BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - Báo cáo BTL-Nhóm Đề tài: Các biện pháp bảo mật máy chủ web, ứng dụng web trình duyệt web.Demo chiếm phiên làm việc người dùng web Giảng Viên : Hoàng Xuân Dậu Sinh Viên Báo Cáo : Hoàng Tiến Hảo Hoàng Huy Hoàng Nguyễn Văn Hùng Phạm Duy Hùng Nguyễn Văn Hưng HÀ NỘI – 2017 1|Page Danh sách thành viên nhóm STT 2|Page Tên Hoàng Tiến Hảo Hoàng Huy Hoàng Nguyễn Văn Hùng Phạm Duy Hùng Nguyễn Văn Hưng Mã sinh viên B14DCAT030 B14DCAT039 B14DCAT032 B14DCAT051 B14DCAT077 Ghi Nhóm trưởng Mục Lục Danh sách thành viên nhóm Mục Lục 1.Giới thiệu 2.Bảo mật trình duyệt web 2.1.Giới thiệu trình duyệt web 2.2.Kiến trúc trình duyệt 2.3.Tại trình duyệt web lại quan trọng ? 2.4.Các nguy gặp trình duyệt web 2.5.Mục đích công trình duyệt 2.6.Các biện pháp bảo mật trình duyệt 2.6.1Cài đặt trình anti virus 2.6.2Đừng click vào pop-up hay cảnh báo virus xuất trình duyệt 2.6.3Tăng cường cho trình duyệt 3.Bảo mật máy chủ web 3.1.Giới thiệu máy chủ web 3.2.Các lỗ hổng cấu hình máy chủ phần mềm máy chủ web 10 3.2.1.Các lỗ hổng cấu hình máy chủ web 10 3.2.2.Các lỗ hổng phần mềm máy chủ web 10 3.3.Biện pháp bảo mật máy chủ web 11 3.3.1 Gỡ bỏ dịch vụ không cần thiết 11 3.3.2.Truy cập từ xa 11 3.3.3.Độc lập môi trường phát triển, kiểm thử thương mại 11 3.3.4.Phân vùng tập tin ứng dụng web tập tin máy chủ web 11 3.3.5.Quyền đặc quyền 11 3.3.6.Cài đặt tất các gói bảo mật 12 3.3.7.Giám sát kiểm tra máy chủ 12 3.3.8.Sử dụng tài khoản 12 3.3.9.Loại bỏ tất modules ứng dụng mở rộng không sử dụng 12 3.3.10.Sử dụng công cụ bảo mật phần mềm máy chủ web 12 3.3.11.Cập nhật thông tin 12 3.3.12.Sử dụng máy quét 12 4.Bảo mật ứng dụng web 13 4.1.Giới thiệu ứng dụng web 13 4.1.1.Kiến trúc ứng dụng web: 13 3|Page 4.1.2.Mô hình hoạt động ứng dụng web 14 4.2.Tại bảo mật ứng dụng web lại quan trọng ? 14 4.3.Các nguy bảo mật ứng dụng web 14 4.4.Nguyên tắc bảo mật ứng dụng web 15 4.5.Các biện pháp bảo mật ứng dụng web 15 4.5.1.Các đề xuất bảo mật ứng dụng web bản: 15 4.5.2.Chạy ứng dụng web với đặc quyền tối thiểu 16 4.5.3.Xác định người dùng 16 4.5.4.Bảo vệ chống lại liệu đầu vào nguy hiểm 16 4.5.5.Truy cập CSDL an toàn 17 4.5.6.Tạo thông báo lỗi an toàn 17 4.5.7.Đảm bảo thông tin nhạy cảm an toàn 17 4.5.8.Sử dụng cookies an toàn 17 4.5.9.Bảo vệ chống lại mối đe dọa từ chối dịch vụ 17 5.Demo chiếm phiên làm việc 18 6.Kết luận 18 7.Tài liệu tham khảo 18 4|Page 1.Giới thiệu Mô hình hoạt động trình duyệt, máy chủ ứng dụng web Quy trình hoạt động trình truy cập web: Khi người dùng thao tác trình duyệt (có thể tìm kiếm, gửi tài liệu, download …), trình duyệt gửi yêu cầu tới máy chủ web Tại máy chủ web, ứng dụng web tương ứng (gọi chung dịch vụ web) sử dụng để thực yêu cầu từ phía người dùng Quá trình bao gồm thao tác truy vấn đến CSDL sau gửi trả lại phía trình duyệt cho người dùng Nếu thường xuyên đọc sách chủ đề bảo mật web, bạn không bao muốn đăng nhập vào máy tính Có vô số cách khiến thông tin cá nhân bạn bị đánh cắp, chẳng hạn máy tính bị dính virus malware, đơn giản việc click vào liên kết trang web email Máy tính bị nhiễm phần mềm độc hại chạy chậm, tự động tải phần mềm không mong muốn khác mà cho phép truy cập thông tin cá nhân bạn Báo cáo giúp bạn có nhìn tổng quan hoạt động máy chủ web, trình duyệt ứng dụng web.Bên cạnh đó, báo cáo tập trung vào việc nguy an toàn đặc biệt giải pháp bảo mật chúng 5|Page 2.Bảo mật trình duyệt web 2.1.Giới thiệu trình duyệt web Trình duyệt web phần mềm ứng dụng cho phép người sử dụng xem tương tác với văn bản, hình ảnh, đoạn phim, nhạc, trò chơi thông tin khác trang web địa web mạng toàn cầu mạng nội Văn hình ảnh trang web chứa siêu liên kết tới trang web khác địa web địa web khác Trình duyệt web cho phép người sử dụng truy cập thông tin trang web cách nhanh chóng dễ dàng thông qua liên kết Trình duyệt web đọc định dạng HTML để hiển thị, trang web hiển thị khác trình duyệt khác Một số trình duyệt web thông dụng nay: MS Internet Explorer (Cài sẵn máy tính windown) Google Chrome Mozilla Firefox (Cài sẵn máy tính chạy hdh lilux) Opera Apple Safari (Trình duyệt mặc định ) Ngoài trình duyệt kể có số trình duyệt khác Avant Browser, Maxthon, Konqueror, Lynx, Flock, Arachne, Epiphany, K-Meleon, Midori AOL Explorer chúng phổ biến 2.2.Kiến trúc trình duyệt User interface : Giao diện tương tác trình duyệt người dùng, thường gồm có thành phần menu quản lý, địa chỉ, công cụ, tabs 6|Page Browser Engine : Thành phần trung gian chuyển đầu vào từ User Interface đến Redering Engine Nó chịu trách nhiệm truy vấn xử lý Redering Engine theo đầu vào từ User Interface khác Redering Engine : Chịu trách nhiệm hiển thị nội dung yêu cầu lên hình Networking : Chịu trách nhiệm thực lời gọi dịch vụ mạng, gửi yêu cầu http đến máy chủ web Java Script Interpreter : Chịu trách nhiệm diễn dịch thực mã JS trang web UI Backend : Có nhiệm vụ vẽ đối tượng trình duyệt cửa sổ, combo box, danh sách, Data Storage : Một CSDL cục lưu máy cài trình duyệt có nhiệm vụ lưu liệu cho trình duyệt hoạt động files cache, Cookies, History, 2.3.Tại trình duyệt web lại quan trọng ? Ngày nay, trình duyệt web phần mềm sử dụng nhiều máy tính Mặc dù trình duyệt có chức đơn giản hiển thị tài liệu văn bản, tìm kiếm, xem, sửa tài liệu video, âm thanh, hình ảnh số tài liệu khác internet, không may, lại mục tiêu phổ biến kẻ công Tin tặc khai thác để cài đặt phần mềm độc hại vào máy tính cách âm thầm, sửa lại hdh, quan trọng truy cập tập tin bạn lưu trữ máy tính Để dễ hình dung, bạn coi máy tính nhà bạn, trình duyệt đóng vai trò cửa sổ Thông qua trình duyệt- tức cửa số, bạn nhìn thấy giới internet bên cửa sổ biện pháp bảo vệ đủ mạnh khung sắt kẻ xấu chui vào nhà khoắng đồ đạc bạn qua cửa sổ 2.4.Các nguy gặp trình duyệt web Trình duyệt gặp nguy bảo mật từ nhiều phía, tự thân nó, người dùng hdh Dưới nguy gặp trình duyệt:      HDH nhiễm mã độc chạy tiến trình mã độc đọc/ sửa đổi không gian nhớ trình duyệt chế độ đặc quyền Bản thân trình duyệt bị công Các trình cắm(plug-in, add-on) trình duyệt bị công Giao tiếp mạng trình duyệt bị chặn bắt bên máy Nguy từ tính hỗ trợ 2.5.Mục đích công trình duyệt Trình duyệt web cung cấp cho khả truy cập internet, để lại lỗ hổng cho hệ thống bạn Lỗ hổng cho phép tin tặc đánh cắp thông tin cá nhân bạn, hiển thị quảng cáo (pop-up), tiếp thị internet, theo dõi/ phân tích hoạt động duyệt web bạn Nguy hiểm hơn, thông qua trình duyệt qqeb, tin tặc cài đặt phần mềm quảng cáo, virus, Trojan hay công cụ khác clickjacking, likejacking 2.6.Các biện pháp bảo mật trình duyệt Để bảo mật trình duyệt bạn, chuyên gia khuyến cáo bạn nên thực bước sau để duyệt web an toàn 7|Page 2.6.1Cài đặt trình anti virus Các trình diệt virus hoạt động theo thời gian thực giúp bảo vệ hạn chế nguy lây nhiễm mã độc công vào hẹ thống 2.6.2Đừng click vào pop-up hay cảnh báo virus xuất trình duyệt Các lỗ hổng trình duyệt có xu hướng bị ảnh hưởng kênh sau: Chính trình duyệt, trình cắm thêm cho trình duyệt, plug-in hay phần mở rộng, thân người dùng Điều có nghĩa liên kết mà người dùng click vào không đảm bảo an toàn nguyên nhân gây nguy hại tro trình duyệt Nghiên cứu từ chuyên gia bảo mật rằng, người dùng thường bị lừa cảnh báo bảo mật xuất trình duyệt dạng pop-up hay cảnh báo, người dùng click vào nghĩ thực biện pháp bảo mật cho trình duyệt, thực tế họ tải virus 2.6.3Tăng cường cho trình duyệt Có hành động tương đối đơn giản mà bạn làm để làm mạnh cải thiện tính bảo mật trình duyệt làm cho kẻ công khó vượt qua Mặc dù bước không làm cho trình duyệt an toàn 100%, làm cho công vào trở nên khó khăn nhiều Cụ thể, áp dụng bước: 2.6.3.1.Cập nhật phiên Hành động đơn giản bạn tang tính bảo mật cho trình duyệt nâng cấp lên phiên Tất các nhà cung cấp thường xuyên phát hành vá, cập nhật cung cấp chức cải tiến tính có Một số trình duyệt bao gồm chức tự động cập nhật để thông báo tới bạn có phiên phát hành Việc bạn cần làm đơn giản bật chức lên thực cập nhật có thông báo 2.6.3.2.Tùy chỉnh cài đặt liên quan đến bảo mật Hầu hết trình duyệt cho phép bạn tùy chỉnh liên quan tới bảo mật Mặc dù có khác trình duyệt bạn cần quan tâm đến số điểm      Block reported attack / fake sites Nếu có, bật tính để ngăn chặn việc truy cập trang web độc hại Cookies : Vô hiệu hóa chấp nhận bạn truy cập trang web tin cậy có yêu cầu cookies Pop-up windows JavaScript : Ngăn chặn chế độ tự động, bật với trang web tin cậy yêu cầu trình duyệt hỏi bật Camera / microphone : Ngăn chặn việc chạy tự động yêu cầu trình duyệt hỏi muốn bật Camera / microphone Plugins / add-ons : Ngăn chặn việc chạy tự động yêu cầu trình duyệt hỏi muốn chạy bật Plugins / add-ons 2.6.3.3.Sử dụng tài khoản giới hạn đặc quyền Nếu có thể, sử dụng trình duyệt web từ tài khoản người dùng giới hạn đặc quyền quản trị viên Bằng cách đó, phần mềm độc hại vượt qua trình duyệt web lây nhiễm vào máy, có quyền tự để thao tác hệ thống 2.6.3.4.Gỡ plug- in không sử dụng/ thêm plug-in cần thiết để nâng cao bảo mật Hành động giúp tinh chỉnh trình duyệt bạn để an toàn Các plug-in không dùng tới bị gỡ bỏ, hạn chế nguy từ tin tặc Một số plug-in an ninh: 8|Page    HTTPS Everywhere: cho phép mở trang chế độ HTTPS (an toàn) website có hỗ trợ Web of Trust: Công cụ đánh giá độ an toàn trang web LongURL.org: Hiển thị URL đầy đủ ẩn sau link 2.6.4.Một số biện pháp bảo mật khác Bạn thực bước bảo mật máy tính bước sau:     Sử dụng giải pháp chống virus uy tín BKAV internet security, F-Secure Sử dụng mạng riêng ảo VPN Sử dụng công cụ tìm kiếm tập trung an toàn F-Secure Search Bật tường lửa Bằng cách này, bạn xây dựng rào cản “bảo vệ có chiều sâu” giúp máy tính không bị lạm dụng công 3.Bảo mật máy chủ web 3.1.Giới thiệu máy chủ web Web Server (máy chủ Web): máy chủ mà cài đặt phần mềm chạy Website, người ta gọi phần mềm Web Server Tất Web Server hiểu chạy file *.htm *.html, nhiên Web Server lại phục vụ số kiểu file chuyên biệt chẳng hạn IIS Microsoft dành cho *.asp, *.aspx…; Apache dành cho *.php…; Sun Java System Web Server SUN dành cho *p… Máy chủ Web máy chủ có dung lượng lớn, tốc độ cao, dùng để lưu trữ thông tin ngân hàng liệu, chứa website thiết kế với thông tin liên quan khác (các mã Script, chương trình, file Multimedia) Web Server có khả gửi đến máy khách trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP – giao thức thiết kế để gửi file đến trình duyệt Web (Web Browser), giao thức khác Tất Web Server có địa IP (IP Address) có Domain Name Giả sử bạn đánh vào Address trình duyệt bạn dòng http://ptit.edu.vn/ sau gõ phím Enter bạn gửi yêu cầu đến Server có Domain Name www.ptit.edu.vn Server tìm trang Web có tên index.htm gửi đến trình duyệt bạn Bất kỳ máy tính – máy chủ trở thành Web Server cách cài đặt lên chương trình phần mềm Server sau kết nối vào Internet Khi máy tính bạn kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server Software nhận yêu cầu gửi lại cho bạn thông tin mà bạn mong muốn Giống phần mềm khác mà bạn cài đặt máy tính mình, Web Server Software ứng dụng phần mềm Nó cài đặt, chạy máy tính – máy chủ dùng làm Web Server, nhờ có chương trình mà người sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng (Internet, Intranet).Web Server Software tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để truy cập kết xuất thông tin từ CSDL lên trang Web truyền tải chúng đến người dùng 9|Page Một số máy chủ web thông dụng       Mozilla Apache web server Microsoft Internet Information Services (IIS) nginx (NGINX, Inc) Google web services IBM Websphere Oracle web services 3.2.Các lỗ hổng cấu hình máy chủ phần mềm máy chủ web 3.2.1.Các lỗ hổng cấu hình máy chủ web Cấu hình máy chủ web cho phép thiết lập tùy chọn cho phép điều khiển hoạt động máy chủ web Các điểm yếu/lỗ hổng cấu hình máy chủ web:     Các tài khoản quản trị ngầm định: Hầu hết máy chủ web có tài khoản quản trị ngầm định với mật yếu chí mật Các nội dung ngầm định : Nhiều phần máy chủ web xuất xưởng kèm theo nội dung mặc định, "đòn bẩy" giúp tin tặc công máy chủ ứng dụng web Liệt kê nội dung thư mục : Khi máy chủ web nhận yêu cầu truy nhập thư mục, thư mục không tồn trang mặc định, máy chủ web trả danh sách files cho phép liệt kê thư mục Do nhiều files/thư mục cấu hình quyền truy nhập không phù hợp, việc cho phép duyệt nội dung thư mục, giúp tin tặc tìm kiếm thông tin hữu ích hỗ trợ công Các phương thức nguy hiểm : Ngoài phương thức chuẩn gồm GET POST, máy chủ web cung cấp số phương thức "nguy hiểm" như: PUT: cho phép tải files lên máy chủ; DELETE: cho phép xóa tài nguyên (file/thư mục) COPY: cho phép chép tài nguyên MOVE : cho phép chuyển vị trí tài nguyên SEARCH: cho phép tìm kiếm file/thư mục 3.2.2.Các lỗ hổng phần mềm máy chủ web Các lỗ hổng tràn đệm (Buffer Overflow Vulnerabilities): Là lỗ hổng điển hình có mức nghiêm trọng cao Cho phép tin tặc chèn thực mã độc từ xa, giúp tin tặc giành quyền điều khiển hệ thống Các lỗ hổng cho phép duyệt đường dẫn (Path Traversal Vulnerabilities): Lỗ hổng dạng thường xuất ứng dụng web thực việc đọc/ghi vào hệ thống file dựa tham số người dùng cung cấp Nếu thao tác đọc/ghi vào hệ thống file không kiểm soát chặt chẽ, tạo điều kiện cho tin tặc lợi dụng Lỗ hổng giúp tin tặc đánh cắp thông tin mật khẩu, logs, liệu nhạy cảm; ghi đè lên liệu quan trọng Trường hợp xấu nhất, tin tặc giành quyền kiểm soát ứng dụng web hệ thống Các lỗ hổng mã hóa chuẩn hóa Các máy chủ web thường sử dụng kỹ thuật mã hóa (encoding) để mã hóa liệu (như base64) Các lỗi trong phận mã hóa chuẩn hóa tạo điều kiện cho tin tặc công hệ thống 10 | P a g e 3.3.Biện pháp bảo mật máy chủ web Dưới nhiệm vụ cần làm để tang cường bảo mật cho máy chủ web: 3.3.1 Gỡ bỏ dịch vụ không cần thiết Cấu hình mặc định phần mềm web server không đảm bảo an toàn Trong cài đặt mặc định điển hình, số dịch vụ mạng không sử dụng web server lại cài đặt, chẳng hạn dịch vụ đăng kí từ xa, dịch vụ máy chủ máy in, RAS (Hiểu RAS ?)…Có nhiều dịch vụ chạy hệ điều hành dẫn đến có nhiều cổng mở, để lại nhiều cánh cửa cho kẻ xấu lợi dụng Tắt tất dịch vụ không cần thiết vô hiệu hóa chúng giúp nâng cao khả bảo mật cải thiện hiệu suất máy chủ cách giải phóng phần cứng 3.3.2.Truy cập từ xa Mặc dù điều không thực tế lắm, có thể, người quản trị nên đăng nhập máy chủ web cục Nếu truy cập từ xa cần thiết, cần phải đảm bảo kết nối từ xa đảm bảo cách cách sử dụng tunneling giao thức mã hóa.Sử dụng tokens bảo mật đăng nhập lần thiết bị phần mềm biện pháp bảo mật tốt thực tế Truy cập từ xa nên giới hạn số địa IP tài khoản cụ thể Một điều quan trọng không nên sử dụng máy tính mạng công cộng để truy nhập vào máy chủ công ty từ xa, chẳng hạn mạng internet quán café wifi công cộng 3.3.3.Độc lập môi trường phát triển, kiểm thử thương mại Thường việc phát triển phiên ứng dụng web trở nên đơn giản nhanh nhà phát triển trình phát triển, kiểm thử thực máy chủ Có cách phổ biến để tìm phiên ứng dụng web số nội dung không công khai thư mục test/ new/ thư mục tương tự Bởi ứng dụng giai đoạn đầu phát triển chúng thường tồn nhiều lỗ hổng thiếu xác thực đầu vào không xử lý ngoại lệ Các ứng dụng dễ dàng phát khai thác kẻ xấu cách sử dụng công cụ miễn phí có sẵn internet Để dễ dàng phát triển thử nghiệm ứng dụng web, nhà phát triển thường tạo ứng dụng có toàn quyền truy cập vào ứng dụng web, csdl tài nguyên máy chủ khác Những ứng dụng đóng vai trò kiểm tra dành cho nhà phát triển nên hạn chế Như nói trên, ứng dụng web phát triển trực tiếp máy chủ thương mại nó, kẻ xấu lợi dụng để truy cập vào hệ thống Lời khuyên cho nhà phát triển ứng dụng web phát triển thử nghiệm ứng dụng web tren máy chủ local không nên kết nối với csdl thực tế 3.3.4.Phân vùng tập tin ứng dụng web tập tin máy chủ web Các tập tin tập lệnh ứng dụng web phải nằm phân vùng riêng biệt ổ đĩa khác với hệ điều hành, log tệp hệ thống khác Kinh nghiệm thực tế tin tặc có quyền truy cập vào thư mục gốc web ó thể khai thác lỗ hổng khác leo thang đặ quyền họ để truy cập liệu toàn ổ đĩa, hệ thống tập tin hệ thống khác Từ đó, tin tặc truy cập để thực lệnh hdh dẫn đến kiểm soát hoàn toàn máy chủ web 3.3.5.Quyền đặc quyền Quyền truy cập file dịch vụ mạng đóng vai trò quan trọng bảo mật máy chủ web Nếu máy chủ web bị xâm nhập qua phần mềm dịch vụ mạng, kẻ xấu sử dụng tài khoản mà dịch vụ mạng chạy để thực tác vụ tập tin cụ thể Do đó, điều quan trọng gán đặc quyền 11 | P a g e tối thiểu cho dịch vụ mạng cụ thể.(Tìm hiểu thêm) Một điều quan trọng gán quyền tối thiểu cho người dùng ẩn danh cho phép truy cập trang web, tệp ứng dụng web, liệu liệu phụ trợ 3.3.6.Cài đặt tất các gói bảo mật Mặc dù cập nhật tất vá cho máy chủ phần mềm nghĩa hệ thống bạn bảo mật tuyệt đối, việc cập nhật thường xuyên hệ điều hành phần mềm chạy quan trọng Ngày nay, có nhiều công diễn hacker lợi dụng lỗ hổng máy chủ phần mềm chưa vá 3.3.7.Giám sát kiểm tra máy chủ Tất ghi nhật kí có máy chủ web nên lưu trữ khu vực riêng biệt Tất ghi nhật kí dịch vụ mạng, nhật kí truy cập trang web, nhật kí máy chủ csdl, nhật kí hdh phải theo dõi kiểm tra thường xuyên Các tệp nhật kí cung cấp thông tin công gần đây, hầu hết bị bỏ qua Nếu theo dõi nhật kí phát hành vi bất thường, cần thực điều tra 3.3.8.an toàn sử dụng tài khoản Những tài khoản mặc định tạo trình cài đặt hdh phần mềm không sử dụng cần phải vô hiệu hóa thay đổi đặc quyền cho đảm bảo yêu cầu đặc quyền tối thiểu Tài khoản quản trị viên nên đổi tên không sử dụng chung với người dùng gốc Mỗi quản trị viên truy cập máy chủ web cần có tk riêng với quyền tương ứng Đây biện pháp bảo mật tốt để tránh chia sẻ tài khoản người dùng 3.3.9.Loại bỏ tất modules ứng dụng mở rộng không sử dụng Cài đặt máy chủ Apache mặc định có số modules kích hoạt trước mà máy chủ web điển hình không sử dụng, trừ trường hợp đặc biệt Tắt modules để ngăn chặn công nhằm vào mục tiêu chống lại modules Tương tự với máy chủ web Microsoft Mặc định, IIS cấu hình để phục vụ số lượng lớn loại ứng dụng, vd ASP, ASP.NET … Danh sách phần ứng dụng mở rộng nên chứa danh sách phần mở rộng ứng dụng mà trang web sử dụng 3.3.10.Sử dụng công cụ bảo mật phần mềm máy chủ web Microsof có phát hành số công cụ giúp nhà quản trị bảo vệ máy chủ web IIS, chẳng hạn URL scan Ngoài có modules tên mod-security dành cho Apache Mặc dù cấu hình công cụ bảo mật nhàm chán, thời gian, ứng dụng web cá nhân, điều giúp tang thêm bảo mật khiến cảm thấy an tâm 3.3.11.Cập nhật thông tin Ngày nay, thông tin lời khuyên phần mềm hay hệ điều hành sử dụng tìm thấy dễ dàng internet Điều quan trọng cập nhật thông tin tìm hiểu công, công cụ cách đọc tạp chí liên quan đến bảo mật, diễn đàn nguồn khác 3.3.12.Sử dụng máy quét Máy quét công cụ tiện dụng giúp bạn thực cách tự động hóa giảm bớt trình bảo mật máy chủ web, ứng dụng web Acunetix Web Vulnerability Scanner máy quét cổng Khi kích hoạt, phần mềm quét cổng máy chủ web lưu trữ ứng dụng web quét Tương tự quét bảo mật mạng, Acunetix khởi chạy số kiểm tra an ninh mạng cổng mở dịch vụ mạng chạy máy chủ web Nó đảm bảo an toàn cho trang web máy chủ web bạn cách 12 | P a g e kiểm tra SQL Injextion, Cross-Site Scripting, vấn đề cấu hình máy chủ lỗ hổng khác Nó kiểm tra độ mạnh mật trang xác thực, nội dung web 2.0 động ứng dụng web khác Khi trình hoàn tất, phần mềm tạo báo cáo chi tiết xác định nơi dễ bị tổn thương thông báo cho người dùng 4.Bảo mật ứng dụng web 4.1.Giới thiệu ứng dụng web Ứng dụng web ứng dụng client/ server sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác Client dành cho người dùng thường trình duyệt, chương trình đóng vai trò đại lý người dùng hoạt động trình duyệt tự động Người dùng gửi nhận thông tin từ máy chủ cách tác đọng vào trang web Các chương trình trang trao đổi mua bán, diễn đàn, gửi nhận email… 4.1.1.Kiến trúc ứng dụng web: Web application sử dụng cấu trúc đơn giản, bao gồm lớp: Lớp trình bày: Lớp có nhiệm vụ hiển thị liệu cho người dùng, thêm ứng dụng tạo bố cục cho trang web Lớp ứng dụng: Là nơi xử lý ứng dụng web Tại xử lý thông tin người dùng yêu cầu, đưa kết gửi đến “lớp trình bày “ Lớp thường cài đặt ngôn ngữ lập trình CGI, Java, NET, PHP triển khai máy chủ Apache, IIS … Lớp liệu: Thường hệ quản trị liệu, chịu trách nhiệm quản lý file liệu quyền truy cập 13 | P a g e 4.1.2.Mô hình hoạt động ứng dụng web Mô tả: Mỗi bạn khởi động trình duyệt kết nối vào website, nghĩa bạn sử dụng nhiều ứng dụng web Đầu tiên, trình duyệt gửi yêu cầu đến máy chủ web thông qua phương thức GET/ POST… giao thức HTTP Máy chủ lúc cho phép thực thi chương trình xây dựng từ nhiều ngôn ngữ perl, C/C++ … máy chủ yêu cầu thực thi trang ASP, JSP …theo yêu cầu trình duyệt Tùy theo tác vụ cần xử lý, chương trình tính toán, kết nối đến csdl, lưu trữ lấy thông tin vaf trả trình duyệt client Việc chấp nhận tính toán từ client làm giảm đáng kể mã nguồn yêu cầu cho thiết bị đầu cuối Với ứng dụng web, phần lớn tiến trình diễn sever gửi tới website từ xa 4.2.Tại bảo mật ứng dụng web lại quan trọng ? Một khảo sát gần thực hành bảo mật từ Fortune 1000 công ty ưu tiên sử dụng số cho bảo mật IT họ firewalls network.Giả sử, bạn cho cách khiến công ty bị công xuyên qua cổng mở mạng Thực tế, bạn đồng ý với điều đó, bạn hoàn toàn sai lầm Cách khiến 1000 công ti khảo sát tổ chức khác quy mô bị công thông qua ứng dụng web Làm mà ứng dụng web lại thường xuyên bị công ? Thám mã quy mô lớn cho thấy có đến 70% công nhằm vào ứng dụng web Không công bị chặn tường lửa.Nhưng ngân sách cho IT tập trung cho hệ thống phòng thủ firewall.Đó điều khó hiểu, mà firewalls network vô ích để ngăn chặn công vào ứng dụng web Bạn sử dụng tường lửa để đóng cổng mà ứng dụng web yêu cầu, sau đó, không truy cập web site bạn Các tổ chức sử dụng hang triệu dola năm cho việc quảng cáo để mời người ghé thăm trang họ, họ chắn đóng chúng với tường lửa 4.3.Các nguy bảo mật ứng dụng web Dưới danh sách 10 nguy lỗ hổng bảo mật hàng đầu ứng dụng Web theo OWASP (2013): 14 | P a g e           Injection (Chèn mã) XSS – Cross-Site Scripting Xác thực yếu vấn đề quản lý phiên Tham chiếu đối tượng trực tiếp không an toàn CSRF – Cross-Site Request Fogery Lỗi cấu hình an ninh Lưu trữ tham số mã hóa không an toàn Không hạn chế truy nhập URL nội Thiếu chế bảo vệ tầng vận chuyển Không kiểm tra địa URL redirect chuyển tiếp 4.4.Nguyên tắc bảo mật ứng dụng web Áp dụng nguyên tắc phòng vệ nhiều lớp, có chiều sâu (Defence in depth): Lớp bảo mật mạng (Network) :Các ứng dụng web cần hạ tầng mạng an toàn cho giao tiếp máy chủ máy khách.Các thiết bị mạng Switch, Router, Firewall, IPS/IDS cần cài đặt cấu hình theo chuẩn, đảm bảo an toàn: Lớp bảo mật máy chủ (Host) :Các yếu tố cần đảm bảo bảo mật lớp bảo mật máy chủ bao gồm hệ điều hành, hệ csdl phần mềm/ dịch vụ hệ thống Lớp bảo mật ứng dụng (Application) : Cần đảm bảo yếu tố        Xác thực/trao quyền Cấu hình Kiểm tra liệu đầu vào Quản lý phiên làm việc Mã hóa liệu Quản lý ngoại lệ Ghi logs 4.5.Các biện pháp bảo mật ứng dụng web 4.5.1.Các đề xuất bảo mật ứng dụng web bản:           Ngay ứng dụng bảo mật phức tạp thất bại tin tặc sử dụng cách đơn giản để truy cập vào máy tính bạn Bạn cần thực nguyên tắc sau: Sao lưu liệu thường xuyên giữ an toàn cho liệu lưu Giữ cho máy tính máy chủ Web an toàn mặt vật lý để người dùng trái phép truy cập vào nó, tắt máy lấy Sử dụng hệ thống tệp Windows NTFS FAT32 NTFS cung cấp bảo mật đáng kể FAT32 Bảo mật máy tính Web server tất máy tính mạng với mật mạnh Đóng cổng không sử dụng tắt dịch vụ không sử dụng Chạy trình kiểm tra vi rút để theo dõi lưu lượng truy cập nước Thiết lập thực thi sách ngăn cấm người dùng lưu giữ mật họ vị trí dễ tìm Sử dụng tường lửa Cài đặt vá lỗi bảo mật từ Microsoft nhà cung cấp khác 15 | P a g e  Ghi log kiện đăng nhập kiểm tra ghi thường xuyên cho hoạt động đáng ngờ Điều bao gồm nỗ lực lặp lại để đăng nhập vào hệ thống bạn số lượng lớn yêu cầu máy chủ Web bạn 4.5.2.Chạy ứng dụng web với đặc quyền tối thiểu Khi ứng dụng khởi động, chạy ngữ cảnh có đặc quyền cụ thể máy tính cục máy tính từ xa Để chạy với đặc quyền nhất, làm theo nguyên tắc sau: Không chạy ứng dụng bạn với danh tính người dùng hệ thống (quản trị viên) Chạy ứng dụng ngữ cảnh người dùng với đặc quyền thực tế tối thiểu Thiết lập quyền (Access Control Lists ACLs) tất tài nguyên cần thiết cho ứng dụng bạn Sử dụng cài đặt đặc quyền tối thiểu Giữ tệp cho ứng dụng Web bạn thư mục bên thư mục gốc Không cho phép người dùng tùy chọn định đường dẫn cho quyền truy cập tệp ứng dụng bạn Điều giúp ngăn người dùng truy cập vào thư mục gốc máy chủ bạn 4.5.3.Xác định người dùng Trong nhiều ứng dụng, người dùng truy cập trang web cách ẩn danh Nếu ứng dụng thiết lập hạn chế, vậy, ứng dụng bạn truy cập tài nguyên cách chạy vai trò người dùng xác định trước Để hạn chế quyền truy cập vào người dùng xác thực, thực theo nguyên tắc sau: Nếu ứng dụng bạn ứng dụng mạng nội bộ, cấu hình để sử dụng bảo mật tích hợp Windows Bằng cách đó, thông tin đăng nhập người dùng sử dụng để truy cập tài nguyên Nếu bạn cần thu thập thông tin từ người dùng, sử dụng phương thức xác thực Ví dụ: xem Quản lý người dùng cách sử dụng Thành viên 4.5.4.Bảo vệ chống lại liệu đầu vào nguy hiểm Theo nguyên tắc chung, không cho liệu từ người dùng an toàn Tin tặc gửi liệu độc hại đến ứng dụng bạn Để bảo vệ chống lại nguy này, thực theo nguyên tắc : Không lưu trữ liệu người dùng chưa lọc vào sở liệu Nếu bạn muốn chấp nhận số HTML từ người dùng, lọc tay Trong lọc bạn, xác định rõ ràng bạn chấp nhận Không tạo lọc để cố gắng loại bỏ đầu vào nguy hiểm; khó để dự đoán tất đầu vào có hại xảy Đừng cho thông tin bạn nhận từ tiêu đề yêu cầu HTTP (trong đối tượng HttpRequest) an toàn Sử dụng biện pháp bảo vệ cho chuỗi truy vấn, cookie, v.v Lưu ý thông tin trình duyệt báo cáo tới máy chủ (thông tin agent người dùng) bị lừa đảo, trường hợp nguy hiểm ứng dụng bạn Nếu có thể, đừng lưu trữ thông tin nhạy cảm nơi truy cập từ trình duyệt, chẳng hạn trường ẩn cookie Ví dụ: không lưu trữ mật cookie 16 | P a g e 4.5.5.Truy cập CSDL an toàn Cơ sở liệu thường bảo mật riêng Một khía cạnh quan trọng ứng dụng Web an toàn thiết kế để ứng dụng truy cập sở liệu cách an toàn Thực theo nguyên tắc sau: Sử dụng bảo mật vốn có sở liệu bạn để hạn chế người truy cập tài nguyên sở liệu Điều phụ thuộc vào sở liệu ứng dụng bạn: Không tạo câu lệnh SQL cách nối chuỗi có liên quan đến đầu vào người dùng Thay vào đó, tạo truy vấn tham số hóa sử dụng đầu vào người dùng để đặt giá trị tham số Nếu bạn phải lưu trữ tên người dùng mật để sử dụng chứng đăng nhập sở liệu, lưu trữ chúng tệp Web.config bảo vệ tệp tin với cấu hình bảo vệ 4.5.6.Tạo thông báo lỗi an toàn Nếu bạn không cẩn thận, người dùng độc hại suy luận thông tin quan trọng ứng dụng bạn từ thông báo lỗi mà hiển thị.Để đảm bảo, thực theo nguyên tắc sau: Đừng viết thông báo lỗi báo lại thông tin hữu ích cho người dùng độc hại, chẳng hạn tên người dùng Cài đặt cấu hình ứng dụng không hiển thị lỗi chi tiết cho người dùng Nếu bạn muốn hiển thị thông báo lỗi chi tiết để gỡ lỗi, xác định kĩ 4.5.7.Đảm bảo thông tin nhạy cảm an toàn Thông tin nhạy cảm thông tin bạn cần giữ bí mật, điển hình mật khóa mã hóa Để cách li người dùng độc hại khỏi thông tin này, thực theo nguyên tắc: Sử dụng cấu hình bảo vệ để bảo vệ thông tin nhạy cảm tệp cấu tệp Web.config Machine.config Nếu bạn phải lưu trữ thông tin nhạy cảm, đừng giữ trang Web, dạng bạn nghĩ người nhìn thấy (chẳng hạn mã máy chủ) Sử dụng thuật toán mã hóa mạnh cung cấp 4.5.8.Sử dụng cookies an toàn Sử dụng Cookie cách hữu ích người dùng sử dụng thông tin cụ thể có sẵn Tuy nhiên, cookie gửi đến máy tính trình duyệt, chúng dễ bị giả mạo Để cookies an toàn, ta thực theo nguyên tắc: Không lưu trữ thông tin quan trọng cookie Ví dụ: không lưu mật người dùng vào cookie, chí tạm thời Đặt ngày hết hạn cookie vào thời gian thực tế ngắn có thể, tránh cookie vĩnh viễn Xem xét việc mã hóa thông tin cookie Xem xét việc thiết lập thuộc tính Bảo mật Http trên cookie thành true 4.5.9.Bảo vệ chống lại mối đe dọa từ chối dịch vụ Một cách gián tiếp mà người dùng độc hại thâm nhập vào ứng dụng bạn làm cho sẵn Họ giữ ứng dụng bận để phục vụ người dùng khác đơn giản làm cho sụp đổ Để đảm bảo an toàn, thực theo nguyên tắc sau: 17 | P a g e Sử dụng xử lý lỗi (ví dụ: try-catch) bao gồm khối cuối bạn phát hành tài nguyên trường hợp thất bại Cấu hình máy chủ web sử dụng trình điều khiển, ngăn không cho ứng dụng sử dụng lượng thời gian CPU không cân xứng Kiểm tra giới hạn người dùng trước sử dụng lưu trữ Đặt giới hạn kích thước cho tệp tải lên, phần ứng dụng bạn 5.Demo chiếm phiên làm việc Phần nhóm em trình bày cụ thể buổi báo cáo 6.Kết luận Những vấn đề đạt Báo cáo nhóm tập trung nguyên bảo mật biện pháp bảo mật cho hệ thống web server, ứng dụng web trình duyệt Bên cạnh đó, báo cáo giới thiệu sơ hệ thống kể vai trò mô hình hoạt động hệ thống Những vấn đề báo cáo chưa giải Đối với hệ thống, có nhiều lỗ hổng quen thuộc vd SQL injection, XSS ứng dụng web mà báo cáo không trình bày cụ thể đưa hướng khắc phục, nhiên thiếu sót mà phạm vi nhóm muốn hướng tới toàn hệ thống không sâu vào số lỗ hổng nên người đọc cần xác định rõ vấn đề quan tâm tham khảo tài liệu 7.Tài liệu tham khảo Slide giảng “Web database security ” TS Hoàng Xuân Dậu, HV Công Nghệ Bưu Chính Viễn Thông Ebook “Web Application Security, A Beginners Guide” tác giả Bryan Sullivan Vincent Liu Ebook “The Web Application Hacker's Handbook- Finding and Exploiting Security Flaws” Tái lần tác giả Dafydd Stuttard Marcus Pinto Các viết tham khảo link: https://www.f-secure.com/en/web/labs_global/browser-security https://msdn.microsoft.com/en-us/library/zdh19h94.aspx https://www.darkreading.com/risk-management/6-ways-to-strengthen-web-app-security/d/d-id/1106197? https://msdn.microsoft.com/en-us/library/zdh19h94.aspx https://www.darkreading.com/risk-management/6-ways-to-strengthen-web-app-security/d/d-id/1106197? http://www.zonealarm.com/blog/2014/05/6-ways-to-secure-web-browser/ 18 | P a g e 19 | P a g e ... 4.2.Tại bảo mật ứng dụng web lại quan trọng ? 14 4.3 .Các nguy bảo mật ứng dụng web 14 4.4.Nguyên tắc bảo mật ứng dụng web 15 4.5 .Các biện pháp bảo mật ứng dụng web. .. động máy chủ web, trình duyệt ứng dụng web. Bên cạnh đó, báo cáo tập trung vào việc nguy an toàn đặc biệt giải pháp bảo mật chúng 5|Page 2 .Bảo mật trình duyệt web 2.1.Giới thiệu trình duyệt web Trình. .. 4.5 .Các biện pháp bảo mật ứng dụng web 4.5.1 .Các đề xuất bảo mật ứng dụng web bản:           Ngay ứng dụng bảo mật phức tạp thất bại tin tặc sử dụng cách đơn giản để truy cập vào máy tính