1AN NINH WEBSITE I. GIỚI THIỆU : 1. Các nguyên nhận và mối đe dọa Website : Trong quá trình hoạt động, ứng dụng web thường được phép truy xuất đến các tài nguyên quan trọng của hệ thống đó là máy chủ web và máy chủ cơ sở dữ liệu. Thông thường khi phát triển ứng dụng, các lập trình viên thường dành nhiều thời gian cho các chức năng, giao diện mà bỏ qua vấn đề bảo mật. Điều đó không có nghĩa là lập trình viên không quan tâm đến vấn đề bảo mật mà vấn đề ở chỗ họ thường thiếu kiến thức về bảo mật và vấn đề bảo mật thường bị bỏ qua trong giai đoạn thiết kế và xây dựng ứng dụng. Ứng dụng có lỗ hỗng bảo mật thường bị tin tặc khai thác để chiếm quyền điều khiển máy chủ web và máy chủ cơ sở dữ liệu. Từ đó tin tặc có thể triển khai các kiểu tấn công khác như: • Thay đổi giao diện trang web • Chèn các mã độc được cài đặt tự động vào máy người dùng khi họ truy cập vào ứng dụng • Chèn các mã độc để lấy cắp các thông tin về phiên làm việc (session ID) • Lấy cắp thông tin về được lưu trữ trên cơ sở dữ liệu • Truy cập tự do vào những vùng cấm • 2. Khái niệm an ninh website : An ninh Website là bằng các phương pháp khoa học và kỹ thuật đánh giá một cách tổng thể và chi tiết về an tòan bảo mật website . Các phương pháp đánh giá và phân tích được dựa trên cơ sở sử dụng các công cụ kỹ thuật chuyên dụng và kỹ thuật tấn công phân tích. Kết quả của việc đánh giá sẽ cho biết về mức độ an tòan của hệ thống, khả năng phòng chống trước những tấn công ngày càng nhiều và nguy hiểm trên mạng Internet. Kết quả cung sẽ chỉ ra các thiếu sót cần khắc phục trong việc triển khai và vận hành hệ thống. II. TIÊU CHUẨN ĐÁNH GIÁ WEB – OWASP TOP 10 2013: 2AN NINH WEBSITE OWASP ( The Open Web Applocation Security Project ) là tiêu chuẩn đánh giá chung về Web. Với OWASP chúng ta sẽ được cung cấp miền phí : • Các công cụ và các tiêu chuẩn về an toàn thông tin • Tài liệu về kiểm tra bảo mật ứng dụng, lập trình an toàn và kiểm định mã nguồn • Thư viện và các tiêu chuẩn điều khiển an ninh thông tin • Các chi nhánh của hội ở khắp thế giới • Các nghiên cứu mới nhất • Các buổi hội thảo toàn cầu • Maillist chung Có 1 số thay đổi giữa OWASP TOP phiên bản 2013 và phiên bản 2010 :  A1 – Injection ( Lỗi mã nhúng ) : Xảy ra trong các ứng dụng như SQL, LDAP khi những dữ liệu không xác thực được gửi tới hệ thống biên dịch như một phần của mã lệnh. Những dữ liệu này của kẻ tấn công có thể lừa hệ thống biên dịch thực hiện những mã lệnh độc hại hoặc giúp kẻ tấn công xâm nhập đến những dữ liệu quan trọng một cách trái phép. 3AN NINH WEBSITE  A2 – Broken Authentication and Session Management ( Sai lầm trong kiểm tra định danh ) : Những đoạn chương trình kiểm tra danh tính và quản l{ phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách. Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các phiên làm việc {session token} hoặc tận dụng những lỗi khác để giả mạo danh tính các người dùng khác.  A3 – Cross Site Scripting ( XSS – thực thi script độc hại ) : Xảy ra khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúngđến cho trình duyệt web mà không qua xử l{ và kiểm duyệt. XSS cho phép kẻ tấn công thực hiện mã độc trên trình duyệt của người bị tấn công và lợi dụng ăn cắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người sử dụng đến những trang web chứa mã độc khác  A4 – Insecure Direct Object References ( Đối tượng tham chiếu thiếu an toàn ) :Xảy ra khi người phát triển để lộ một tham chiếu đến những đối tượng trong hệ thống như các tập tin, thư mục hay chìa khóa dữ liệu. Nếu chúng ta không có một hệ thống kiểm tra truy cập, kẻ tấn công có thể lợi dụng những tham chiếu này để truy cập dữ liệu một cách trái phép  A5 – Security Misconfiguration ( Sai sót cấu hình an ninh ) : Một cơ chế an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng, khuôn mẫu, máy chủ ứng dụng, máy chủ web, máy chủ dữ liệu và các ứng dụng nền tảng. Tất cả những thiệt lập nên được định nghĩa, thực hiện và bảo trì bởi vì rất nhiều thứ không được triển khai với thiết lập an toàn mặc định. Các hiệu chỉnh cũng bao gồm cập nhật phần mềm và những thư viện được sử dụng bởi ứng dụng.  A6 - Sensitive Data Exposure ( Tiếp xúc với dữ liệu nhạy cảm ) : Các dữ liệu nhạy cảm được lưu trữ không an toàn có thể gây ra những ảnh hưởng to lớn cho hệ thống máy chủ, cũng như cho khách hàng.  A7 – Missing Function Level Access Control ( Sai sót hạn chế truy cập ) : Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL) trước khi dựng các liên kết và nút nhấn được bảo vệ. Tuy nhiên ứng dụng cũng phải thực hiện những kiểm tra tương tự mỗi khi những trang thông tin được truy cập trực tiếp nếu không kẻ tấn công có thể giả mạo URL để truy cập vào những trang thông tin ẩn này.  A8 – Cross Site Request Forgery ( CSRF – Giả mạo yêu cầu ) : Kiểu tấn công này ép buộc trình duyệt web của một người dùng đã đăng nhập gửi những yêu cầu giao thức web (HTTP) tới một trang web bị lỗi, bao gồm cookie của phiên truy cập và những thông tin tự động khác như thông tin đăng nhập. Cách thức này cho phép kẻ tấn công buộc trình duyệt web tạo ra những yêu cầu cho ứng dụng lỗi mà ứng dụng này không thể biết đây là những yêu cầu giả mạo của kẻ tấn công 4AN NINH WEBSITE  A9 – Using Know Vulnerable Components ( NEW ) : Việc sử dụng các lỗ hổng bảo mật trong các thư viện, plugin, module, ứng dụng được công khai trong cộng đồng giúp hacker nhanh chóng khai thác các lỗ hổng bảo mật.  A10 – Unvalidated Redirects and Forwards ( Thiếu thẩm tra chuyển hướng và chuyển tiếp ) : Ứng dụng web thường xuyên đưa người dùng đến những liên kết qua các website khác, và sử dụng những thông tin thiếu tin cậy để xác định đích đến. Nếu không được kiểm tra một cách cẩn thận, kẻ tấn công có thể lợi dụng để chuyển nạn nhân đến các trang web lừa đảo hay phần mềm độc hại, hoặc chuyển tiếp để truy cập các trang trái phép.  Chú ý : Các bạn truy cập vào trang chủ của OWASP để tìm hỉu thêm theo đường link : https://www.owasp.org/index.php/Top_10 III. CÁC CÔNG CỤ QUÉT LỖ HỔNG WEBSITE : 1. OWASP Zed Attack Proxy ( ZAP 2.2.2 ) : Zed Attack Proxy (ZAP) là công cụ tích hợp của tập hợp nhiều công cụ pentest có chức năng khác nhau. ZAP cho phép người sử dụng có thể thực hiện nhiều tác vụ nhằm dò tìm điểm yếu trên ứng dụng web. Những tiện ích nổi bật của ZAP • Intercepting Proxy : Bản chất ZAP là một proxy chặn giữa người dùng và ứng dụng web • Automated scanner • Passive scanner • Brute Force scanner : Cho phép tìm cây thư mục,tính năng này là sự tích hợp của công cụ Dir Buster mà mình đã giới thiệu trước đó. • Spider : Tìm kiếm các url trong website • Fuzzer : Tích hợp tiện ích JbroFuz. • Port scanner • Dynamic SSL certificates : tự tạo một cert root CA,thực hiện MiTM để decrypt các traffic mã hóa bởi SSL. • Report: cung cấp output ra report dạng HTML và XML Download : https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 5AN NINH WEBSITE Giao diện sao khi cài đặt : 2. Acunetix Web Vulnerability Scanner ( Sử dụng Trail 14 Day ) : Acunetix WVS (Web Vulnerability Scanner) là chương trình tự động kiểm tra các ứng dụng Web để tìm kiếm các lỗ hổng bảo mật như SQL Injection, hay Cross-Site Scripting,… và tìm kiếm những chính sách đối với mật khẩu đăng nhập cũng như các phương thức xác thực vào Web Site. Acunetix WVS là một công cụ quét lỗi cho ứng dụng Web dựa trên một cơ sở dữ liệu rộng lớn được cập nhật thường xuyên, với các thuật toán heuristic đáp ứng được các cơ chế họat động phức tạp của môi trường Web. Acunetix WVS có thể tự động kiểm tra các lổ hỗng thông dụng như cross site scripting, sql injection và các mối nhạy cảm khác của những web site có thể truy cập bằng trình duyệt, hay những ứng dụng được xây dụng trên các kỹ thuật tiên tiến như AJAX để thực hiện được điều này Acunetix WVS dựa trên nhiều phương pháp và công cụ tích hợp để: • Crawling (lấy về) toàn bộ website gồm tất cả các liên kết trên site và cả trong tập tin robots.txt sau đó hiển thị tòan bộ cấu trúc này một cách chi tiết. 6AN NINH WEBSITE • Sau tiến trình cwarling và khám phá tình trạng của ứng dụng web, Acunetix WVS tự động phát động các đợt tấn công đã được lập trình sẳn dựa trên các lổ hổng, giống như khi web site bị 1 hacker tấn công thực sự, phân tích các trang và những vị trí có thể nhập liệu cùng với các sự kết hợp khác nhau của dữ liệu đầu vào có thể làm cho website hiển thị những thông tin nhạy cảm. • Sau khi tìm ra được các lổ hổng, Acunetix WVS thông báo trên các “Alerts Node”, mỗi alert gồm các thông tin về lỗi cũng như các mối nguy hiểm có thể gặp phải và “dĩ nhiên” là kèm theo các khuyến nghị về cách thức khắc phục. • Sau khi tiến trình kiểm tra hòan tất, chúng ta có thể lưu lại thành một tập tin để phân tích sau này, với công cụ báo cáo chuyên nghiệp sẽ giúp cho các web master dễ dàng tổng hợp các kết quả kiểm tra khác nhau trên ứng dụng Web của mình. Sau khi quét, Acunetix WVS sẽ liệt kê cấu trúc của site, phiên bản webserver đang sử dụng, URL không tồn tại, các lỗi phát hiện được cũng như mức độ Security của site đang quét. Mức độ bảo mật của website được AWV đánh giá từ low, medium, high. Nếu website được liệt kê ở mức low, hãy nhanh chóng fix lỗi mà AWV liệt kê. Download : http://www.acunetix.com/vulnerability-scanner/download/ Giao diện sao khi cài đặt : 7AN NINH WEBSITE IV. CÁC PHƯƠNG THỨC TẤN CÔNG WEB PHỔ BIẾN : 1. SQL INJECTION : SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase. SQL Injection : được mô tả như là một trong những lỗ hổng bảo mật web nguy hiểm nhất. Khai thác Sql Injection, ngoài việc đoạt được quyền kiểm soát về mặt dữ liệu như đã nói ở trên, hacker còn có thể cài đặt backdoor trên server mà ứng dụng đang chạy, qua đó kiểm soát toàn bộ hệ thống… 1.1 Cách thức tấn công : Thông qua link web hacker có thể dùng những lệnh truy vấn database để tấn công Ví dụ : - Để phát hiện lỗi của website người tấn công thêm vào các giá trị vào đường truy cập: http://www. www.example.com /product_details.php?idproduct=10’ - Và thực hiện tiếp các câu truy vấn khác : http://www.example.com/product_details.php?idproduct=10 ORDER BY 6 - Dùng những câu lệnh Select để truy xuất dữ liệu : http://www.example.com/product_details.php?idproduct=-NULL UNION SELECT 1,@@VERSION,3,4,5— - Hiện thỉ các table : http:// www.example.com/product_details.php?idproduct=10’ UNION SELECT 1,GROUP_CONCAT%28TABLE_NAME%29,3,4,5 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE() - Lấy user, password từ Admin : http:// www.example.com /product_details.php?idproduct=10’ UNION SELECT 1,GROUP_CONCAT(Admin_ID,0x3a,User_Name,0x3a,Password),3,4,5 FROM admin— 8AN NINH WEBSITE  Hacker có thể dùng tools để tấn công 1 cách nhanh chống : o Sqlmap o Havij o Pangolin o … 1.2 Cách Phòng chống : Ví dụ : - Ngăn chặn thông báo lỗi : Code chưa fix : $id = $_GET[id]; mysql_query("SELECT * FROM sanchoituoitre.vn WHERE id=$id"); Code đã fix : $id = $_GET[id]; @mysql_query("SELECT * FROM sanchoituoitre.vn WHERE id=$id"); - Sử dụng hàm : mysql_real_escape_string $user=""; $password=""; $query = sprintf("SELECT * FROM users WHERE user='' AND password=''", mysql_real_escape_string($user), mysql_real_escape_string($password)); echo $query; Kết quả in ra là : SELECT * FROM users WHERE user='' AND password='' - Các câu truy vấn user , password đơn giản sẽ dễ bị tấn công : using (SqlConnection connnection = new SqlConnection(ConnString)) { // Build the query statement using dynamic data. string sql = "SELECT UserId FROM User WHERE " + "UserName = '" + UserName + "' AND " + "Password = '" + Password + "'"; using (SqlCommand cmd = new SqlCommand(sql)) { cmd.Connection = connnection; try { cmd.Connection.Open(); var userId = cmd.ExecuteScalar(); 9AN NINH WEBSITE } catch (SqlException sx) { // Handle exceptions before moving on. } } } - Có thể sữa truy vấn bằng cách thêm các tham số vào các giá trị : string sql = "SELECT UserId FROM User WHERE " + "UserName = @UserName AND Password = @Password"; using (SqlCommand cmd = new SqlCommand(sql)) { // Create the parameter objects as specific as possible. cmd.Parameters.Add("@UserName", System.Data.SqlDbType.NVarChar, 50); cmd.Parameters.Add("@Password", System.Data.SqlDbType.NVarChar, 25); // Add the parameter values. Validation should have already happened. cmd.Parameters["@UserName"].Value = UserName; cmd.Parameters["@Password"].Value = Password; cmd.Connection = connnection; try { cmd.Connection.Open(); var userId = cmd.ExecuteScalar(); } catch (SqlException sx) { // Handle exceptions before moving on. } } 2. Cross-Site Scripting ( XSS ) : XSS là kĩ thuật tấn công bằng cách chén vào các website động ( ASP, PHP, CGI, JSP … ) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm được chén vào hầu hết được viết bằng các Client-Site Script như Javascript, Jscript, DHTML và cũng có thể là cả các thẻ HTML. XSS là một trong những lỗi phổ biến, có rất nhiều trang web mắc phải lỗi này. 10AN NINH WEBSITE 2.1 Cách thức hoạt động : XSS cho phép attacker chèn các đoạn mã vào link của đường dẫn, để thực thi trên trình duyệt của người dùng, dẫn đến việc mất cookies, mật khẩu, session hay fishing lừa đảo hay chèn virus, Trojan, backdoor Thường thì XSS có dạng như sau: http://www.xxx.com/index.php?query=<script>alert('hello');</script> Và nội dung hiện ra trên trình duyệt sẽ là: “ hello ” 2.2 Cách phát hiện lỗi : Chủ yếu lỗi XSS nằm ở các phần : search results, error messages, Web-form, và những chỗ mà người dùng có thể nhập dự liệu vào và sau đó nhận được một kết quả gì đó. Các thức tìm lỗi XSS : - Có thể dùng các công cụ quét lỗi Website ở trang 4 - Chúng ta có thể tìm lỗi bằng tay với những phần mình nên trên như : search… Chúng ta thực hiện các bước sau : Bước 1 : Mở website cần kiểm tra Bước 2 : Bắt đầu kiểm tra , định vị 1 ô tìm kiếm hoặc 1 login form và gửi thông tin đi (nhập thông tin và nhấn submit) , ví dụ nhập chữ "XSS" hay những từ khác . Bước 3 : Xác định khả năng site có bị lỗi XSS hay không bằng cách xem thông tin trả về : Ví dụ bạn thấy như thế này : · "Your search for 'XSS' did not find any items" · "Your search for 'XSS' returned the following results" · "User 'XSS' is not valid" · "Invalid login 'XSS'" hoặc là giá trị nào đó có liên quan tới "XSS" mà bạn nhập vào ban đầu thì 99% "Alert" này bị XSS Hãy thữ lần lượt với các script khác : < script>alert('XSS')< /script> hoặc <i*g csstest=java script:alert('XSS')> hoặc &{alert('XSS')}; Bước 4 : Chèn code thực sự vào nơi bị lỗi : < script>alert('XSS')< /script> vào ô nhập giá trị và nhấn SUBMIT . Nếu sau đó bạn nhận được 1 popup có chữ "XSS" thì "Alert" này 100% bị dính XSS . Một ví dụ khác thường gặp hơn : http://sitebiloi.com/ là site bị dính lỗi XSS và ta tìm được nơi bị lỗi như thế này : http://sitebiloi.com/index.php?page=<s < script> , nghĩa là ta có thể chèn code ngay trên thanh ADDRESS . [...]... Bảo mật cho Website Joomla là một nhân tố quan trọng góp phần bảo vệ Website trước các âm mưu tấn công có chủ đích cũng như vô tình, giúp cho Website luôn hoạt động ổn định và bền vững Nhiều quản trị Website chỉ đặt trọng tâm vào việc thiết kế, cập nhật nội dung và giành thứ hạng cao trong các kết quả tìm kiếm mà quên đi việc đảm bảo an toàn cho Website AN NINH WEBSITE1 5 - Sao lưu toàn bộ Website theo... (component/module/language ) gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777 Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file) • Components • language • modules • mambots • templates AN NINH WEBSITE1 6 • administrator • administrator/backups • administrator/components • administrator/modules - Quyền hạn đối với các tệp : Thiết lập quyền hạn đối với tất cả các tệp của bạn sang... tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công AN NINH WEBSITE1 3 SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker - Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công : o Kiểu tấn công Land Attack : Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần... chặn các truy vấn nguy hiểm 5 Phương thức tấn công Website Wordpress : Hiện nay, rất nhiều người sử dụng WordPress như một sự tiện lợi trong việc tạo website miễn phí Tuy nhiên, vấn đề bảo vệ website không được thực hiện tốt Chính vì thế trong thời gian qua, có rất nhiều site xây dựng trên nền WordPress bị các hacker tấn công 5.1 Nguyên nhân dẫn đến Website Wordpress bị tấn công : - Không Upgrade các... Sao lưu toàn bộ Website theo định kỳ : Điều đầu tiên và cũng là quan trọng nhất là bạn phải thường xuyên sao lưu toàn bộ Website bao gồm cả thư mục chứa Joomla và cơ sở dữ liệu MySQL Hãy lập lịch ít nhất một lần trong tuần (khuyến cáo là mỗi ngày một lần) để thực hiện sao lưu Bạn sẽ tiết kiệm được rất nhiều công sức và tiền của khi Website bị tấn công và chỉ mất vài phút hoặc vài chục phút để khôi... thuộc lẫn nhau quá mức Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống - Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác AN NINH WEBSITE1 4 - Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router -... và kết thúc với “” Thay : “” = “>” và “<” (các thực thể html) Ta có đoạn code sau : AN NINH WEBSITE1 2 str_replace("","<",$info);str_replace("'","'", $info);str_replace(""",""",$info); str_replace("&","&",$info); - Nếu bạn đang sử dụng Apache Server các bạn có thể sử dụng mod_perl với module Apache:TaintRequest để lọc và mã hóa các... này, nếu muốn chỉnh sửa thì hãy đưa nó về 644 Các file còn lại thì bạn có thể CHMOD là 644 và 755 cho các folder AN NINH WEBSITE1 8 Nếu bạn muốn tối ưu hơn nữa, hãy CHMOD folder wp-admin, wp-includes thành 101 Tuy nhiên để CHMOD thành 101 thì bạn không thể CHMOD trên FTP được mà phải vào File Manager để làm việc này Sau khi CHMOD thành 101, bạn đăng nhập vào FTP sẽ không thể nhìn thấy các folder đã được... file xss.txt xem cookies - Hacker có thể mở thêm 1 trang web có chứa mã độc hoặc Trojan mà bạn sẽ không biết được : o Dùng code IFRAME : o Hoặc : Ngoài ra hacker có thể chuyển hướng sang 1 web nào đó mà hacker mong muống 2.4 Cách phòng... configuration.php : Đây là một điều rất quan trọng Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644 - Bảo mật với htaccess : Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker Do vậy bạn cần phải truyền tệp htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644 - Joomla! Register . những vùng cấm • 2. Khái niệm an ninh website : An ninh Website là bằng các phương pháp khoa học và kỹ thuật đánh giá một cách tổng thể và chi tiết về an t an bảo mật website . Các phương pháp đánh. dữ liệu quan trọng một cách trái phép. 3AN NINH WEBSITE  A2 – Broken Authentication and Session Management ( Sai lầm trong kiểm tra định danh ) : Những đoạn chương trình kiểm tra danh tính. phép  A5 – Security Misconfiguration ( Sai sót cấu hình an ninh ) : Một cơ chế an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng, khuôn mẫu, máy