LỜI CẢM ƠN Lời em xin chân thành cảm ơn hướng dẫn tận tình thầy Trần Tuấn Vinh, khoa Công nghệ Thông tin, trường Đại học Sư phạm Hà Nội Trong suốt thời gian thực khóa luận, bận rộn công việc thầy giành nhiều thời gian tâm huyết việc hướng dẫn em Thầy cung cấp cho em nhiều hiểu biết lĩnh vực em bắt đầu bước vào thực khóa luận Em xin chân thành cảm ơn thầy, cô giáo khoa Công nghệ Thông tin, thầy cô trường giảng dạy giúp đỡ em năm học vừa qua Chính thầy cô xây dựng cho chúng em kiến thức tảng kiến thức chuyên môn để em hoàn thành khóa luận tốt nghiệp chuẩn bị cho công việc sau Em gửi lời cảm ơn đến tất bạn bè, người bên em, động viên khuyến khích em trình thực khóa luận tốt nghiệp Và cuối cùng, em xin bày tỏ lòng biết ơn sâu sắc đến gia đình nuôi nấng chỗ dựa vững cho em Hà Nội, ngày 05 tháng 05 năm 2013 Sinh viên thực Nguyễn Thị Thanh Vân LỜI CAM ĐOAN Tôi xin cam đoan kết đạt khóa luận kết tìm hiểu thân Trong toàn nội dung khóa luận, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin chịu trách nhiệm khóa luận mình! Hà Nội, tháng 05 năm 2013 Sinh viên Nguyễn Thị Thanh Vân MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN CÁC KÝ HIỆU VIẾT TẮT MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE 10 1.1 Tổng quan 10 1.2 Các dịch vụ ứng dụng web 12 CHƯƠNG 2: KHẢO SÁT HIỆN TRẠNG 13 2.1 Tình hình an ninh mạng giới 13 2.2 Tình hình bảo mật Việt Nam 15 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 18 3.1 Giới thiệu chung phương pháp công website 18 3.2 Broken Authentication and Session Management 20 3.2.1 Giới thiệu 20 3.2.2 Hoạt động 21 3.2.3 Cách phát lỗi 22 3.2.4 Phòng chống 22 3.3 Insecure Direct Object References 22 3.3.1 Giới thiệu 22 3.3.2 Hoạt động 23 3.3.3 Cách phát lỗi 24 3.3.4 Phòng chống 24 3.4 Cross Site Request Forgery 25 3.5 Security Misconfiguration 25 3.6 Insecure Cryptographic Storage 25 3.7 Failure to Restrict URL Access 26 3.8 Insufficient Transport Layer Protection 27 3.8.1 Giới thiệu 27 3.8.2 Hoạt động 27 3.8.3 Phòng chống 28 3.9 Unvalidated Redirects and Forwards 28 3.9.1 Giới thiệu 28 3.9.2 Hoạt động 29 3.9.3 Phòng chống 30 3.10 Local Attack 30 3.10.1 Tìm hiểu Local Attack 30 3.10.2 Các bước thực Local Attack 31 3.10.4 Các kỹ thuật Local Attack 32 3.10.5 Cách phòng chống 35 3.10.6 Các công cụ hỗ trợ 36 3.11 Tấn công từ chối dịch vụ (Denial of Sever) 37 3.11.1 DOS 37 3.11.2 DDOS (Distributed Denial of Service) 43 3.12 SQL Injection 47 3.12.1 Định nghĩa 47 3.12.2 Các dạng công SQL Injection 47 3.12.3 Tránh kiểm soát 52 3.12.4 Các phòng tránh SQL Injeciton 52 3.13 Cross Site Scripting (XSS) 53 3.13.1 Tấn công XSS 53 3.13.2 Hoạt động XSS 53 3.13.3 Cách công 53 3.13.4 Phân loại 54 3.14 Phishing 58 3.14.1 Giới thiệu Phishing 58 3.14.2 Những yếu tố để công Phishing thành công 58 3.14.3 Những phương thức hoạt động Phishing 59 3.14.4 Quá trình hoạt động 61 3.14.5 Các kiểu lừa đảo 62 3.14.6 Phòng chống 63 3.15 AutoComplete 64 3.16 Xây dựng chương trình ứng dụng 66 3.16.1 Đặc tả, yêu cầu 66 3.16.2 Chức hệ thống 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 69 TÀI LIỆU THAM KHẢO 71 CÁC KÝ HIỆU VIẾT TẮT Ký hiệu ACK CPU DDOS DOS DNS IMCP Viết đầy đủ Acknowledgement Center Processing Unit Distributed Denial Of Server Denial Of Server Domain Name System Internet Control Message Protocol ID IP HTTP Identification Internet Protocol HyperText Transfer Protocol HTML PHP Hypertext Markup Language Hypertext Preprocessor SMTP Simple Mail Transfer Protocol SQL Structured Query Language SSL Secure Socket Layer SSN SYN TCP TLS UDP Social Security Number The Synchronous Idle Character Transmission Control Protoco Transport Layer Security User Datagram Protocol URL XSS Uniform Resource Locator Cross Site Scripting Ý nghĩa Gói tin báo nhận Bộ xử lý trung tâm Từ chối dịch vụ Từ chối dịch vụ Hệ thống tên miền Giao thức xử lý thông báo trạng thái cho IP Nhận dạng cá nhân Giao thức internet Giao thức truyền tải siêu văn Ngôn ngữ liên kết siêu văn Ngôn ngữ tiền xử lý siêu văn Giao thức truyền tải thư tín đơn giản Ngôn ngữ truy vấn mang tính cấu trúc Giao thức an ninh giao thông mạng Số an sinh xã hội Ký tự đồng hóa Giao thức điều khiển Giao thức bảo mật Các gói tin biết điểm xuất phát đích Tài nguyên internet Tấn công website MỞ ĐẦU Lý chọn đề tài Trong thời đại ngày internet trở nên quen thuộc công cụ hữu ích để đất nước giới thiệu hình ảnh hay đơn giản trang web cá nhân giới thiệu Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Khi mà phát triển mạng internet ngày phát triển đa dạng phong phú công website phát triển phức tạp Điều đặt vấn đề cấp thiết làm để đảm bảo an toàn thông tin cho ứng dụng web, thông tin người sử dụng Xuất phát từ thực tế đó, khóa luận em tìm hiểu cách công Website cách phòng chống loại công Thông qua việc tìm hiểu, em mong muốn góp phần nhỏ vào việc nghiên cứu tìm hiểu vấn đề an ninh mạng giúp cho việc học tập nghiên cứu Mục đích nhiệm vụ nghiên cứu - Tìm hiểu vấn đề liên quan đến hoạt động ứng dụng web - Tìm hiểu kỹ thuật công website như: Cross Site Scripting, SQL Injection, Broken Authentication and Session Management, Insecure Direct Object References, Insecure Cryptographic Storage, Failfure to Restrict URL Access, Insufficient Transport Layer Protection, Unvalidates Redirects and Forwards, Phishing, Local Attack, Autocomplete, DOS - Xây dựng website tìm kiếm phát kỹ thuật công website Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete enabled on sentisive input fields, Direct Object References, Unvalidated Redirects - Kết thực hiện: nắm rõ chất cách thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Đối tượng phạm vi nghiên cứu - Cơ sở lý thuyết liên quan hoạt động website - Các kỹ thuật công website - Các giải pháp phòng ngừa mức quản trị người lập trình ứng dụng - Ngôn ngữ PHP, My SQL Ý nghĩa khoa học thực tiễn đề tài - Về mặt lý thuyết, đề tài thể rõ phương pháp công mà kẻ công thường sử dụng để công website từ trước đến sử dụng tiếp thời gian dài tương lai - Về mặt thực tiễn, với kĩ thuật công tìm hiểu, nghiên cứu báo cáo này, áp dụng tốt biện pháp phòng ngừa khóa luận nêu góp phần nâng cao khả bảo vệ website trước nguy công kẻ xấu Phương pháp nghiên cứu - Tổng hợp tìm hiểu nghiên cứu từ tư liệu liên quan - Phân tích, đánh giá kỹ thuật công Đưa giải pháp phòng chống mức - Thiết kế bảng sở liệu, xây dựng Web demo để tìm kiếm phát lỗi bảo mật, từ ngăn ngừa kẻ công lợi dụng lỗi bảo mật để công website Cấu trúc khóa luận Khóa luận tốt nghiệp chia làm chương: Chương 1: Tổng quan website Chương 2: Khảo sát trạng Chương 3: Các phương pháp công website cách phòng chống CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE 1.1 Tổng quan World Wide Web tạo vào năm 1990 CERN kỹ sư Tim Berners - Lee Ngày 30 tháng năm 1993, CERN thông báo World Wide Web miễn phí để sử dụng cho Website tập hợp trang web (web pages) bao gồm văn bản, hình ảnh, video, flash,… thường nằm tên miền (domain name) tên miền phụ (subdomain) Website lưu trữ (web hosting) webserver truy cập thông tin Website đóng vai trò văn phòng hay cửa hàng mạng internet – nơi giới thiệu thông tin doanh nghiệp, sản phẩm dịch vụ doanh nghiệp cung cấp… Có thể coi website mặt doanh nghiệp, nơi để đón tiếp giao dịch với khách hàng, đối tác internet Website động (Dynamic website) website có sở liệu, cung cấp công cụ quản lý website (admin tool) Đặc điểm website động tính linh hoạt cập nhật thông tin thường xuyên, quản lý thành phần website dễ dàng Loại website thường viết ngôn ngữ lập trình PHP, ASP.NET, JSP, Perl,…, quản trị sở liệu SQL MYSQL… Website tĩnh lập trình ngôn ngữ HTML theo trang, sở liệu công cụ quản lý thông tin website Thông thường website tĩnh thiết kế phần mềm FrontPage, Dreamwaver… 10 XSS gây thiệt hại từ mức độ nhỏ đến lớn việc chiếm tài khoản người sử dụng Một công XSS lấy session cookie, gây tài khoản sử dụng Hoặc ảnh hưởng tới liệu người dùng đầu cuối cách cài đặt Trojan redirect trang web người truy cập sang trang web khác, thay đổi nội dung trang 3.13.5 Phòng chống - Đối với người thiết kế web:  Xóa bỏ thẻ hay tắt chức script  Tạo danh sách thẻ HTML phép sử dụng  Cho phép nhập kí tự đặc biệt mã hóa theo chuẩn riêng  Đảm bảo trang phát sinh động không chứa thẻ script cách lọc xác nhận hợp lý liệu đầu vào từ phía người dùng mã hóa lọc giá trị xuất cho người dùng - Đối với người dùng :  Cần ý thức nguy hiểm từ đường link không rõ nguồn gốc từ người lạ gửi đến  Việc giả mạo email kẻ công dễ dàng, email chuyển vào hòm thư spam không nên mở xem  Cần cài đặt chương trình diệt virus cập nhật phiên thường xuyên đển tốt  Chỉ chấp nhận liệu hợp lệ, từ chối nhận liệu hỏng, liên tục kiểm tra lọc liệu 57 3.14 Phishing 3.14.1 Giới thiệu Phishing Lần đầu biết đến vào năm 1996, kẻ công sử dụng để đánh cắp tài khoản khách hàng công ty American Online Cũng vào năm 1996, kỹ thuật Phishing thảo luận thường xuyên nhóm tin (New Group) nhóm Hacker 2600 Theo thời gian công Phishing không nhằm vào tài khoản internet công ty AOL mà mở rộng đến nhiều mục tiêu khác, đặc biệt ngân hàng trực tuyến, dịch vụ thương mại điên tử, toán mạng… hầu hết ngân hàng lớn Mỹ, Anh, Úc bị công Phishing Phishing hình thức gian lận để có thông tin nhạy cảm tên đăng nhập, mật khẩu, credit card… cách giả mạo thực thể đáng tin cậy giao tiếp mạng Quá trình giao tiếp thường diễn trang mạng xã hội tiếng, trang web đấu giá, mua bán online,… mà đa số người dùng không cảnh giác với Phishing sử dụng email tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cho trang web, trông hợp lý website giả mạo kẻ công lập nên 3.14.2 Những yếu tố để công Phishing thành công Sự thiếu hiểu biết: Sự thiếu hiểu biết hệ thống mạng máy tính giúp cho kẻ công khai thác thông tin nhạy cảm Bạn cần biết rõ trình hoạt động internet hiểu cách thức truy cập website an toàn Điển hình việc bấm nút Save Password bạn truy cập trang web điểm công cộng làm tăng nguy bị xâm phạm tài khoản cá nhân Đặc biệt người thường xuyên mua bán, toán qua mạng cần phải hiểu rõ việc cung cấp credit card quan trọng biết 58 nên cung cấp, không Bạn nên tìm hiểu sơ giao thức mạng phân biệt giao thức mạng an toàn Điển hình bạn đừng giao dịch trực tuyến với giao thức mạng http, mà phải sử dụng giao thức https Đánh lừa áo giác: Nghệ thuật đánh lừa ảo giác khiến nạn nhân không thật đâu giả Kỹ thuật lừa ảo giác tạo trang web, thứ,… thứ mà ngày bạn truy cập, giống đến mức mà người ta phát giả mạo Nên cẩn thận với trang web mà thường truy cập, đặc biệt email ngân hàng, người thân mà lại yêu cầu cung cấp thông tin Bởi trang chứa nguy giả mạo cao Nên tự gõ địa trang web vào trình duyệt, thay kích chuột vào đường link từ trang web khách Không ý đến tiêu chí an toàn: cảnh báo window mức độ an toàn việc truy cập thông tin, điều mà người thường hay bỏ qua nguy khiến bạn trở thành nạn nhân 3.14.3 Những phương thức hoạt động Phishing - Email Spam:  Kỹ thuật Phishing phổ biến dùng email Kẻ công tiến hành gửi hàng loạt thư đến địa email hợp lệ Bằng kỹ thuật công cụ khác nhau, kẻ công tiến hành thu thập email trước Sau kẻ công gửi thư đến email với nội dung thường có tính khẩn cấp, đòi hỏi người nhận thư phải cung cấp thông tin  Kẻ công sử dụng giao thức SMTP kèm theo vài kỹ thuật để giả mạo khiến cho người nhận không chút nghi ngờ Ví dụ, kẻ công giả email gửi từ ngân hàng yêu cầu người dùng cung cấp thông tin cá nhân để mở lại tài khoản cố Hoặc nội dung email 59 gửi thường có vài đường link cho bạn liên kết đến trang web Nếu không cẩn thận liên kết đến trang web giả mạo kẻ công lập nên - Web based delivery:  Một kỹ thuật dựa vào sư phát tán website lừa đảo, thường thấy website dạng kiếm tiền online Chúng yêu cầu cung cấp tài khoản ngân hàng để trả tiền công Người dùng không ngần ngại cung cấp Kết tiền công chẳng thấy mà tiền tài khoản không  Một hình thức lừa đảo tinh vi liên quan đến kiếm tiền online Theo chuyên gia đánh giá có đến 90% lấy tiền sau thời gian miệt mài làm việc Cái mà kẻ lừa đảo thu tiền mà công sức đọc quảng cáo, trả công ty quảng cáo  Một hình thức khác khiêu khích trí tò mò người dùng cách chèn vào trang web banner text quảng cáo có ý khiêu khích tò mò người dùng Kết sau kích vào máy tính bạn bị nhiễm loại malware đó, phục vụ cho công khác - IRC & Insant messing:  Chat thuật ngữ quen thuộc với người, hữu ích giao tiếp Tuy nhiên, kẻ lừa đảo bắt đầu lợi dụng việc chat để tiến hành gửi tin nhắn tức cho hàng loạt người dùng Những nội dung gửi liên quan đến hàng loạt người dùng kích thích trí tò mò người dùng  Vì tình không quán việc trò chuyện trực tuyến, người trò chuyện thường không thấy mặt nên biết người nói chuyện với có đáng tin cậy hay không Một kĩ thuật tinh vi kẻ 60 lừa đảo giả dạng nick chat Bằng cách giả dạng nick chat người quen để tiến hành trò chuyện yêu cầu cung cấp thông tin lừa đảo làm việc Gần Việt Nam nở rộ tình trạng Nhiều người dùng chat với người thân họ nhờ vả nạp tiền điện thoại - Trojaned hosts: Kiểu lừa đảo cài vào máy tính phần mềm gián điệp Phần mềm giản điệp phục vụ cho mục đích công khác 3.14.4 Quá trình hoạt động Bao gồm giai đoạn: Lên kế hoạch: kẻ lừa đảo xác định mục tiêu doanh nghiệp nạn nhân xác định cách lấy địa email khách hàng doanh nghiệp Chúng thường sử dụng gửi nhiều email phương pháp thu thập địa email spammer Thiết lập: Sau xác định doanh nghiệp nạn nhân Kẻ công tìm cách phát tán email thu thập liệu Thông thường, chúng sử dụng địa email trang web Tấn công: Kẻ công gửi thông báo giả mạo đến từ nguồn tin đáng tin cậy Thu thập: Kẻ công thu thập thông tin nạn nhân điền vào trang web cửa sổ pop-up Ăn cắp tài liệu cá nhân lừa đảo: Kẻ công sử dụng thông tin mà chúng thu thập để tiến hành mua bán bất hợp pháp thực lừa đảo 61 Nếu kẻ lừa đảo trực tuyến muốn xếp công khác, xác định tỷ lệ thành công thất bại vụ lừa đảo công để bắt đầu lại trình 3.14.5 Các kiểu lừa đảo - Man in the middle attacks: Với kĩ thuật này, máy tính kẻ công xem máy tính trung gian máy tính người dùng website thật Kẻ công dựng lên máy tính trung gian để nhận liệu người dùng chuyển cho website thật ngược lại Dữ liệu chuyển qua lại lưu trữ máy tính kẻ công Đúng vậy, dó proxy nơi không tin cậy cho truy cập web thông qua Những kẻ công dựng lên proxy máy chủ với lời mời gọi sử dụng để truy cập internet Vì lý người dùng tìm đến proxy máy chủ để nhờ giúp đỡ việc truy cập web Và vô hình trở thành mồi cho bọn kẻ công Những kẻ công việc dựng lên proxy máy chủ dụ mồi đến nghĩ đến việc công proxy máy chủ khác để lấy liệu Bằng kĩ thuật công khác, kẻ công xâm nhập vào hệ thống lưu trữ proxy để lấy liệu, phân tích có thứ họ cần Một cách khác để công kĩ thuật tiến hành làm lệch đường gói liệu Thay chuyển gói tin đến trang web máy chủ đằng lại chuyển đến máy tính kẻ công trước, sau máy tính kẻ công thực công việc chuyển gói tin tiếp Để làm điều này, kẻ công sử dụng kĩ thuật DNS Cache Poisming Kĩ thuật làm lệch đường gói 62 tin liệu cách làm sai kết phân giải địa DNS Một lưu ý kĩ thuật công không phân biệt giao thức http hay https - URL Obfuscation attacks: Làm giả URL kỹ thuật mà bàn đến Trong kĩ thuật kẻ công làm giả URL trang web người truy cập cách đó, URL gửi cho người dùng thiếu tính cẩn thận nên người dùng truy cập vào trang web - Hidden Attacks  Attack sử dụng ngôn ngữ lập trình để chèn đoạn script vào sử dụng kí tự đặc biệt nhằm đánh lừa người dùng  Các cách thức sử dụng Hidden Attacks:  Ẩn frame: frame attacks làm ẩn trình duyệt dùng, qua attacks chèn vào đoạn mã độc  Ghi đè nội dung trang web thay đổi hình ảnh trang web Qua nội dung bị thay đổi, kẻ công chèn đoạn mã độc hại vào - Mal-ware Based phishing:  Dùng phần mềm độc hại để công máy tính người dùng ăn cắp liệu  Phương thức đòi hỏi phải có kiến thức lỗi bảo mật cần có cách giao tiếp tốt 3.14.6 Phòng chống - Thông thường sử dụng firewall phần mềm diệt virus tránh khỏi lừa đảo trực tuyến Bạn hiển thị chứng số SSL web kê 63 khai in sẵn ngân hàng thẻ tín dụng để có thêm phương pháp bảo mật - Ngoài kẻ công có xu hướng để lại số dấu hiệu email thông báo địa web Khi đọc email ý tới:  Các câu chào chung chung “Dear, Customer” Nếu ngân hàng gửi cho bạn thông báo thức có tên đầy đủ bạn  Đe dọa tài khoản bạn yêu cầu người dùng phải có hành động  Yêu cầu thông tin cá nhân Hầu hết doanh nghiệp không yêu cầu cung cấp thông tin cá nhân thông qua điện thoại email  Những đường link khả nghi, đường link dài bình thường  Sai tả trầm trọng 3.15 AutoComplete Autocomplete chức trình duyệt cho phép ghi nhớ kí tự hay mật vào biểu mẫu trang web tự động điền lại cho lần truy cập sau Thực ra, người sử dụng máy tính cá nhân chức tiện lợi tiết kiệm thời gian nhập thông tin vào biểu mẫu hay nhập địa trang web thường xuyên ghé thăm, nhớ nhiều mật đăng nhập vào tài khoản Tuy nhiên, Autocomplete lại không phù hợp hệ thống hay máy tính có nhiều người sử dụng, kẻ công lợi dụng chức để đăng nhập vào tài khoản cá nhân Bên cạnh đó, kẻ công biết người dùng tìm kiếm qua danh sách biểu mẫu trang web tìm kiếm, thật không hay thông tin tìm kiếm có tính nhạy cảm 64 Để xóa nội dung mà Autocomplete lưu trữ, từ cửa sổ trình duyệt Internet Explorer, chọn menu Tools/Internet option Chọn Tab Content sau kích chuột vào “Autocomplete”, cửa sổ pop up ra, tiếp tục kích vào nút “clear password” “clear form” Thao tác xóa hết địa trang web mà người dùng nhập vào địa cửa sổ trình duyệt Có thể tắt hoàn toàn chức Autocomplete tắt phần, cách hay sử dụng chức cho biểu mẫu trang web tìm kiếm gỡ bỏ chức tự động với mật để giữ bí mật cá nhân Đối với địa Web: kích hoạt, chức tự động lưu địa bạn viếng thăm, muốn vào lại, bạn không cần phải nhập tất ký tự dòng địa Đối với biểu mẫu: chức lưu trữ thông tin biểu mẫu HTML Form muốn nhập chuỗi ký tự Tên đăng nhập mật khẩu: Autocomplete lưu trữ tên đăng nhập mật khẩu, sử dụng chức này, lưu ý tới điều trình bày trên! Nếu muốn tắt phần chức kể trên, kích để xóa ô đánh dấu, ngược lại muốn kích hoạt chức đó, cần đánh dấu vào Khi muốn tắt tất phần, xóa tất ô đánh dấu Lưu ý : Tắt chức AutoComplete nghĩa xóa tất thông tin lưu trữ trước Nếu muốn xóa, thực thao tác mục kể 65 3.16 Xây dựng chương trình ứng dụng 3.16.1 Đặc tả, yêu cầu - Tổng quan:  Website “webcheck.com” website dùng để minh họa số kĩ thuật công SQL Injection, Cross site scripting, AutoComplete, Broken Authentication using SQL Injection, Insecure direct object references, Unvalidated redirects and forward  Từ ý tưởng đó, website có khả kiểm tra ứng dụng web có mắc phải lỗi bảo mật hay không?Bằng cách ứng dụng nhận trang web cần kiểm tra từ người sử dụng, tự động tìm kiếm thông tin trang web tạo yêu cầu gửi đến trình chủ Sau nhận, phân tích kết trả để đánh giá, kiểm tra thông báo cho người sử dụng - Yêu cầu :  Yêu cầu chức năng: o Kiểm tra, phát số lỗi bảo mật ứng dụng Web o Thông báo kết kiểm tra o Gợi ý biện pháp khắc phục lỗi phát  Yêu cầu phi chức năng:  Giao diện người dùng: o Phải có giao diện thân thiện, dễ sử dụng, màu sắc hài hòa làm bật hình ảnh, font chữ thống nhất, tiện lợi sử dụng o Phải nêu bật mạnh website tạo niềm tin cho khách hàng từ lần đầu truy cập o Có biểu mẫu đăng kí để trở thành thành viên 66 o Chức tìm kiếm thông tin quét lỗi bảo mật website cụ thể người dùng yêu cầu o Chức xem lịch sử lần quét thành viên  Giao diện người quản trị: o Đơn giản, dễ sử dụng o Không thể thiết mục như: quản lý thành viên, quản lý thông tin lỗi bảo mật, quản lý đăng nhập, quản lý thay đổi website  Về nghiệp vụ: o Người xây dựng hệ thống phải am hiểu lỗi bảo mật cách thức mà kẻ công sử dụng để công website o Người xây dựng hệ thống phải đặc biệt hiểu rõ thông số kĩ thuật máy tính Có thể đưa nhìn tổng quát, sâu rộng sản phẩm  Về bảo mật: o Người quản trị có toàn quyền giữ bảo mật cho website mật riêng o Quản lý tên đăng nhập mật người dùng an toàn Thông tin người dùng bảo mật  Về hệ thống: o Phần cứng: PC vi xử lý Pentium III, ram 128MB, ổ cứng 10G trở lên o Hệ điều hành: Window XP trở lên o Phần mềm hỗ trợ: APPSERV, SQLyog  Lựa chọn giải pháp: o Chương trình sử dụng ngôn ngữ PHP sở liệu MySQL 67 o Các công cụ mà hệ thống sử dụng: gói Appserv cài đặt thành phần Apache, PHP, MySQL Apache => server PHP => ngôn ngữ lập trình MySQL => sở liệu Webbalier => quản lý statistic site Mercury => giả lập gửi email FileZilla => giả lập FPT server 3.16.2 Chức hệ thống Các tác nhân hệ thống gồm có: - Quản trị: thành viên quản trị hệ thống, có quyền chức như: tạo tài khoản, quản lý thông tin lỗi bảo mật, quản trị người dùng,… - Người dùng: hệ thống thành viên có chức năng: đăng kí, đăng nhập, tìm kiếm thông tin website mà họ muốn, quét xem website có lỗi bảo mật hay không, phòng chống nguy bị công, xem lại lịch sử lần quét 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Kết khóa luận gồm có: - Tìm hiểu phương pháp công website bao gồm:  Local Attack  AutoComplete  SQL Injection  Cross Site Scripting  DOS  Phishing  Broken Authentication and Session Management  Insecure Direct Object References  Cross Site Request Forquery  Security Misconfiguration  Failfure to Restrict URL Access  Insuffiercient Transpot Layer Protection  Unvalidated Redirects and Forwards - Các biện pháp bảo mật từ kết hợp nhà quản trị mạng, nhà thiết kế ứng dụng web người dùng: - Về website “ Web Check” đạt số nội dung sau:  Kiểm tra nội dung trang web có khả bị lỗi bảo mật: Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete, Direct Object References, SSL Certificate not true, Unvalidated Redirects 69 Hướng phát triển Khóa luận đạt yêu cầu đặt Tuy nhiên, kết đạt khiêm tốn hạn chế tài liệu thời gian Trong thời gian tới, có điều kiện cần tiếp tục phát triển nội dung sau: - Tìm hiểu thêm phương pháp công để đưa biện pháp phòng chống mức độ sâu - Khai triển chương trình phát triển lỗi tốt hơn, nhiều phương diện kĩ thuật 70 TÀI LIỆU THAM KHẢO Tiếng Việt [1] – Lê Đình Duy, “Bảo vệ ứng dụng web chống công kiểu SQL Injection”, kỷ yếu hội thảo CNTT-2004, DHKHTN Tp.HCM [2] – Phạm Hữu Khang, “Xây dựng ứng dụng web PHP & MySSQL”, nhà xuất Mũi Cà Mau, 2003 [3] – Đặng Hải Sơn, “Lỗi bảo mật ứng dụng web cách khắc phục”, trung tâm ứng cứu khẩn cấp máy tính [4] – Võ Đỗ Thắng, “Web Application Attack & Defense”, trung tâm an ninh mạng Athena [5] – Trịnh Nhật Tiến, “An toàn liệu”, giảng [6] – Nguyễn Anh Tuấn, “Bài giảng an ninh mạng”, trung tâm TH NN Trí Đức Tiếng anh [7] – Anthor Stephen Kost, “An Introduction to SQL Injection Attacks for oracle Developers” [8] – Anthor Kevin Spett, “SQL Injection – are you web Applications vulnerable” [9] - Anthor Sangteamtham, “How to Attack and fix Local File Disclosure” 71 [...]... Việt Nam, báo điện tử Vietnamnet, Unikey… 17 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 3.1 Giới thiệu chung về các phương pháp tấn công website Diện mạo những mối nguy về ứng dụng internet thay đổi một cách liên tục Nguyên nhân chính về sự phát triển này là sự tiến bộ của kẻ tấn công, sự ra đời của những công nghệ mới và sự thiết lập của những hệ thống ngày càng phức tạp Để theo... tấn công website bằng hình thức tấn công từ nội bộ bên trong Nghĩa là tấn công vào một website có bảo mật kém chung máy chủ, sau đó tấn công sang website mục tiêu bằng kĩ thuật local Ví dụ: Đối với một web máy chủ thông thường khi bạn đăng kí một tài khoản trên máy chủ nào đó bạn sẽ được cung cấp một tài khoản trên máy chủ đó và một thư mục để quản lý site của bạn Giả sử tài khoản của bạn bị kẻ tấn công. .. nhập vào cơ sở dữ liệu của nạn nhân  Đăng nhập vào cơ sở dữ liệu, xác định tên đăng nhập và mật khẩu được mã hóa của nạn nhân  Crack hoặc thay đổi mật khẩu của nạn nhân 3.10.2 Các bước thực hiện trong Local Attack Bước 1: Xác định các website cần tấn công - Khi đã xác định được website cần tấn công trước hết lần lượt dò tìm lỗi website đó - Khi phát hiện website có dấu hiệu lỗi có thể tấn công website. .. thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới Năm 2012, một cuộc tấn công nhằm vào các ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn Theo Prolexic, một công ty về hạn chế các cuộc tấn công từ chối dịch vụ phân tán (DDOS), đã đưa ra ý kiến về các cuộc tấn công này Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho... cũng bị tấn công Tình trạng tấn công các website của doanh nghiệp bằng hình thức sử dụng nhiều máy tính truy cập gây tắc nghẽn hệ thống – DDOS hay thay đổi toàn bộ nội dung website Các kiểu tấn công này làm tê liệt mọi giao dịch, thông tin tương tác với khách hàng, ảnh hưởng lớn đến hoạt động kinh doanh và uy tín của chủ website Đây là hiện tượng báo động mà Doanh nghiệp cần lưu ý và có giải pháp phòng... 2.500 website của Việt Nam bị tin tặc tấn công, so với 300 website của năm 2011 Khảo sát của Chi hội an toàn thông tin phía Nam công bố: tấn công theo hình thức quấy phá, dò tìm và tấn công DOS đang gia tăng mạnh và gây thiệt hại tài chính nhất Ông Trịnh Ngọc Minh – Phó chủ tịch an toàn thông tin VNISA phía Nam nhận định, tình hình an ninh mạng trong năm 2012 diễn biến theo xu hướng không có những vụ tấn. .. trình chống virus nào hiện nay dò tìm ra được chúng Bằng việc lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ Từ những nỗ lực của mình, Mỹ đã tìm ra những kẻ đứng sau những cuộc tấn công này là từ Iran nhằm trả thù vì những hình phạt kinh tế và các cuộc tấn công trực tuyến của Mỹ 13 Ông... được thì kẻ tấn công có thể dùng các thủ thuật, các đoạn script, các đoạn mã lệnh để truy cập sang thư mục chứa site của bạn Và cũng theo cách này kẻ tấn công có thể tấn công sang site của người dùng khác và có thể lấy thông tin admin, cơ sở dữ liệu, các thông tin bảo mật khác hoặc chèn các đoạn mã độc vào trang index của site bạn Dạng tấn công trên gọi là Local Attack Nhiệm vụ của Local: 30  Tìm file... này - Hướng tấn công: Kẻ tấn công tạo ra những đường dẫn liên kết thiếu chứng thực và lừa nạn nhân nhấp chuột vào Khả năng nạn nhân sẽ nhấp chuột vào rất cao vì đó là đường dẫn đến một trang web hợp lệ Kẻ tấn công nhắm vào chuyển tiếp để vượt qua bước kiểm tra bảo mật - Điểm yếu bảo mật: Các ứng dụng thường xuyên chuyển hướng người dùng đến các trang khác, hoặc sử dụng chuyển tiếp nội bộ một cách tương... website một cách trực tiếp mà không sử dụng đến phương pháp local attack - Nếu không tìm được lỗi trên website đó thì bắt đầu bước 2 Bước 2: Xác định các website đặt cùng máy chủ với mục tiêu Sử dụng trang web http://domainsbyip.com/ để tra cứu những website mà đặt chung máy chủ với website mục tiêu Bước 3: Tìm cách khai thác một trong các website đặt chung máy chủ với mục tiêu - Khai thác được một trong ... hình bảo mật Việt Nam 15 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 18 3.1 Giới thiệu chung phương pháp công website 18 3.2 Broken Authentication and... thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Đối tượng phạm vi nghiên cứu - Cơ sở lý thuyết liên quan hoạt động website - Các kỹ thuật công website - Các giải pháp. .. TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 3.1 Giới thiệu chung phương pháp công website Diện mạo mối nguy ứng dụng internet thay đổi cách liên tục Nguyên nhân phát triển tiến kẻ công, đời công nghệ