Nghiên cứu giải pháp đánh giá rủi ro cho ứng dụng web

52 590 5
Nghiên cứu giải pháp đánh giá rủi ro cho ứng dụng web

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TRN TH H B GIO DC V O TO TRNG I HC s PHM H 1.1 NGHIấN CU GII PHP NH GI RI RO CHO NG DNG WEB LUN VN THC s MY TNH TRN TH H 1.2 NGHIấN CU GII PHP NH GI RI RO CHO NG DNG WEB Chuyờn ngnh: Khoa hc mỏy tớnh Mó s: 60 48 01 01 LUN VN THC s MY TNH Ngũi hng dn khoa hc: TS Hề VN HNG LI CM N Trong thi gian lm lun em ó gp rt nhiu khú khn nhung uc s giỳp v to iu kin rt nhiu t cỏc thy cụ giỏo, bn bố v gia ỡnh, em ó hon thnh xong lun ca mỡnh Truc tiờn em xin uc by t lũng bit n ti cỏc thy cụ giỏo ó v ang cụng tỏc ti khoa Sau i Hc - Trung i hc su phm H Ni 2, nhng ngui ó ging dy v cung cp nhng kin thc khoa hc quý bỏu sut nm hc qua em cú nn tng kin thc thc hin lun c bit em xin gi li cm n sõu sc ti TS H Vn Hung, ngui ó tn tỡnh ch bo, giỳp v to iu kin em cú th hon thnh lun ny Em cng xin gi li cm n ti th lp Khoa Hc Mỏy Tớnh - K17, trung i hc su phm H Ni ó nhit tỡnh giỳp v chia s nhng kinh nghim quý bỏu cho em Cui cựng em xin gi li cm n gia ỡnh, bn bố ó to iu kin, giỳp v úng gúp nhiu ý kin quý bỏu cho em cuc sng, cụng vic v hc núi chung cng nhu quỏ trỡnh em thc hin lun núi riờng Mc dự ó cú nhiu c gng nhung hn hp v kin thc, kinh nghim cng nhu thi gian tỡm hiu, nghiờn cu v thc hin nờn lun khụng trỏnh nhng thiu sút Em rt mong nhn uc s gúp ý ca thy cụ, bn bố em cú th hon thin tt lun ca mỡnh Em xin chõn thnh cm n! Xuõn Hũa, thỏng 10 nm 2015 Hc viờn Trn Th H LI CAM OAN Tụi cam oan õy l cụng trỡnh nghiờn cu ca riờng tụi Cỏc s liu, kt qu nờu lun l trung thc v chua tng uc cụng b bt k cụng trỡnh no khỏc Tỏc gi lun Trn Th H MC LC PH LC DANH MC CC THUT NG, CC CH VIT TT Ký hiu ASP CAPTC HA Ting Anh Active Server Pages Completely Automated Public Turing test to tell Computers and Humans Apart DOM Document Object Model Ting Vit Mụi trng cho cỏc ng dng chy trờn Server Phộp th Turing hon ton t ng phõn bit mỏy tớnh v ngi H giao tip lp trỡnh ng dng cho HTML vXML ESAPI Anhanced Small Arms Protective Tng cng lỏ chn nh bo v chốn Insert IDE Integrated Development Mụi trng phỏt trin tớch hp IDS Environment Intrusion Detection System IIS Internet Information Services Dch v cung cp thụng tin Internet IPSec Internet Protocol Security Giao thc bo mt Internet NTFS New Technology File System H thng tin cụng ngh mi OSI Open Systems Interconnection OWAS P Open Web Application Security Project Mt h thng phỏt hin xõm nhp Mụ hỡnh tham chiu kt ni cỏc h thng m D ỏn an ninh m ng dng Web DANH MC BNG DANH MC HèNH V Hỡnh 3.8 Giao din ang thc hin quột M U Lý chn ti Vi xu th phỏt trin nhanh chúng ca ngnh thng mi in t hin nay, rt nhiu doanh nghip hin ang s dng ng dng web cung cp dch v thng mi trc tuyn, kt ni khỏch hng, i tỏc v nhõn viờn mt cỏch hiu qu nht a s ng dng web cú th b nhng li m cỏc phng phỏp phũng chng mng thụng thng khụng bo v c Li v l hng mó ngun ca ng dng web cú th gõy nhng hu qu nghiờm trng nh l d liu nhy cm, gõy tn thng n ton h thng h tng cụng ngh thụng tin S c bo mt ng dng web cú th nh hng n danh ting ca cụng ty, mt mỏt v mt ti chớnh, nh hng n uy tớn vi khỏch hng v cỏc liờn quan n phỏp lý Khi mt t chc trin khai trc tuyn mt ng dng web, iu ny ng ngha vi vic t chc ú cho phộp bt k cng cú quyn truy cp vo ng dng qua giao thc HTTP Nhng truy cp ny cú kh nng vt qua tng la, h thng lc tng mng, cỏc lp bo v h thng v c h thng phỏt hin xõm nhp Vỡ cỏc mó tn cụng u nm cỏc gúi giao thc HTTP hp l Ngay c nhng trang Web cú mc bo mt cao s dng SSL cng u cho phộp tt c cỏc d liu i qua m khụng h kim tra tớnh hp l ca nhng d liu ny iu ny cú ngha bo mt ng dng web l mt yu t quan trng nm h thng phũng th ngoi vi, cựng vi tng la v cỏc thit b bo mt khỏc Vỡ vy, vic Nghiờn cu gii phỏp ỏnh giỏ ri ro cho ng dng Web l ti rt cp thit v cú ý ngha thc tin Mc ớch nghiờn cu Nghiờn cu v cỏc l hng bo mt v phng phỏp ỏnh giỏ mc ri ro cho ng dng Web núi chung v website núi riờng Kt qu nghiờn cu ca lun s gúp phn giỳp cho cỏc nh qun lý (hay ch s hu) cỏc website cú c cỏi nhỡn y v hin trng v mc an ton cỏc website ca h thụng qua kt qu ỏnh giỏ s tn ti cỏc l hng, cỏc nguy c tn cụng tim n Nhim v nghiờn cu - Nghiờn cu tng quan v ỏnh giỏ ri ro cho ng dng Web - Nghiờn cu gii phỏp ỏnh giỏ v mụ hỡnh ỏnh giỏ ri ro cho ng dng Web - Nghiờn cu mt s cụng c ỏnh giỏ l hng bo mt ca website - Tin hnh th nghim ỏnh giỏ ri ro cho ng dng Web theo phung phỏp hp en Phng phỏp nghin cu - Phung phỏp nghiờn cu lý lun: c ti liu, phõn tớch, h thng hoỏ, khỏi quỏt hoỏ ti liu tng quan c s lý lun ca ti - Phng phỏp mụ phng thc nghim: s dng cụng c Acunetix ỏp dng trin khai ỏnh giỏ cng thụng tin in t ca Trng i hc S Phm H Ni v cng thụng tin in t ca Tnh Vnh Phỳc B cc ca lun gm chng: Chng 1: Tng quan v ỏnh giỏ ri ro cho ng dng web Trỡnh by cỏc khỏi nim v an ton thụng tin, ỏnh giỏ ri ro, tng quan v ng dng web ng thi nghiờn cu cỏc mi e da, cỏc l hng bo mt ph bin ca ng dng web v cỏc bin phỏp m bo an ton ng dng web Chng 2: Phng phỏp ỏnh giỏ v mụ hỡnh ỏnh giỏ ri ro cho ng dng web Gii thiu v phõn tớch cỏc l hng bo mt ca cỏc thnh phn ng dng web, phõn tớch v ỏnh giỏ cỏc phung phỏp kim tra l hng, la chn phung phỏp kim tra ti uu ng thi phõn tớch v ỏnh giỏ mt s cụng c kim tra l hng v chn mt cụng c th nghim ỏnh giỏ chuụng Chng 3: Th nghim ỏnh giỏ ri ro cho ng dng web theo phng phỏp hp en S dng cụng c phn mm kim tra l hng Acunetix xõy dng kch bn, tin hnh th nghim ỏnh giỏ ri ro cho ng dng web ca n v c th v xut cỏc gii phỏp m bo an ton cho ng dng web CHNG 1: TNG QUAN Vẩ NH GI RI RO CHO NG DNG WEB 1.1 Mt s khỏi nim v an ton thụng tin v ỏnh giỏ ri ro 1.1.1 Khỏi nim CO bn v an ton thụng tin An ton thụng tin: L s bo v thụng tin chng li cỏc ri ro, mt mỏt, phỏ hy hay s dng khụng hp l m bo an ton thụng tin: L m bo cỏc tớnh cht mt, ton vn, chớnh Bng 2.1: u v nhc im ca phng phỏp kim tra hp en u im Nhc im Cú quan im c lp, vỡ ch yu da trờn vai trũ ngi dựng cui; Hiu qu hn ch kim tra viờn khụng bit nhiu v ng dng; Khụng yờu cu truy cp mó Rt khú xỏc nh tt c ngun, khụng ũi hi kim tra viờn phi cỏc yu t u vo quỏ trỡnh cú kin thc sõu v lp trỡnh, v h kim tra; thng; Khú thit k kch bn kim Rt thớch hp vi nhng ng dng cú mó ngun ln; tra Vic u t cụng c cho kim tra cú th s dng li nhiu ln 2.3.2 Phng phỏp kim tra hp trng nh ngha: Kim th hp trng (White Box Testing): da vo thut toỏn, cu trỳc code bờn ca chng trỡnh vi mc ớch m bo rng tt c cỏc cõu lờnh v iu kiờn s c thc hiờn ớt nht mụt ln Phng phỏp kim tra hp trng: cỏc l hng bo mt trờn ng dng web l kim tra, phõn tớch, tỡm kim li trc tip trờn mó ngun ca ng dng Phng phỏp ny thng c thc hin bi nh phỏt trin Quỏ trỡnh xỏc nh l hng da trờn mó ngun cú th c thc hin th cụng hoc bng cụng c Vic thc hin th cụng vi s lng ln cỏc dũng lnh cú cu trỳc phc s gp rt nhiu khú khn Do ú, rt cn phi cú cụng c h tr cho kim tra viờn phõn loi, tip cn nhanh chúng nhng im m ng dng cú kh nng b li Cỏc cụng c kim tra s tin hnh quột ton b mó ngun ca ng dng v da trờn nhn bit cỏc hm, cỏc ch dn cú kh nng gõy li bi ngụn ng lp trỡnh phỏt trin ng dng web Mt cụng c phớ c s dng ph bin quột mó ngun l AppCodeScan Blueinjy Solutions Pvt Ltd phỏt trin Cỏch tip cn kim tra mó ngun ng dng web: - Theo dừi kh nng iu khin d liu ca ngi s dng t nhng im vo ca ng dng v quan sỏt mó chu trỏch nhim x lý nú - Tỡm kim mó ngun nhng du hiu li bo mt kh nghi, quan sỏt nhng v trớ ny xỏc nh rừ cú thc s gõy li hay khụng Nhng thnh phn chc nng cn c lu tõm xem xột mó ngun l cỏc thnh phn liờn quan n chng thc, qun lý phiờn s dng, cỏc iu khin truy cp, cỏc giao tip vi cỏc thnh phn bờn ngoi Vớ d, kim tra li SQL Injection ta cn quan tõm n cỏc t khúa truy SQL nh select, update, delete, insert, v theo dừi quỏ trỡnh thnh lp SQL v cỏch thc gi nú mó ngun Bng 2.2: u v nhc im ca phng phỏp kim tra hp trng u im Nhc im õy l phng phỏp kim tra cho kt qu tt nht, chi tit nht; Kim tra viờn phi cú kin thc v mó ngun nờn d dng tỡm cỏc loi d liu giỳp cho vic kim tra hiu qu hn; Giỳp ti u hoỏ mó ngun, loi b nhng on mó ngun gõy hi; Dorỡm tra vien co kin thc v mó ngun m cú th t c hiu qu ti a c thc hin bi nh phỏt trin nờn cú th kt qu kim tra mang tớnh ch quan; Tiờu tn nhiu thi gian kim tra; Yờu cu kim tra viờn cú k nng cao; Chi phớ cho vic rkim tra cao cỏc kch bn kim tra 2.3.3 Phng phỏp kim tra hp xỏm Phng phỏp kim tra hp xỏm (Grey Box Testing) c s dng kim tra nhng thụng tin c bit bờn h thng mang tớnh hn ch Thc cht õy l phng phỏp kt hp gia kim tra Black Box Testing v White Box Testing Trong phng phỏp ny, kim tra viờn cú th c xem ti liu thit k, truy cp CSDL Vi nhng thụng tin cú c, kim tra viờn cú th cú kch bn kim tra tt hn lờn k hoch kim tra Vic kim tra cú th c tin hnh vi vai trũ ngi dựng cui hoc nh phỏt trin phn mm Bng 2.3: u v nhc im ca phng phỏp kim tra hp xỏm u im Nhc im Kt hp li th ca hai phng Kim tra tt c cỏc u vo s phỏp kim tra hp en v kim tra hp khụng thc t, vỡ mt rt nhiu thi xỏm; gian; Kim tra viờn khụng da vo mó Nu ngi thit k phn mm ngun m da vo vic nh ngha giao thit k sn cỏc trng hp kim tra din v c t cỏc chc nng; Da trờn mt s thụng tin cú thỡ kt qu s khụng khỏch quan Kch bn kim tra cha thc s c, cú th xõy dng cỏirkch bn kim khỏch quan tra rt hiu qu; 2.3.4 Phõn tớch, so sỏnh cỏc phng phỏp kim tra l hng Ba phng phỏp kim tra nh ó trỡnh by phn trờn nhỡn chung u cú u v nhc im riờng Vic la chn gii phỏp tin hnh ỏnh giỏ s ph thuc vo iu kin thc t Chng hn, mt t chc t phỏt trin mt ng dng web t khõu thit k n vic lp trỡnh, cỏc chuyờn gia cú nng lc (lp trỡnh an ton) thỡ kim tra bang White Box Testing l phự hp Thc t, phn ln cỏc website ch c xõy dng m bo cỏc chc nng cho mc ớch s dng v cha qua bc kim tra tớnh bo mt trc a vo s dng Hn na cỏc lp trỡnh viờn thng khụng cú k nng lp trỡnh an ton, ú c nhng nh phỏt trin cng khụng cú nng lc kim tra v cỏc im yu an ton Phng phỏp kim tra hp xỏm cng cú nhng li th nht nh Tuy nhiờn, chớnh nhng li th ú ụi dn n nhng sai sút kim tra Vỡ ngi kim tra s khụng m bo tớnh khỏch quan, rt khú cú th nhỡn nhn trờn quan im ca k tn cụng i vi kim tra hp en, ngi kim tra hon ton ng trờn quan im k tn cụng, õy l mt yờu cu rt quan trng quỏ trỡnh kim tra, vỡ mc tiờu ca vic kim tra l tỡm nhng im yu m t ú k tn cụng cú th xõm nhp vo h thng Mt khỏc, vic chi phớ v thi gian cng nh v ti chớnh s nm phm vi cho phộp i vi nhiu t chc i vi nhng l hng in hỡnh, cỏc cụng c ngy cú th xỏc nh chớnh xỏc n 100% Nh vy, kim tra theo phng phỏp hp en l phự hp nht iu kin thc t hin Phng phỏp ny s c chn i sõu lun v s c trỡnh by chi tit hn phn di 2.4 Mt s cụng c phn mm kim tra Vi nhng t chc hoc cỏ nhõn khụng cú kinh phớ cho vic mua sm cụng c t tin hoc h ch dựng cho mt vi ng dng Trong trng hp ny, h cú th mua nhng cụng c r tin hn nhng ỏp c yờu cu c th ca h, hoc cú th s dng nhng cụng c phớ Do vy, vic la chn cỏc cụng c ỏnh giỏ s gp nhng khú khn nht nh e thun tin cho vic la chn v tra cu cỏc cụng c bo mt, mt s trang web ó chia s thụng tin ỏnh giỏ bao gm c tớnh nng v giỏ c, chng hn trang: Http://sectoolmarket.com/ (Hỡnh 2.7) i We IBM Vuluer Acu A Tinf I1 Benchmar Scanner Accuracy AcFeatur A WIVET WIVETSQIi WIVETSQli SQli 96%RXSS RXSS LFT LFI EẽI RFI Audit KFl100.0% Redirect Amntv 94% 100.0% WebApp l ieb Scanner 100.0% 9118% 1Q0.C% 50.0% Input Input Flash CGI So Backup 100.0% 57.35% 77.7Ê Scanner RXSS L?I False es 25 OH Positive 92 % mm 0.0% y% 11.11 CGI yy SeatVear Seat/Perpetual Consultant Seat/ Se 399t Seat/Perpetual S&at/Year 31Pri Websit A W90.$ tIlSeat/ ,,,-im _ geaf/peipe^J I r IIX websiterenietual Seat/Perpetual Website/Perpetual Consultant Enterprise Any SeabYear Seat Year YebsiteYear II n 199M \VTVET SQLi RXSS LFI r Hỡnh 2.7: Thụng tin v tớnh nng v giỏ ca cỏc cụng c quột t ng Vic kim tra nhng l hng thụng thng ca h thng nh: cng m, trng thỏi cp nht bn vỏ, ti khon thỡ cỏc cụng c c gii thiu bờn di cú th ỏp ng i vi kim tra l hng ca ng dng s khú khn hn tớnh a dng v phc ca mi loi l hng m chỳng ta la chn cụng c phự hp 2.4.1 Cỏc cụng c kim tra l hng h thng Cỏc cụng c phõn tớch, dũ quột v ỏnh giỏ mc an ton ca cng thụng tin in t hin ang c s dng rng rói nh: MBSA, Nessus, Nmap, WebScarab, Bkav Webscan, Acunetix Web Vulnerability Scanner, IBM Rational AppScan Cụng c MBS A: MBSA (Microsoft Baseline Security Analyzer) c phỏt hnh phớ bi Microsoft dnh cho HH Windows, vi dung lng ch 2MB Giao din ca MBSA l rt n gin vi ba tớnh nng cho ngi dựng: Scan A Computer (dnh cho mc ớch cỏ nhõn), Scan Multiple Computers (dnh cho doanh nghip), View Existing Security Scan Reports (xem bỏo cỏo v bo mt) Hỡnh 2.8: Kt qu quột ca cụng c MB SA Vi cụng c ny, ta cú th kim tra quyn qun tr trờn mỏy tớnh, an ton ca mt khu, trng thỏi tng la trờn my tnh, tnh trng file h thng, trng thi cp nht bn vỏ li, kim a IIS, kim a SQL Quỏ trỡnh kim a din rt nhanh v chớnh xỏc Cụng c Nessus õy l mt cụng c phớ, cú th chy ờn nhiu HH khỏc nh: Windows, Linux, UNIX Cụng c ny c ỏnh giỏ l mt ong nhng cụng c mnh ong vic kim a cỏc l hng ca h iu hnh v rt d s dng Nessus c mt c s d liu rt ln v l hng h thụng c cp nht thng xuyờn, giao din d s dng v kt qu cú th c lu li di nhiu dng khỏc nh biu , XML hay PDF c th d dng tham kho imafananm ifiHi U 1.92,1 HI riiH# -ô 'ôVliin M |UH hpm 1I AKW* ôU Cụng c Nmap ằM1Vẽ l*ộ Hỡnh 2.9: irô*n>i Cụng c Nessus 'JarN Nmap l mt cụng c quột cng (Scan port) rt mnh N h tr ton b cỏc phng thc scan port Vi cụng c ny giỳp cho vic kim tra cỏc cng trờn h thng ang c m Nhng cng m m khụng c s dng chớnh l cỏc im yu ca h thng cn c khc phc 2.4.2 Cỏc cụng c kim tra l hng ng dng Cụng c Web Scarab Webscarab l mt framework c vit bng Java phc v cho vic phõn tớch nhng ng dng web vi hai giao thc h tr HTTP v HTTPS õy l cụng c phớ, vic s dng khụng hon ton t ng v yờu cu ngi kim tra phi c kin thc chc v an ton ng dng web, nờn cú th coi õy l cụng c khú s dng so vi cỏc cụng c cú phớ khc Web Scarab cú kh nng ghi li hoc thay i tham s ng dng trc kh i trỡnh nhng yờu cu, phn hi gia trnh duyt v ng dng web LM [Sớimri | TrMiniy &e4ằctK>n MUHS conversation bat WebSc*' Hỡnh 2.10: Cc thụng tin WebScarab ghi li c Cụng c W3AF W3AF (Web Application Attack and Audit Framework) l cụng c ỏnh giỏ cỏc li bo mt t ng v phớ Thc hin kim tra tt c cỏc li bo mt ph bin nht danh sỏch 10 li bo mt OWASP gii thiu W3AF l to mt framework tỡm v khai thỏc cỏc l hng bo mt ng dng web mt cỏch d s dng v m rng ủugằ raflkm Aetna Ê*4 b Jằ ỏ cụ 4* -4 ivade NMô output Saee I scan conrg Preniet TMQCC: uixnibeurgaunLbvc THô ptu9.fi* ri Optô"ằ to iPHfHIIHnil tonlớgufi Feet tesn Muqei A* tv* lu* wdl buff lu* b-rd* H nanuằ dsc audit O o dằ ằ o LMh u I Hỡnh div 2.11: Chng trỡnh kim tra li bo mt W3AF V flkriJa Olli pljgn al and buir asớfớow (bttitrtlMtt toed fnrvM UMit ham ta know that drtccteig Acunetix Web Vulnerability Scanner [2], [9] Acunetix ó i tiờn phong lnh vc quột bo mt cỏc ng dng web: cỏc k s ó trung vo bo mt web t nm 1997 v c phỏt trin bi mt i ng k s hng u phõn tớch trang web v phỏt hin l hng Acunetix Web Vulnerability Scanner kim tra tt c cỏc l hng web bao gm c SQL injection, Cross Site Scripting v nhiu l hng khỏc Ngoi Acunetix Web Vulnerability Scanner cũn cú th chy quột mt cng ch nh trờn mỏy ch web m cỏc trang c lu tr v t ng xỏc nh cỏc dch v mng ang chy trờn mt cng m, tung mt lot cỏc bi kim tra an ninh mnh so vi dch v mng Cỏch thc hot ng ca Acunetix Web Vulnerability Scanner: Modul Crawler phõn tớch ton b trang web bng cỏch lm theo tt c cỏc liờn kt trờn mng web file robot.txt v sitemap.xml (nu cú) Sau ú Acunetix Web Vulnerability Scanner s vch cu trỳc trang web v hin th thụng tin chi tit v mi tin Sau quỏ trỡnh thu nhp thụng tin, Acunetix Web Vulnerability Scanner t ng hin th mt lot cỏc l hng cú th tn cụng trờn mi trang c tỡm thy, vi vai trũ ca mt hacker Trong quỏ trỡnh quột, mt cng scan cng c a i vi mỏy ch web lu tr cỏc trang web, nu mt cng m c tỡm thy, Acunetix Web Vulnerability Scanner s thc hin mt lot cỏc kim tra an ninh mng chng li cỏc dch v mng ang chy trờn cng ú Khi cỏc l hng c tỡm thy, Acunetix Web Vulnerability Scanner bỏo cỏo v cỏc l hng ny u im: H tr captcha, single sign on v c ch xỏc thc hai ln Nhn bit cỏc ng dng web ph bin v nhn bit cỏc phiờn bn d b tn cụng Phỏt hin cỏc danh mc quyn d b tn cụng hoc nu cỏc phung thc HTTP uc kớch hot To mt danh sỏch cỏc phn hi bt thung ca HTTP nhu li server ni b, HTTP 500 Tựy chnh danh sỏch xỏc thc gi Cỏc Scangning profiles giỳp d dng quột cỏc website vi cỏc tựy chn sacn v cỏc im nhn dng C ch bỏo cỏo tựy chnh So sỏnh cỏc bn quột v ch im khỏc bit so vi ln quột truc D dng biờn li cỏc thay i ca website vi vic quột li theo chc nng H tr ng dng nõng cp ca web 2.0, x lý v phõn tớch JSON v XML Cú kh nng quột li cỏc l hng xỏc nh xỏc nh cỏc phung phỏp x lý Cho phộp thit lp cỏc xỏc thc thụng qua HTTP H tr xỏc thc thụng tin HTTP a din H tr hng lot cỏc loi ni dung X lý nhanh v tt hn luu lung truy cp mng, h tr b nh DNS, keep - alive K thut thm nh an ninh mỏy ch web mi thờm vo v c nhng bn c uc nõng cp Kim tra an ninh upload file uc ci thin ró rt H tr a dng cỏc c ch giao tip Acunetix Cripting tool mi h tr to kch bn kim tra cỏc l hng mi Cể kh t ng a d liu chun cú liờn quan ti cỏc mu nhn tin ca trang web K thut s dng: da trờn k thut phõn tớch tnh v da trờn tip cn theo hng phng oỏn Thut toỏn s dng: phỏt hin l hng da trờn Fuzzing Hỡnh 2.12: Cụng c kim tra li bo mt Acunetix Bkav webscan [10] Cu to: Theo hng tip cn Saas, h thng s giao tip vi ngi dựng l cỏc webmaster theo qua mt website public ngoi õy l "phn ni" ca h thng Ton b quỏ trỡnh dũ quột l hng an ninh website s mt application phớa di thc hin website qun lý cỏc thụng tin v ngi dựng, chu trỏch nhim xỏc thc l webmaster quỏ trỡnh ng ký Sau quỏ trỡnh ng ký v xỏc thc hon tt, yờu cu t ngi dựng c chuyn vo cho chng trỡnh quột l hng an ninh bờn di Chng trỡnh ny s thc hin quỏ trỡnh quột l hng an ninh website, chuyn kt qu cho website hin th chi ngi dựng Nh vy cú th chia h thng BKAV web Vuln Scanner thnh hai phn: Vulns Scanner website (VSW): website gii thiu dch v, qun lý thụng tin, giao tip vi ngui dựng Vulns Scanner Application (VSA): l chung trỡnh thc hin quỏ trỡnh quột cỏc l hng an ninh ca website Hai thnh phn ny giao tip vi thụng qua li gi chung trỡnh v c s d liu K thut s dng: Webscan s dng k thut phõn tớch ng v tip cn da trờn phng oỏn thc hin dũ quột v phỏt hin l hng Thut toỏn s dng Webscan s dng fuzzing quỏ trỡnh dũ quột l hng Ban u, h thng xõy dng mt d liu mu, sau ú so sỏnh d liu mu ny vi cỏc d liu ny s uc b sung vo d liu hun luyn ban u phc v cho cỏc ln quột sau u im: Tip cn theo Saas nờn thun tin vic cp nht, thờm chc nng mi Cú c ch xỏc thc ch s hu thc s c website cho phộp h thng khụng b li dng bi nhng ngui cú ý xu Nhc im: S lng li phỏt hin c cũn ớt, cú mt s li m cụng c ny cha phỏt hin c nh: CSRF, GHDB, Code Execution (Unix and Windows); Dectory Traversal (Unix and Windows); File Inclusion; Script Source Code Disclosure; CRIF injection Khụng thc hin quột c cỏc website cú cha Captra, Signle sign on, c ch xỏc thc hai ln Khụng ch rừ c ni phỏt sinh li ng thi mun s dng cụng c ny thỡ ch cú ngi s hu website mi cú th quột website ca mỡnh Vic phi upload mt file l lờn website cng l mt yu t gõy lo ngi cho nhng ngi qun lý website IBM Rational AppScan [8], [11 ] Cụng c v gii phỏp AppScan cung cp: Quột v kim th cỏc ng dng web xỏc nh cỏc cỏch tn cụng bo mt Chi tit húa cỏc li khuyờn v bo mt v ngh sa cha cho cỏc nh phỏt trin ng dng Bỏo cỏo bao quỏt cỏc theo quy ch/ nh ch bo mt ca c quan / t chc Ghi li cỏc khuyt im ca ng dng vo h thng kim soỏt Li lm tng kh nng nhỡn thy v qun tr c tớnh bo mt xuyờn sut ng dng Chy cỏc kim th bo mt ng dng web nh mt phn cỏc kch bn kim th hi qui Cp quyn s dng v cỏc bỏo cỏo ca AppScan: Rational AppScan cú chc nng bỏo cỏo ton din c ci t sn, cho phộp cỏc kt qu quột c chp li thnh cu trỳc bỏo cỏo ó nh dng mt Adobe PDF, cỏc bỏo cỏo ny cú th tựy chnh hon ton Rational AppScan Rational AppScan i cựng vi vụ s nh dang bỏo cỏo c xỏc nh mc nh m phự hp vi phn ln cỏc tiờu chun hp tỏc quc t, v cỏc yờu cu iu tit chi tit ngnh loiióiia Pile Edit View Scan Toots Htfip *rrwl&r Di-irc-,trf-e-st-5-V UrtBasớd ỹ &8 Security IJSJẻẻ ' M/AplieL*liOftil5ft) \ i [J] (3BvenirLsD toi fcan *J Pause P-taniMl ELipkwc 5* an ụanfiợjtfiflticn Repeat TẫEpjiiwno.l43ner hnjỹ,1/tfiiwùi ctớtiớ1ằ,*ô >etj JO Sỡ p id ễ AufùhenSkfllKùn B/(4]I Bypass- Usin-g SQL J3 commirf injcÊtrfi ^ Blind SQL l-jsp* Irijôilon [53 Bit J% -c WM Srt* ; defaulta -spx Prrvlfitai-S Hrkt * Stằr ỗ-v - I ST,*5r j I O inue W3MdP eePfcPj # J^vaarf F* dbaclớ ^ Authentication Bypass Using SQL Injection (2} ằ18 wsapisvi&us 3ri*ws â rod hKp fVdemo.Cestirt LIAôneợ/bank-logjn a*jằt pauwSS hup Mộmo tnsiif* nevtmnblagin asp* Hỡnh 2,13: Giao in cụng c IBM Rational ppScan 2.5 ỏnh giỏ cụng c dũ quột l hng ng dng 2.5.1 ỏnh gỏ k thut v thut toỏn s dng: a So sỏnh k thut phõn tớch Da vo cỏc nghiờn cu bờn trờn v thc tin s dng cho thy rừ cỏc cụng c trờn u c th thc hin rũ quột v phỏt hin l hng ca mt website khụng c cung cp mó ngun ca website ú Do vy tt c cỏc cụng c trờn u s dng k thut phõn tớch tnh v tip cn dó trờn phng on b ỏnh giỏ thut toỏn s dng Thut toỏn m cỏc cụng c s dng phỏt hin l hng l fuzzing Tuy nhiờn, Acunetx thỡ s lng u vo l rt ln ú c th phỏt hin c rt nhiu l hng khỏc Trong WebScan thỡ ch cú th phỏt hin c l hng SQL injection, Xpath injection, xss, Directory listing c bit IBM Glass Box h tr JAVA Acusensor h tr PHP v NET c s dng rng rói hn cỏc cụng ngh web, õy l lý ngi quột s dng c hói cụng c ny Ngoi ra, so vi cỏc cụng c AppScan v WebScan thỡ Acunetix c s dng thờm cụng c vt tri l Acusensor Technology v mt s cụng c khc nh Portscan, crawler, Blind SQL infection 2.5.2 Kh nng ng dng thc tin a v giỏ c: Khi s dng mt cụng c no ú, giỏ c l mt nhng u tiờn m ngi s dng quan tõm So vi mt s cụng c thỡ Acunetix cú giỏ r hn rt nhiu Acunetix trỡ mt chớnh sỏch giỏ c cnh tranh cung cp cho khỏch hng vi chi phớ thp nht v li nhun cao nht v mt u t i vi hỡnh thc cao nht ca cụng ngh Vi giỏ 1.445S, Acunetix l cụng c r hn cỏc cụng c khỏc b v giao din s dng: Acunetix cng cú cụng c Tager Finder (Port Scanner) rt tt vic quột cỏc port m c bit u in ca Tool ny l tng tỏc trc quan m khụng phi nh tng dũng, ng thi s dng giao din ha, t chc tt, cú phng phỏp, ỏng nh ngi dựng tr nờn quen vi vic nhanh chúng s dng nú Truy cp thụng qua mt giao din web, lp chng trỡnh mi cho phộp cỏc qun tr viờn ti v kt qu quột t bt k mỏy trm, mỏy tớnh xỏch tay hoc in thoi di ng Acunetix l cụng c tng tỏc trc quan m khụng phi nh tng dũng, ng thi s dng giao din trc quan, d s dng, thõn thin vi ngi dựng Tng hp cỏc im yu to iu kin thun li cho vic phi hp khc phc cỏc l hng c v cụng c h tr: Tng t nh cỏc cụng c AppScan, Acunetix cng cú mt s cụng c h tr cỏc vic nh: Reporter xut bỏo cỏo, Scheduler lp lch quột t ng hay HTTP editor, HTTP Sniffer, Encode/Decode, Authentication Tester Tuy nhiờn, Acunetix cũn mt s u im vt tri hn so vi cỏc cụng c ny ú l nú cũn c trang b mt s Tool sau: Port Scanner and network alert thc thi vic quột cỏc cng cú th t ú tn cụng vo mỏy ch web cha cỏc website ang thc hin quột: kkrphỏt hin cú cng no ú c m, Acunetix s thc hin kim tra mc an ninh mng chng li cỏc ng dng web chy trờn cng ny Subdomain Scanner: s dng nhiu k thut khỏc nhanh [...]... thông tin và đánh giá rủi ro Thông qua chuơng này ta cũng nắm đuợc một cách tổng quan về ứng dụng web Đồng thời, hiểu đuợc các mối đe dọa và các loại lỗ hổng bảo mật của ứng dụng web, các biện pháp phòng chống tấn công, bảo đảm an toàn ứng dụng web CHƯƠNG 2: GIẢI PHÁP ĐÁNH GIÁ VÀ MÔ HÌNH ĐÁNH GIÁ RỦI RO CHO ỨNG DỤNG WEB 2.1 Giới thiệu chung Thường đi kèm với lỗ hổng bảo mật là các mối đe dọa và nguy cơ... rất nhiều cách hiểu khác nhau về ứng dụng Web như dưới góc độ kỳ thuật và dưới góc độ chức năng Dưới góc độ chức năng, một ứng dụng web (Web Application) là một chương trình ứng dụng có thể tiếp cận thông qua môi trường mạng Internet (hoặc Intranet), ứng dụng web phổ biển nhờ vào việc có thể truy cập ở bất cứ nơi đâu thông qua trình duyệt hoặc ứng dụng khác, ứng dụng web chỉ cần cập nhật và bảo trì... tiêu chuẩn OWASP ứng trên quan điểm của nguời đánh giá rủi ro cũng nhu nguời quản trị an toàn ứng dụng web thì việc hiểu rõ lỗ hổng bảo mật có ý nghĩa vô cùng quan trọng OWASP (Open Web Application Security Project) là một dự án mở về bảo mật ứng dụng web thúc đẩy cố gắng chung của cộng đồng nhằm giúp các cá nhân, tổ chức, doanh nghiệp có thể phát triển, mua và bảo trì các ứng dụng web một cách an toàn... nói chung Rủi ro là hậu quả khi thông tin và hệ thống thông tin không được đảm bảo 1.2 Khái quát về ứng dụng web 1.2.1 Giới thiệu chung Đa số các trang Web hiện nay là các ứng dụng thực tế Các ứng dụng này hỗ trợ việc đăng ký, đăng nhập, giao dịch tài chính, tìm kiếm , các nội dung trình bày cho người sử dụng được tạo ra tự động và thường được thiết kế cho mỗi người dùng cụ thể ứng dụng Web được tạo... không thể thiếu trong việc phát triển ứng dụng web là hệ quản trị cơ sở dữ liệu CSDL cho phép lưu trữ và truy xuất dữ liệu một cách linh hoạt Một số cơ sở dữ liệu được sử dụng cho ứng dụng web phổ biến hiện nay như Oracle, SQL Server, MySQL Xu hướng phát triển ứng dụng web hiện nay hướng tới sự thuận tiện trong chia sẻ, hợp tác và sáng tạo giữa các người dùng, giao diện trực quan, dễ sử dụng 1.2.2 Giao... hình hoạt động của một ứng dạng web Trình duyệt web (web browser): là các ứng dụng phần mềm cho phép người dùng truy vấn dữ liệu và tương tảc với nội dung (văn bản, hình ảnh, đoạn phim, nhạc, trò chơi và cảc thông tin khác) nằm trên trang Web bên trong website Một số trình duyệt web hiện nay bao gồm Internet Explorer, Mozilla Fừefox, Safari, Google Chrome, opera Máy chủ web (Web Server): là máy chủ... hiện rủi ro sẽ tăng lên Như vậy, giữa lỗ hổng bảo mật, mối đe dọa và rủi ro là ba yếu tố có mối quan hệ chặt chẽ với nhau (Hình 2.1) Hình 2.1: Mối quan hệ giữa rủi ro, mối đe dọa và lỗ hổng bảo mật Một yếu tố khác cần phải được nhắc đến, đó là giá trị của một ứng dụng web càng cao (ví dụ website của ngân hàng) thì càng khiến cho rủi ro tăng lên Bản thân nó thu hút những người dùng (khách hàng hợp pháp) ,... Microsystems Hình 1.6: Một số Web Server thông dụng hiện nay Percent 60.31 % 19.34 % 7.65% 5.09% 0.60% - ứng dụng Web (Web Application): là nơi mà các kịch bản hay mã nguồn tạo ra ứng dụng web được thực thi Mã nguồn sẽ được biên dịch và thực hiện các truy vấn đến cơ sở dữ liệu dựa vào mã nguồn ứng dụng Máy chủ cơ sở dữ liệu (Database Server): là máy chủ lưu trữ tất cả các dữ liệu liên quan đến ứng dụng. .. tiên đầu tư, bảo vệ nhiều nhất Thế nhưng, những cuộc tấn công nhằm vào các lỗ hổng ứng dụng chiếm số lượng lớn nhất (trên 70%) Chính vì vậy, luận văn này sẽ tập trung nghiên cứu sâu hơn các vấn đề an toàn thuộc về ứng dụng Các máy chủ phục vụ ứng dụng web gồm máy chủ web, máy chủ ứng dụng, máy chủ CSDL Các thành phần ứng dụng được cài đặt trên môi trường HĐH, do đó, chúng ẩn chứa những loại lỗ hổng giống... thành phần trong hệ thống Trong chương này, ta chỉ tập trung nghiên cứu các vấn đề liên quan đến lỗ hổng bảo mật, các mối đe dọa nhằm xác định rủi ro đối với ứng dụng web 2.2 Phân tích lỗ hổng bảo mật của các thành phần ứng dụng web Xét về yếu tố kỹ thuật, trong số các loại lỗ hổng thuộc về hạ tầng mạng, hệ điều hành, hay lỗ hổng thuộc về ứng dụng, thì hạ tầng mạng luôn luôn được ưu tiên đầu tư, bảo vệ

Ngày đăng: 21/06/2016, 12:14

Từ khóa liên quan

Mục lục

  • LUẬN VĂN THẠC sĩ MÁY TÍNH

    • TRẦN THỊ HÀ

    • 1.2. NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ RỦI RO CHO ỨNG DỤNG WEB

    • U «U. ©

      • LỜI CẢM ƠN

      • LỜI CAM ĐOAN

      • MỤC LỤC

      • DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT

      • DANH MỤC BẢNG

      • DANH MỤC HÌNH VẼ

      • MỞ ĐẦU

        • 4. Phương pháp nghiền cứu

        • Bố cục của luận văn gồm 3 chương:

        • CHƯƠNG 1: TỔNG QUAN VÈ ĐÁNH GIÁ RỦI RO CHO ỨNG DỤNG

        • WEB

        • 1.1. Một số khái niệm về an toàn thông tin và đánh giá rủi ro

          • 1.1.2. Khái niệm về đánh giá rủi ro

          • 1.2. Khái quát về ứng dụng web

            • 1.2.1. Giới thiệu chung

            • 1.2.2. Giao thức HTTP

            • 1.2.3. Kiến trúc của web

            • 1.2.4. Hoạt động của web

            • 1.3. Các mối đe dọa, các loại lỗ hổng phổ biến của ứng dụng web

            • 1.4. Một số biện pháp đảm bảo an toàn ứng dụng web [4]

            • 1.5. Kết luận chương

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan