TRƯỜNG ĐẠI HỌC KINH TẾ KHOA THỐNG KÊ – TIN HỌC BÁO CÁO THỰC TẬP NGHỀ NGHIỆP NGÀNH HỆ THỐNG THÔNG TIN QUẢN LÝ CHUYÊN NGÀNH QUẢN TRỊ HỆ THỐNG THÔNG TIN ỨNG DỤNG BURPSUITE ĐỂ XỬ LÝ LỖ HỔNG BẢO MẬT CHO WEBSITE BÁN HÀNG Đơn vị thực tập : Trung tâm Phát triển hạ tầng CNTT Đà Nẵng Giảng viên hướng dẫn : TS Phan Đình Vấn i LỜI CẢM ƠN Lời cho em xin gửi lời cảm ơn chân thành đến Trung tâm Phát triển hạ tầng CNTT Đà Nẵng, mentor Lê Tự Việt Thắng, Thầy TS Phan Đình Vấn tất người tạo điều kiện cho em tham gia vào chương trình thực tập hồn thành đề tài báo cáo “Ứng dụng Burp Suite để xử lý lỗ hổng bảo mật cho website bán hàng” Em xin cảm ơn Ban Giám hiệu trường , phòng ban, quý thầy cô giáo khoa Thống kê – Tin học trường Đại học Kinh Tế - Đại học Đà Nẵng tận tình giảng dạy , truyền đạt kiến thức tạo điều kiện thuận lợi cho em sinh viên khác trình thực tập Đặc biệt em xin cảm ơn Thầy TS Phan Đình Vấn trực tiếp hướng dẫn em thực đề tài tập nhận thức Thầy tận tình dẫn , nhận xét, giúp đỡ hỗ trợ em trình thực hoàn thành đề tài báo cáo Trong suốt thời gian thực tập, em có hội tiếp cận học hỏi từ đội ngũ chuyên nghiệp tận tâm Em muốn gửi lời cảm ơn đặc biệt đến mentor Lê Tự Việt Thắng thầy Phan Đình Vấn người dành thời gian tận tâm hỗ trợ dẫn em trình thực tập Nhờ có dẫn dắt thầy mentor, em học nhiều kỹ rèn luyện khả làm việc nhóm, giúp em trở thành nhân viên tương lai có giá trị Thực tập trung tâm Phát triển hạ tầng CNTT Đà Nẵng cung cấp cho em môi trường làm việc chuyên nghiệp thử thách, giúp em áp dụng kiến thức học vào thực tế Em biết ơn có hội làm việc anh chị đồng nghiệp tài giàu kinh nghiệm Nhờ có hỗ trợ giúp đỡ người, em trải qua trình học tập phát triển đáng giá Cuối cùng, em muốn gửi lời cảm ơn sâu sắc đến Trung tâm Phát triển hạ tầng CNTT Đà Nẵng, anh mentor thầy Phan Đình Vấn cung cấp cho em hội để khám phá thân, rèn kỹ xây dựng mạng lưới quan hệ lĩnh vực Em tin kinh nghiệm kiến thức thu từ thực tập nghề nghiệp tảng vững cho thành công em tương lai Em xin chân thành cảm ơn ! ii LỜI CAM ĐOAN Em xin cam đoan báo cáo thực tập tốt nghiệp “Ứng dụng Burp Suite để xử lý lổ hổng bảo mật cho website bán hàng” kết nghiên cứu độc lập cá nhân em sở nghiên cứu lý thuyết học, khảo sát thực tiễn hướng dẫn TS.Phan Đình Vấn mentor Lê Tự Việt Thắng Ngoài báo cáo thực tập tốt nghiệp sử dụng số nhận xét, đánh số liệu tác giả nguồn khác có trích dẫn thích nguồn gốc Nếu Phát có gian lận nào, em xin chịu hoàn toàn trách nhiệm nội dung báo cáo iii MỤC LỤC LỜI CẢM ƠN ii LỜI CAM ĐOAN iii MỤC LỤC iv DANH MỤC HÌNH ẢNH v LỜI MỞ ĐẦU viii DANH MỤC CÁC TỪ VIẾT TẮT .ix TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ CƠNG TY 1.1 Giới thiệu cơng ty vị trí việc làm an tồn thơng tin hệ thống .1 1.1.1 Trung tâm Phát triển hạ tầng CNTT Đà Nẵng 1.1.2 Vị trí việc làm 1.2 Giới thiệu an tồn thơng tin hệ thống .2 1.3 Tầm nhìn, sứ mệnh trung tâm phát triển CNTT Đà Nẵng(IID) 1.3.1 Tầm nhìn 1.3.2 Sứ mệnh CƠ SỞ LÝ THUYẾT VÀ CÁC KỸ THUẬT KIỂM THỬ VỚI BURPSUITE4 2.1 Giới thiệu Pentest 2.1.1 Tóm tắt sơ lược Pentest .4 2.1.2 Quá trình Pentest 2.2 Giới thiệu Burpsuite 2.3 Các cơng cụ Burpsuite .8 2.3.1 Proxy server iv 2.3.2 Dashboard 10 2.3.3 Scanner 11 2.3.4 Intruder 12 2.3.5 Repeater .13 2.4 Các kỹ thuật kiểm thử với Burpsuite .14 2.4.1 Kiểm thử tương tác qua giao diện web 14 2.4.2 Kiểm thử SQL Injection .17 2.4.3 Kiểm thử XSS (Cross-Site Scripting) 18 2.4.4 Kiểm thử Cross-site request forgery (CSRF) 19 PHÂN TÍCH KẾT QUẢ KIỂM TRA VÀ KHẮC PHỤC LỖ HỔNG 21 3.1 Báo cáo lỗi, cảnh báo đánh giá mức độ nguy hiểm 21 3.2 Khuyến nghị biện pháp khắc phục 22 3.3 Khắc phục lỗ hổng an ninh 24 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .36 TÀI LIỆU THAM KHẢO 39 CHECK LIST CỦA BÁO CÁO 40 PHỤ LỤC 41 v DANH MỤC HÌNH ẢNH Hình Logo trung tâm Phát triển hạ tầng CNTT Đà Nẵng Hình Các giai đoạn pentest Hình Logo Burp Suite Hình Logo PortSwigger Hình Giao diện Burp Suite Hình Màn hình Proxy server .8 Hình Màn hình hiển thị lịch sử lưu lượng HTTP Proxy server Hình Màn hình Dashboard 10 Hình Màn hình Scanner .11 Hình 10 Màn hình Intruder .12 Hình 11 Màn hình Repeater 13 Hình 12 Các tính Repeater 13 Hình 13 Màn hình BurpSuite 15 Hình 14 Tab Proxy 15 Hình 15 Intercepted 16 Hình 16 Intercepted 17 Hình 17 Giao diện web 25 Hình 18 Thao tác BurpSuite 26 Hình 19 Lỗi xử lý .26 vi Hình 20 Giao diện web 27 Hình 21 Thao tác BurpSuite 27 Hình 22 Thao tác BurpSuite 28 Hình 23 Lỗi xử lý .28 Hình 24 Giao diện web 29 Hình 25 Lỗi xử lý .29 Hình 26 Giao diện web 30 Hình 27 Lỗi xử lý .30 Hình 28 Giao diện web 31 Hình 29 Sử dụng intercept để lấy proxy cập nhật email 31 Hình 30 Lỗi xử lý .33 Hình 31 Giao diện web 33 Hình 32 Sử dụng burpsuite để chặn proxy đến server 34 Hình 33 Lỗi xử lý .35 vii LỜI MỞ ĐẦU Mục tiêu đề tài Phân tích đánh giá rủi ro: Tiến hành phân tích yếu điểm bảo mật trang web bán hàng Điều bao gồm việc xác định lỗ hổng, thiếu sót mối đe dọa tiềm ẩn ảnh hưởng đến bảo mật trang web Thiết kế triển khai biện pháp bảo mật: Dựa phân tích rủi ro, đề xuất triển khai biện pháp bảo mật hợp lý cho trang web Kiểm tra kiểm soát bảo mật: Thực kiểm tra bảo mật để đảm bảo hiệu tính tồn vẹn biện pháp bảo mật triển khai Các phương pháp kiểm tra bao gồm kiểm tra thâm nhập, kiểm tra xác thực, kiểm tra mã nguồn, kiểm tra lỗ hổng bảo mật Phân tích giải cố bảo mật: Đối phó với cố bảo mật xảy trang web bán hàng Điều bao gồm xác định nguyên nhân, triển khai biện pháp khắc phục cải thiện để ngăn chặn tái diễn Đối tượng phạm vi nghiên cứu Kết cấu đề tài Đề tài tổ chức gồm phần mở đầu, chương nội dung phần kết luận - Mở đầu - Chương 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ CƠNG TY - Chương 2: CƠ SỞ LÝ THUYẾT VÀ PHƯƠNG TIỆN CẦN THIẾT - Chương 3: PHÂN TÍCH KẾT QUẢ KIỂM TRA VÀ KHẮC PHỤC LỖ HỔNG Kết luận hướng phát triển viii DANH MỤC CÁC TỪ VIẾT TẮT AI : Artificial Intelligence IID : Trung tâm phát triển hạ tầng CNTT Đà Nẵng SQLi : SQL injection XSS : Cross Site Scripting CSRF : Cross-site Request Forgery ix TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ CƠNG TY 1.1 Giới thiệu công ty vị trí việc làm an tồn thơng tin hệ thống 1.1.1 Trung tâm Phát triển hạ tầng CNTT Đà Nẵng Hình Logo trung tâm Phát triển hạ tầng CNTT Đà Nẵng Trung tâm Phát triển hạ tầng CNTT Đà Nẵng: – Quản lý, vận hành Khu Công viên phần mềm Đà Nẵng; – Quản lý vận hành hệ thống hạ tầng CNTT-TT thiết yếu phục vụ xây dựng quyền điện tử thành phố, bao gồm: Mạng đô thị (MAN); Trung tâm liệu (DC) hệ thống mạng không dây (WIFI) Trung tâm Phát triển Hạ tầng CNTT Đà Nẵng (IID) đơn vị nghiệp trực thuộc Sở Thông tin Truyền thông Đà Nẵng, thành lập theo Quyết định số 9885/2007/QĐ-UBND ngày 13/12/2007 UBND thành phố Trung tâm Phát triển Hạ tầng Công nghệ Thông tin Đà Nẵng (IID) đơn vị nghiệp trực thuộc Sở Thông tin Truyền thông Đà Nẵng IID thành lập theo Quyết định số 9885/QĐ-UBND ngày 13 tháng 12 năm 2007 UBND thành phố Đà Nẵng, với mục tiêu cung cấp hạ tầng công nghệ thông tin đại dịch vụ hỗ trợ kỹ thuật chuyên nghiệp cho quan nhà nước, doanh nghiệp người dân địa bàn thành phố Đà Nẵng IID có trụ sở Khu Cơng viên Phần mềm Đà Nẵng, số 02 Quang Trung, phường Thạch Thang, quận Hải Châu, thành phố Đà Nẵng IID có đội ngũ nhân viên x