Đang tải... (xem toàn văn)
Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa modsecurity và iptables
Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables MỤC LỤC DANH MỤC CÁC HÌNH VẼ LỜI NÓI ĐẦU Chương 1: TỔNG QUAN VỀ ỨNG DỤNG WEB VÀ CÁC VẤN ĐỀ AN NINH BẢO MẬT LIÊN QUAN 1.1 Tổng quan Website .5 1.2 Tổng quan dịch vụ Web (Web Service) .6 1.3 Các nguy ứng dụng web 10 1.3.1 Tấn công kịch liên trang 12 1.3.2 Tấn công tiêm trích lỗ hổng 12 1.3.3 Thực thi tập tin độc hại 14 1.3.4 Tham chiếu đối tượng trực tiếp không an toàn .14 1.3.5 Tấn công giả mạo truy vấn liên trang 15 1.3.6 Rò rỉ thông tin xử lý lỗi không 16 1.3.7 Vỡ trình quản lý xác thực phiên 17 1.3.8 Mã hóa đĩa lưu trữ không an toàn 18 1.3.9 Truyền thông không an toàn 19 1.3.10 Lỗi giới hạn truy cập URL 20 Chương 2: CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN ỨNG DỤNG WEB (WEB APPLICATION) 21 2.1 Lập trình an toàn 21 2.1.1 Kiểm tra hợp lệ đầu vào .22 2.1.2 Bảo vệ hệ thống tệp tin 23 2.1.3 Bảo vệ sở liệu .24 2.1.4 Bảo vệ phiên làm việc 28 2.1.5 Bảo vệ chống lại lỗ hổng XSS .31 2.1.6 Bảo vệ chống lại việc gửi lên (post) không hợp lệ .32 2.1.7 Bảo vệ chống lại giả mạo truy vấn liên trang (CSRF) 35 2.2 Sử dụng thiết bị phần mềm bảo mật cho ứng dụng web 37 2.2.1 Giải pháp sử dụng tường lửa 37 2.2.1.1.Giải pháp với thiết bị tường lửa CheckPoint 37 2.2.1.2 Giải pháp với thiết bị tường lửa ứng dụng web Imperva 44 2.2.1.3 Sử dụng phần mềm tường lửa 47 2.2.2 Sử dụng thiết bị phát phòng chống xâm nhập (IDS/IPS) 48 Chương 3: TRIỂN KHAI, XÂY DỰNG HỆ THỐNG BẢO VỆ MÁY CHỦ WEB CỦA HỌC VIỆN KỸ THUẬT MẬT MÃ DỰA TRÊN MODSECURITY VÀ IPTABLES .51 3.1 Giới thiệu mô hình hệ thống Học viện Kỹ thuật Mật Mã 51 3.2 Các nguy hệ thống Học viện Kỹ thuật Mật Mã .53 3.3 Xây dựng mô hình bảo vệ .54 3.4 Giới thiệu tường lửa Iptables ModSecurity 56 3.4.1 Tường lửa Iptables 56 3.4.1.1 Khái niệm 56 3.4.1.2 Xử lí gói IPtables 57 3.4.1.3 Những Modun Kernel cần thiết .60 3.4.2 Tường lửa ModSecurity .61 3.4.2.1 Khái niệm 61 3.4.2.2 Các khả ModSecurity .61 3.4.2.3 Nguyên lý hoạt động .61 3.4.2.3 Quá trình xử lý 63 3.4.2.4 File cấu hình 64 3.4.2.5 Ghi nhật ký (Logging) 65 Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables 3.5 Triển khai phần mềm tường lửa ModSecurity kết hợp với Iptables để bảo vệ hệ thống Web 67 3.5.1 Cài đặt ModSecurity Iptables trực tiếp máy chủ Web .68 3.5.2 Xây dựng tập luật ModSecurity .69 3.5.3 Xây dựng tập luật tường lửa Iptables .72 Chương 4: KẾT LUẬN, ĐÁNH GIÁ VÀ ĐỊNH HƯỚNG PHÁT TRIỂN .73 TÀI LIỆU THAM KHẢO 75 PHỤ LỤC 76 Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mô hình hoạt động SOAP Hình 1.2: Kiến trúc dịch vụ hướng đối tượng Hình 2.1: Liệt kê – Tải xuống tập tin .24 Hình 2.2: Liệt kê – Kiểm tra hợp lệ với ký tự tên tập tin 24 Hình 2.3: Liệt kê - Thi hành lệnh SQL 26 Hình 2.4: Liệt kê - Liệt kê kiểm tra hợp lệ .27 Hình 2.5: Liệt kê - Lưu trữ liệu phiên .29 Hình 2.6: Liệt kê - Các tập tin phiên thư mục /tmp .29 Hình 2.7: Liệt kê – Nội dung tập tin phiên 29 Hình 2.8: Liệt kê – Ví dụ hàm session_set_save_handler() .30 Hình 2.9: Liệt kê – Biểu mẫu để nhập vào văn 31 Hình 2.10: Liệt kê 10 - showResults.php 31 Hình 2.11: Liệt kê 11 – Mẫu văn đầu vào độc hại .32 Hình 2.12: Liệt kê 12 – Một biểu mẫu an toàn 32 Hình 2.13: Liệt kê 13 – Một biểu mẫu để xử lý văn 33 Hình 2.14: Liệt kê 14 - Một biểu mẫu để thu nhập liệu 33 Hình 2.15: Liệt kê 15 – Một biểu mẫu với liệu không hợp lệ .34 Hình 2.16: Liệt kê 16 – Sử dụng thẻ biểu mẫu lần .35 Hình 2.17: Liệt kê 17 - Một thí dụ CSRF 35 Hình 2.18: Liệt kê 18 – Lấy liệu từ $_REQUEST 36 Hình 2.19: Liệt kê 19 - Lấy liệu từ $_POST 36 Hình 2.20: Giải pháp CheckPoint UTM cho danh nghiệp vừa nhỏ 38 Hình 2.21: Giải pháp CheckPoint UTM cho doanh nghiệp lớn 39 Hình 2.22: Giải pháp CheckPoint UTM cho ứng dụng Web Internet/Intranet 41 Hình 2.23: Giải pháp CheckPoint UTM cho ứng dụng Web-hosting 43 Hình 2.24: Tính hệ thống Imperva WAF 45 Hình 2.25: So sánh Imperva WAF với IPS 47 Hình 3.1: Mô hình mạng Học viện kỹ thuật mật mã 52 Hình 3.2: Máy chủ web tích hợp tường lửa ứng dụng .54 - Sử dụng thiết bị tường lửa hệ thống để bảo vệ chung vùng (vùng máy chủ vùng người sử dụng bên trong): 54 Để giới hạn dịch vụ công khai bên internet 54 Ngăn ngừa công từ bên vào vùng máy chủ vùng người sử dụng bên 54 Ngăn ngừa công từ vùng Internal vào vùng máy chủ 54 Ghi nhật ký luồng truy cập vào hệ thống máy chủ 54 Quản lý trình VPN người quản trị, người dùng từ bên internet vào bên 54 - Sử dụng thêm thiết bị phát phòng chống xâm nhập (IDS/IPS) để bổ trợ cho thiết bị tường lửa, đồng thời bảo vệ tốt cho vùng máy chủ bên để ngăn chặn các hình thức công như: 55 Các công từ chối dịch vụ (DOS/DDOS) vào hệ thống máy chủ 55 Các công vào giao thức HTTP, HTTPs, FTP, DNS, SMTP… 55 - Sử dụng tường lửa ứng dụng web để bảo vệ hệ thống website tốt (do hạn chế thiết bị IPS phân tích yêu cầu HTTP nên ngăn chặn công SQL Injection, XSS, CSRF, …): 55 Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables Hình 3.3: Kiến trúc Netfilter/Iptables 57 Hình 3.4: Tổng quan việc lọc xử lý gói iptables .58 Hình 3.5: Một ví dụ đường gói liệu .59 Hình 3.6: Quá trình xử lý ModSecurity .63 Hình 3.7: Cấu hình modsecurity httpd.conf 69 LỜI NÓI ĐẦU Hiện công nghệ thông tin phát triển, nhiều cá nhân hay tổ chức có nhu cầu xây dựng cho website riêng với mục đích giải trí, thư giãn, quảng bá sản phẩm, thương hiệu Nếu trước đây, việc xây dựng website riêng vấn đề khó, đòi hỏi người lập trình phải có nhiều kiến thức sâu rộng, nhiên vấn đề bảo mật website lại chưa quan tâm mức Nhưng đến nay, nhiều tổ chức nghiên cứu cung cấp giải pháp giúp cho cá nhân, tổ chức xây dựng website riêng, vấn đề bảo mật đặt lên hàng đầu Dự án kiểm thử lỗ hổng ứng dụng web (Open Web Application Security Project – OWASP) tập hợp nhà kiểm thử để tìm lỗ hổng ứng dụng web đưa 10 tổn thương nghiêm trọng ứng dụng web Đồng thời đưa giải pháp để phòng chống công SQL Injection, XXS, Directory Traversal… Trên sở dự án này, tổ chức, công ty xây dựng lên tường lửa ứng dụng web (Web Application Firewall – WAF) để bảo vệ hệ thống máy chủ web sản phẩm Imperva, CheckPoint hay ModSecurity Trong Imperva Checkpoint sản phẩm thương mại, ModSecurity sản phầm nguồn mở Tuy ModSecurity sản phầm nguồn mở, làm nhiệm vụ ngăn chặn số dạng công nhằm vào Web sở liệu, công theo đường khác tận dụng lỗ hổng từ Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables dịch vụ khác, hay công DoS, DDoS ModSecurity làm việc chưa hiệu Do đồ án em nghiên cứu để kết hợp tưởng lửa nguồn mở ModSecurity Iptables để bảo vệ cho hệ thống máy chủ web Học viện Kỹ thuật Mật Mã nhằm chống lại hình thức công phổ biến Em xin chân thành cảm ơn KS Nguyễn Hồng Thịnh thầy giáo ThS.Vũ Đình Thu thời gian qua tận tình hướng dẫn em hoàn thành đồ án tốt nghiệp Sinh viên Chương 1: TỔNG QUAN VỀ ỨNG DỤNG WEB VÀ CÁC VẤN ĐỀ AN NINH BẢO MẬT LIÊN QUAN 1.1 Tổng quan Website Website tập hợp nhiều trang web - loại siêu văn (tập tin dạng HTML XHTML) trình bày thông tin mạng Internet- địa định để người xem truy cập vào xem Trang web người xem truy cập từ tên miền thường gọi trang chủ (homepage), người xem xem trang khác thông qua siêu liên kết (hyperlinks) Đặc điểm tiện lợi website: thông tin dễ dàng cập nhật, thay đổi, khách hàng xem thông tin tức khắc, nơi nào, tiết kiệm chi phí in ấn, gửi bưu điện, fax, thông tin không giới hạn (muốn đăng thông tin được, không giới hạn số lượng thông tin, hình ảnh ) không giới hạn phạm vi khu vực sử dụng (toàn giới truy cập) Một website thông thường chia làm phần: giao diện người dùng (front-end) chương trình lập trình để website hoạt động (backend) Giao diện người dùng định dạng trang web trình bày Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables hình máy tính người xem (máy khách) xem phần mềm trình duyệt web Internet Explorer, Firefox, Tuy nhiên ngày người xem xem website từ thiết bị điện tử khác điện thoại di động, PDA, Việc trình bày website phải đảm bảo yếu tố thẩm mỹ đẹp, ấn tượng; bố cục đơn giản, dễ hiểu dễ sử dụng, chức tiện lợi cho người xem Đặc biệt ngày nay, website trở nên sống động với hiệu ứng đa dạng hình ảnh chữ kết hợp với âm Phần Back-end phần lập trình website lưu trữ máy chủ (Server) Sự khác phần lập trình back-end website làm phân loại website: Website tĩnh website động - Website động (Dynamic website) website có sở liệu, cung cấp công cụ quản lý website (Admin Tool) để cập nhật thông tin thường xuyên, quản lý thành phần website Loại website thường viết ngôn ngữ lập trình PHP, Asp.net, JSP, Perl, , quản trị Cơ sở liệu SQL MySQL, - Website tĩnh lập trình ngôn ngữ HTML theo từng, sở liệu công cụ quản lý thông tin website Ta phải biết kỹ thuật thiết kế trang web (thông thường phần mềm FrontPage, Dreamwaver, ) muốn thiết kế cập nhật thông tin trang web Trước đây, chưa có tiêu chuẩn định cho việc trình bày trang web dẫn đến khó khăn thiếu tương thích trình duyệt, không tương thích với thiết bị truy cập khác máy tính Chính vậy, tổ chức W3C xây dựng Dự án chuẩn hóa Web (Web Standard) nhằm thiết lập số chuẩn chung cho công nghệ, ngôn ngữ sử dụng việc thiết kế Web Dự báo tương lai gần, website trở nên thân thiện với người dùng có tương tác tùy biến theo nhu cầu người 1.2 Tổng quan dịch vụ Web (Web Service) Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables Dịch vụ web kết hợp máy tính cá nhân với thiết bị khác, sở liệu mạng máy tính để tạo thành cấu tính toán ảo mà người sử dụng làm việc thông qua trình duyệt mạng Bản thân dịch vụ chạy máy phục vụ Internet máy tính cá nhân, chuyển chức nǎng từ máy tính cá nhân lên Internet Người sử dụng làm việc với dịch vụ thông qua loại máy có hỗ trợ web service có truy cập Internet, kể thiết bị cầm tay Do web service làm Internet biến đổi thành nơi làm việc phương tiện để xem tải nội dung Điều đưa liệu ứng dụng từ máy tính cá nhân tới máy phục vụ nhà cung cấp dịch vụ web Các máy phục vụ cần trở thành nguồn cung cấp cho người sử dụng độ an toàn, độ riêng tư khả nǎng truy nhập Các máy phục vụ ứng dụng phần quan trọng web service thường máy phục vụ thực hoạt động ứng dụng phức tạp dựa chuyển giao người sử dụng chương trình kinh doanh hay sở liệu tổ chức Một giao diện lập trình ứng dụng (Application Programming Interface API) giao diện mà hệ thống máy tính hay ứng dụng cung cấp phép yêu cầu dịch vụ tạo từ chương trình máy tính khác, và/hoặc cho phép liệu trao đổi qua lại chúng Chẳng hạn, chương trình máy tính (và thường phải) dùng hàm API hệ điều hành để xin cấp phát nhớ truy xuất tập tin Nhiều loại hệ thống ứng dụng thực API, hệ thống đồ họa, sở liệu, mạng, dịch vụ web, số trò chơi máy tính Đây phần mềm hệ thống cung cấp đầy đủ chức tài nguyên mà lập trình viên rút từ để tạo nên tính giao tiếp người - máy như: trình đơn kéo xuống, tên lệnh, hộp hội thoại, lệnh bàn phím cửa sổ Một trình ứng dụng sử dụng để yêu cầu thi hành dịch vụ cấp thấp hệ điều hành máy tính thực Hệ giao tiếp lập trình Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables ứng dụng giúp ích nhiều cho người sử dụng cho phép tiết kiệm nhiều thời gian tìm hiểu chương trình mới, khích lệ người dùng nhiều ứng dụng Một số nhà quan sát ngành công nghiệp cho web service không thực khái niệm phản ánh phần không nhỏ khái niệm mạng máy tính vốn trở nên quen thuộc nhiều nǎm qua Web service chủ yếu dựa lời gọi thủ tục từ xa không chặt chẽ mà thay lời gọi thủ tục từ xa chặt chẽ, đòi hỏi kết nối API phù hợp phổ biến Dịch vụ web sử dụng XML C hay C++ để gọi quy trình Tuy nhiên chuyên gia khác lại cho web service dạng API dựa phần mềm trung gian, có sử dụng XML để tạo phần giao diện Java (J2EE) hay server ứng dụng NET Giống phần mềm trung gian, web service kết nối server ứng dụng với chương trình khách hàng Dịch vụ Web đặc trưng bới giao diện lập trình ứng dụng (API) hay giao diện lập trình ứng dụng Web (Web API) truy cập thông qua HTTP (Hypertext Tranfer Protocol) thực thi hệ thống lưu trữ từ xa với dịch vụ yêu cầu Dịch vụ Web có xu hướng rơi vào hai trường hợp Big Web Services RESTful Web Services “Big Web Services” sử dụng thông điệp XML (Extensible Markup Language) dùng để biểu thị cho giao thức truy cập đối tượng đơn giản (SOAP – Simple Object Access Protocol) phổ biến doanh nghiệp truyền thống Trong hệ thống vậy, có thiết bị dùng để đọc miêu tả hệ thống lời để nghị dịch vụ viết ngôn ngữ miêu tả dịch vụ Web (Web Services Description Language – WSDL) Sau không cần yêu cầu từ SOAP, điều kiện máy khách tự động dựa hệ mã Java hay Net Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables Hình 1.1: Mô hình hoạt động SOAP WEB API phát triển dịch vụ Web (một tên gọi khác WEB 2.0) không sử dụng SOAP mà dựa Representational (REST) thông qua thông tin liên lạc Dịch vụ REST không yêu cầu XML hay SOAP Web APIs cho phép kết hợp nhiều dịch vụ web ứng dụng gọi mashups (Web Applicaiton Hybrid - Ứng dụng web hỗn hợp) Hình 1.2: Kiến trúc dịch vụ hướng đối tượng Khi sử dụng bối cảnh phát triển web , web API thường định nghĩa tập Hypertext Transfer Protocol (HTTP) yêu cầu với định nghĩa cấu trúc tin nhắn phản ứng, thường diễn tả Học viện Kỹ thuật Mật Mã Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables định dạng Extensible Markup Language (XML) JavaScript Object Notation (JSON) Khi chạy dịch vụ web chính, dịch vụ coi tự trị Người sử dụng không kiểm soát dịch vụ Ngoài dịch vụ web không đáng tin cậy; nhà cung cấp dịch vụ loại bỏ, thay đổi cập nhật dịch vụ họ mà không đưa thông báo cho người dùng Độ tin cậy sửa lỗi không hỗ trợ; lỗi lầm xảy trình thực yêu cầu Xử lý ngoại lệ bối cảnh dịch vụ web vấn đề nghiên cứu mở Các W3C định nghĩa “dịch vụ web” "một hệ thống phần mềm thiết kế để hỗ trợ tương thích máy với máy tương tác mạng Nó có giao diện mô tả định dạng tiến trình máy cụ thể Ngôn ngữ mô tả dịch vụ web (Web Services Description Language - WSDL) Các hệ thống khác tương tác với dịch vụ web cách thức theo quy định mô tả cách sử dụng tin nhắn SOAP, thông thường truyền đạt cách sử dụng HTTP với XML nhiều lần liên kết với web liên quan đến tiêu chuẩn khác." Các W3C nói, "Chúng xác định hai loại dịch vụ web, REST tuân theo dịch vụ Web, mục đích dịch vụ thao tác quan đại diện nguồn tài nguyên Web XML cách sử dụng đồng phục" không quốc tịch "hoạt động, độc đoán Web dịch vụ, dịch vụ phơi bày cách tùy tiện hoạt động " 1.3 Các nguy ứng dụng web Ngày việc sử dụng website phổ biến, có nhiều nguy dẫn đến việc hệ thống bị công Nguy xuất phát từ phiên máy chủ web máy chủ sở liệu mà sử dụng Ở phiên sử dụng đề có lỗ hổng mà nhờ kẻ công thâm nhập vào hệ thống Để khắc phục nguy này, người quản trị cần phải cập nhật vá từ nhà cung cấp sản phẩm Nhưng câu hỏi đặt Học viện Kỹ thuật Mật Mã 10 Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables SecRule ARGS Injection'" SecRule ARGS Injection'" SecRule ARGS Injection'" SecRule ARGS Injection'" SecRule ARGS Injection'" SecRule ARGS Injection'" " union\s+all\s+select" "t:lowercase,deny,msg:'SQL "into\s+outfile" "t:lowercase,deny,msg:'SQL " drop\s+table" "t:lowercase,deny,msg:'SQL " alter\s+table" "t:lowercase,deny,msg:'SQL " load_file" "t:lowercase,deny,msg:'SQL " select\s+*" "t:lowercase,deny,msg:'SQL Xây dựng tập luật chống công Brute Force: # # Throttle login attempts after failed attempts # SecAction "initcol:ip=%{REMOTE_ADDR},pass,nolog" SecRule RESPONSE_BODY "Username does not exist" "phase:4,pass,setvar: ip.failed_logins=+1,expirevar:ip.failed_logins=10" SecRule IP:FAILED_LOGINS "@gt 3" "phase:4,allow,pause:3000" Xây dựng tập luật chống việc khám phá mã nguồn truy cập vào thư mục khác: # Prevent PHP source code from being disclosed SecRule RESPONSE_BODY "[...]... lập trình an toàn: - Kiểm tra hợp lệ đầu vào - Bảo vệ hệ thống tệp tin Học viện Kỹ thuật Mật Mã 21 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables - Bảo vệ cơ sở dữ liệu - Bảo vệ dữ liệu phiên làm việc - Bảo vệ chống lại các sơ hở của kịch bản lệnh xuyên các trang (CrossSite Scripting - XSS) - Kiểm tra các biểu mẫu gửi lên - Bảo vệ chống lại các giả mạo yêu cầu xuyên... Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables Injection Flaws là một hình thức tấn công dựa trên các lỗi có từ mã nguồn hay từ hệ điều hành Injection Flaws cho phép kẻ tấn công thực hiện các mã độc hại xuyên qua một ứng dụng web để đi vào một hệ thống khác Những cuộc tấn công bao gồm các cuộc gọi đến hệ điều hành thông qua các cuộc gọi hệ thống, việc sử dụng các chương.. .Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables là: Liệu sau khi cập nhật các bản vá đó sẽ hệ thống của chúng ta sẽ an toàn? Và ta có thể dễ dàng trả lời là chưa an toàn Vì đối với mỗi hệ thống tùy theo nhu cầu sử dụng sẽ có một cấu hình riêng, do đó khi cập nhất các bản vá này có thể làm cho hệ thống hoạt động không ổn đinh, và có thể không tương... 17 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables phát triển thường xuyên đánh giá thấp sự phức tạp của thiết kế một chương trình xác thực và quản lý phiên làm việc đó bảo vệ đầy đủ các thông tin trong tất cả các khía cạnh của trang Web Ứng dụng Web thiết lập các phiên để theo dõi các dòng yêu cầu từ mỗi người dùng HTTP không cung cấp khả năng này, do đó, các ứng dụng. .. 11 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables cho dự án này là www.owasp.org Danh sách các ứng dụng lỗ hổng web đó sau đó được lấy từ trang này Dự án này đưa ra 10 tổn thương bảo mật nghiêm trọng đối với ứng dụng Web: 1.3.1 Tấn công kịch bản liên trang Kỹ thuật này được gọi là kỹ thuật tấn công kịch bản liên trang, là một kĩ thuật tấn công bằng các chèn vào các website... Kỹ thuật Mật Mã 23 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables Hình 2.1: Liệt kê 1 – Tải xuống một tập tin Việc cấu hình cho phép truy cập hệ thống tệp tin tùy theo đầu vào của người sử dụng là nguy hiểm, vì vậy tốt nhất là tránh hoàn toàn việc đó bằng cách thiết kế ứng dụng của ta để nó sử dụng một cơ sở dữ liệu và các tên tệp tin được tạo ra và giấu kín Tuy nhiên,... bao gồm các ký tự không hợp lệ Nếu ta dựa vào magic_quotes_gpc, xin Học viện Kỹ thuật Mật Mã 27 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables báo trước là nó đã lạc hậu và sẽ được loại bỏ trong PHP V6 Bây giờ hãy tránh dựa vào nó và viết các ứng dụng PHP của ta an toàn mà không cần đến nó Ngoài ra, hãy nhớ rằng nếu ta đang sử dụng một ISP, có nhiều khả năng là magic_quotes_gpc... phá và khai thác, nhưng chúng cũng có thể cực kỳ tối nghĩa Hậu quả cũng có thể chạy toàn bộ phạm vi của mức độ nghiêm trọng, từ tầm thường để hoàn tất thỏa hiệp hệ thống hoặc tiêu hủy Trong mọi trường hợp, việc sử dụng các cuộc gọi bên Học viện Kỹ thuật Mật Mã 13 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables ngoài là khá phổ biến, do đó, khả năng của một ứng dụng web. .. những người sử dụng ác ý chọn được (select) những cột nào muốn hiển thị, đưa ra các trang, và lấy dữ liệu Vụ rò rỉ này cho thấy rằng người sử dụng có thể tính Học viện Kỹ thuật Mật Mã 24 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables toán ra được các cách để làm cho đầu vào của họ làm những việc mà các nhà phát triển ứng dụng chắc chắn không lường trước được và nhấn mạnh... hưởng để khởi động hoặc thậm chí tự động hoá các cuộc tấn công mạnh hơn Học viện Kỹ thuật Mật Mã 16 Xây dựng hệ thống bảo vệ ứng dụng web dựa trên tường lửa ModSecurity và Iptables Tất cả các ứng dụng web đều dễ bị rò rỉ thông tin và xử lý lỗi không đúng Các ứng dụng thường xuyên tạo ra các thông báo lỗi và hiển thị chúng cho người dùng Rất nhiều những thông báo lỗi là khá hữu ích cho kẻ tấn công, khi .. .Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables 3.5 Triển khai phần mềm tường lửa ModSecurity kết hợp với Iptables để bảo vệ hệ thống Web ... đảm bảo lập trình an toàn: - Kiểm tra hợp lệ đầu vào - Bảo vệ hệ thống tệp tin Học viện Kỹ thuật Mật Mã 21 Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity Iptables - Bảo vệ sở... mềm tường lửa nguồn mở hỗ trợ, bảo vệ website Trên môi trường Linux, Unix có loại ModSecurity, Iptables có sẵn Học viện Kỹ thuật Mật Mã 47 Xây dựng hệ thống bảo vệ ứng dụng web dựa tường lửa ModSecurity