơng vào máy chủ 39 2.4.2.2 Các công SSRF chống lại hệ thống back-end khác 40 2.4.3 Khai thác lổ hổng SSRF mù 40 2.4.3.1 SSRF mù với tính phát ngồi băng tần .40 2.4.3.2 SSRF mù với khai thác Shellshock 42 Chương 3.1 Triển khai thực nghiệm 45 Giới thiệu Website công cụ BurpSuite để thực công 45 3.1.1 Giới thiệu triển khai Website 45 3.1.2 Tổng quản DVWA 45 3.1.2.1 Khái niệm DVWA .45 3.1.2.2 Môi trường .46 3.1.2.3 Các lổ hổng DVWA 47 3.1.2.4 Các mức độ bảo mật DVWA 48 3.1.3 Tổng quản Web security academy.net PostSwigger 49 3.1.4 Tổng quan BurpSuite 50 3.1.4.1 Khái niệm BurpSuite 50 3.1.4.2 Những lý nên dùng công cụ BurpSuite 50 3.1.4.3 Các tính BurpSuite 52 TÀI LIỆU THAM KHẢO 53 CHECK LIST CỦA BÁO CÁO 53 DANH MỤC HÌNH ẢN Hình 1 Logo cơng ty .10 Hình Cơ cấu tổ chức công ty 12 Hình Mơ hình đối tượng tài liệu 17 Hình 2 Bật intercept chặn trang web .19 Hình Tính tab proxy 20 Hình Kiểm tra sitemap 20 Hình Kết sau cơng .21 Hình Đăng nhận xét .22 Hình Lỗi trang hiển thị 22 Hình Mã HTML chèn vào comment 23 Hình Trong exploit server thêm iframe vào body 24 Hình 10 Nhập iframe vào body delivery đến nạn nhân .25 Hình 11 Sử dụng exloit server thêm vào iframe 26 Hình 12 Kiểm tra phần tử nằm thuộc tính img src 29 Hình 13 Nhập chuỗi HTML khỏi thuộc tính 29 Hình 14 Kiểm tra tham số StoredId đặt phần tử chọn 30 Hình 15 Thay đổi URL bao gồm tải trọng XSS 30 Hình 16 Hàm alert() gọi 31 Hình 17 Thay đổi miền Burp Collaborator cung cấp 33 Hình 18 DNS HTTP tương tác tải tiêm vào 33 Hình 19 Kích hoạt tương tác HTTP Burp Collaborator 34 Hình 20 Thao tác với Burp Intruder 35 Hình 21 Tên người dùng sử dụng peter .35 Hình Tổng quan DVWA 36 Hình Giao diện nguồn mở DVWA .37 Hình 3 Giao diện mã nguồn mở DVWA 37 Hình Hệ thống source code DVWA .39 Hình Giao diện Web security academy 39 Hình Cơ chế hoạt động BurpSuite 41 Hình Chức Proxy Server 41 DANH MỤC CÁC TỪ VIẾT TẮT DOM: Document Object Model HTML: Hypertext Markup Language API: application programming interface XML: (Extensible Markup Language XSS: Cross-Site Scripting JSON: JavaScript Object Notation URL: Uniform Resource Locator SSRF: Server Side Request Forgery OAST: Out-of-band application security testing DVWA: Damn Vulnerable Web Application IP: Internet Protocol DNS: Domain Name System XAMPP: X + Apache + MySQL + PHP + Perl CSRF: Cross Site Request Forgery LỜI MỞ ĐẦU Lý chọn đề tài Khi công nghệ phát triển việc kiểm tra thâm nhập trở thành tác vụ thiếu hệ thống an tồn thơng tin tổ chức Bởi, Penetration testing giải pháp hiệu giúp tăng cường bảo mật cho web, ứng dụng, hệ thống mạng, IoT… trước công hacker Bằng cách sử dụng công mô theo thực tế, quản trị viên tìm điểm yếu bảo mật hệ thống kịp thời khắc phục, vá lỗ hỏng Điều giúp cho doanh nghiệp giảm thiệt hại tài uy tín thương hiệu Pentest giải pháp chủ động phịng ngừa cơng mạng hiệu Thực tế cho thấy, Pentest mô theo cách thực tư tin tặc thực Quá đó, kết liệu có từ Pentest giúp doanh nghiệp cải tiến lớp bảo vệ cho ứng dụng Web, hệ thống mạng Mục tiêu đề tài - PenTest viết tắt Penetration Testing (Pen Testing – Kiểm thử thâm nhập) Đây kiểu Security Testing, dùng để phát lỗ hổng, rủi ro hay mối đe dọa bảo mật mà hacker khai thác ứng dụng phần mềm, mạng hay ứng dụng web - Mục đích xác định kiểm tra tất lỗ hổng bảo mật có phần mềm Hạn chế hacker xâm nhập vào hệ thống liệu - Mô cách thức thực công vào hệ thống công cụ BurpSuite - Đề giải pháp hiệu để phòng chống Đối tượng phạm vi nghiên cứu Đối tượng: - Đề tài tập trung nghiên cứu kỹ thuật công bên phía máy chủ kỹ cơng phổ biến nhất: SQL injection, Server-Side Request Forgery, File Upload Vulnerabilities Phạm vi: Sử dụng kỹ thuật nghiên cứu chạy thử nghiệm vào hệ thống Web Kết cấu đề tài Đề tài tổ chức gòm phần lời mở đầu, chương nội dung phần kết luận - Lời mở đầu - Chương 1: Tổng quan doanh nghiệp quy trình PENTEST - Chương 2: Phân tích kỹ thuật xâm nhập hệ thống bên phía máy khách - Chương 3: Triển khai thực nghiệm - Kết luận hướng phát triển