1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phân tíh đánh giá và giám sát độ an toàn ủa á dịh vụ web

99 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Phân Tích Đánh Giá Và Giám Sát Độ An Toàn Của Các Dịch Vụ Web
Tác giả Ngô Vĩnh Quý
Người hướng dẫn TS. Vũ Quốc Khánh
Trường học Trường Đại Học Bách Khoa Hà Nội
Chuyên ngành Kỹ thuật Máy tính và Truyền thông
Thể loại luận văn thạc sĩ
Năm xuất bản 2012
Thành phố Hà Nội
Định dạng
Số trang 99
Dung lượng 5,85 MB

Cấu trúc

  • 1.1.1 Thông tin an toàn b ả o m t ậ (10)
  • 1.1.2. L ị ch s ử phát tri ể n ứ ng d ụ ng Web (10)
  • 1.1.3. Các mô hình ứ ng d ụ ng Web ph ổ bi ế n (11)
  • 1.2. CÁC THU T NG ..................................................................................... 13 Ậ Ữ (0)
    • 1.2.1 Thu ậ t ng ữ Cookies (14)
    • 1.2.2 Thu ậ t ng ữ Session (15)
    • 1.2.3 Giao th ứ c HTTP/HTTPS (0)
    • 1.2.4 Khái ni ệ m URL (16)
    • 1.2.5. C ơ ch ế Get/Post (17)
  • 1.3. CÁC L H Ỗ Ổ NG TH ƯỜ NG G P .............................................................. 17 Ặ 1. Các b ướ c t ấ n công m t Websiteộ (0)
  • 2.1. CÁC PH ƯƠNG PHÁP PHÂN TÍCH ĐÁNH GIÁ (37)
    • 2.1.1. Lý do c ần phân tích đánh giá an toàn thông tin (37)
    • 2.1.2. Các chu ẩn đánh giá bả o m t thông d ậ ụ ng (0)
      • 2.1.2.1. Chu ẩ n đánh giá M ạ ng và H ệ ố th ng - OSSTMM (Open Source (0)
      • 2.1.2.2. Chu ẩn đánh giá hệ th ố ng thông tin b ả o m ậ t - ISSAF (Information Systems Security Assessment Framework) (39)
      • 2.1.2.4. Chu n xác minh tính b o m t c ẩ ả ậ ủ Ứ a ng d ng – OWASP ASVS ụ (OWASP Application Security Verification Standard Project) (0)
    • 2.1.3. Ph ương pháp đánh giá củ a OWASP (43)
      • 2.1.3.1. Đánh giá theo tiêu chuẩ n an toàn trong vi ệ c xây d ự ng (43)
      • 2.1.3.2. Đánh giá rủ i ro (53)
  • 2.2. CÁC PH ƯƠ NG PHÁP GIÁM SÁT (61)
    • 2.2.1. Ho ạt độ ng giám sát (61)
    • 2.2.2. Các nguy c ơ và m ụ c đích giám sát (0)
    • 2.2.3. Các ph ươ ng pháp giám sát (62)
  • 3.5. K THU T KI M TH Ỹ Ậ Ể Ử THÂM NH Ậ P (Owasp Testing Guide V3) (0)
  • 6.2. H Ạ N CH Ế ..................................................................................................... 96 6.3. ĐỀ XU T ÁP D NG .................................................................................. 96ẤỤ 6.4. H ƯỚ NG PHÁT TRI N .............................................................................. 97Ể TÀI LI U THAM KH O .................................................................................. 98ỆẢ (97)

Nội dung

Trang 9 8 Kết quả: theo yêu cầ ặt ra ban đầu thì cho đếu đ n thời điểm hiện tại, luận văn cơ bản đã đạt được các n i dung yêu c u ộ ầH n ch :ạế bên cạnh đó luận văn cũng còn một số điể m

Thông tin an toàn b ả o m t ậ

Theo báo cáo của công ty bảo mật hàng đầu Acunetix, số lượng các cuộc tấn công vào người dùng web đã tăng nhanh chóng trong thời gian gần đây, với 75% các cuộc tấn công được thực hiện nhắm vào ứng dụng web Hai kỹ thuật tấn công phổ biến mà các hacker sử dụng là tấn công cross-site scripting (XSS) và SQL injection.

Hình 1: Nguồn Web Hacking Incident Database for 2011 (WHID)

L ị ch s ử phát tri ể n ứ ng d ụ ng Web

a Lịch sử phát tri Web ển

- Ngày 6-8-1991, Tim Berners Lee công bố chương trình Web Dự án

Tim Berners-Lee đã giới thiệu "World Wide Web" tại newsgroup alt.hypertext, với mục tiêu tạo ra các liên kết giữa các tài liệu thông qua việc sử dụng "siêu văn bản" (hypertext) kết hợp với internet.

- Tháng 6-1993: Ngôn ngữ HTML (Hypertext Mark Language) dùng trong l p trình ậ Webđược công b ố

10 b Định nghĩa Website và cách thức hoạt động

Website là tập hợp các trang web được xuất bản trên Internet, nơi giới thiệu thông tin, hình ảnh về doanh nghiệp và sản phẩm, dịch vụ của họ Điều này giúp khách hàng dễ dàng truy cập thông tin mọi lúc, mọi nơi.

- Để hoạt động m t ộ Website cần 3 y u t ế ố cơ bản:

C n ph i có tên mi n (Domain) ầ ả ề

N i dung các trang thông tin (ộ Web page)

Website động (Dynamic Website) là loại website sử dụng cơ sở dữ liệu và được cung cấp công cụ quản lý (Admin Tool) Đặc điểm nổi bật của website động là tính linh hoạt và khả năng cập nhật thông tin thường xuyên, giúp quản lý các thành phần trên website dễ dàng Loại website này thường được phát triển bằng các ngôn ngữ lập trình như PHP, ASP.NET, JSP, Perl, và quản trị cơ sở dữ liệu bằng SQL, MySQL, Oracle hoặc DB2.

Website tĩnh được lập trình bằng ngôn ngữ HTML, không sử dụng cơ sở dữ liệu và không có công cụ quản lý thông tin Thông thường, các website tĩnh được thiết kế bằng các phần mềm như FrontPage, Dreamweaver Đặc điểm nổi bật của website tĩnh là ít thay đổi nội dung, và sự thay đổi này thường chỉ liên quan đến việc cập nhật các văn bản đi kèm hiển thị trên trang.

Các mô hình ứ ng d ụ ng Web ph ổ bi ế n

Ngày xưa, khi lập trình viên phát triển trang web bằng JSP, PHP hay ASP, họ thường kết hợp mã HTML với mã lập trình Điều này dẫn đến một số khó khăn trong quá trình phát triển.

- Người thi t k giao diế ế ện cũng cần ph i bi t các ngôn ng l p trình, ho c ả ế ữ ậ ặ ph i tr c ti p thi t k chúng ả ự ế ế ế

- Việc bảo trì chúng thường rất khó khăn, vì một phần các mã chương trình l n l n v i mã html ẫ ộ ớ

- Khi có lỗi xảy ra, vi c tìm ra lệ ỗi và định v lị ỗi cũng là mộ ấn đề khó khăn.t v

- Và còn nhi u nhề ững khó khăn khác …vv

Việc lập trình như trên, người ta gọi là mô hình lập trình 1, hay là mô hình lập trình cổ điển.

Hình 2 : Mô hình lập trình Web cổ điển b Mô hình MVC

Mô hình lập trình Web cổ điển gặp nhiều hạn chế, dẫn đến sự ra đời của mô hình lập trình MVC (Model-View-Controller) Theo đó, một trang JSP truyền thống được chia thành ba thành phần: Mô hình, Khung nhìn và Bộ điều khiển Các thành phần này tương tác với nhau để cải thiện hiệu suất và khả năng bảo trì của ứng dụng.

- Mô hình:Mô hình là các lớp java có nhiệm vụ:

 Nhận các yêu cầu từ khung nhìn

 Thi hành các yêu cầu đó (tính toán, kết nối CSDL …)

 Trả về các giá trị tính toán cho View

- Khung nhìn: Bao gồm các mã tương tự như JSP để hiển thị form nhập liệu, các kết quả trả về từ Mô hình…

Bộ điều khiển đóng vai trò quan trọng trong việc đồng bộ hóa giữa Khung nhìn và Mô hình, đảm bảo rằng mỗi trang JSP tương ứng với một lớp Java cụ thể để xử lý dữ liệu Điều này tạo ra sự liên kết chặt chẽ, giúp trả về kết quả chính xác cho trang JSP tương ứng.

Việc tách biệt mã Java khỏi mã HTML giúp giải quyết các khó khăn trong Mô hình 1, cho phép người thiết kế giao diện và lập trình viên Java hoạt động độc lập hơn Điều này không chỉ làm cho quá trình debug và bảo trì trở nên dễ dàng hơn, mà còn giúp việc thay đổi các theme của trang web trở nên thuận tiện hơn.

Hình 3 : Mô hình lập trình Web MVC c Mô hình 3 Tiers

Kiến trúc 3-tiers là một mô hình client/server, trong đó giao diện người dùng (UI), quy tắc xử lý (BR/BL) và lưu trữ dữ liệu được phát triển như các module độc lập Mô hình này thường được duy trì trên các nền tảng khác nhau và được coi là một kiến trúc phần mềm cũng như một mẫu thiết kế hiệu quả.

- Như vậy, ta có thể mô hình này phân tách ứng dụng ra làm 3 module riêng biệt, bao gồm:

 Tầng Presentation: được dùng để giao tiếp với người dùng, nhiệm vụ chính là hiển thị dữ liệu và nhận dữ liệu từ người dùng.

 Tầng Business Logic: nhiệm vụ chính là cung cấp các chức năng của phần mềm.

 Tầng Data: lưu trữ dữ liệu, cho phép lớp Business Logic có thể tìm kiếm, trích xuất, cập nhật… dữ liệu.

Mô hình 3 Tiers là một kiến trúc phần mềm giúp xây dựng khung tổng thể cho ứng dụng Khi áp dụng mô hình này, cần lưu ý những ưu điểm như khả năng mở rộng và bảo trì dễ dàng, cũng như nhược điểm có thể gặp phải như độ phức tạp trong triển khai.

Hệ thống có ưu điểm nổi bật là khả năng mở rộng và thay đổi quy mô một cách dễ dàng Khi gặp tải lớn, người quản trị có thể nhanh chóng thêm các máy chủ vào nhóm, hoặc ngược lại, có thể giảm bớt số lượng máy chủ khi tải giảm.

CÁC THU T NG 13 Ậ Ữ

Thu ậ t ng ữ Cookies

Cookie là dữ liệu lưu trữ trên đĩa cứng hoặc bộ nhớ của người dùng, được gửi từ trình duyệt đến server mỗi khi tải một trang web Thông tin trong Cookie phụ thuộc vào từng website, cho phép mỗi trang lưu trữ các dữ liệu khác nhau.

- Thao tác với Cookie có 3 hành động: thiết lập Cookie, sử dụng Cookie và hủy Cookie

Thu ậ t ng ữ Session

Quản lý người sử dụng trong ứng dụng có thể thực hiện thông qua Session, được định nghĩa là khoảng thời gian người dùng tương tác với ứng dụng Một Session bắt đầu khi người dùng truy cập lần đầu và kết thúc khi họ thoát khỏi ứng dụng Mỗi Session sẽ được cấp một định danh (ID) riêng biệt, và nội dung của nó được lưu trữ trong thư mục được chỉ định trong file php.ini, tại tham số Session.save_path.

- Thao tác với Session có 3 hành động: thiết lập Session, sử dụng Session và hủy Session

1.2.3 Giao th c HT ứ TP/HTTPS

HTTP, viết tắt của HyperText Transfer Protocol, là giao thức cơ bản cho World Wide Web, quy định cách định dạng và truyền tải các thông điệp như văn bản, hình ảnh, âm thanh và video Khi người dùng nhập một URL vào trình duyệt, một lệnh HTTP được gửi đến máy chủ Web để tìm và tải trang Web yêu cầu Nói một cách đơn giản, HTTP cho phép truyền tải dữ liệu từ máy chủ Web đến trình duyệt, giúp người dùng truy cập các trang Web trên Internet Đây là một giao thức ứng dụng trong bộ giao thức TCP/IP, nền tảng của Internet.

HTTPS (HTTP Bảo mật) là sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL/TLS, cho phép trao đổi thông tin an toàn trên Internet Giao thức này thường được sử dụng cho các giao dịch thanh toán trực tuyến và các thông tin nhạy cảm trong hệ thống thông tin của doanh nghiệp HTTPS phổ biến trong nhiều tình huống, bao gồm trang đăng nhập ngân hàng, biểu mẫu đăng nhập công ty và các ứng dụng khác.

15 đó dữ liệu cần phải được an toàn.HTTPS không nên nhầm lẫn với Secure HTTP (S- HTTP) quy định trong RFC 2660.

 Sự khác nhau giữa HTTP và HTTPS

Theo 2 định nghĩa ở trên từ đó ta có thể thấy nếu trang Web có địa chỉ bắt đầu bằng http://thì nó có nghĩa rằng trang Web không an toàn Nói cách khác, một người nào đó có thể nghe lén những gì trao đổi với trang Web và có thể lấy những dữ kiện gửi đi từ máy của đến trang Web Nhưng nếu địa chỉ của trang Web bắt đầu bằng chữhttps://thì điều này có nghĩa là đang liên lạc an toàn với server của trang Webvà người ta không thể nghe lén và trôm những thông tin gửi đi.

GET Yêu cầu lấy về trang dữ liệu từ Server

POST Chuyển dữ liệu lên trình chủ Web Server

PUT Đưa một file lên Web Server (ít sử dụng)

DELETE Yêu cầu xóa trang (ít sử dụng)

TRACE Yêu cầu lấy về các thông tin của trang (ít sử dụng)

URL, viết tắt của "Uniform Resource Locator", là địa chỉ xác định tài nguyên trên Internet Sức mạnh của Web nằm ở khả năng tạo ra các liên kết siêu văn bản đến thông tin liên quan, bao gồm các trang web, hình ảnh và âm thanh Những liên kết này thường được hiển thị dưới dạng chữ màu xanh có gạch dưới, được gọi là anchor Người dùng có thể truy cập các URL thông qua trình duyệt như IE, Firefox, Chrome hoặc Netscape.

 Các thành phần của URL

URL, hay còn gọi là đường dẫn, được cấu tạo từ 5 thành phần chính: tên giao thức, dịch vụ World Wide Web (www), tên miền cổng, và phần phụ.

- Tên giao thức (URL scheme): VD: HTTP, FTP, HTTPS [SSL],

- World Wide Web: www (có thể không cần).

- Tên miền: Domain (VD: vncracking.com, viethosting.vn, nvhserver.com, )

- Cổng (port): VD: 80, 2082, 8080, 443, 7777, (mặc định các browser [trình duyệt] chạy giao thức HTTP ở cổng 80 nên có thể bỏ qua cổng này trên URL)

- Phần phụ: Phần phụ là "cái đuôi" đằng sau tên miền và cổng (nếu có) (vd: forums/URL-la-gi-t22460.html)

- Sơ đồ cụ thể hơn về URL: http://www.vncracking.com:80/forums/URL-la-gi-t22460.html

Giao thức 3W Tên miền Cổng Phần phụ

Một số ví dụ về URL:

+ http://www.vncert.gov.vn/

Get và Post là hai phương thức chính để gửi dữ liệu lên server, thường được sử dụng trong việc thao tác với dữ liệu trong form Mặc dù cả hai đều phục vụ mục đích tương tự, nhưng chúng hoạt động theo những cách khác nhau.

 S ựkhác nhau giữa Get và Post

Trong lập trình web, việc xử lý thông tin từ một form mà người dùng nhập vào là rất thường xuyên Chúng ta thường sử dụng hai phương thức chính là POST và GET để thực hiện nhiệm vụ này.

- Đều gửi dữ liệu tới server để xử lý, sau khi người dùng nhập thông tin vào Form

- POST:Bảo mật hơn GET vì dữ liệu được gửi ngầm, không xuất hiện trên URL

Dữ liệu gửi qua phương thức GET hiển thị rõ ràng trên URL, điều này làm cho nó kém bảo mật hơn so với phương thức POST Ngoài ra, GET còn bị giới hạn số ký tự do hạn chế của URL trong trình duyệt web.

- GET thực thi nhanh hơn POST vì nhứng dữ liệu gủi đi luôn được Webbrowser cached lại

Khi sử dụng phương thức POST, server luôn thực thi yêu cầu và trả về kết quả cho client Ngược lại, với phương thức GET, web browser sẽ kiểm tra bộ nhớ cache để xem có kết quả tương ứng với yêu cầu hay không, và nếu có, sẽ trả về ngay mà không cần thực thi yêu cầu trên server.

Đối với dữ liệu thường xuyên thay đổi, phương thức POST là lựa chọn tối ưu, trong khi dữ liệu ít thay đổi thì nên sử dụng phương thức GET để truy xuất và xử lý nhanh chóng hơn.

1.3 CÁC LỖ HỔNG THƯỜNG GẶP

1.3.1 Các bướ c t ấ n công m ộ t Website Để ấ t n công m t Website các Hackeộ r thường chia ra làm 3 giai đoạn và 8 bước th c hi n, bao g m: ự ệ ồ

Hình 5 : Mô tả các bước tấn công một Website a Giai đoạn Thu thập thông tin

Mục đích của việc thu thập thông tin là để nắm bắt toàn bộ dữ liệu về mục tiêu tấn công, bao gồm hạ tầng, mô hình các Web Server, các kiểu giao tiếp, các port đang mở và các trang web liên quan Đây là bước quan trọng trong quá trình tấn công một website.

Các bước th c hi n: Bao gồm 3 bước chính là Thu thập thông tin, Quét ự ệ thăm dò mạng và Li t kê các l h ng ệ ỗ ổ

 Bước 1: Thu th p thông tin (FootPrinting) ậ

Kỹ thuật thu thập thông tin là phương pháp mà hacker sử dụng để tìm kiếm dữ liệu về một doanh nghiệp, cá nhân hay tổ chức Trong giai đoạn này, hacker cố gắng thu thập càng nhiều thông tin chi tiết về mục tiêu càng tốt, bao gồm các yếu tố như tên miền, địa chỉ IP và các giao thức mạng.

- Các công cụ ỗ ợ như: Nslookup, SmartWhois, UseNet, Search Engine h tr

 Bước 2: Quét thăm dò (Scanning)

Thông tin quan trọng từ server bao gồm việc xác định hệ điều hành, kiểm tra trạng thái của hệ thống, tìm hiểu các dịch vụ đang chạy hoặc lắng nghe, xác định các đường dẫn, kiểm tra các cổng ổ đĩa, và xác định các dịch vụ sử dụng giao thức TCP và UDP.

- Các công c h tr : Retina, GFI, Nmap, Nessus, Fping, SuperScan, …vv ụ ỗ ợ

 Bước 3: Li t kê l h ng (Enumeration) ệ ỗ ổ

Hacker bắt đầu kiểm soát Server sơ bộ bằng cách tìm kiếm các tài nguyên bảo mật yếu kém và tài khoản người dùng có thể bị xâm nhập Quá trình này bao gồm việc khai thác các mật khẩu mặc định, các script và dịch vụ mặc định để thực hiện các cuộc tấn công.

- Công cụ ỗ ợ h tr : DumpSec, Null Session, DumpACL, Sid2user, OnSite Admin Showmount, Netcat, SuperScan …vv b Giai đoạn Phân tích và t n côngấ

Khái ni ệ m URL

URL, viết tắt của "Uniform Resource Locator", là địa chỉ xác định tài nguyên trên Internet Sức mạnh của Web nằm ở khả năng tạo ra các liên kết siêu văn bản đến thông tin liên quan, bao gồm các trang web, hình ảnh và âm thanh Những liên kết này thường được thể hiện bằng chữ màu xanh có gạch dưới, được gọi là anchor Người dùng có thể truy cập các URL thông qua các trình duyệt như IE, Firefox, Chrome hoặc Netscape.

 Các thành phần của URL

URL, hay còn gọi là đường dẫn, được cấu tạo bởi 5 thành phần chính: tên giao thức, dịch vụ World Wide Web (www), tên miền cổng và phần phụ.

- Tên giao thức (URL scheme): VD: HTTP, FTP, HTTPS [SSL],

- World Wide Web: www (có thể không cần).

- Tên miền: Domain (VD: vncracking.com, viethosting.vn, nvhserver.com, )

- Cổng (port): VD: 80, 2082, 8080, 443, 7777, (mặc định các browser [trình duyệt] chạy giao thức HTTP ở cổng 80 nên có thể bỏ qua cổng này trên URL)

- Phần phụ: Phần phụ là "cái đuôi" đằng sau tên miền và cổng (nếu có) (vd: forums/URL-la-gi-t22460.html)

- Sơ đồ cụ thể hơn về URL: http://www.vncracking.com:80/forums/URL-la-gi-t22460.html

Giao thức 3W Tên miền Cổng Phần phụ

Một số ví dụ về URL:

+ http://www.vncert.gov.vn/

C ơ ch ế Get/Post

Get và Post là hai phương thức chính để gửi dữ liệu lên server Cả hai đều được sử dụng để thao tác với dữ liệu trong biểu mẫu, nhưng chúng hoạt động theo những cách khác nhau.

 S ựkhác nhau giữa Get và Post

Trong lập trình web, việc xử lý thông tin từ một form mà người dùng nhập vào là rất phổ biến Chúng ta thường sử dụng hai phương thức chính là POST và GET để thực hiện công việc này.

- Đều gửi dữ liệu tới server để xử lý, sau khi người dùng nhập thông tin vào Form

- POST:Bảo mật hơn GET vì dữ liệu được gửi ngầm, không xuất hiện trên URL

GET là phương thức gửi dữ liệu tường minh, cho phép người dùng nhìn thấy thông tin trên URL, điều này làm giảm tính bảo mật so với phương thức POST Hơn nữa, GET còn bị giới hạn số ký tự do kích thước của URL trong các trình duyệt web.

- GET thực thi nhanh hơn POST vì nhứng dữ liệu gủi đi luôn được Webbrowser cached lại

Khi sử dụng phương thức POST, server luôn thực thi và trả về kết quả cho client Ngược lại, với phương thức GET, web browser sẽ kiểm tra trong bộ nhớ cache xem có kết quả tương ứng với yêu cầu không và trả về ngay mà không cần thực thi yêu cầu trên server.

Đối với dữ liệu thường xuyên thay đổi, phương thức POST là lựa chọn tối ưu, trong khi đó, phương thức GET phù hợp hơn cho dữ liệu ít thay đổi, giúp truy xuất và xử lý nhanh chóng hơn.

1.3 CÁC LỖ HỔNG THƯỜNG GẶP

1.3.1 Các bướ c t ấ n công m ộ t Website Để ấ t n công m t Website các Hackeộ r thường chia ra làm 3 giai đoạn và 8 bước th c hi n, bao g m: ự ệ ồ

Hình 5 : Mô tả các bước tấn công một Website a Giai đoạn Thu thập thông tin

Mục đích của việc thu thập thông tin là để tập hợp toàn bộ dữ liệu về mục tiêu tấn công, bao gồm hệ thống hạ tầng, mô hình các Web Server, các kiểu giao tiếp, các port đang mở và các trang web liên quan Quy trình thu thập thông tin đóng vai trò rất quan trọng trong việc tấn công một website.

Các bước th c hi n: Bao gồm 3 bước chính là Thu thập thông tin, Quét ự ệ thăm dò mạng và Li t kê các l h ng ệ ỗ ổ

 Bước 1: Thu th p thông tin (FootPrinting) ậ

Kỹ thuật thu thập thông tin là bước quan trọng giúp hacker tìm hiểu về một doanh nghiệp, cá nhân hay tổ chức Trong giai đoạn này, hacker cố gắng thu thập càng nhiều thông tin về mục tiêu càng tốt, bao gồm các chi tiết như tên miền, địa chỉ IP và các giao thức mạng.

- Các công cụ ỗ ợ như: Nslookup, SmartWhois, UseNet, Search Engine h tr

 Bước 2: Quét thăm dò (Scanning)

Thông tin quan trọng từ server được thu thập trong bước này bao gồm: xác định hệ điều hành, kiểm tra các dịch vụ đang chạy hoặc lắng nghe, tìm hiểu các luồng dữ liệu, kiểm tra các cổng ổ đĩa, và xác định các dịch vụ sử dụng giao thức TCP và UDP.

- Các công c h tr : Retina, GFI, Nmap, Nessus, Fping, SuperScan, …vv ụ ỗ ợ

 Bước 3: Li t kê l h ng (Enumeration) ệ ỗ ổ

Các hacker bắt đầu kiểm soát server sơ bộ bằng cách tìm kiếm các tài nguyên bảo vệ kém và tài khoản người dùng có thể bị xâm nhập Điều này bao gồm việc khai thác các mật khẩu mặc định, các script và dịch vụ mặc định để thực hiện các cuộc tấn công.

- Công cụ ỗ ợ h tr : DumpSec, Null Session, DumpACL, Sid2user, OnSite Admin Showmount, Netcat, SuperScan …vv b Giai đoạn Phân tích và t n côngấ

Sau khi thu thập thông tin cơ bản về mục tiêu ở giai đoạn 1, các hacker tiến hành phân tích và phân loại các lỗ hổng để xây dựng phương án tấn công hệ thống một cách hiệu quả.

Các bước th c hi n: Bao gự ệ ồm 3 bước là Xâm nhập, Leo thang đặc quyền và Khai thác h th ngệ ố

 Bước 4: Xâm nhập (Gaining Access)

Hacker sẽ tìm cách truy cập vào mạng bằng cách nhập các thông tin đã được bảo vệ qua ba bước Các phương pháp tấn công có thể bao gồm tấn công lỗ hổng bảo mật, mã hóa và giải mã file password, hoặc sử dụng kỹ thuật brute force để kiểm tra tất cả các trường hợp password Ngoài ra, hacker cũng có thể đột nhập qua các cổng mạng khác nhau.

- Công cụ ỗ ợ h tr : Tcpdump, NAT, Tftp, Remote Buffer Overflows, Brute- force password attacks…vv

 Bước 5: Leo thang đặc quy n (Escalatinề g Priviledge)

Khi hacker xâm nhập vào mạng với một tài khoản nào đó, họ sẽ tìm cách kiểm soát toàn bộ hệ thống Hacker có thể crack mật khẩu của admin hoặc sử dụng lỗ hổng để leo thang đặc quyền, từ đó truy cập vào các file và folder dữ liệu mà tài khoản người dùng ban đầu không được phép Khi đạt được quyền truy cập cao, hacker có thể cài đặt phần mềm như Backdoors và Trojan horses, cho phép họ thăm dò sâu hơn Mục đích chính của hacker là chiếm quyền truy cập ở mức độ quản trị, từ đó có toàn quyền điều khiển hệ thống mạng.

Có th s dể ử ụng Sniffer để ắ b t các gói tin, t ừ đó phân tích tìm ra mật kh u ẩ

- Công cụ ỗ ợ h tr : John, Riper, L0phtcrack, Ic_mesages, Getadmin, Sechole,

- Thông tin lấy t ừ bước trên đủ để Hacker đị nh v ị server và điều khi n ể server

- Công c h tr : Configuration files, Registry, Telnet, Ftp, Rhost …vv ụ ỗ ợ c Giai đoạn Dừng và xóa dấu vết

Sau khi chiếm được quyền kiểm soát hệ thống và khai thác các lỗ hổng, hacker sẽ cố gắng cài đặt các backdoor và trojan để tiếp tục khai thác Đồng thời, họ cũng tìm cách xóa dấu vết để không bị phát hiện.

Các bước th c hi n: gự ệ ồm 2 bước

 Bước 7: T o cạ ửa hậu (Creating Backdoors)

Để chuẩn bị cho lần xâm nhập tiếp theo dễ dàng hơn, hacker thường thiết lập backdoors, tức là các cơ chế cho phép họ truy cập trái phép vào hệ thống thông qua những con đường bí mật Điều này giúp hacker không phải tốn nhiều công sức để khai thác, thường bằng cách cài đặt Trojan hoặc tạo tài khoản người dùng mới.

- Công cụ ỗ h trợ: Các loại Trojan, keylog, creat rogue user account, Schedule batch jobs, VNC, Netcat, …vv

 Bước 8: Xóa dấu v t (Covering Tracks) ế

Sau khi thu thập thông tin cần thiết, hacker tìm cách xóa dấu vết và xóa các file log của hệ điều hành, khiến cho người quản lý không nhận ra hệ thống đã bị xâm nhập Ngay cả khi có phát hiện, họ cũng không thể xác định được kẻ xâm nhập là ai.

- Công c h tr : Zap, Clear logs, Zap, Event log GUI, rootkits vv ụ ỗ ợ

CÁC PH ƯƠNG PHÁP PHÂN TÍCH ĐÁNH GIÁ

Lý do c ần phân tích đánh giá an toàn thông tin

Các yêu cầu về khả năng phục vụ của hệ thống thông tin đang gia tăng cả về chất lượng lẫn số lượng, điều này đòi hỏi các hệ thống phải thường xuyên đổi mới và cập nhật để đáp ứng nhu cầu ngày càng cao.

Phân tích đánh giá an toàn thông tin mạng mang lại nhiều lợi ích quan trọng, bao gồm việc xác định những điểm yếu của hệ thống và nhu cầu nâng cấp Dựa trên các quy chuẩn như PCI, ISSAF, OSSTMM và OWASP, doanh nghiệp có thể thực hiện các đánh giá chi tiết về hiệu suất hệ thống, từ đó nhận diện điểm mạnh, điểm yếu và những gì cần sửa chữa Điều này giúp tổ chức giảm thiểu rủi ro, tiết kiệm chi phí và đảm bảo hệ thống hoạt động liên tục, kịp thời có kế hoạch thay đổi cần thiết trước khi nguy cơ trở thành hiện thực.

2.1.2 Các chu ẩn đánh giá bả o m ậ t thông d ụ ng

2.1.2.1 Chuẩn đánh giá Mạng và Hệ thống - OSSTMM (Open Source Security Testing Methodology Manual)

OSSTMM là một tiêu chuẩn mở cung cấp phương pháp kiểm tra bảo mật cho hệ thống hoạt động của doanh nghiệp Kể từ phiên bản 3.0, OSSTMM đã đưa ra phương pháp kiểm định cho hầu hết các thành phần trong hệ thống, bao gồm cả con người.

Hạ tầng vật lý, Mạng không dây, Truyền thông và các Mạng sử dụng truyền dữ liệu

Hình 6 : Các nội dung đánh giá bảo của OSSTMM

Trong bối cảnh hiện đại, các thành tố như con người, thiết bị mạng, truyền thông, mạng không dây và mạng truyền dữ liệu đóng vai trò quan trọng trong việc vận hành hệ thống kinh doanh Tuy nhiên, những thành tố này cũng phải đối mặt với các cuộc tấn công từ cả bên trong lẫn bên ngoài Nếu tin tặc khai thác được lỗ hổng an ninh, họ có thể chiếm quyền điều khiển hệ thống, gây thiệt hại nghiêm trọng cho doanh nghiệp Việc áp dụng kỹ thuật kiểm tra an ninh theo tiêu chuẩn OSSTMM giúp các tổ chức chủ động ngăn chặn các nguy cơ từ xa và đưa ra các phương án bảo vệ hiệu quả cho các thành tố của hệ thống.

OSSTMM cung cấp nhiều tính năng và lợi ích quan trọng, giúp giảm thiểu đáng kể các sai sót trong tính toán và cung cấp các thước đo chính xác cho bảo mật an ninh Nó có khả năng thích hợp với nhiều loại hình kiểm tra an ninh như kiểm tra thâm nhập, kiểm định hộp trắng và đánh giá tính dễ tổn thương của hệ thống Phương pháp này tuân theo một quy trình kiểm tra rõ ràng, bao gồm các giai đoạn như định nghĩa, thông tin, quản lý và kiểm soát thử nghiệm.

Here is a rewritten paragraph that contains the important sentences and complies with SEO rules:Đánh giá độ an toàn bảo mật bằng cách sử dụng cách tính toán giá trị mật dựa trên các hoạt động bảo mật hay sự mất kiểm soát Báo cáo đánh giá thường được thực hiện bằng cách sử dụng công cụ kiểm định báo cáo an ninh (Security Test Audit Report) Tuy nhiên, để có được kết quả chính xác hơn, nên có một đội ngũ kỹ thuật để xem xét các mục tiêu thử nghiệm, các đánh giá rủi ro Các phương pháp này thường xuyên được cập nhật theo các cuộc thử nghiệm an ninh mới, giúp nhớ lại về an ninh bảo mật.

2.1.2.2 Chuẩn đánh giá hệ thống thông tin bảo mật - ISSAF (Information Systems Security Assessment Framework)

ISSAF is a standard for evaluating information security systems, focusing on two key areas: security testing and both technical and managerial techniques.

Các mặt kỹ thuật được thiết lập dựa trên quy tắc cốt lõi, hình thành quy trình bảo mật đánh giá toàn diện Do đó, kiểm toán viên cần nhiều thiết lập hơn, bao gồm các tiêu chuẩn cần thiết như đánh giá kế hoạch và bảo quản.

- Lựa chọn tiến trình đánh giá bằng cách phân tích mục tiêu và chống lại các lỗ hổng nghiêm trọng mà hacker có thể khai thác được.

ISSAF bao gồm nhiều đánh giá kỹ thuật nhằm kiểm tra sự khác biệt giữa các công nghệ và quy trình Nó cũng có thể được liên kết với OSSTMM hoặc các phương pháp thử nghiệm tương tự khác.

Tuy nhiên, cần lưu ý rằng ISSAF hiện vẫn đang trong giai đoạn thử nghiệm, do đó một số lỗi so với các phương pháp thử nghiệm khác là điều không thể tránh khỏi.

ISSAF cung cấp định nghĩa về an toàn thông tin bằng cách đánh giá các lỗ hổng bảo mật hiện có và đề xuất biện pháp khắc phục Các tính năng của ISSAF bao gồm đánh giá rủi ro, cơ cấu kinh doanh và quản lý, kiểm soát đánh giá, tham gia quản lý, và đảm bảo chính sách phát triển Những lợi ích này giúp tổ chức nâng cao khả năng bảo vệ thông tin và giảm thiểu rủi ro an ninh mạng.

Quy trình đánh giá bảo mật theo tiêu chuẩn ISSAF bao gồm các yếu tố quản lý hoạt động, đánh giá bảo mật, thử nghiệm thâm nhập và quản lý sự cố, nhằm nâng cao nhận thức về bảo mật Thử nghiệm xâm nhập ISSAF là phương pháp kiểm tra an ninh cho mạng lưới, hệ thống hoặc ứng dụng, tập trung vào các công nghệ bảo vệ như Router, Switch, Tường lửa và các hệ thống phát hiện và phòng chống xâm nhập.

Mạng lưu trữ và Mạng riêng ảo (VPN) đóng vai trò quan trọng trong việc bảo vệ dữ liệu và đảm bảo an toàn cho các hoạt động hệ thống như máy chủ ứng dụng web và cơ sở dữ liệu ISSAF hỗ trợ quản lý nhận diện các rủi ro hiện tại và xác định các lỗ hổng có thể ảnh hưởng đến sự ổn định của hệ thống.

2.1.2.3 Chuẩn bảo mật dữ liệu ngân hàng - PCI DSS (Payment Card Industry Data Security Standard)

The PCI DSS (Payment Card Industry Data Security Standard) was established by the Security Standards Council, which includes founding members such as Visa, MasterCard, American Express (AMEX), Discover Financial Services, and JCB International Its primary purpose is to ensure the security of card data during processing and storage by banks or payment businesses PCI DSS sets global standards for card information security and is implemented worldwide.

Ph ương pháp đánh giá củ a OWASP

OWASP đánh giá an toàn bảo mật của một dịch vụ Web theo hai hướng chính:

- Đánh giá theo tiêu chuẩn xác minh tính bảo mật trong việc xây dựng Ứng dụng Chuẩn OWASP ASVS–

Đánh giá rủi ro hệ thống bắt đầu từ việc phân tích mô hình hóa đe dọa (Threat Modeling) để xác định các điểm yếu tiềm ẩn Tiếp theo, quy trình tiến hành đánh giá tính dễ tổn thương của hệ thống (Vulnerability Assessment) nhằm phát hiện các lỗ hổng bảo mật Sau đó, áp dụng các phương pháp kiểm thử, chẳng hạn như Hướng dẫn Kiểm thử Owasp V3, để kiểm tra tính bảo mật Cuối cùng, kết quả được tổng hợp trong báo cáo đánh giá mức độ rủi ro của hệ thống (Risk Assessment), giúp đưa ra các biện pháp khắc phục hiệu quả.

2.1.3.1 Đánh giá theo tiêu chuẩn an toàn trong việc xây dựng OWASP ASVS

Chuẩn OWASP ASVS định nghĩa bốn mức độ bảo mật từ 1 đến 4, với mức độ tăng dần cả về chiều rộng lẫn chiều sâu Mỗi mức độ chiều rộng được xác định bởi một tập hợp các yêu cầu bảo mật cần được đánh dấu, trong khi độ sâu xác minh được định nghĩa bởi các phương pháp tiếp cận và mức độ chặt chẽ trong việc xác minh từng yêu cầu bảo mật.

Chuẩn OWASP ASVS được chia thành ba phần chính: đầu tiên là các mức độ/cấp độ bảo mật, tiếp theo là các yêu cầu/tiêu chí bảo mật chi tiết, và cuối cùng là phần báo cáo kết quả xác minh.

Phần các mức độ bảo mật của OWASP ASVS

Mức độ 1: Xác minh tự động

- Mức độ 1 thể hiện những nguy cơ tối thiểu của ứng dụng, ở mức độ này mối đe dọa an ninh không được xem là nghiêm trọng.

Ở mức độ 1, việc xác minh bao gồm việc sử dụng công cụ tự động kết hợp với các tham số hướng dẫn xác minh Các công cụ tự động thường dựa vào những dấu hiệu dễ bị tổn thương để phát hiện vấn đề Mức độ này chỉ bao trùm một phần trong việc xác minh an toàn bảo mật ứng dụng web Mục đích của việc hướng dẫn xác không phải là thực hiện xác minh bảo mật đầy đủ, mà chỉ nhằm xác minh tính chính xác của các phát hiện tự động.

Mức độ 1 được chia thành hai thành phần: mức độ 1A và mức độ 1B Mức độ 1A sử dụng công cụ tự động để phát hiện các chức năng dễ tổn thương thông qua phân tích động, trong khi mức độ 1B áp dụng công cụ tự động để quét mã nguồn với phân tích tĩnh Để xác minh hiệu quả, có thể sử dụng một trong hai phương pháp, nhưng việc kết hợp cả hai sẽ mang lại kết quả toàn diện hơn.

1 Cấu trúc của các cấp được mô tả trong hình dưới.

Hình 8 : Owasp ASVS cấp độ 1, 1A và 1B

- Một ứng dụng đáp ứng mức độ 1 thì yêu cầu phải đáp ứng các yêu cầu của mức độ 1A và 1B.

- Các yêu cầu tối thiểu cho mức độ 1, 1A, 1B của ứng dụng Web:

STT Các yêu cầu bảo mật Yêu c ầu

1 Các yêu cầu kiểm soát hành vi Không yêu cầu

3 Các yêu cầu kiểm soát thực thi Không yêu cầu

4 Các yêu cầu kiểm soát xác minh

Mức độ L1.1 yêu cầu kiểm soát viên thực hiện quét tự động ứng dụng Web theo tiêu chuẩn của mức độ 1A Trong khi đó, mức độ L1.2 yêu cầu kiểm soát viên quét mã nguồn ứng dụng dựa trên các yêu cầu của mức độ 1B.

5 Các yêu cầu tài liệu

Mức độ L1.3 yêu cầu kiểm soát viên tạo báo cáo xác minh chi tiết về kiến trúc bảo mật của ứng dụng web, bao gồm các kết quả xác minh theo yêu cầu.

“các yêu cầu báo cáo xác minh”

Hình 9 : Ví dụ về kiến trúc bảo mật OWASP ASVS mức độ 1

Mức độ 2: Xác minh thủ công

Mức độ 2 thích hợp cho các ứng dụng xử lý thông tin giao dịch cá nhân, doanh nghiệp với doanh nghiệp, cũng như thông tin thẻ tín dụng và dữ liệu cá nhân của khách hàng Cấu trúc của mức độ 2 bao gồm hai thành phần chính là 2A và 2B.

Hình 10: Owasp ASVS cấp độ 2, 2A và 2B

- Các yêu cầu tối thiểu cho mức độ 2, 2A, 2B của ứng dụng Web:

STT Các yêu cầu bảo mật Yêu cầu

1 Các yêu cầu kiểm soát hành vi

Mức độ L2.1 yêu cầu xác minh tất cả các kiểm soát bảo mật chỉ được sử dụng trong danh sách cho phép (whitelist) Đồng thời, cần đảm bảo rằng các kiểm soát này không bị bỏ qua theo các yêu cầu xác minh chi tiết ở cấp độ 2A và 2B.

2 Các yêu cầu kiểm soát sử dụng Không yêu cầu

3 Các yêu cầu kiểm soát thực thi Không yêu cầu

4 Các yêu cầu kiểm soát xác minh

Mức độ L2.2 yêu cầu kiểm soát viên thực hiện kiểm thử xâm nhập thủ công vào ứng dụng theo các tiêu chí chi tiết ở mức độ 2A Trong khi đó, mức độ L2.3 yêu cầu kiểm soát viên thực hiện kiểm tra mã nguồn thủ công trên ứng dụng theo các tiêu chí chi tiết ở mức độ 2B.

5 Các yêu cầu tài liệu

Mức độ L2.4 yêu cầu kiểm soát viên tạo báo cáo chi tiết về kiến trúc bảo mật của ứng dụng Web, cùng với kết quả xác minh theo yêu cầu trong phần "các yêu cầu báo cáo xác minh".

Hình 11: Ví dụ về kiến trúc bảo mật OWASP ASVS mức độ 2

Mức độ 3: Xác minh thiết kế

- Mức độ thường phù hợp cho những ứng dụng có những giao dịch quan trọng giữa doanh nghiệp doanh nghiệp, bao gồm thông tin về quá trình giao tiếp, –

46 thực thi kinh doanh hoặc các chức năng nhạy cảm, hoặc các giá trị nhạy cảm khác của doanh nghiệp.

Mức độ 3 đảm bảo rằng các kiểm soát bảo mật được thực thi một cách chính xác và đồng nhất trong toàn bộ ứng dụng Mức độ này không được chia thành các yêu cầu nhỏ hơn và được minh họa rõ ràng trong hình dưới đây.

Hình 12 : Owasp ASVS cấp độ 3

- Các yêu cầu tối thiểu cho mức độ 3 của ứng dụng Web:

STT Các yêu cầu bảo mật Yêu cầu

1 Các yêu cầu kiểm soát hành vi

Mức độ L3.1 yêu cầu xác minh tất cả các kiểm soát bảo mật chỉ được sử dụng trong danh sách cho phép (whitelist) và đảm bảo rằng các kiểm soát này không bị bỏ qua theo các yêu cầu xác minh chi tiết ở cấp độ 3.

2 Các yêu cầu kiểm soát sử dụng

Mức độ L3.2 yêu cầu xác minh tất cả các kiểm soát bảo mật, được coi là trung tâm của ứng dụng Web, trên phía máy chủ ứng dụng theo các tiêu chí của mức độ 3.

3 Các yêu cầu kiểm soát thực thi Không yêu cầu

4 Các yêu cầu kiểm soát xác minh

Mức độ L3.3: kiểm soát viên thực hiện kiểm tra thủ công ứng dụng Web the yêu cầu mức độ 3

Mức độ L3.4 yêu cầu kiểm soát viên xây dựng kiến trúc bảo mật ứng dụng, từ đó thực hiện kiểm tra tính đúng đắn của thiết kế Đồng thời, họ cũng áp dụng các kiểm soát bảo mật thông qua mô hình đe dọa (threat modeling).

5 Các yêu cầu tài liệu

CÁC PH ƯƠ NG PHÁP GIÁM SÁT

Ho ạt độ ng giám sát

Giám sát an toàn bảo mật thông tin là các hoạt động định kỳ nhằm thu thập và phân tích thông tin hệ thống để phát hiện sớm các nguy cơ và dấu hiệu tấn công Qua đó, hệ thống có thể đưa ra cảnh báo kịp thời cho các bộ phận chức năng, giúp họ có những phản ứng và biện pháp xử lý thích hợp nhằm đảm bảo tính an toàn và ổn định của hệ thống.

2.2.2 Các nguy cơ và m c đ ụ ích giám sát

Có r t nhi u nguyên nhân có thấ ề ể ẫn đế d n dịch vụ Web hoạt động không an toàn, c th : ụ ể

Nhu cầu truy cập ngày càng tăng, trong khi hệ thống hiện tại không được cải tiến để đáp ứng Chẳng hạn, ban đầu hệ thống ống được thiết kế chỉ để phục vụ một số lượng người nhất định.

61 nhất định (ví dụ 1000 người), sau thời gian phát triển nhu cầu thực tế ớn hơn nhiề l u (ví d ụ 10.000 người)

- Những thay đổi về mặt hệ thống như nâng cấp hệ thống, thêm mới chức năng, thay đổi chức năng nghiệp v ụ

Những thay đổi trong công nghệ, đặc biệt là mô hình dịch vụ Web, đang diễn ra nhanh chóng, trong khi các trình duyệt thường xuyên được nâng cấp Tuy nhiên, người dùng vẫn chưa được cập nhật đầy đủ để phù hợp với những thay đổi này.

- Các lỗ ổ h ng bảo mật về ệ điề h u hành, về cơ sở ữ ệ d li u, về ề n n tảng Web m i phát hi n, các lo i virut m i sinh ra, các k thu t t n công m i ớ ệ ạ ớ ỹ ậ ấ ớ

- Các lỗ ổ h ng trong việc quản lý người, phân quyền người dùng, xác thực người dùng, đặt m t kh u y u d nh ậ ẩ ế ễ ớ

Vulnerabilities in web applications can lead to severe security breaches, including SQL Injection, Cross-Site Scripting (XSS), and Cross-Site Request Forgery (CSRF) Other significant threats include Distributed Denial of Service (DDoS) attacks and Buffer Overflow exploits, as well as Brute Force attacks It is crucial for developers to understand and address these vulnerabilities to protect sensitive data and maintain the integrity of their applications.

- Các tác nhân bên trong tổ chức thay đổi như chính sách quản lý, chuyển đổi nhân s , thêm m i nhân s có quy n táự ớ ự ề c động h th ng ệ ố

- Các lỗ ổ h ng trong quy hoạch mạng, kết nối mạng, các chính sách quản lý m ng ạ

2.2.3 Các phương pháp giám sát Để theo dõi hoạt động của hệ thống, theo dõi xem các thành phần của hệ thống hoạt động như thế nào, có đánh giá phân tích các nguy cơ mất an toàn thông

62 tin từ đó đưa ra các phương pháp giám sát cho phù hợp Hoạt động giám sát gồm các hoạt động cơ bản sau:

- Thu thập thông tin: nhằm thu thập tất cả các Log của các thành phần hệ thống

- Tổng hợp và chuẩn hóa thông tin: chuẩn hóa thông tin về một định dạng theo quy định

- Phân tích thông tin: phân tích những thông tin Log đã chuẩn hóa để tìm ra dấu hiệu bất thường của hệ thống

Khi phát hiện thông tin bất thường liên quan đến hệ thống, cần ngay lập tức thông báo hoặc cảnh báo đến các bộ phận chức năng để đảm bảo có những biện pháp xử lý và phản ứng kịp thời.

Vậy khi lựa chọn phương pháp giám sát ta có thể lựa chọn một trong 2 phương pháp sau:

- Phương pháp giám sát ghi nhận Log, phân tích Log cần chuyên gia phân tích xử lý và cảnh báo

Phương pháp giám sát hệ thống sử dụng các kỹ thuật tự động để xử lý và cảnh báo, trong đó bao gồm việc giám sát các thành phần hoạt động của hệ thống thông qua việc ghi nhận và phân tích Log Phân tích Log giúp xác định các sự cố tiềm ẩn, cải thiện hiệu suất và đảm bảo tính ổn định của hệ thống.

Hệ thống bảo mật web bao gồm nhiều thành phần quan trọng Đầu tiên, hệ điều hành máy chủ như Windows Server 2003/2008, Linux (Ubuntu, Cent OS), và Unix (Solaris) ghi lại thông tin về đăng nhập và các hành động tác động vào hệ thống Từ log hệ điều hành, chúng ta có thể phân tích để phát hiện những tác động bất thường như truy cập trái phép từ IP lạ hoặc người dùng không được phép Tiếp theo, ứng dụng Web Server như IIS, Tomcat, Apache, Jrun, và WebLogic cũng ghi lại thông tin đăng nhập và dấu hiệu tấn công, bao gồm cả DDOS và các lỗ hổng phổ biến như SQL Injection, XSS, Path Traversal, và Buffer Overflow Việc phân tích log từ cả hệ điều hành và ứng dụng web giúp xác định các hành động bất thường và triển khai các biện pháp bảo mật thích hợp như chặn IP.

Để đảm bảo an toàn cho hệ thống cơ sở dữ liệu như MySQL, SQL Server, DB2, Oracle, việc sao lưu dữ liệu và quản lý thay đổi IP của hệ thống là rất quan trọng Log của cơ sở dữ liệu ghi lại thông tin đăng nhập, thay đổi dữ liệu và phân quyền, giúp người quản trị kiểm soát các hoạt động trong hệ thống Ngoài ra, các thiết bị mạng như Firewall, Switch, Router và Loadbalancer cũng cần được giám sát thông qua log, ghi lại thông tin kết nối, chính sách và cấu hình thay đổi Điều này giúp phát hiện và ngăn chặn các cuộc tấn công từ những nguồn IP lạ, đồng thời chủ động nâng cấp hệ thống mạng khi có dấu hiệu bất thường.

Việc giám sát hệ thống thông qua cơ chế ghi Log và phân tích Log giúp quản trị viên phát hiện các dấu hiệu bất thường và nguy cơ tiềm ẩn, từ đó có những phản ứng kịp thời để đảm bảo an toàn cho hệ thống Ngoài ra, việc nắm rõ thông tin về từng thành phần cho phép quản trị viên tạm thời cô lập các thành phần này nhằm giảm thiểu rủi ro Phương pháp giám sát hiệu quả bao gồm việc áp dụng các giải pháp kỹ thuật như cài đặt module hoặc thiết bị/phần mềm cảnh báo tấn công, chẳng hạn như IDS/IPS (Snort, OSSEC, Mcafee), Firewall và Application Firewall.

Các thiết bị và phần mềm cảnh báo tấn công, bao gồm hệ thống phát hiện xâm nhập (IDS), đóng vai trò quan trọng trong việc giám sát và phát hiện các hoạt động đáng ngờ trên mạng IDS hoạt động như một ống giám sát lưu thông mạng, cảnh báo cho quản trị viên khi phát hiện các hành vi bất thường hoặc có hại Hệ thống này có khả năng phản ứng ngay lập tức với các lưu thông đáng ngờ bằng cách thực hiện các hành động đã được thiết lập trước, chẳng hạn như khóa người dùng hoặc địa chỉ IP nghi ngờ IDS có thể phân biệt giữa các cuộc tấn công từ bên trong và bên ngoài, giúp bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn Có hai loại IDS chính là Network Based IDS (NIDS) và Host Based IDS (HIDS), với các ví dụ như Snort, OSSEC và McAfee.

Thiết bị IPS (Intrusion Prevention System) có chức năng giám sát, cảnh báo và ngăn chặn các cuộc tấn công, nâng cao khả năng bảo vệ so với IDS (Intrusion Detection System) Các thiết bị bảo mật như Firewall từ Cisco, Fortinet, Checkpoint, ISA Server, và Asterro kiểm soát luồng thông tin giữa Intranet và Internet, thiết lập cơ chế điều khiển dòng thông tin giữa các mạng LAN khác nhau Bên cạnh đó, tường lửa ứng dụng Web (WAP) thực hiện các nhiệm vụ bảo vệ mà Firewall truyền thống không thể làm, bao gồm việc thiết lập chính sách cho các kết nối người dùng HTTP và kiểm soát nội dung cho máy chủ Web.

Hệ thống bảo vệ trước các loại tấn công mạng phổ biến như Cross-site Scripting (XSS) và SQL Injection là rất quan trọng Ngoài các kiểm tra cơ bản của một tường lửa thông thường, WAF thực hiện các kiểm tra sâu hơn, bao gồm việc phân tích nội dung HTTP.

Phương pháp giám sát đầu tiên có ưu điểm là bao trùm toàn bộ hệ thống, dễ triển khai và chi phí thấp Tuy nhiên, nhược điểm của nó là tính chất off-line, khả năng phát hiện chậm và yêu cầu nhân sự quản trị cần có kinh nghiệm cũng như hiểu biết sâu về bảo mật của tất cả các thành phần.

Các ph ươ ng pháp giám sát

Để theo dõi hoạt động của hệ thống, cần kiểm tra cách các thành phần hoạt động và đánh giá phân tích các nguy cơ mất an toàn thông tin.

62 tin từ đó đưa ra các phương pháp giám sát cho phù hợp Hoạt động giám sát gồm các hoạt động cơ bản sau:

- Thu thập thông tin: nhằm thu thập tất cả các Log của các thành phần hệ thống

- Tổng hợp và chuẩn hóa thông tin: chuẩn hóa thông tin về một định dạng theo quy định

- Phân tích thông tin: phân tích những thông tin Log đã chuẩn hóa để tìm ra dấu hiệu bất thường của hệ thống

Vậy khi lựa chọn phương pháp giám sát ta có thể lựa chọn một trong 2 phương pháp sau:

- Phương pháp giám sát ghi nhận Log, phân tích Log cần chuyên gia phân tích xử lý và cảnh báo

Phương pháp giám sát hệ thống sử dụng kỹ thuật tự động để xử lý và cảnh báo Một trong những phương pháp chi tiết là giám sát các thành phần hoạt động của hệ thống thông qua việc ghi nhận và phân tích Log Việc này giúp phát hiện sớm các vấn đề và tối ưu hóa hiệu suất hệ thống.

Hệ thống bảo mật web bao gồm nhiều thành phần quan trọng như hệ điều hành máy chủ (Windows Server 2003/2008, Linux, Unix) và ứng dụng Web Server (IIS, Tomcat, Apache) Log của hệ điều hành ghi lại thông tin về đăng nhập và các hành động tác động vào hệ thống, giúp phân tích và phát hiện các truy cập

Để đảm bảo an toàn cho hệ thống, việc sao lưu dữ liệu và quản lý thay đổi IP của thiết bị là rất quan trọng Cơ sở dữ liệu như MySQL, SQL Server, DB2, và Oracle cần được bảo vệ thông qua việc ghi lại log, bao gồm thông tin đăng nhập, thay đổi dữ liệu và phân quyền Những log này cho phép chúng ta theo dõi và kiểm soát các hoạt động trong hệ thống Bên cạnh đó, các thiết bị như Firewall, Switch, Router và Loadbalancer cũng ghi lại thông tin kết nối, chính sách và cấu hình thay đổi Việc phân tích log từ các thiết bị này giúp chúng ta nhận diện và ngăn chặn các cuộc tấn công từ những nguồn IP đáng ngờ, đồng thời chủ động nâng cấp hệ thống mạng khi có dấu hiệu bất thường.

Giám sát hệ thống thông qua cơ chế ghi Log và phân tích Log là cách hiệu quả để người quản trị phát hiện các dấu hiệu bất thường và nguy cơ tiềm ẩn, từ đó có những phản ứng kịp thời nhằm đảm bảo an toàn cho hệ thống Việc nắm rõ thông tin về từng thành phần trong hệ thống cho phép quản trị viên cô lập tạm thời các thành phần gặp sự cố, giảm thiểu nguy cơ cho toàn bộ hệ thống Ngoài ra, việc áp dụng các giải pháp kỹ thuật như cài đặt module hoặc thiết bị/phần mềm cảnh báo tấn công như IDS/IPS (Snort, OSSEC, Mcafee), Firewall, và Application Firewall cũng là phương pháp giám sát hiệu quả.

Các thiết bị và phần mềm cảnh báo tấn công bao gồm hệ thống phát hiện xâm nhập (IDS), có chức năng giám sát và phát hiện lưu thông mạng bất thường IDS hoạt động như một ống giám sát, nhận diện các hành vi đáng ngờ và cảnh báo quản trị viên hệ thống Hệ thống này không chỉ phát hiện mà còn có thể phản ứng với các lưu thông có hại bằng cách thực hiện các hành động đã được thiết lập trước, như khóa tài khoản người dùng hoặc địa chỉ IP đáng ngờ IDS có khả năng phân biệt giữa các cuộc tấn công từ bên trong (nhân viên công ty) và bên ngoài (hacker) Hệ thống này phát hiện các mối đe dọa dựa trên dấu hiệu đặc trưng của các nguy cơ đã biết hoặc so sánh lưu thông mạng hiện tại với các thông số chuẩn của hệ thống Có hai loại IDS chính là Network Based IDS (NIDS) và Host Based IDS (HIDS), ví dụ như Snort, OSSEC và McAfee.

Thiết bị IPS là phần cứng có chức năng giám sát, cảnh báo và ngăn chặn các cuộc tấn công, với khả năng ngăn chặn thâm nhập ngay cả khi đã biết thông tin Các thiết bị bảo mật như Firewall (Cisco, Fortinet, Checkpoint, ISA Server, Asterro) kiểm soát luồng thông tin giữa Intranet và Internet, thiết lập cơ chế điều khiển giữa các mạng LAN khác nhau và kiểm soát truy cập Tường lửa ứng dụng Web (WAP) thực hiện các nhiệm vụ mà Firewall không thể, bao gồm thiết lập chính sách cho các kết nối người dùng HTTP và kiểm soát nội dung đến máy chủ Web.

Hệ thống bảo vệ mạng cần phải đối phó với các tấn công phổ biến như Cross-site Scripting (XSS) và SQL Injection Ngoài việc thực hiện các kiểm tra cơ bản như tường lửa thông thường, WAF (Web Application Firewall) sẽ tiến hành kiểm tra sâu hơn, bao gồm việc phân tích nội dung HTTP để đảm bảo an toàn cho hệ thống.

Phương pháp giám sát đầu tiên có lợi thế về phạm vi bao quát toàn bộ hệ thống, dễ dàng triển khai và chi phí thấp Tuy nhiên, nó cũng có nhược điểm là hoạt động offline, dẫn đến việc phát hiện sự cố chậm và cần đến đội ngũ quản trị viên có kinh nghiệm và kiến thức sâu về bảo mật cho tất cả các thành phần trong hệ thống.

Phương pháp giám sát thứ hai cho phép triển khai nhanh chóng và tự động phát hiện các dấu hiệu bất thường, giúp giảm thiểu yêu cầu về kinh nghiệm bảo mật của nhân sự quản trị Tuy nhiên, phương pháp này có nhược điểm là chi phí cao và phạm vi giám sát còn hạn chế, chủ yếu tập trung vào kết nối mạng và lỗi ứng dụng.

Tổ chức và doanh nghiệp nên lựa chọn giải pháp giám sát phù hợp với điều kiện cụ thể của mình Để đạt hiệu quả giám sát cao, cần kết hợp đồng thời cả hai phương pháp giám sát, thực hiện các công việc một cách đồng bộ và liên tục Việc phân tích các nguy cơ tiềm ẩn sẽ giúp đánh giá và đưa ra thông báo, cảnh báo kịp thời, từ đó đảm bảo hệ thống hoạt động an toàn, ổn định, giúp doanh nghiệp giảm thiểu rủi ro và tiết kiệm chi phí.

CHƯƠNG 3: ĐỀ XUẤT QUY TRÌNH PHÂN TÍCH, ĐÁNH GIÁ ỨNG DỤNG WEB

3.1 CÁC KỸ THUÂT KIỂM THỬ PHỔ BIẾN

Kỹ thuật kiểm thử hộp đen (Black Box) là phương pháp đánh giá ứng dụng mà người kiểm thử không có thông tin nội bộ, chỉ dựa vào các mục tiêu công khai Phương pháp này mô phỏng hành động của Hacker để cung cấp kết quả bảo mật thực tế nhất cho doanh nghiệp và tổ chức.

Kỹ thuật kiểm thử hộp xám (Grey Box) cho phép người đánh giá ứng dụng hoạt động như nhân viên nội bộ, có khả năng truy cập vào hệ thống thông tin của doanh nghiệp Phương pháp này giúp doanh nghiệp có cái nhìn sâu sắc về an ninh nội bộ, đồng thời kiểm tra khả năng gây thiệt hại từ những nhân viên đã nghỉ việc Đây là một trong những mối đe dọa lớn nhất trong những năm gần đây, nhấn mạnh tầm quan trọng của việc đánh giá bảo mật trong tổ chức.

Kỹ thuật kiểm thử hộp trắng (White Box) cho phép người đánh giá có cái nhìn sâu sắc về ứng dụng và mã nguồn cần đánh giá Khác với phương pháp kiểm thử hộp đen, trong phân tích mã nguồn, người đánh giá sẽ xem xét từng dòng mã để phát hiện các lỗ hổng bảo mật có thể bị lợi dụng bởi Hacker Những lỗ hổng này có thể dẫn đến việc chiếm quyền kiểm soát ứng dụng, thực hiện tấn công từ chối dịch vụ, hoặc làm bàn đạp để truy cập vào hệ thống nội bộ Kết quả từ phương pháp này giúp doanh nghiệp có cái nhìn tổng thể về ứng dụng, xác định các lỗ hổng và quy trình logic kinh doanh của ứng dụng.

3.2 PHƯƠNG PHÁP ĐÁNH GIÁ LỰA CHỌN

H Ạ N CH Ế 96 6.3 ĐỀ XU T ÁP D NG 96ẤỤ 6.4 H ƯỚ NG PHÁT TRI N 97Ể TÀI LI U THAM KH O 98ỆẢ

-Tài liệu chưa thực sự ng côđọ

-Phương pháp đánh giá còn thiếu sót h n ch ạ ế và chưa toàn diện

Trong quá trình thực hiện, tôi đã tham khảo nhiều tài liệu về lĩnh vực bảo mật Tuy nhiên, do kiến thức còn hạn chế và sự phong phú của tài liệu, tôi gặp khó khăn trong việc nắm bắt toàn bộ thông tin, dẫn đến một số sai sót trong quá trình làm việc.

Vấn đề an toàn bảo mật là một thách thức liên tục và cần được cập nhật thường xuyên với thông tin mới Nhận thức về an toàn bảo mật của người dùng, doanh nghiệp và cơ quan quản lý hiện vẫn còn hạn chế và chưa được chú trọng đúng mức Qua quá trình nghiên cứu, tôi đề xuất áp dụng các quy trình phân tích đánh giá và giám sát độ an toàn của dịch vụ web để nâng cao hiệu quả bảo mật.

97 vào thực tế ạ t i các doanh nghi p, tệ ổ chức nh m h n chằ ạ ế nh ng l hữ ỗ ổng, điểm yếu đảm b o cho các d ch v Web ch y ả ị ụ ạ ổn định và an toàn hơn

Bản thân cá nhân tôi xin đề xuất hướng phát triển luận văn những nội dung sau:

- Tìm hi u thêm v ể ề các kĩ thuậ ấn công để đưa ra phương pháp bảt t o mật ứng d ng Web mụ ở ức độ sâu hơn.

Để hiểu rõ hơn về vấn đề bảo mật, cần đi sâu vào các khía cạnh không chỉ liên quan đến việc sử dụng mật khẩu trên các trang web mà còn phát triển các biện pháp bảo mật cho toàn bộ hệ thống mạng và dịch vụ.

- Hoàn thiện quy trình đánh giá, giám sát cho đầy đủ hơn, bao gồm hết các kía c nh cạ ủa dịch v Web ụ

- Triển khai chương trình phát hiện lỗ ổ h ng Web, trên nhiều phương diện kĩ thu t.ậ

Ngày đăng: 26/01/2024, 16:01

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w