Nghiên cứu lý luận: Tìm hiểu các khái niệm ứng dụng website, mô hình hoạtđộng của ứng dụng website, các lỗ hổng bảo mật ứng dụng web thường gặp, cáchthức tấn công của kẻ xâm nhập, cách n
TỔNG QUAN
Lý do chọn đề tài
An ninh mạng đang dần trở thành một lĩnh vực quan trọng ở mọi ngành công nghiệp bao gồm quân sự, an ninh, ngân hàng, năng lượng và các lĩnh vực tự động. Các server là những tài sản rất quan trọng trong các ngành công nghiệp này, là nơi các dữ liệu kinh doanh nhạy cảm được lưu trữ Các doanh nghiệp thường kết nối server với web giúp kinh doanh và hoạt động Để đảm bảo hoạt động an toàn và tin cậy, việc bảo mật web là không thể thiếu cho các doanh nghiệp.
Khi khoa học máy tính và Internet ngày càng phát triển, thì các vấn đề về an ninh mạng và bảo mật ngày càng được chú trọng Do các hacker luôn tìm cách đột nhập vào các hệ thống máy tính nhằm đánh cắp dữ liệu và phá hoại Đối với mọi hacker khi đối mặt với một hệ thống máy tính, thì họ phải tìm hiểu và phân tích hệ thống bảo mật đó và đưa ra giải pháp tấn công và phòng thủ một cách hiệu quả tiến hành nghiên cứu lý thuyết: mô hình hoạt động của ứng dụng web, các kỹ thuật tấn công web, những công trình khoa học, công cụ dò tìm lỗ hổng bảo mật ứng dụng web liên quan Hiện nay có rất nhiều công cụ hỗ trợ tìm lỗ hổng của hệ thống web mỗi ứng dụng Wed đều có tính riêng biệt nên em mới chọn đề tài “NGHIÊN CỨU AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEBSITE” Để nghiên cứu về một ứng dụng quét lỗ hổng cho website, giúp cho người sử dụng website có thể rà soát và khắc phục khi có lỗ hổng, đảm bảo an toàn cho website.
Đối tượng và phạm vi nghiên cứu
Tập trung nghiên cứu lý thuyết bảo mật ứng dụng web, các công cụ quét lỗ hổng bảo mật ứng dụng web, có 2 công cụ quét lỗ hổng bảo mật là burpsuite và nmap.
Đề tài mô tả cách kiểm tra dò tìm lỗ hổng của một ứng dụng web bằng việc sử dụng kết hợp các công cụ burpsuite và nmap 2 công cụ này có những tính năng như sau :
Tích hợp chức năng của hai công cụ.
Tổng hợp kết quả, giúp người quản trị dễ dàng tìm ra các lỗ hổng bảo mật.
Đưa ra các lỗ hổng và gợi ý sửa lỗi cho người dùng.
2 công cụ này điều có thể chạy trên được windows.
Phương pháp nghiên cứu
Nghiên cứu lý luận: Tìm hiểu các khái niệm ứng dụng website, mô hình hoạt động của ứng dụng website, các lỗ hổng bảo mật ứng dụng web thường gặp, cách thức tấn công của kẻ xâm nhập, cách ngăn chặn tấn công, các công cụ quét lỗ hổng bảo mật ứng dụng web tiên tiến hiện nay. Áp dụng thực tiễn: Cài đặt các công cụ, kiểm thử, thu thập số liệu, so sánh hiệu quả các công cụ, tiến hành xây dựng công cụ quét lỗ hổng bảo mật ứng dụng web mới dựa trên bảng so sánh các công cụ đã có.
Bố cục
Chương này giới thiệu tổng quan về đề tài và sự cần thiết của việc nghiên cứu đề tài và áp dụng vào trong các webite Nói đến các đối tượng nghiên cứu và phạm vi.
Lý thuyết về bảo mật ứng dụng web
Giới thiệu về ứng dụng Web
2.1.1 Khái niệm về ứng dụng web.
Website (còn gọi là trang web) là một tập hợp các trang thông tin được liên kết với nhau, có khả năng truy cập cộng đồng và dùng chung một tên miền Thông thường, website sẽ được phát triển và duy trì bởi một cá nhân, tổ chức hoặc doanh nghiệp đáp ứng mục đích sử dụng khác nhau tùy theo nhu cầu của người dùng Tất cả các website có thể truy cập công khai hình thành nên cộng đồng World Wide Web Website không bị giới hạn bởi số lượng vì chúng gần như là vô tận Có vô số trang web phục vụ các mục đích khác nhau như: website bán hàng, website thương mại điện tử, website giáo dục, website dịch vụ…
Tốc độ phát triển các kỹ thuật xây dựng ứng dụng web cũng phát triển rất nhanh. Trước đây những ứng dụng web thường được xây dựng bằng CGI (Common Getaway Interface) được chạy trên các máy chủ web và kết nối với với các cơ sở dữ liệu đơn giản trên cùng một máy chủ. Ứng dụng web là một ứng dụng chủ/khách sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác Trình khách dành cho người sử dụng thường là một trình duyệt web như: Internet Explorer hay FireFox.
Giao diện web thông qua Thông qua Java, JavaScript, DHTML, Flash và những công nghệ khác, những phương pháp chỉ ứng dụng mới có như vẽ trên màn hình, chơi nhạc, và dùng được bàn phím và chuột tất cả đều có thể thực hiện được Những kỹ thuật thông thường như kéo thả cũng được hỗ trợ bởi những công nghệ trên. việc xây dựng ứng dụng Web để hỗ trợ những tính năng chuẩn của trình duyệt đó là chúng sẽ hoạt động như mong muốn bất kể hệ điều hành hay phiên bản hệ điều khách cho MS Windows, Mac OS X, GNU/Linux, và những hệ điều hành khác, ứng dụng có thể được viết chỉ một lần và triển khai mọi nơi.
Hình 2.1.1a Cấu trúc của một ứng dụng web
Một cấu trúc của ứng dụng wed có tất cả 3 lớp:
Lớp trình bày: : Lớp này có nhiệm vụ hiển thị dữ liệu cho người dùng, ngoài ra còn có thể có thêm các ứng dụng tạo bố cục cho trang web.
Lớp ứng dụng: Là nơi xử lý của ứng dụng web Nó sẽ xử lý thông tin người dùng yêu cầu, đưa ra quyết định, gửi kết quả đến “lớp trình bày”.
Lớp dữ liệu: Thường là các hệ quản trị dữ liệu (DBMS) chịu tránh nhiệm quản lý các file dữ liệu và quyền sử dụng.
Hình 2.1.1b Mô hình hoạt động của web.
Bên cạnh đó, một giải pháp dùng để bảo vệ hệ thống mạng thường được sử dụng là bức tường lửa (firewall), nó có vai trò như lớp rào chắn bên ngoài một hệ thống mạng, vì chức năng chính của firewall là kiểm soát luồng thông tin giữa các máy tính.
2.1.2 Mô tả hoạt động ứng dụng web. Đầu tiên trình duyệt sẽ gửi một yêu cầu (request) đến máy chủ Web thông qua các lệnh cơ bản GET, POST… của giao thức HTTP, máy chủ lúc này có thể cho 8 thực thi một chương trình được xây dựng từ nhiều ngôn ngữ như Perl, C/C++… hoặc máy chủ yêu cầu bộ biên dịch thực thi các trang ASP, JSP… theo yêu cầu của máy khách.
Một hệ thống web thông thường bao gồm 3 loại chương trình chạy khác nhau:
trình duyệt – loại chương trình chạy trên máy tính của người dùng;
chương trình máy chủ web (web server) – loại chương trình chạy trên một máy tính riêng rất mạnh.
trình duyệt và chương trình máy chủ web tương tác với nhau qua một mạng truyền thông (thường là mạng tcp/ip), sử dụng giao thức HTTP(Hypertext Transfer Protocol).
2.1.3 Một số chứng năng phổ biến của các ứng dụng web Ứng dụng web đã được phát triển nhằm thực hiện tất cả các chức năng hữu ích có thể sử dụng được trong môi trường trực tuyến (Internet) Dưới đây là một số chức năng của ứng dụng web đã được phát triển và sử dụng rất nhiều trong những năm gần đây.
Mua bán trực tuyến: Amazon, Ebay, 5giay.com,…\
Mạng xã hội: Facebook, zalo
Ngân hàng trực tuyến: TP.BANK, Vietinbank…
Webmail (quản lý Email bằng trình duyệt Web): Gmail, Facebook, Zalo Hiện nay, với sự phát triển mạnh mẽ của Internet và các thiết bị di động cầm tay như: Laptop, Smarphone, Tablet,… thì các ứng dụng phải đáp ứng khả năng kết nối di động bằng cách sử dụng trình duyệt web hoặc các ứng dụng riêng trên di động (Android, IOS, Windows phone,…) sử dụng cơ chế kết nối đến Server dựa trên HTTP/HTTPS thông các hàm APIs.
2.1.4 Vấn đề bảo mật web.
Khi các công nghệ mới được phát triển và ứng dụng mạnh mẽ như các ứng dụng web hiện nay, thì theo khách quan đi cùng với điều này sẽ là hàng loạt các lỗ hổng bảo mật mới ra đời Đa số các cuộc tấn công nghiêm trọng vào các ứng dụng web là làm lộ thông tin, đánh cắp tiền và các dữ liệu nhậy cảm. Đối với nhiều tổ chức một cuộc tấn công gây ngừng hoạt động hệ thống là một vấn đề nghiêm trọng Các tấn công từ chối dịch vụ ở cấp độ ứng dụng có thể được sử dụng để đạt được mục tiêu gây cạn kiệt nguồn tài nguyên tương tự như cuộc tấn công đối với cơ sở hạ tầng.
Tuy nhiên, một nhận thức sai lầm phổ biến cho rằng vấn đề bảo mật cho các ứng dụng web là an toàn Chỉ cần chúng ta duyệt qua một số trang web mua bán hàng trực tuyến, vào trang “những câu hỏi thường gặp” (FAQ), chúng ta sẽ rất yên tâm rằng trang web này an toàn Vì hầu hết các ứng dụng web này công bố an toàn bởi vì họ sử dụng SSL
Trong thực tế, phần lớn các ứng dụng web là không an toàn, mặc dù đã sử dụng rộng rãi công nghệ bảo mật SSL và tuân thủ quy trình, tiêu chuẩn PCI (Payment Card Industry - chuẩn công nghiệp của thẻ thanh toán) Các điểm yếu hay lỗ hổng nghiêm trọng của các ứng dụng web thường bắt nguồn từ việc viết mã (coding) không đúng phương pháp hay quy trình phát triển ứng dụng không an toàn sẽ cho phép tin tặc (hacker) truy cập trực tiếp và khai thác cơ sở dữ liệu để lấy dữ liệu. Các vấn đề trong bảo mật ứng dụng wed được mô tả cụ thể qua các trường hợp sau:
Người dùng có thể can thiệp vào bất kỳ phần dữ liệu được truyền giữa client và server, bao gồm các thông số gởi đi, cookies, và HTTP Header.
Người dùng có thể gửi yêu cầu theo thứ tự bất kỳ và có thể gửi các thông số tại một giai đoạn nhiều hơn một lần, hoặc không gì cả khác với những gì dự kiến theo trật tự, quy luật của ứng dụng web.
Người sử dụng không bị giới hạn chỉ sử dụng một trình duyệt web để truy cập ứng dụng.
2.1.5 Các phương pháp kiểm tra an toàn ứng dụng web.
Phương pháp kiểm tra hộp đen các lỗi bảo mật trên ứng dụng web đề cập đến việc kiểm tra các ứng dụng từ bên ngoài, tức là quan sát các dữ liệu được đệ trình đến ứng dụng và các dữ liệu từ ứng dụng xuất ra mà không cần hiểu đến hoạt động bên trong của nó Quá trình đệ trình dữ liệu từ bên ngoài đến ứng dụng có thể thực hiện bằng thủ công hoặc sử dụng công cụ tự động gửi đến ứng dụng.
Giới thiệu sơ lược về các kỹ thuật tấn công wed
Các lỗ hổng có thể được tạo ra trong suốt giai đoạn phát triển ứng dụng web và chúng sẽ được các hacker tận dụng khi ứng dụng được đưa vào sử dụng Ứng dụng web tiếp nhận các yêu cầu người dùng qua giao thức HTTP.
Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh cắp, thay đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây gián đoạn, cản trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo).
Bất cứ ai có thông tin riêng tư, bí mật được lưu trữ trên môi trường mạng đều có thể trở thành đối tượng bị tấn công Các đối tượng phố biến bị tấn công mạng là các cá nhân, doanh nghiệp tư nhân và tổ chức chính phủ hoặc phi chính phủ Các hacker sẽ tiếp cận nhưng đối tượng này qua mạng nội bộ như máy tính hay thiết bị điện tử,hoặc tiếp cận qua con người nhờ các thiết bị di động, mạng social và các ứng dụng phần mềm nhằm đe dọa, làm ảnh hưởng tới đời sống, tinh thần của cá nhân hoặc đe dọa đến các thông tin nội bộ làm ảnh hưởng đến hiệu quả hoạt động của doanh nghiệp hay các phần tử chống phá nhà nước muốn lật đổ chính quyền.
2.2.1 Kỹ thuật tấn công XSS (Cross-Site Scripting).
Là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web XSS là một kỹ thuật tấn công bằng cách chèn vào các website động những thẻ HTML hay những đoạn scrip nguy hiểm có thể gây hại cho những người sử dụng khác Trong đó, những đoạn mã nguy hiểm được chèn vào hầu hết được viết bằng các Client-Site Scrip như JavaScrip, Jscrip và cũng có thể là các thẻ HTML.
Mục đích chính của cuộc tấn công này là ăn cắp dữ liệu nhận dạng của người dùng như: cookies, session tokens và các thông tin khác Trong hầu hết các trường hợp, cuộc tấn công này đang được sử dụng để ăn cắp cookie của người khác. Tấn công XSS đang được thực hiện ở phía client Nó có thể được thực hiện với các ngôn ngữ lập trình phía client khác nhau Tuy nhiên, thường xuyên nhất cuộc tấn công này được thực hiện với Javascript và HTML.
Công việc đầu tiên của hacker là tìm trang đích để dụ người dùng đăng nhập sau khi đã tìm ra lỗ hổng trên ứng dụng đó.
Bước 1: Hacker biết được người dùng đang sử dụng một ứng dụng web có lỗ hổng XSS.
Bước 2: Người dùng nhận được 1 liên kết thông qua email hay trên chính trang web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo ra…).
Bước 3: Chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của hacker.
Bước 4: Hacker tạo một chương trình cgi (ở ví dụ bên dưới là steal.cgi) hoặc một trang web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin.
Bước 5: Sau khi nhận được thông tin cần thiết, hacker có thể sử dụng để thâm nhập vào tài khoản của người dùng.
Với những dữ liệu, thông tin nhập của người dùng, người thiết kế ứng dụng web cần phải thực hiện vài bước cơ bản sau để phòng chống:
Tạo ra danh sách những thẻ HTML được phép sử dụng.
Lọc ra bất kì một đoạn mã JavaScript/Java/VBScript/ActiveX/Flash Related nào.
Lọc dấu nháy đơn hay kép.
Vẫn cho phép nhập những kí tự đặc biệt nhưng sẽ được mã hóa theo chuẩn riêng.
2.2.2 Kỹ thuật tấn công CSRF (Cross-site Request Forgery).
Là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website Nó là kỹ thuật tấn công vào người dùng, dựa vào đó hacker có thể thực thi những thao tác phải yêu cầu sự chứng thực.
Dựa trên nguyên tắc của CSRF "lừa trình duyệt của người dùng (hoặc người dùng) gửi các câu lệnh HTTP", các kĩ thuật phòng tránh sẽ tập trung vào việc tìm cách phân biệt và hạn chế các câu lệnh giả mạo.
Tấn công sử dụng kỹ thuật này dành cho người am hiểu về hệ thống, có thể đã từng phát triển hệ thống đó, hoặc một mã nguồn mở, hoặc một mã nguồn nào đó đã được công khai code Hacker thực hiện gửi tin nhắn dến Admin, khi admin đọc tin nhắn này trình duyệt sẽ request đến link đó và lấy cookie của trình duyệt và tiến hành active.
2.2.3 Kỹ thuật tấn công SQL injection.
SQL Injection là một kỹ thuật lợi dụng những lỗ hổng về câu truy vấn lấy dữ liệu của những website không an toán, đây là một kỹ thuật tấn công rất phổ biến và sự thành công của nó cũng tương đối cao.
Trong form đăng nhập, người dùng nhập dữ liệu, trong trường tìm kiếm người dùng nhập văn bản tìm kiếm, trong biểu mẫu lưu dữ liệu, người dùng nhập dữ liệu cần lưu Tất cả các dữ liệu được chỉ định này đều đi vào cơ sở dữ liệu Thay vì nhập dữ liệu đúng, kẻ tấn công lợi dụng lỗ hổng để insert và thực thi các câu lệnh SQL bất hợp pháp để lấy dữ liệu của người dùng… SQL Injection được thực hiện với ngôn ngữ lập trình SQL SQL (Structured Query Language) được sử dụng để quản lý dữ liệu được lưu trữ trong toàn bộ cơ sở dữ liệu.
Sự nguy hiểm của SQL Ịnection là Hack tài khoản cá nhân, Ăn cắp hoặc sao chép dữ liệu của trang web hoặc hệ thống, Thay đổi dữ liệu nhạy cảm của hệ thống, Xóa dữ liệu nhạy cảm và quan trọng của hệ thống, Người dùng có thể đăng nhập vào ứng dụng với tư cách người dùng khác, ngay cả với tư cách quản trị viên, Người dùng có thể xem thông tin cá nhân thuộc về những người dùng khác, ví dụ chi tiết hồ sơ của người dùng khác, chi tiết giao dịch của họ, Người dùng có thể sửa đổi cấu trúc của cơ sở dữ liệu, thậm chí xóa các bảng trong cơ sở dữ liệu ứng dụng, Người dùng có thể kiểm soát máy chủ cơ sở dữ liệu và thực thi lệnh theo ý muốn Tấn công sử dụng kỹ thuật này dành cho người am hiểu về hệ thống, có thể đã từng phát triển hệ thống đó, hoặc một mã nguồn mở, hoặc một mã nguồn nào đó đã được công khai code Hacker thực hiện gửi tin nhắn dến Admin, khi admin đọc tin nhắn này trình duyệt sẽ request đến link đó và lấy cookie của trình duyệt và tiến hành active.
2.2.4 Để lộ thông tin (Informational).
Những tập tin và ứng dụng trên hệ thống chứa những thông tin quan trọng như mã nguồn một trang web hay tập tin chứa mật khẩu của người dùng trên hệ thống luôn là mục tiêu của hacker Ngoài ra những lời chú thích trong mã nguồn cũng là nguồn thông tin hữu ích cho hacker.
Chiếm hữu phiên làm việc (Session Management)
2.3.1 Tổng quan về Session ID.
Session là một cách đơn giản để lưu trữ dữ liệu cho người dùng cá nhân dựa trên một Session ID duy nhất Điều này có thể được sử dụng để duy trì thông tin trạng thái giữa các yêu cầu trang Session ID thường được gửi đến trình duyệt thông qua Session cookie và ID được sử dụng để truy xuất dữ liệu Session hiện có.
Session là một khái niệm cực kỳ phổ biến được dùng nhiều trong lập trình web có kết nối với database để nói về một phiên làm việc Session có vai trò vô cùng quan trọng trong việc giúp người dùng thực hiện chức năng như đăng nhập và đăng xuất vào bất kỳ website nào đó Nếu không có session thì bạn không thể tiếp cận được trang web
Session có quy trình tấn công như sau:
Bước 1: Thiết lập phiên làm việc.
Bước 2: Bảo trì phiên làm việc.
Bước 3: Ấn định phiên làm việc.
Bước 4; Đột nhập phiên làm việc.
2.3.2 Đánh cắp phiên làm việc.
Là kỹ thuật tấn công cho phép Hacker mạo danh người dùng hợp lệ sau khi nạn nhân đã đăng nhập vào hệ thống bằng Session ID của họ được lưu trữ trong Cookie hay tham số URL, biến ẩn của form.
Hacker phải là người dùng hợp lệ của hệ thống, sau vài lần đăng nhập vào hệ thống, Hacker xem xét giá trị Session ID nhận được từ đó tìm ra quy luật phát sinh và từ đó có thể đoán được giá trị của một phiên làm việc Kỹ thuật này rát khó và xác xuất là không cao đòi hỏi Hacker phải có tính kiên trì và đầu óc thông minh nên phương pháp này rất ít dùng.
Dùng mã để đánh cắp phiên làm việc bằng cách chèn một đoạn mã độc thực thi trên chính trình duyệt của nạn nhận, Hacker có thể lừa được người dùng thông qua một liên kết trong gmail hay dựng lên một trang web giả mạo nào đấy từ đó việc thực hiện đánh cắp Cookie của người dùng và cách này được thực hiện thông qua lỗi Cross-Site Scripting và hacker sẽ vào được phiên làm việc của người dùng và dánh cắp thông tin cần thiết.
Bảo mật Website
Là một khái niệm khá trừu tượng Mỗi website có một server riêng hay còn gọi là máy chủ, nó có nhiệm vụ mở một cửa sổ cho phép mạng bạn đang dùng kết nối với bên ngoài Mỗi website khi kết nối với máy chủ đều có một địa chỉ IP riêng, được mã hóa và đảm bảo an toàn khi xảy ra lỗ hổng bảo mật tức là cửa sổ này đã bị một địa chỉ IP khác chứa mã độc xâm nhập và tìm cách moi thông tin Đó là khi tường rào bảo mật website đã bị sụp đổ Nói một cách ngắn gọn, bảo mật website là quá trình bảo vệ cho website của bạn an toàn tuyệt đối, thiết lập các chế độ bảo mật tầng lớp cần phải có.
2.4.1 Rủi ro bảo mật website.
Bảo mật website luôn có rủi ro, sẽ ảnh hưởng đến website của người điều hành. Các hacker luôn có lý do khác nhau để thăm nhập vào website của bạn một cách bất hợp pháp, để đánh cắp những thông tin khách hàng và thông tin của người sử dụng Thêm vào đó, hiện nay các website đã được tích hợp các chức năng thanh toán trực tuyến hoặc các giao dịch có lơi nhuận khác Đây là lý do để các hacker có thể thâm nhập vào hệ thống máy chủ để đánh cắp thông tin và những vấn đề khác…
2.4.2 Một số phương pháp bảo mật website. a Bảo mật website bằng SSL.
Một hình thức bảo mật bằng cách mã hóa các lưu lượng truy cập tương tác giữa trinh duyệt website và máy chủ, sau đó quản lý chúng an toàn, được gọi là bảo mật SSL (secure Sokets Layer) Tính năng này giúp hỗ trợ website nhạy cạm hơn với các lượt vi phạm bảo mật.
SSL được sử dụng, thông tin sẽ trở thành không thể đọc được đối với tất cả mọi người, ngoại trừ máy chủ mà thông tin đang được gửi đến Nhờ đó, hacker và những kẻ lấy cắp không thể đọc hay lấy trộm thông tin.
Các bước kết nối SSL được thực hiện:
Bước 1: Bạn nhập vào hoặc chọn một URL: https:// (website cần được bảo mật)
Bước 2: Máy chủ web sẽ nhận yêu cầu của bạn và sau đó gửi phản hồi rằng đang cố gắng để thiết lập kết nối tin cậy giữa trình duyệt web và máy chủ web, còn được gọi là "SSL handshake".
Bước 3: Sau khi SSL Certificate xác nhận thông qua SSL handshake, dữ liệu được truyền giữa máy chủ web và trình duyệt web sẽ được mã hóa để đảm bảo an toàn và riêng tư.
Hình 2.4.2.a Các bước kết nối SSL b Bảo mật website bằng (WAF)
Tường lửa ứng dụng web (WAF – Web Application Firewall) là một giải pháp nhằm giúp website tránh khỏi các lỗ hổng bảo mật Nó được thiết kế dưới dạng phần cứng cài đặt trên máy chủ cung cấp các mô hình theo dõi thông tin được truyền dưới giao thức HTTP/HTPPS.
WAF có khả năng tự động hóa tiêu diệt virut, phân tích và cảnh báo nhà quản trị web những nguy cơ lỗ hổng bị xâm nhập, phòng chống các mã độc và các cuộc tấn công kỹ thuật khác, nên mới bảo mật được toàn bộ dữ liệu.
Rủi ro lớn nhất mà các doanh nghiệp đang sử dụng hệ thống Web Application Firewall phải đối mạnh chính là sự thiếu dữ kiện và kiến thức về những tác động mà các lỗi bảo mật không có thật bị các công cụ quét tự động phát hiện.
Tác dụng của WAF trong website:
Ngăn chặn các cuộc tấn công khai thác lỗ hổng trên ứng dụng web: b: WAF có thể phát hiện và ngăn chặn các cuộc tấn công dựa trên các lỗ hổng bảo mật.
Giảm thiểu rủi ro và thời gian giải quyết sự cố bảo mật: Với WAF, các cuộc tấn công có thể được phát hiện và chặn ngay từ khi bắt đầu.
Tăng tính khả dụng của ứng dụng web: WAF có thể giúp bảo vệ ứng dụng web khỏi các cuộc tấn công DdoS.
Cải thiện khả năng phản hồi: WAF có thể giúp tăng tốc độ phản hồi của hệ thống web.
Cung cấp các cơ chế bảo vệ mạnh mẽ: WAF cung cấp các cơ chế bảo vệ mạnh mẽ bao gồm các chính sách bảo vệ và các quy tắc kiểm tra yêu cầu.
Hình 2.4.2.b Các bước thực hiện WAF vào Web c Cập nhật các phiên phản web thường xuyên.
Hacker ngày càng tinh vi, không có gì có thể bảo đảm chắc chắn rằng hacker không thể vượt qua tường rào bảo mật để xâm nhập vào website của chúng ta Để nâng cao khả năng bảo vệ cho các dữ liệu website thì việc cập nhật phiên bản mới cho website thường xuyên là yếu tố bắt buộc của các nhà quản trị web.
Website được bảo mật an toàn trong phiên bản cũ, nhưng đó chỉ là trước khi hacker tìm ra được cách vượt qua tường bảo mật Đến khi họ tìm ra được lỗ hổng bảo mật mà website vẫn chưa cập nhật phiên bản mới thì dĩ nhiên hacker sẽ dễ dàng vượt qua lớp bảo mật để tiếp cận dữ liệu web Nhưng nếu cập nhật phiên bản mới thì phiên bản cũ các tin tặc sẽ không thể xâm nhập vào được. d Đặt mật khẩu có độ bảo mật cao Đây cũng là một trong những cách bảo mật website mà bạn cần biết Với việc có rất nhiều trang web, database và chương trình cần password (mật khẩu), nên khó để theo dõi hết được chúng Rất nhiều người sử dụng cùng một mật khẩu ở tất cả các nơi, để ghi nhớ thông tin đăng nhập của họ Nhưng đây là một sai lầm bảo mật đáng kể ảnh hướng tới việc bảo mật website Tạo một mật khẩu đặc biệt cho mọi yêu cầu đăng nhập mới Đưa ra các mật khẩu phức tạp, ngẫu nhiên và khó đoán Sau đó, lưu trữ chúng bên ngoài thư mục website.
Tưởng lửa
Tường lửa là thiết bị được dùng phổ biến nhất để bảo vệ hệ thống mạng nội bộ (internal network) trước sự tấn công từ bên ngoài Khi được cấu hình chính xác, tường lửa có thể ngăn cản sự truy cập trái phép vào hệ thống, cũng như kiểm soát người dùng nội bộ kết nối ra bên ngoài.
Có 3 loại tường lửa từ bên ngoài:
Application Layer Gateways (Application Filtering).
Stateful Inspection (Stateful Packet Filtering).
2.5.2 Giới thiệu về 3 loại tường lửa. a Packet Filtering ( lọc gói tin).
Một tường lửa sử dụng công nghệ Packet Filtering cho phép hay từ chối truy cập dựa trên cổng dịch vụ và/hoặc địa chỉ IP Thông thường lọai tường lửa này thường có 1 trong 2 luật (rules) mặc định sau:
Allow by Default: Luật này cho phép tất cả giao thông mạng đi qua tường lửa ngọai trừ những giao thông được người quản trị thiết lập cụ thể.
Deny by Default: Luật này cấm tất cả giao thông mạng đi qua tường lửa ngọai trừ những giao thông được người quản trị thiết lập để cho phép. b.Application Filtering ( lọc ứng dụng).
Công nghệ Application Filtering là một trong những điểm mạnh của công nghệ này là khả năng xử lý theo nội dung gói tin Ví dụ, tường lửa sử dụng công nghệ này có thể phát hiện ra gói tin của ứng dụng Trojan Horse đang được gửi thông qua cổng 80 và qua đó có thế khóa kết nối đó.
Công nghệ này được sử dụng để làm máy chủ proxy, cho phép kiểm soát nội dung truy cập web của người dùng, và tăng cường bảo mật hệ thống bằng cách giúp ẩn danh người dùng.
Hình 2.5.1.b Quả trình sử dụng của Application Filtering. Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ) sẽ đửa tất cả các traffic nhậnk vào đến application gateway Các router bên trong (interior application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng khi đó chỉ những user nào được cho phép thì mới có khả năng kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong. c Stateful Packet Filtering.
Là sự kết hợp cra hai công nghệ tường lửa ở trên, Stateful Inpection hay StatefulPacket Filtering được coi là thế hệ tường lửa thông minh, nó khắc phục được những hạn chế của các lọai công nghệ cũ, đồng thời tăng cường tính bảo mật. Tính năng chính của công nghệ Stateful Inpection là khả năng kiểm soát ứng dụng và trạng thái kết nối Stateful Inpection kiểm tra toàn bộ gói tin ở lần truy cập đầu tiên, nếu thỏa mưn các luật cho phép, nó sẽ lưu các thông tin về kết nối này vào
1 bảng gọi là bảng trạng thái “state table” Sau đó, các gói tin tiếp theo chỉ việc đối chiếu với bảng trạng thái này và được đi qua tường lửa Khi phiên kết nối kết thúc,tườg lửa sẽ lại xóa các thông tin về kết nối đó trong bảng trạng thái Điều này cho phép tường lửa xử lý linh động và an toàn hơn rất nhiều so với các loại công nghệ trước.
Tràn bộ dệm (Buffer Overflow)
Buffer overflow đã từng là lỗ hổng trong hệ thống bảo mật của UNIX từ nhiều năm nay nhưng chỉ được công bố sau buổi thảo luận của Dr Mudge trong tài liệu
1995 “Bằng cách nào viết một chương trình khai thác lỗ hổng Buffer Overflow”. Với kĩ thuật Buffer Overflow, cho phép một số lượng lớn dữ liệu được cung cấp bởi người dùng mà vượt quá lượng bộ nhớ cấp phát ban đầu bởi ứng dụng do đó gây cho hệ thống lâm vào tình trạng tràn bộ nhớ, thậm chí có thể bị chèn thêm một đoạn mã bất kì Nếu ứng dụng được cấu hình để được thực thi như root thì người tấn công có thể thao tác như một nhà quản trị hệ thống của web server.
Kỹ thuật khai thác lỗi tràn bộ đệm (buffer overflow exploit) được xem là một trong những kỹ thuật hacking kinh điển nhất Phần này được chia làm 2 phần:
Phần 1: Tổ chức bộ nhớ, stack, gọi hàm, shellcode: Giới thiệu tổ chức bộ nhớ của một tiến trình (process), các thao tác trên bộ nhớ stack khi gọi hàm và kỹ thuật cơ bản để tạo shellcode - đoạn mã thực thi một giao tiếp dòng lệnh (shell).
Phần 2: Kỹ thuật khai thác lỗi tràn bộ đệm: Giới thiệu kỹ thuật tràn bộ đệm cơ bản, tổ chức shellcode, xác định địa chỉ trả về, địa chỉ shellcode, cách truyền shellcode cho chương trình bị lỗi func(char *ch) { char buffer[256]; strcpy(buffer,ch); } 54 Các chi tiết kỹ thuật minh họa ở đây được thực hiện trên môi trường Linux x86 (kernel 2.2.20, glibc-2.1.3), tuy nhiên về mặt lý thuyết có thể áp dụng cho bất kỳ môi trường nào khác.
2.6.2 Sơ đồ tổ chức của bộ nhớ.
Hình 2.6.2 Sơ đồ bộ nhớ.
Không gian nhớ này gồm 3 vùng:
Vùng Text là vùng cố định, chứa các mã lệnh thực thi (instruction) và dữ liệu chỉ đọc (read-only) Vùng này được chia sẻ giữa các tiến trình thực thi cùng một file chương trình và tương ứng với phân đoạn text của file thực thi.
Vùng Data chứa các dữ liệu đã được khởi tạo hoặc chưa khởi tạo giá trị Các biến toàn cục và biến tĩnh được chứa trong vùng này.
Vùng Stack là vùng nhớ được dành riêng khi thực thi chương trình dùng trả về Thao tác trên bộ nhớ stack được thao tác theo cơ chế “vào sau ra trước” - LIFO (Last In, First Out) với hai lệnh quan trọng nhất là PUSH và POP Trong phạm vi bài viết này, tác giả chỉ tập trung tìm hiểu về vùng stack.
2.6.3 Một số cách gây tràn bộ đệm qua ứng dụng web.
Các bước cơ bản của kỹ thuật tràn bộ đệm là: chuẩn bị bộ đệm dùng để làm tràn, xác định địa chỉ trả về (RET), xác định địa chỉ của bộ đệm chứa shellcode, cuối cùng gọi thực thi chương trình bị tràn bộ đệm Thông qua những ô nhập dữ liệu hacker có thể sử dụng một chuỗi string nhị phân có khả năng thực thi đoạn lệnh trên máy đích hoặc phá vỡ hệ thống do phải xử lí dữ liệu quá dài, vượt khả năng cho phép của hệ thống (có thể nói cách này cũng là cách tấn công DoS) Thông thường đoạn mã rất đơn giản, ví dụ như exec(“sh”) để tạo ra một root shell.
2.6.4 Nguyên nhân và cách phòng chống. a Nguyên nhân.
Nguyên nhân gây ra lỗi Buffer Overflow của các chương trình, ứng dụng:
Phương thức kiểm tra bên (boundary) không được thực hiện đầy đủ hoặc là được bỏ qua.
Các ngôn ngữ lập trình như là ngôn ngữ C, bản thân nó đã tiền ẩn các lỗi mà hacker có thể khai thác.
Các phương thức strcat(), strcpy(), sprintf(), bcopy(), gets(), canf() trong ngôn ngữ C có thể được khai thác vì các hàm này không kiểm tra những buffer được cấp phát trên stack có kích thước lớn hơn dữ liệu được copy vào buffer hay không. b Cách phòng chống.
Việc xử lý bộ đệm trước khi đọc hay thực thi có thể làm thất bại các cuộc khai thác lỗi tràn bộ đệm nhưng vẫn không ngăn chặn được một cách tuyệt đối Việc xử lý bao gồm:
Chuyển từ chữ hoa thành chữ thường.
Loại bỏ các ký tự đặc biệt và lọc các xâu không chứa kí tự là chữ số hoặc chữ cái.
Người thiết kế web cần phải kiểm tra kĩ kích thước dữ liệu trước khi sử dụng.
Dùng Referer trong HTTP Header để kiểm tra yêu cầu có phải xuất phát từ máy người dùng
Alphanumeric code: mã gồm toàn chữ và số.
Polumorphic code: mã đa hình.
Seft-modifying code: mã tự sửa đổi.
Tấn công kiểu return – to – libc.
2.6.5 Các kiểu lỗi Buffer Overflow thường gặp
Stack overflow: sẽ xuất hiện khi buffer tràn trong stack space và là hình thức tấn công phổ biến nhất của lỗi tràn bộ đệm.
Format String: Tràn bộ đệm chuỗi định dạng (thường được gọi là “lỗ hổng định dạng chuỗi”) là lỗi tràn bộ đệm ở mức chuyên môn cao, tác hại tương tự như các cuộc tấn công tràn bộ đệm khác Về cơ bản, lỗ hổng định dạng chuỗi tận dụng lợi thế của các kiểu dữ liệu hỗn hợp và kiểm soát thông tin trong chức năng nhất định,chẳng hạn như C/C++ printf.
NHỮNG CÔNG CỤ QUÉT LỖ HỎNG CÓ LIÊN QUAN
Công cụ burpsuite
Burp Suite là trình quét bảo mật phổ biến được sử dụng rộng rãi nhất hiện nay được tích hợp với nhiều tính năng mạnh mẽ cùng các phần mềm mở rộng tùy chọn có khả năng kiểm tra được tính bảo mật của ứng dụng web và cả các thành phần khác nhau có trong web nữa.
Burp Suite sẽ giúp người dùng đánh giá một số các tiêu chí bảo mật như kiểm tra các vấn đề về phiên bản người dùng, tiến hành kiểm tra cơ chế xác thực, liệt kê và đánh giá các tham số đầu vào của ứng dụng,
Hình 3.1.1 Giao diện của burpsuite.
3.1.2 Các chức năng của phần mềm burpsuite.
Burpsuite có những chức năng sau đây:
Decoder là chức năng giúp giải mã (decode) và mã hóa (encode) các chuỗi theo nhiều dạng format khác nhau Để sử dụng Decoder phải vào tab decoder và nhập các dữ liệu cần giải mã hoặc mã hoá.
Proxy Server được thiết kế để bắt các yêu cầu và tuỳ ý sửa đổi chúng trước khi gửi lên máy chủ Người dùng cần bật Burp Suite và vào tab proxy, sau đó option đánh dấu vào ô Running để sử dụng chức năng này.
Chức năng Repeater cho phép người dùng sử dụng request được gửi đến máy chủ và có thể nhanh chóng sửa đổi nội dung yêu cầu một cách tuỳ ý trong nhiều lần khác nhau Để có thể sử dụng Repeater, trước tiên phải vào tab repeater có trong Burp Suite, sau đó lựa chọn mục tiêu ở góc trên bên phải và điền địa chỉ IP hoặc tên miền của mục tiêu vào cổng port tương ứng.
Comparer là tính năng được sử dụng để phân biệt được sự khác nhau giữa các yêu cầu (requests) và phản hồi (reponses), so sánh một cách dễ dàng các tệp tin và các dữ liệu có dung lượng lớn.
Web spider là tính năng duyệt web tự động được dùng với mục đích xác định cấu trúc của một trang web Để có thể sử dụng tính năng này, cần vào tab Sitemap và Target, sau đó thực hiện thao tác click chuột phải vào mục tiêu và lựa chọn spider cho máy chủ.
3.1.3 Lợi ích của Burp Suite.
Miễn phí: Burp Suite có hai phiên bản có thể lựa chọn bao gồm phiên bản miễn phí (free) và phiên bản trả phí (pro) Bạn có thể lựa chọn phiên bản miễn phí để sử dụng được hết các tính năng chung của Burp Suite như Web spider, Comparer, Proxy Server, Repeater, Decoder, hoặc lựa chọn phiên bản trả phí để sử dụng thêm chức năng scan web.
Tiện lợi: Burp Suite được tích hợp rất nhiều các công cụ, tính năng khác nhau giúp tạo nên sự tiện lợi khi sử dụng hơn cho người dùng bởi Burp Suite đã giúp mở được nhiều công cụ một lúc.
Dễ dàng sử dụng: Người dùng có thể sử dụng và chạy được nhiều ứng dụng BurpSuite một cách dễ dàng chỉ với một môi trường java và click đúp chuột vào các file chạy.
3.2.4 Tính đa dạng của Burp Suite.
Burp Suite chứa nhiều công cụ, tính năng khác nhau đáp ứng mọi môi trường kiểm thử Các công cụ này còn có khả năng hoạt động phối hợp cùng nhau để loại trừ khả năng dương tính giả (phát hiện sai lỗ hổng) và âm tính giả (phát hiện không đầy đủ những lỗ hổng tồn tại)
Khác với nhiều công cụ tương đương, Burp Suite hỗ trợ cả các kỹ thuật quét thủ công và tự động, cho phép phân tích và tìm kiếm sâu mọi lỗ hổng Việc cho phép can thiệp thủ công có ý nghĩa quan trọng khi các phương thức tự động không phải hoàn hảo và có khả năng bỏ sót không hề thấp.
Burp Suite đã được chứng minh là có tốc độ cao khi giả lập tấn công cũng như quét các trang trong một website Nó cũng cho phép lựa chọn chỉ tấn công một số trang nhất định từ kết quả quét website, giúp cuộc tấn công nhắm đúng mục tiêu và tiết kiệm thời gian.
Burp Suite cũng cho phép đăng nhập website trước khi thực hiện các nhiệm vụ quét và tấn công khác, giúp đảm bảo khả năng truy cập của các công cụ đến mọi tài nguyên của website kể cả khi chúng yêu cầu một số quyền đặc biệt.
Hình 3.1.4 cách thức đăng nhập web của BurpSuite.
Công cụ Nmap
Nmap là 1 ứng dụng đa nền tảng ban đầu chạy trên hệ điều hành linux và đã được phát triển trên các hệ điều hành khác như Windows và Linux.
Nmap là một công cụ quét mạng mạnh mẽ và dùng để phát hiện ra lỗ hổng trong mạng, port, từ đó giúp IT có thể khắc phục được sự cố mạng nhanh hơn.
Nmap có thể được sử dụng để giám sát các máy chủ đơn lẻ cũng như các cụm mạng lớn bao gồm hàng trăm nghìn thiết bị và nhiều mạng con hợp thành.
Lập bản đồ mạng (Network mapping): Nmap có thể xác định các thiết bị đang hoạt động trên mạng (còn được gọi là phát hiện máy chủ), bao gồm máy chủ, bộ định tuyến và cách chúng được kết nối vật lý như thế nào.
Phát hiện hệ điều hành(OS detection): Nmap có thể xác định được các hệ điều hành của các thiết bị đang chạy trên mạng (còn gọi là OS fingerprinting), đồng thời cung cấp thông tin về nhà cung cấp, hệ điều hành cơ sở
Dò tìm dịch vụ (Service discovery): Nmap không chỉ có thể xác định được các máy chủ đang hoạt động trên mạng, mà còn xác định được chúng đang cung cấp loại hình dịch vụ nào Có thể là các máy chủ mail, web hoặc tên.
Kiểm tra bảo mật (Security auditing): Nmap có thể tìm ra phiên bản hệ điều hành và ứng dụng nào đang chạy trên các máy chủ mạng, từ đó cho phép các nhà quản trị mạng xác định những vị trí yếu điểm tướng ứng với các lỗ hổng cụ thể.
3.2.3 Trạng thái các cổng trong Nmap.
Open: cổng mở và hoạt động kết nối với bên ngoài tuy nhiên không bị tường lửa giám sát.
Closed: cổng đóng, vẫn có thể nhận và phản hồi nhưng không có bất cứ ứng dụng nào đang chạy.
Unfiltered: cổng không bị chặn tuy nhiên không xác định được trạng thái đóng – mở.
Filtered: cổng không thể nhận phản hồi vì tường lửa đã chặn chúng.
Open Filtered/ : cổng có thể mở nhưng không nhận về phản hồi gì cả, trạng thái không xác định.
Closed Filtered/ : đây cũng là trạng thái không xác định được là cổng đang đóng hay chặn tường lửa.
Công cụ Nuclie scan
3.4.1 Khái niệm về Nuclie scan.
Nuclei được sử dụng để rà quét các mục tiêu dựa trên một số mẫu temple được xây dựng sẵn cung cấp khả năng quét nhanh trên một số lượng lớn các máy chủ, cung cấp khả năng quét nhiều giao thức khác nhau bao gồm TCP, DNS, HTTP, File, v.v Với tính năng tạo temple mạnh mẽ và linh hoạt, tất cả các loại kiểm tra bảo mật có thể được mô hình hóa với Nuclei.
3.4.2 Cách hoạt động của Nuclie scan.
Bước 1: Tạo file yaml: bao gồm phương thức và cách thức khai thác lỗi, và điều kiện để tìm được kết quả.
Bước 2: Thực hiện scan trên target.
3.4.3 Các đối tượng sử dụng.
Nuclei cho phép bạn tùy chỉnh phương pháp kiểm tra của mình với bộ kiểm tra của riêng bạn và dễ dàng chạy trên các chương trình tiền thưởng lỗi của bạn Hơn nữa, Nuclei có thể dễ dàng tích hợp vào bất kỳ quy trình CI/CD.
Được thiết kế để dễ dàng tích hợp vào quy trình làm việc của công cụ khác.
Có thể xử lý hàng nghìn máy chủ trong vài phút.
Dễ dàng tự động hóa phương pháp kiểm tra tùy chỉnh của YAML DSL.
Nuclei cải thiện đáng kể giúp tiếp cận đánh giá bảo mật bằng cách tăng cường các quy trình thủ công, lặp đi lặp lại.
Pen-testers có được toàn bộ sức mạnh của các Temple mẫu công khai và khả năng tùy chỉnh của Nuclei để tăng tốc quá trình đánh giá của họ và đặc biệt với chu trình hồi quy, có thể dễ dàng xác minh bản sửa lỗi.
Dễ dàng tạo danh sách kiểm tra tuân thủ, bộ tiêu chuẩn.
Với các khả năng như fuzz và quy trình làm việc, các bước thủ công phức tạp và đánh giá lặp đi lặp lại có thể được tự động hóa dễ dàng với Nuclei.
Dễ dàng kiểm tra lại lỗ hổng bảo mật và sửa chữa bằng cách chạy lại mẫu.
Nuclei được xây dựng với mục đích đơn giản, với cộng đồng được hỗ trợ bởi hàng trăm nhà nghiên cứu bảo mật, nó cho phép cập nhật các mối đe dọa bảo mật mới nhất bằng cách sử dụng tính năng quét Nuclei liên tục trên các máy chủ Nó được thiết kế để dễ dàng tích hợp vào chu trình kiểm tra CI/CD, để xác minh các bản sửa lỗi và loại bỏ các lỗ hổng bảo mật xảy ra trong tương lai.
Nuclei đã có một số chương trình tiền thưởng lỗi khuyến khích tin tặc viết các temple mới, sau mỗi lần gửi, giúp họ loại bỏ lỗ hổng bảo mật trên tất cả các tài sản của họ, cũng như loại bỏ rủi ro trong tương lai khi xuất hiện lại trên các sản phẩm.
XÂY DỰNG ỨNG DỤNG QUÉT LỖ HỎNG
Công cụ xây dựng ứng dụng
Chương trình chủ yếu là dùng công cụ burpsuite là chủ yếu, mục tiêu của demo là quét tất cả các lỗi trên trang web và đọc được file flag ở thư mục flag.