Phương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tử
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - ĐÀO HƯƠNG GIANG PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG THÔNG TIN ĐIỆN TỬ LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2016 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - ĐÀO HƯƠNG GIANG PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG THÔNG TIN ĐIỆN TỬ CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TSKH HOÀNG ĐĂNG HẢI HÀ NỘI - 2016 i LỜI CAM ĐOAN Tôi xin cam đoan, luận văn công trình nghiên cứu khoa học thực thụ cá nhân, thực hướng dẫn khoa học PGS.TSKH Hoàng Đăng Hải Các số liệu, kết nghiên cứu kết luận trình bày luận văn trung thực chưa công bố hình thức Tôi xin chịu trách nhiệm công trình nghiên cứu TÁC GIẢ LUẬN VĂN Đào Hương Giang ii LỜI CÁM ƠN Trước hết xin bày tỏ cảm ơn đặc biệt tới PGS.TSKH Hoàng Đăng Hải định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt trình nghiên cứu hoàn thành luận văn tốt nghiệp Tôi xin cảm ơn thầy cô Khoa Công nghệ thông tin, Khoa Quốc tế Đào tạo sau đại học – Học viện Công nghệ Bưu Viễn thông giúp đỡ truyền đạt kiến thức cho suốt thời gian học tập nghiên cứu trường Tôi xin cảm ơn cấp lãnh đạo toàn thể đồng nghiệp, gia đình, bạn bè chia sẻ, giúp đỡ tạo điều kiện cho hoàn thành luận văn Hà Nội, tháng 06 năm 2016 Đào Hương Giang iii MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN …………………………………………………………………… ii DANH MỤC TỪ VIẾT TẮT vi DANH MỤC CÁC BẢNG BIỂU vii DANH MỤC CÁC HÌNH VẼ viii MỞ ĐẦU…… CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT 1.1 Khái quát cấu trúc Cổng TTĐT Tổng quan Cổng TTĐT Cấu trúc Cổng TTĐT .6 1.2 Tổng hợp liệu bảo mật Cổng TTĐT, loại điểm yếu Tổng hợp liệu bảo mật Cổng TTĐT .9 Các loại điểm yếu phổ biến Cổng TTĐT 10 1.3 Một số phương pháp thu thập thông tin điểm yếu 13 Phương pháp Footprinting .13 Phương pháp Scanning 14 1.4 Xây dựng mô hình thu thập thông tin điểm yếu 14 Mô hình chung dùng để thu thập thông tin điểm yếu 14 Mô hình thu thập thông tin điểm yếu dựa vào phương pháp Footprinting .15 Mô hình thu thập thông tin điểm yếu dựa vào phương pháp Scanning ……………………………………………………………………… 16 1.5 Phương pháp phân loại thông tin điểm yếu 16 Nhóm điểm yếu sai sót nhập liệu (Injection; SQL injection, OS injection hay LDAP injection…) 16 Nhóm điểm yếu xác thực quản lý phiên 17 Nhóm điểm yếu kiểm duyệt nội dung đầu vào (Cross-Site Scripting (XSS)) ……………………………………………………………………… 18 Nhóm điểm yếu phổ biến khác .19 Nhóm điểm yếu thuộc dạng Malware cổng thông tin 19 1.6 Kết luận chương 19 iv CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT 21 2.1 Nghiên cứu, phân tích số mô hình đánh giá điểm yếu ATTT 21 Mô hình đánh giá điểm yếu ATTT theo OWASP 21 Mô hình đánh giá điểm yếu ATTT quốc gia giới 21 2.2 Nghiên cứu, phân tích số phương pháp đánh giá điểm yếu an toàn thông tin Cổng TTĐT 24 Phương pháp Black Box 28 Phương pháp White Box .28 2.3 Nghiên cứu, phân tích số công cụ phần mềm cho thu thập thông tin, đánh giá điểm yếu/ lỗ hổng bảo mật Cổng TTĐT 33 Công cụ Acunetix WVS 33 Công cụ OWASP Webscarab 34 Công cụ OWASP ZAP 34 Công cụ Burp Suite .35 Công cụ N-Stalker 35 Công cụ Sandcat 36 Công cụ Kali linux .36 2.4 Xây dựng mô hình đánh giá, tiêu chí đánh giá, đưa phương pháp đánh giá phù hợp với Cổng TTĐT .38 Mô hình đánh giá 38 Các tiêu chí đánh giá .43 2.5 Kết luận chương 46 CHƯƠNG 3: THỬ NGHIỆM THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA MỘT CỔNG TTĐT 48 3.1 Khái quát đặc trưng kỹ thuật Cổng TTĐT đánh giá 48 Giới thiệu Cổng TTĐT .48 Mô hình tổng quan .48 Kiến trúc hệ thống 49 Giao diện .50 3.2 Xây dựng kịch thử nghiệm, kiểm thử 50 Kịch thử nghiệm .50 Các đo kiểm thử .51 3.3 Các bước thử nghiệm 64 v 3.4 Đánh giá thử nghiệm .65 Kết thử nghiệm .65 Phân tích, đánh giá kết 66 3.5 Kết luận chương 67 KẾT LUẬN…………… 68 Kết đạt 68 Hạn chế 69 Hướng phát triển 69 TÀI LIỆU THAM KHẢO 70 vi DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt ATTT An toàn thông tin CSRF Cross Site Request Forgery Kiểm tra giả mạo yêu cầu DoS Denial of Service Tấn công từ chối dịch vụ OWASP The Open Web Application Dự án mở bảo mật ứng dụng Security Project Web SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc SSL Secure Sockets Layer Bảo mật tầng Socket TCP/IP Transmission Control Bộ giao thức liên mạng Protocol/ Internet Protocol TLS Transport Layer Security Bảo mật tầng truyền tải TTĐT Thông tin điện tử TT&TT Thông tin truyền thông URL Uniform Resource Locator Định vị Tài nguyên thống (hay đường dẫn nguồn tài nguyên Internet XSS Cross-Site Scripting Tấn công chèn mã độc vii DANH MỤC CÁC BẢNG BIỂU Bảng 1- 1: Top đơn vị gửi cảnh báo nhiều Bảng 2- 1: Các tiêu chí, tiêu phương pháp đánh giá mức độ an toàn bảo mật cổng thông tin điện tử………………………………………………………………………………25 Bảng 2- 2: Các modun bước đánh giá ATTT 39 viii DANH MỤC CÁC HÌNH VẼ Hình 1- 1: Các tính Cổng TTĐT Hình 1- 2: Mô hình cổng TTĐT dùng khối quan hành Nhà nước Hình 1- 3: Cấu trúc Cổng TTĐT Hình 1- 4: Mô hình chung thu thập thông tin điểm yếu 14 Hình 1- 5: Mô hình khai thác lỗi SQL Injection 17 Hình 1- 6: Mô hình khai thác lỗi xác thực quản lý phiên 18 Hình 1- 7: Mô hình khai thác XSS 18 Hình 1- 8: Quá trình gửi nhận kết VirusTotal 19 Hình 2- 1: Mô hình kiểm định ATTT Mỹ………………………………………………22 Hình 2- 2: Mô hình ATTT Pháp 22 Hình 2- 3: Mô hình đánh giá ATTT Anh 23 Hình 2- 4: Mô hình đánh giá ATTT Đức 23 Hình 2- 5: Mô hình đánh giá ATTT Hàn Quốc 24 Hình 2- 6: Sơ đồ mô tả phương pháp đánh giá an toàn bảo mật Website 27 Hình 2- 7: Sơ đồ hướng công mức độ ảnh hưởng tác nhân 43 Hình 3- 1: Mô hình tổng quan xây dựng Cổng TTĐT………………………………………….49 Hình 3- 2: Mô hình kiến trúc xây dựng Cổng TTĐT 49 Hình 3- 3: Giao diện Cổng TTĐT Học viện Công nghệ Bưu Viễn thông 50 Hình 3- 4: Cách thức hoạt động công CRLF 56 Hình 3- 5: Xác thực người dùng truy cập vào ứng dụng 58 Hình 3- 6: Vượt qua việc xác thực người dùng 58 Hình 3- 7: Giao diện trang add_reg 60 Hình 3- 8: Tấn công Reflected or non-persistent không liên tục 62 Hình 3- 9: Tấn công Stored or persistent vulnerability 62 Hình 3- 10: Tấn công DOM based or local XSS 63 Hình 3- 11: Nhập địa IP Cổng TTĐT Học viện để rà quét 64 Hình 3- 12: Quá trình rà quét Cổng TTĐT 65 Hình 3- 13: Kết rà quét cổng TTĐT Học viện qua lần quét 65 Hình 3- 14: Tỉ lệ phân bổ lỗi rà quét 66 57 Bước 3: Kẻ công thay đoạn mã cặp thẻ kịch xss để lấy cookie: location.href = 'http://hacker.com/Stealer.php?cookie='+docu ment.cookie; Kết mong muốn: Lấy cookie, web cache Bài đo Htaccess Bypass Khái niệm: htaccess=hypertext access Tập tin htaccess (hypertext access) Apache tập tin cấu hình sử dụng cho web Máy chủ chạy Apache, có tác dụng thư mục hành tất thư mục Đồng thời htaccess dùng để thiết lập tùy chọn: thực thi hay loại bỏ chức năng, tính Apache Nó tập tin cấu hình phân phối cho phép thư mục thư mục có cấu hình riêng mình, mà không cần cấu hình lại tập tin cài đặt Apache .htaccess thường sử dụng cú pháp tương tự tập tin cấu hình máy chủ Web Htaccess Bypass tức làm vượt qua kiểm soát truy nhập htaccess vượt qua xác thực người dùng truy xuất đến thư mục, tập tin chứa thông tin nhạy cảm, Công dụng phổ biến htaccess: Authorization, authentication, Rewrite URLs, Blocking, SSI, MIME types, Tùy chỉnh Error Page, Kiểm soát Cache Attacker công thư mục bảo vệ htaccess vì: backup files, Configurations, phiên lỗi thời, phát triển mới, quản trị việc đăng nhập Mục đích: Vượt qua việc xác thực người dùng cấu hình bảo vệ username password bảo vệ tập tin htaccess Điều kiện đầu: Sử dụng công cụ rà quét link Các bước thực hiện: Bước 1: Tập tin passwd chứa thông tin xác thực bảo vệ htaccess AuthUserFile /[FOLDER]/.htpasswd AuthName “Protected Area” AuthType Basic 58 require valid-user Bước 2: Ứng dụng yêu cầu người dùng xác thực Hình 3- 5: Xác thực người dùng truy cập vào ứng dụng Tuy nhiên điểm yếu là: Ứng dụng "yêu cầu người dùng hợp lệ" áp dụng phương thức GET POST Vì vậy, khác không cần xác thực yêu cầu Bước 3: Bấm nút hủy bỏ Sử dụng Live Http Header Bước 4: Bỏ tích chọn Capture bấm nút Replay Bước 5: Chọn giao thức HTTP bấm nút Replay Hình 3- 6: Vượt qua việc xác thực người dùng 59 => Vượt qua việc xác thực người dùng Kẻ công truy cập tập tin index.php mà phải xác thực người dùng Bài đo Remote Commands execution Khái niệm: Remote Command Execution hình thức công mà hacker muốn hệ thống Webserver thực thi câu lệnh hệ thống sysem, ls, cat,…thông qua thiếu hiểu biết thiếu cẩn thận lập trình viên Cũng thông qua ô nhập liệu không lập trình viên xác thực tính an toàn, thay điền thông tin lập trình viên nghĩ hacker điền thông tin đoạn mã lệnh hệ thống, đoạn câu lệnh để đưa thông tin mà hacker mong muốn Cách khai thác: Tập tin system.php có nội dung sau: Khi người dùng khởi tạo biến có tên $_Request[“cmd”] có giá trị “whoami” với link sau: http://localhost/system.php?cmd=whoami hệ thống Webserver thực thi câu lệnh system(whoami) Những hàm lập trình viên ý muốn thực Mục đích: Thực thi câu lệnh gây tổn hại cho hệ thống xóa CSDL, người dùng xem nội dung tập tin config, passwd Điều kiện đầu: Sử dụng công cụ rà quét link lỗi Các bước thực hiện: Bước 1: Trang add_reg có giao diện sau: 60 Hình 3- 7: Giao diện trang add_reg Nội dung trang add_user: Khi người dùng điền đầy đủ thông tin trang add_reg.php thực lưu thông tin Toàn thông tin gửi qua trang reg.php Ở trang này, liệu xử lý ghi vào tập tin user.php Webserver Khi người dùng truy xuất thông tin Webserver triệu gọi tập tin hiển thị thông tin lên hình Bước 2: Xét trường “Location” Hacker nhập vào: $location=”\”;?>[...]... chí đánh giá điểm yếu phù hợp Thứ tư: Xây dựng một tập điểm yếu, tiêu chí đánh giá, các kịch bản thử nghiệm, các bài đo kiểm thử và thực hiện thử nghiệm đánh giá một Cổng TTĐT Phạm vi của bài luận văn: Nghiên cứu về các điểm yếu an toàn thông tin của Cổng TTĐT, phương pháp thu thập, phân loại điểm yếu và đánh giá điểm yếu an toàn thông tin của Cổng TTĐT, xây dựng các bài đo, kịch bản thử nghiệm đánh giá. .. đánh giá điểm yếu của Cổng TTĐTvà áp dụng đánh giá cho một Cổng TTĐT thực tế tại Việt Nam hiện nay Nội dung của luận văn được trình bày trong các phần chính như sau: Chương 1 trình bày phương pháp thu thập, phân loại điểm yếu an toàn thông tin của Cổng TTĐT Chương 2 nghiên cứu, phân tích phương pháp đánh giá điểm yếu an toàn thông tin của Cổng TTĐT, một số công cụ phần mềm cho thu thập thông tin, đánh. .. thông tin về điểm yếu phù hợp và từ đó đưa ra phương 20 pháp phân loại thông tin về điểm yếu Trong chương tiếp theo, luận văn sẽ đưa ra các phương pháp đánh giá, phân tích điểm yếu phù hợp với Cổng TTĐT hiện nay 21 CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT Dựa vào việc thu thập, phân loại thông tin về điểm yếu của Cổng TTĐT Ở chương 2, luận văn tập trung vào việc nghiên... đánh giá điểm yếu của Cổng TTĐT, xây dựng mô hình đánh giá, các tiêu chí đánh giá 4 Chương 3 thực hiện thử nghiệm thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của một Cổng TTĐT cụ thể Kết quả cụ thể trong chương 3 là xây dựng được các kịch bản thử nghiệm, các bài đo kiểm thử điểm yếu ATTT cho Cổng TTĐT 5 CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT... trúc Cổng TTĐT, vấn đề bảo mật Cổng TTĐT, các loại điểm yếu phổ biến trên các Cổng TTĐT Thứ hai: Nghiên cứu, phân tích phương pháp thu thập, phân loại điểm yếu ATTT của Cổng TTĐT Đưa ra phương pháp phù hợp để thu thập, phân loại điểm yếu ATTT Thứ ba: Nghiên cứu, phân tích một số mô hình, phương pháp, công cụ phần mềm cho thu thập thông tin, đánh giá điểm yếu ATTT của Cổng TTĐT Xây dựng mô hình và các... giá điểm yếu ATTT cho một Cổng TTĐT cụ thể Luận văn sử dụng các phương pháp nghiên cứu sau đây: - Phương pháp nghiên cứu lý thuyết: tổng hợp, thu thập, nghiên cứu tài liệu về an toàn thông tin, các điểm yếu gây mất an toàn thông tin trên Cổng TTĐT hiện nay Các phương pháp thu thập, phân loại và đánh giá điểm yếu phổ biến hiện nay trên thế giới và tại Việt Nam - Phương pháp thực nghiệm: Trên cơ sở lý thuyết... toàn thông tin của Pháp [16] Mô hình đánh giá ATTT của Pháp được điều hành bởi Cơ quan có thẩm quyền cấp chứng nhận (DCSSI) Hình 2- 2: Mô hình ATTT của Pháp (Nguồn: antoanthongtin.vn) Mô hình đánh giá an toàn thông tin của Anh [16] Quá trình kiểm định ATTT tại Anh được điều hành bởi Tập đoàn An toàn điện tử viễn thông CESG và Bộ Thương mại và Công nghiệp (DTI) 23 Hình 2- 3: Mô hình đánh giá ATTT của Anh... xuất một bộ tiêu chí cụ thể nào cho đánh giá điểm yếu đối với Cổng TTĐT Chính vì vậy, việc xây dựng một bộ tiêu chí để đánh giá điểm yếu Cổng TTĐT là hết sức cần thiết Chính vì những lý do trên, và nhận thấy việc cần thiết phải đảm bảo ATTT cho Cổng TTĐT, học viên chọn đề tài Phương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng Thông tin điện tử Các trọng tâm nghiên cứu đặt... nghiên cứu về các phương pháp thu thập thông tin về điểm yếu của Cổng TTĐT, dựa vào đó để xây dựng mô hình thu thập và phương pháp phân loại điểm yếu 1.1 Khái quát về cấu trúc Cổng TTĐT Tổng quan về Cổng TTĐT Cổng Thông tin điện tử (Cổng TTĐT) được hiểu như một trang web mà từ đó người sử dụng có thể dễ dàng truy xuất các trang web và các thông tin dịch vụ khác trên mạng máy tính Cổng TTĐT khởi đầu... số mô hình đánh giá điểm yếu, phân tích một số phương pháp đánh giá điểm yếu an toàn thông tin từ đó xây dựng mô hình, phương pháp đánh giá điểm yếu phù hợp với Cổng TTĐT 2.1 Nghiên cứu, phân tích một số mô hình đánh giá điểm yếu ATTT Mô hình đánh giá điểm yếu ATTT theo OWASP OWASP (The Open Web Application Security Project): dự án mở về bảo mật ứng dụng Web OWASP là một tổ chức quốc tế và là một cộng