Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 19 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
19
Dung lượng
601,26 KB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - Báo cáo BTL-Nhóm Đề tài: Cácbiệnphápbảomậtmáychủweb,ứngdụngwebtrìnhduyệtweb.Demochiếmphiênlàmviệcngườidùngweb Giảng Viên : Hoàng Xuân Dậu Sinh Viên Báo Cáo : Hoàng Tiến Hảo Hoàng Huy Hoàng Nguyễn Văn Hùng Phạm Duy Hùng Nguyễn Văn Hưng HÀ NỘI – 2017 1|Page Danh sách thành viên nhóm STT 2|Page Tên Hoàng Tiến Hảo Hoàng Huy Hoàng Nguyễn Văn Hùng Phạm Duy Hùng Nguyễn Văn Hưng Mã sinh viên B14DCAT030 B14DCAT039 B14DCAT032 B14DCAT051 B14DCAT077 Ghi Nhóm trưởng Mục Lục Danh sách thành viên nhóm Mục Lục 1.Giới thiệu 2.Bảo mậttrìnhduyệtweb 2.1.Giới thiệu trìnhduyệtweb 2.2.Kiến trúc trìnhduyệt 2.3.Tại trìnhduyệtweb lại quan trọng ? 2.4.Các nguy gặp trìnhduyệtweb 2.5.Mục đích công trìnhduyệt 2.6.Các biệnphápbảomậttrìnhduyệt 2.6.1Cài đặt trình anti virus 2.6.2Đừng click vào pop-up hay cảnh báo virus xuất trìnhduyệt 2.6.3Tăng cường cho trìnhduyệt 3.Bảo mậtmáychủweb 3.1.Giới thiệu máychủweb 3.2.Các lỗ hổng cấu hình máychủ phần mềm máychủweb 10 3.2.1.Các lỗ hổng cấu hình máychủweb 10 3.2.2.Các lỗ hổng phần mềm máychủweb 10 3.3.Biện phápbảomậtmáychủweb 11 3.3.1 Gỡ bỏ dịch vụ không cần thiết 11 3.3.2.Truy cập từ xa 11 3.3.3.Độc lập môi trường phát triển, kiểm thử thương mại 11 3.3.4.Phân vùng tập tin ứngdụngweb tập tin máychủweb 11 3.3.5.Quyền đặc quyền 11 3.3.6.Cài đặt tất các gói bảomật 12 3.3.7.Giám sát kiểm tra máychủ 12 3.3.8.Sử dụng tài khoản 12 3.3.9.Loại bỏ tất modules ứngdụng mở rộng không sử dụng 12 3.3.10.Sử dụng công cụ bảomật phần mềm máychủweb 12 3.3.11.Cập nhật thông tin 12 3.3.12.Sử dụngmáy quét 12 4.Bảo mậtứngdụngweb 13 4.1.Giới thiệu ứngdụngweb 13 4.1.1.Kiến trúc ứngdụng web: 13 3|Page 4.1.2.Mô hình hoạt động ứngdụngweb 14 4.2.Tại bảomậtứngdụngweb lại quan trọng ? 14 4.3.Các nguy bảomậtứngdụngweb 14 4.4.Nguyên tắc bảomậtứngdụngweb 15 4.5.Các biệnphápbảomậtứngdụngweb 15 4.5.1.Các đề xuất bảomậtứngdụngweb bản: 15 4.5.2.Chạy ứngdụngweb với đặc quyền tối thiểu 16 4.5.3.Xác định ngườidùng 16 4.5.4.Bảo vệ chống lại liệu đầu vào nguy hiểm 16 4.5.5.Truy cập CSDL an toàn 17 4.5.6.Tạo thông báo lỗi an toàn 17 4.5.7.Đảm bảo thông tin nhạy cảm an toàn 17 4.5.8.Sử dụng cookies an toàn 17 4.5.9.Bảo vệ chống lại mối đe dọa từ chối dịch vụ 17 5.Demo chiếmphiênlàmviệc 18 6.Kết luận 18 7.Tài liệu tham khảo 18 4|Page 1.Giới thiệu Mô hình hoạt động trình duyệt, máychủứngdụngweb Quy trình hoạt động trình truy cập web: Khi ngườidùng thao tác trìnhduyệt (có thể tìm kiếm, gửi tài liệu, download …), trìnhduyệt gửi yêu cầu tới máychủweb Tại máychủweb,ứngdụngweb tương ứng (gọi chung dịch vụ web) sử dụng để thực yêu cầu từ phía ngườidùng Quá trìnhbao gồm thao tác truy vấn đến CSDL sau gửi trả lại phía trìnhduyệt cho ngườidùng Nếu thường xuyên đọc sách chủ đề bảomậtweb, bạn không bao muốn đăng nhập vào máy tính Có vô số cách khiến thông tin cá nhân bạn bị đánh cắp, chẳng hạn máy tính bị dính virus malware, đơn giản việc click vào liên kết trang web email Máy tính bị nhiễm phần mềm độc hại chạy chậm, tự động tải phần mềm không mong muốn khác mà cho phép truy cập thông tin cá nhân bạn Báo cáo giúp bạn có nhìn tổng quan hoạt động máychủweb,trìnhduyệtứngdụng web.Bên cạnh đó, báo cáo tập trung vào việc nguy an toàn đặc biệt giải phápbảomật chúng 5|Page 2.Bảo mậttrìnhduyệtweb 2.1.Giới thiệu trìnhduyệtwebTrìnhduyệtweb phần mềm ứngdụng cho phép người sử dụng xem tương tác với văn bản, hình ảnh, đoạn phim, nhạc, trò chơi thông tin khác trang web địa web mạng toàn cầu mạng nội Văn hình ảnh trang web chứa siêu liên kết tới trang web khác địa web địa web khác Trìnhduyệtweb cho phép người sử dụng truy cập thông tin trang web cách nhanh chóng dễ dàng thông qua liên kết Trìnhduyệtweb đọc định dạng HTML để hiển thị, trang web hiển thị khác trìnhduyệt khác Một số trìnhduyệtweb thông dụng nay: MS Internet Explorer (Cài sẵn máy tính windown) Google Chrome Mozilla Firefox (Cài sẵn máy tính chạy hdh lilux) Opera Apple Safari (Trình duyệt mặc định ) Ngoài trìnhduyệt kể có số trìnhduyệt khác Avant Browser, Maxthon, Konqueror, Lynx, Flock, Arachne, Epiphany, K-Meleon, Midori AOL Explorer chúng phổ biến 2.2.Kiến trúc trìnhduyệt User interface : Giao diện tương tác trìnhduyệtngười dùng, thường gồm có thành phần menu quản lý, địa chỉ, công cụ, tabs 6|Page Browser Engine : Thành phần trung gian chuyển đầu vào từ User Interface đến Redering Engine Nó chịu trách nhiệm truy vấn xử lý Redering Engine theo đầu vào từ User Interface khác Redering Engine : Chịu trách nhiệm hiển thị nội dung yêu cầu lên hình Networking : Chịu trách nhiệm thực lời gọi dịch vụ mạng, gửi yêu cầu http đến máychủweb Java Script Interpreter : Chịu trách nhiệm diễn dịch thực mã JS trang web UI Backend : Có nhiệm vụ vẽ đối tượng trìnhduyệtcửa sổ, combo box, danh sách, Data Storage : Một CSDL cục lưu máy cài trìnhduyệt có nhiệm vụ lưu liệu cho trìnhduyệt hoạt động files cache, Cookies, History, 2.3.Tại trìnhduyệtweb lại quan trọng ? Ngày nay, trìnhduyệtweb phần mềm sử dụng nhiều máy tính Mặc dù trìnhduyệt có chức đơn giản hiển thị tài liệu văn bản, tìm kiếm, xem, sửa tài liệu video, âm thanh, hình ảnh số tài liệu khác internet, không may, lại mục tiêu phổ biến kẻ công Tin tặc khai thác để cài đặt phần mềm độc hại vào máy tính cách âm thầm, sửa lại hdh, quan trọng truy cập tập tin bạn lưu trữ máy tính Để dễ hình dung, bạn coi máy tính nhà bạn, trìnhduyệt đóng vai trò cửa sổ Thông qua trình duyệt- tức cửa số, bạn nhìn thấy giới internet bên cửa sổ biệnphápbảo vệ đủ mạnh khung sắt kẻ xấu chui vào nhà khoắng đồ đạc bạn qua cửa sổ 2.4.Các nguy gặp trìnhduyệtwebTrìnhduyệt gặp nguy bảomật từ nhiều phía, tự thân nó, ngườidùng hdh Dưới nguy gặp trình duyệt: HDH nhiễm mã độc chạy tiến trình mã độc đọc/ sửa đổi không gian nhớ trìnhduyệt chế độ đặc quyền Bản thân trìnhduyệt bị công Cáctrình cắm(plug-in, add-on) trìnhduyệt bị công Giao tiếp mạng trìnhduyệt bị chặn bắt bên máy Nguy từ tính hỗ trợ 2.5.Mục đích công trìnhduyệtTrìnhduyệtweb cung cấp cho khả truy cập internet, để lại lỗ hổng cho hệ thống bạn Lỗ hổng cho phép tin tặc đánh cắp thông tin cá nhân bạn, hiển thị quảng cáo (pop-up), tiếp thị internet, theo dõi/ phân tích hoạt động duyệtweb bạn Nguy hiểm hơn, thông qua trìnhduyệt qqeb, tin tặc cài đặt phần mềm quảng cáo, virus, Trojan hay công cụ khác clickjacking, likejacking 2.6.Các biệnphápbảomậttrìnhduyệt Để bảomậttrìnhduyệt bạn, chuyên gia khuyến cáo bạn nên thực bước sau để duyệtweb an toàn 7|Page 2.6.1Cài đặt trình anti virus Cáctrình diệt virus hoạt động theo thời gian thực giúp bảo vệ hạn chế nguy lây nhiễm mã độc công vào hẹ thống 2.6.2Đừng click vào pop-up hay cảnh báo virus xuất trìnhduyệtCác lỗ hổng trìnhduyệt có xu hướng bị ảnh hưởng kênh sau: Chính trình duyệt, trình cắm thêm cho trình duyệt, plug-in hay phần mở rộng, thân ngườidùng Điều có nghĩa liên kết mà ngườidùng click vào không đảm bảo an toàn nguyên nhân gây nguy hại tro trìnhduyệt Nghiên cứu từ chuyên gia bảomật rằng, ngườidùng thường bị lừa cảnh báobảomật xuất trìnhduyệt dạng pop-up hay cảnh báo, ngườidùng click vào nghĩ thực biệnphápbảomật cho trình duyệt, thực tế họ tải virus 2.6.3Tăng cường cho trìnhduyệt Có hành động tương đối đơn giản mà bạn làm để làm mạnh cải thiện tính bảomậttrìnhduyệtlàm cho kẻ công khó vượt qua Mặc dù bước không làm cho trìnhduyệt an toàn 100%, làm cho công vào trở nên khó khăn nhiều Cụ thể, áp dụng bước: 2.6.3.1.Cập nhật phiên Hành động đơn giản bạn tang tính bảomật cho trìnhduyệt nâng cấp lên phiên Tất các nhà cung cấp thường xuyên phát hành vá, cập nhật cung cấp chức cải tiến tính có Một số trìnhduyệtbao gồm chức tự động cập nhật để thông báo tới bạn có phiên phát hành Việc bạn cần làm đơn giản bật chức lên thực cập nhật có thông báo 2.6.3.2.Tùy chỉnh cài đặt liên quan đến bảomật Hầu hết trìnhduyệt cho phép bạn tùy chỉnh liên quan tới bảomật Mặc dù có khác trìnhduyệt bạn cần quan tâm đến số điểm Block reported attack / fake sites Nếu có, bật tính để ngăn chặn việc truy cập trang web độc hại Cookies : Vô hiệu hóa chấp nhận bạn truy cập trang web tin cậy có yêu cầu cookies Pop-up windows JavaScript : Ngăn chặn chế độ tự động, bật với trang web tin cậy yêu cầu trìnhduyệt hỏi bật Camera / microphone : Ngăn chặn việc chạy tự động yêu cầu trìnhduyệt hỏi muốn bật Camera / microphone Plugins / add-ons : Ngăn chặn việc chạy tự động yêu cầu trìnhduyệt hỏi muốn chạy bật Plugins / add-ons 2.6.3.3.Sử dụng tài khoản giới hạn đặc quyền Nếu có thể, sử dụngtrìnhduyệtweb từ tài khoản ngườidùng giới hạn đặc quyền quản trị viên Bằng cách đó, phần mềm độc hại vượt qua trìnhduyệtweb lây nhiễm vào máy, có quyền tự để thao tác hệ thống 2.6.3.4.Gỡ plug- in không sử dụng/ thêm plug-in cần thiết để nâng cao bảomật Hành động giúp tinh chỉnh trìnhduyệt bạn để an toàn Các plug-in không dùng tới bị gỡ bỏ, hạn chế nguy từ tin tặc Một số plug-in an ninh: 8|Page HTTPS Everywhere: cho phép mở trang chế độ HTTPS (an toàn) website có hỗ trợ Web of Trust: Công cụ đánh giá độ an toàn trang web LongURL.org: Hiển thị URL đầy đủ ẩn sau link 2.6.4.Một số biệnphápbảomật khác Bạn thực bước bảomậtmáy tính bước sau: Sử dụng giải pháp chống virus uy tín BKAV internet security, F-Secure Sử dụng mạng riêng ảo VPN Sử dụng công cụ tìm kiếm tập trung an toàn F-Secure Search Bật tường lửa Bằng cách này, bạn xây dựng rào cản “bảo vệ có chiều sâu” giúp máy tính không bị lạmdụng công 3.Bảo mậtmáychủweb 3.1.Giới thiệu máychủwebWeb Server (máy chủ Web): máychủ mà cài đặt phần mềm chạy Website, người ta gọi phần mềm Web Server Tất Web Server hiểu chạy file *.htm *.html, nhiên Web Server lại phục vụ số kiểu file chuyên biệt chẳng hạn IIS Microsoft dành cho *.asp, *.aspx…; Apache dành cho *.php…; Sun Java System Web Server SUN dành cho *p… MáychủWebmáychủ có dung lượng lớn, tốc độ cao, dùng để lưu trữ thông tin ngân hàng liệu, chứa website thiết kế với thông tin liên quan khác (các mã Script, chương trình, file Multimedia) Web Server có khả gửi đến máy khách trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP – giao thức thiết kế để gửi file đến trìnhduyệtWeb (Web Browser), giao thức khác Tất Web Server có địa IP (IP Address) có Domain Name Giả sử bạn đánh vào Address trìnhduyệt bạn dòng http://ptit.edu.vn/ sau gõ phím Enter bạn gửi yêu cầu đến Server có Domain Name www.ptit.edu.vn Server tìm trang Web có tên index.htm gửi đến trìnhduyệt bạn Bất kỳ máy tính – máychủ trở thành Web Server cách cài đặt lên chương trình phần mềm Server sau kết nối vào Internet Khi máy tính bạn kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server Software nhận yêu cầu gửi lại cho bạn thông tin mà bạn mong muốn Giống phần mềm khác mà bạn cài đặt máy tính mình, Web Server Software ứngdụng phần mềm Nó cài đặt, chạy máy tính – máychủdùnglàmWeb Server, nhờ có chương trình mà người sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng (Internet, Intranet).Web Server Software tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để truy cập kết xuất thông tin từ CSDL lên trang Web truyền tải chúng đến ngườidùng 9|Page Một số máychủweb thông dụng Mozilla Apache web server Microsoft Internet Information Services (IIS) nginx (NGINX, Inc) Google web services IBM Websphere Oracle web services 3.2.Các lỗ hổng cấu hình máychủ phần mềm máychủweb 3.2.1.Các lỗ hổng cấu hình máychủweb Cấu hình máychủweb cho phép thiết lập tùy chọn cho phép điều khiển hoạt động máychủwebCác điểm yếu/lỗ hổng cấu hình máychủ web: Các tài khoản quản trị ngầm định: Hầu hết máychủweb có tài khoản quản trị ngầm định với mật yếu chí mậtCác nội dung ngầm định : Nhiều phần máychủweb xuất xưởng kèm theo nội dung mặc định, "đòn bẩy" giúp tin tặc công máychủứngdụngweb Liệt kê nội dung thư mục : Khi máychủweb nhận yêu cầu truy nhập thư mục, thư mục không tồn trang mặc định, máychủweb trả danh sách files cho phép liệt kê thư mục Do nhiều files/thư mục cấu hình quyền truy nhập không phù hợp, việc cho phép duyệt nội dung thư mục, giúp tin tặc tìm kiếm thông tin hữu ích hỗ trợ công Các phương thức nguy hiểm : Ngoài phương thức chuẩn gồm GET POST, máychủweb cung cấp số phương thức "nguy hiểm" như: PUT: cho phép tải files lên máy chủ; DELETE: cho phép xóa tài nguyên (file/thư mục) COPY: cho phép chép tài nguyên MOVE : cho phép chuyển vị trí tài nguyên SEARCH: cho phép tìm kiếm file/thư mục 3.2.2.Các lỗ hổng phần mềm máychủwebCác lỗ hổng tràn đệm (Buffer Overflow Vulnerabilities): Là lỗ hổng điển hình có mức nghiêm trọng cao Cho phép tin tặc chèn thực mã độc từ xa, giúp tin tặc giành quyền điều khiển hệ thống Các lỗ hổng cho phép duyệt đường dẫn (Path Traversal Vulnerabilities): Lỗ hổng dạng thường xuất ứngdụngweb thực việc đọc/ghi vào hệ thống file dựa tham số ngườidùng cung cấp Nếu thao tác đọc/ghi vào hệ thống file không kiểm soát chặt chẽ, tạo điều kiện cho tin tặc lợi dụng Lỗ hổng giúp tin tặc đánh cắp thông tin mật khẩu, logs, liệu nhạy cảm; ghi đè lên liệu quan trọng Trường hợp xấu nhất, tin tặc giành quyền kiểm soát ứngdụngweb hệ thống Các lỗ hổng mã hóa chuẩn hóa Cácmáychủweb thường sử dụng kỹ thuật mã hóa (encoding) để mã hóa liệu (như base64) Các lỗi trong phận mã hóa chuẩn hóa tạo điều kiện cho tin tặc công hệ thống 10 | P a g e 3.3.Biện phápbảomậtmáychủweb Dưới nhiệm vụ cần làm để tang cường bảomật cho máychủ web: 3.3.1 Gỡ bỏ dịch vụ không cần thiết Cấu hình mặc định phần mềm web server không đảm bảo an toàn Trong cài đặt mặc định điển hình, số dịch vụ mạng không sử dụngweb server lại cài đặt, chẳng hạn dịch vụ đăng kí từ xa, dịch vụ máychủmáy in, RAS (Hiểu RAS ?)…Có nhiều dịch vụ chạy hệ điều hành dẫn đến có nhiều cổng mở, để lại nhiều cánh cửa cho kẻ xấu lợi dụng Tắt tất dịch vụ không cần thiết vô hiệu hóa chúng giúp nâng cao khả bảomật cải thiện hiệu suất máychủ cách giải phóng phần cứng 3.3.2.Truy cập từ xa Mặc dù điều không thực tế lắm, có thể, người quản trị nên đăng nhập máychủweb cục Nếu truy cập từ xa cần thiết, cần phải đảm bảo kết nối từ xa đảm bảo cách cách sử dụng tunneling giao thức mã hóa.Sử dụng tokens bảomật đăng nhập lần thiết bị phần mềm biệnphápbảomật tốt thực tế Truy cập từ xa nên giới hạn số địa IP tài khoản cụ thể Một điều quan trọng không nên sử dụngmáy tính mạng công cộng để truy nhập vào máychủ công ty từ xa, chẳng hạn mạng internet quán café wifi công cộng 3.3.3.Độc lập môi trường phát triển, kiểm thử thương mại Thường việc phát triển phiênứngdụngweb trở nên đơn giản nhanh nhà phát triển trình phát triển, kiểm thử thực máychủ Có cách phổ biến để tìm phiênứngdụngweb số nội dung không công khai thư mục test/ new/ thư mục tương tự Bởi ứngdụng giai đoạn đầu phát triển chúng thường tồn nhiều lỗ hổng thiếu xác thực đầu vào không xử lý ngoại lệ Cácứngdụng dễ dàng phát khai thác kẻ xấu cách sử dụng công cụ miễn phí có sẵn internet Để dễ dàng phát triển thử nghiệm ứngdụngweb, nhà phát triển thường tạo ứngdụng có toàn quyền truy cập vào ứngdụngweb, csdl tài nguyên máychủ khác Những ứngdụng đóng vai trò kiểm tra dành cho nhà phát triển nên hạn chế Như nói trên, ứngdụngweb phát triển trực tiếp máychủ thương mại nó, kẻ xấu lợi dụng để truy cập vào hệ thống Lời khuyên cho nhà phát triển ứngdụngweb phát triển thử nghiệm ứngdụngweb tren máychủ local không nên kết nối với csdl thực tế 3.3.4.Phân vùng tập tin ứngdụngweb tập tin máychủwebCác tập tin tập lệnh ứngdụngweb phải nằm phân vùng riêng biệt ổ đĩa khác với hệ điều hành, log tệp hệ thống khác Kinh nghiệm thực tế tin tặc có quyền truy cập vào thư mục gốc web ó thể khai thác lỗ hổng khác leo thang đặ quyền họ để truy cập liệu toàn ổ đĩa, hệ thống tập tin hệ thống khác Từ đó, tin tặc truy cập để thực lệnh hdh dẫn đến kiểm soát hoàn toàn máychủweb 3.3.5.Quyền đặc quyền Quyền truy cập file dịch vụ mạng đóng vai trò quan trọng bảomậtmáychủweb Nếu máychủweb bị xâm nhập qua phần mềm dịch vụ mạng, kẻ xấu sử dụng tài khoản mà dịch vụ mạng chạy để thực tác vụ tập tin cụ thể Do đó, điều quan trọng gán đặc quyền 11 | P a g e tối thiểu cho dịch vụ mạng cụ thể.(Tìm hiểu thêm) Một điều quan trọng gán quyền tối thiểu cho ngườidùng ẩn danh cho phép truy cập trang web, tệp ứngdụngweb, liệu liệu phụ trợ 3.3.6.Cài đặt tất các gói bảomật Mặc dù cập nhật tất vá cho máychủ phần mềm nghĩa hệ thống bạn bảomật tuyệt đối, việc cập nhật thường xuyên hệ điều hành phần mềm chạy quan trọng Ngày nay, có nhiều công diễn hacker lợi dụng lỗ hổng máychủ phần mềm chưa vá 3.3.7.Giám sát kiểm tra máychủ Tất ghi nhật kí có máychủweb nên lưu trữ khu vực riêng biệt Tất ghi nhật kí dịch vụ mạng, nhật kí truy cập trang web, nhật kí máychủ csdl, nhật kí hdh phải theo dõi kiểm tra thường xuyên Các tệp nhật kí cung cấp thông tin công gần đây, hầu hết bị bỏ qua Nếu theo dõi nhật kí phát hành vi bất thường, cần thực điều tra 3.3.8.an toàn sử dụng tài khoản Những tài khoản mặc định tạo trình cài đặt hdh phần mềm không sử dụng cần phải vô hiệu hóa thay đổi đặc quyền cho đảm bảo yêu cầu đặc quyền tối thiểu Tài khoản quản trị viên nên đổi tên không sử dụng chung với ngườidùng gốc Mỗi quản trị viên truy cập máychủweb cần có tk riêng với quyền tương ứng Đây biệnphápbảomật tốt để tránh chia sẻ tài khoản ngườidùng 3.3.9.Loại bỏ tất modules ứngdụng mở rộng không sử dụng Cài đặt máychủ Apache mặc định có số modules kích hoạt trước mà máychủweb điển hình không sử dụng, trừ trường hợp đặc biệt Tắt modules để ngăn chặn công nhằm vào mục tiêu chống lại modules Tương tự với máychủweb Microsoft Mặc định, IIS cấu hình để phục vụ số lượng lớn loại ứng dụng, vd ASP, ASP.NET … Danh sách phần ứngdụng mở rộng nên chứa danh sách phần mở rộng ứngdụng mà trang web sử dụng 3.3.10.Sử dụng công cụ bảomật phần mềm máychủweb Microsof có phát hành số công cụ giúp nhà quản trị bảo vệ máychủweb IIS, chẳng hạn URL scan Ngoài có modules tên mod-security dành cho Apache Mặc dù cấu hình công cụ bảomật nhàm chán, thời gian, ứngdụngweb cá nhân, điều giúp tang thêm bảomật khiến cảm thấy an tâm 3.3.11.Cập nhật thông tin Ngày nay, thông tin lời khuyên phần mềm hay hệ điều hành sử dụng tìm thấy dễ dàng internet Điều quan trọng cập nhật thông tin tìm hiểu công, công cụ cách đọc tạp chí liên quan đến bảo mật, diễn đàn nguồn khác 3.3.12.Sử dụngmáy quét Máy quét công cụ tiện dụng giúp bạn thực cách tự động hóa giảm bớt trìnhbảomậtmáychủweb,ứngdụngweb Acunetix Web Vulnerability Scanner máy quét cổng Khi kích hoạt, phần mềm quét cổng máychủweb lưu trữ ứngdụngweb quét Tương tự quét bảomật mạng, Acunetix khởi chạy số kiểm tra an ninh mạng cổng mở dịch vụ mạng chạy máychủweb Nó đảm bảo an toàn cho trang webmáychủweb bạn cách 12 | P a g e kiểm tra SQL Injextion, Cross-Site Scripting, vấn đề cấu hình máychủ lỗ hổng khác Nó kiểm tra độ mạnh mật trang xác thực, nội dungweb 2.0 động ứngdụngweb khác Khi trình hoàn tất, phần mềm tạo báo cáo chi tiết xác định nơi dễ bị tổn thương thông báo cho ngườidùng 4.Bảo mậtứngdụngweb 4.1.Giới thiệu ứngdụngwebỨngdụngwebứngdụng client/ server sử dụng giao thức HTTP để tương tác với ngườidùng hay hệ thống khác Client dành cho ngườidùng thường trình duyệt, chương trình đóng vai trò đại lý ngườidùng hoạt động trìnhduyệt tự động Ngườidùng gửi nhận thông tin từ máychủ cách tác đọng vào trang webCác chương trình trang trao đổi mua bán, diễn đàn, gửi nhận email… 4.1.1.Kiến trúc ứngdụng web: Web application sử dụng cấu trúc đơn giản, bao gồm lớp: Lớp trình bày: Lớp có nhiệm vụ hiển thị liệu cho người dùng, thêm ứngdụng tạo bố cục cho trang web Lớp ứng dụng: Là nơi xử lý ứngdụngweb Tại xử lý thông tin ngườidùng yêu cầu, đưa kết gửi đến “lớp trình bày “ Lớp thường cài đặt ngôn ngữ lập trình CGI, Java, NET, PHP triển khai máychủ Apache, IIS … Lớp liệu: Thường hệ quản trị liệu, chịu trách nhiệm quản lý file liệu quyền truy cập 13 | P a g e 4.1.2.Mô hình hoạt động ứngdụngweb Mô tả: Mỗi bạn khởi động trìnhduyệt kết nối vào website, nghĩa bạn sử dụng nhiều ứngdụngweb Đầu tiên, trìnhduyệt gửi yêu cầu đến máychủweb thông qua phương thức GET/ POST… giao thức HTTP Máychủ lúc cho phép thực thi chương trình xây dựng từ nhiều ngôn ngữ perl, C/C++ … máychủ yêu cầu thực thi trang ASP, JSP …theo yêu cầu trìnhduyệt Tùy theo tác vụ cần xử lý, chương trình tính toán, kết nối đến csdl, lưu trữ lấy thông tin vaf trả trìnhduyệt client Việc chấp nhận tính toán từ client làm giảm đáng kể mã nguồn yêu cầu cho thiết bị đầu cuối Với ứngdụngweb, phần lớn tiến trình diễn sever gửi tới website từ xa 4.2.Tại bảomậtứngdụngweb lại quan trọng ? Một khảo sát gần thực hành bảomật từ Fortune 1000 công ty ưu tiên sử dụng số cho bảomật IT họ firewalls network.Giả sử, bạn cho cách khiến công ty bị công xuyên qua cổng mở mạng Thực tế, bạn đồng ý với điều đó, bạn hoàn toàn sai lầm Cách khiến 1000 công ti khảo sát tổ chức khác quy mô bị công thông qua ứngdụngwebLàm mà ứngdụngweb lại thường xuyên bị công ? Thám mã quy mô lớn cho thấy có đến 70% công nhằm vào ứngdụngweb Không công bị chặn tường lửa.Nhưng ngân sách cho IT tập trung cho hệ thống phòng thủ firewall.Đó điều khó hiểu, mà firewalls network vô ích để ngăn chặn công vào ứngdụngweb Bạn sử dụng tường lửa để đóng cổng mà ứngdụngweb yêu cầu, sau đó, không truy cập web site bạn Các tổ chức sử dụng hang triệu dola năm cho việc quảng cáo để mời người ghé thăm trang họ, họ chắn đóng chúng với tường lửa 4.3.Các nguy bảomậtứngdụngweb Dưới danh sách 10 nguy lỗ hổng bảomật hàng đầu ứngdụngWeb theo OWASP (2013): 14 | P a g e Injection (Chèn mã) XSS – Cross-Site Scripting Xác thực yếu vấn đề quản lý phiên Tham chiếu đối tượng trực tiếp không an toàn CSRF – Cross-Site Request Fogery Lỗi cấu hình an ninh Lưu trữ tham số mã hóa không an toàn Không hạn chế truy nhập URL nội Thiếu chế bảo vệ tầng vận chuyển Không kiểm tra địa URL redirect chuyển tiếp 4.4.Nguyên tắc bảomậtứngdụngweb Áp dụng nguyên tắc phòng vệ nhiều lớp, có chiều sâu (Defence in depth): Lớp bảomật mạng (Network) :Các ứngdụngweb cần hạ tầng mạng an toàn cho giao tiếp máychủmáy khách.Các thiết bị mạng Switch, Router, Firewall, IPS/IDS cần cài đặt cấu hình theo chuẩn, đảm bảo an toàn: Lớp bảomậtmáychủ (Host) :Các yếu tố cần đảm bảobảomật lớp bảomậtmáychủbao gồm hệ điều hành, hệ csdl phần mềm/ dịch vụ hệ thống Lớp bảomậtứngdụng (Application) : Cần đảm bảo yếu tố Xác thực/trao quyền Cấu hình Kiểm tra liệu đầu vào Quản lý phiênlàmviệc Mã hóa liệu Quản lý ngoại lệ Ghi logs 4.5.Các biệnphápbảomậtứngdụngweb 4.5.1.Các đề xuất bảomậtứngdụngweb bản: Ngay ứngdụngbảomật phức tạp thất bại tin tặc sử dụng cách đơn giản để truy cập vào máy tính bạn Bạn cần thực nguyên tắc sau: Sao lưu liệu thường xuyên giữ an toàn cho liệu lưu Giữ cho máy tính máychủWeb an toàn mặt vật lý để ngườidùng trái phép truy cập vào nó, tắt máy lấy Sử dụng hệ thống tệp Windows NTFS FAT32 NTFS cung cấp bảomật đáng kể FAT32 Bảomậtmáy tính Web server tất máy tính mạng với mật mạnh Đóng cổng không sử dụng tắt dịch vụ không sử dụng Chạy trình kiểm tra vi rút để theo dõi lưu lượng truy cập nước Thiết lập thực thi sách ngăn cấm ngườidùng lưu giữ mật họ vị trí dễ tìm Sử dụng tường lửa Cài đặt vá lỗi bảomật từ Microsoft nhà cung cấp khác 15 | P a g e Ghi log kiện đăng nhập kiểm tra ghi thường xuyên cho hoạt động đáng ngờ Điều bao gồm nỗ lực lặp lại để đăng nhập vào hệ thống bạn số lượng lớn yêu cầu máychủWeb bạn 4.5.2.Chạy ứngdụngweb với đặc quyền tối thiểu Khi ứngdụng khởi động, chạy ngữ cảnh có đặc quyền cụ thể máy tính cục máy tính từ xa Để chạy với đặc quyền nhất, làm theo nguyên tắc sau: Không chạy ứngdụng bạn với danh tính ngườidùng hệ thống (quản trị viên) Chạy ứngdụng ngữ cảnh ngườidùng với đặc quyền thực tế tối thiểu Thiết lập quyền (Access Control Lists ACLs) tất tài nguyên cần thiết cho ứngdụng bạn Sử dụng cài đặt đặc quyền tối thiểu Giữ tệp cho ứngdụngWeb bạn thư mục bên thư mục gốc Không cho phép ngườidùng tùy chọn định đường dẫn cho quyền truy cập tệp ứngdụng bạn Điều giúp ngăn ngườidùng truy cập vào thư mục gốc máychủ bạn 4.5.3.Xác định ngườidùng Trong nhiều ứng dụng, ngườidùng truy cập trang web cách ẩn danh Nếu ứngdụng thiết lập hạn chế, vậy, ứngdụng bạn truy cập tài nguyên cách chạy vai trò ngườidùng xác định trước Để hạn chế quyền truy cập vào ngườidùng xác thực, thực theo nguyên tắc sau: Nếu ứngdụng bạn ứngdụng mạng nội bộ, cấu hình để sử dụngbảomật tích hợp Windows Bằng cách đó, thông tin đăng nhập ngườidùng sử dụng để truy cập tài nguyên Nếu bạn cần thu thập thông tin từ người dùng, sử dụng phương thức xác thực Ví dụ: xem Quản lý ngườidùng cách sử dụng Thành viên 4.5.4.Bảo vệ chống lại liệu đầu vào nguy hiểm Theo nguyên tắc chung, không cho liệu từ ngườidùng an toàn Tin tặc gửi liệu độc hại đến ứngdụng bạn Để bảo vệ chống lại nguy này, thực theo nguyên tắc : Không lưu trữ liệu ngườidùng chưa lọc vào sở liệu Nếu bạn muốn chấp nhận số HTML từ người dùng, lọc tay Trong lọc bạn, xác định rõ ràng bạn chấp nhận Không tạo lọc để cố gắng loại bỏ đầu vào nguy hiểm; khó để dự đoán tất đầu vào có hại xảy Đừng cho thông tin bạn nhận từ tiêu đề yêu cầu HTTP (trong đối tượng HttpRequest) an toàn Sử dụngbiệnphápbảo vệ cho chuỗi truy vấn, cookie, v.v Lưu ý thông tin trìnhduyệtbáo cáo tới máychủ (thông tin agent người dùng) bị lừa đảo, trường hợp nguy hiểm ứngdụng bạn Nếu có thể, đừng lưu trữ thông tin nhạy cảm nơi truy cập từ trình duyệt, chẳng hạn trường ẩn cookie Ví dụ: không lưu trữ mật cookie 16 | P a g e 4.5.5.Truy cập CSDL an toàn Cơ sở liệu thường bảomật riêng Một khía cạnh quan trọng ứngdụngWeb an toàn thiết kế để ứngdụng truy cập sở liệu cách an toàn Thực theo nguyên tắc sau: Sử dụngbảomật vốn có sở liệu bạn để hạn chế người truy cập tài nguyên sở liệu Điều phụ thuộc vào sở liệu ứngdụng bạn: Không tạo câu lệnh SQL cách nối chuỗi có liên quan đến đầu vào ngườidùng Thay vào đó, tạo truy vấn tham số hóa sử dụng đầu vào ngườidùng để đặt giá trị tham số Nếu bạn phải lưu trữ tên ngườidùngmật để sử dụng chứng đăng nhập sở liệu, lưu trữ chúng tệp Web.config bảo vệ tệp tin với cấu hình bảo vệ 4.5.6.Tạo thông báo lỗi an toàn Nếu bạn không cẩn thận, ngườidùng độc hại suy luận thông tin quan trọng ứngdụng bạn từ thông báo lỗi mà hiển thị.Để đảm bảo, thực theo nguyên tắc sau: Đừng viết thông báo lỗi báo lại thông tin hữu ích cho ngườidùng độc hại, chẳng hạn tên ngườidùng Cài đặt cấu hình ứngdụng không hiển thị lỗi chi tiết cho ngườidùng Nếu bạn muốn hiển thị thông báo lỗi chi tiết để gỡ lỗi, xác định kĩ 4.5.7.Đảm bảo thông tin nhạy cảm an toàn Thông tin nhạy cảm thông tin bạn cần giữ bí mật, điển hình mật khóa mã hóa Để cách li ngườidùng độc hại khỏi thông tin này, thực theo nguyên tắc: Sử dụng cấu hình bảo vệ để bảo vệ thông tin nhạy cảm tệp cấu tệp Web.config Machine.config Nếu bạn phải lưu trữ thông tin nhạy cảm, đừng giữ trang Web, dạng bạn nghĩ người nhìn thấy (chẳng hạn mã máy chủ) Sử dụng thuật toán mã hóa mạnh cung cấp 4.5.8.Sử dụng cookies an toàn Sử dụng Cookie cách hữu ích ngườidùng sử dụng thông tin cụ thể có sẵn Tuy nhiên, cookie gửi đến máy tính trình duyệt, chúng dễ bị giả mạo Để cookies an toàn, ta thực theo nguyên tắc: Không lưu trữ thông tin quan trọng cookie Ví dụ: không lưu mậtngườidùng vào cookie, chí tạm thời Đặt ngày hết hạn cookie vào thời gian thực tế ngắn có thể, tránh cookie vĩnh viễn Xem xét việc mã hóa thông tin cookie Xem xét việc thiết lập thuộc tính Bảomật Http trên cookie thành true 4.5.9.Bảo vệ chống lại mối đe dọa từ chối dịch vụ Một cách gián tiếp mà ngườidùng độc hại thâm nhập vào ứngdụng bạn làm cho sẵn Họ giữ ứngdụng bận để phục vụ ngườidùng khác đơn giản làm cho sụp đổ Để đảm bảo an toàn, thực theo nguyên tắc sau: 17 | P a g e Sử dụng xử lý lỗi (ví dụ: try-catch) bao gồm khối cuối bạn phát hành tài nguyên trường hợp thất bại Cấu hình máychủweb sử dụngtrình điều khiển, ngăn không cho ứngdụng sử dụng lượng thời gian CPU không cân xứng Kiểm tra giới hạn ngườidùng trước sử dụng lưu trữ Đặt giới hạn kích thước cho tệp tải lên, phần ứngdụng bạn 5.Demo chiếmphiênlàmviệc Phần nhóm em trình bày cụ thể buổi báo cáo 6.Kết luận Những vấn đề đạt Báo cáo nhóm tập trung nguyên bảomậtbiệnphápbảomật cho hệ thống web server, ứngdụngwebtrìnhduyệt Bên cạnh đó, báo cáo giới thiệu sơ hệ thống kể vai trò mô hình hoạt động hệ thống Những vấn đề báo cáo chưa giải Đối với hệ thống, có nhiều lỗ hổng quen thuộc vd SQL injection, XSS ứngdụngweb mà báo cáo không trình bày cụ thể đưa hướng khắc phục, nhiên thiếu sót mà phạm vi nhóm muốn hướng tới toàn hệ thống không sâu vào số lỗ hổng nên người đọc cần xác định rõ vấn đề quan tâm tham khảo tài liệu 7.Tài liệu tham khảo Slide giảng “Web database security ” TS Hoàng Xuân Dậu, HV Công Nghệ Bưu Chính Viễn Thông Ebook “Web Application Security, A Beginners Guide” tác giả Bryan Sullivan Vincent Liu Ebook “The Web Application Hacker's Handbook- Finding and Exploiting Security Flaws” Tái lần tác giả Dafydd Stuttard Marcus Pinto Các viết tham khảo link: https://www.f-secure.com/en/web/labs_global/browser-security https://msdn.microsoft.com/en-us/library/zdh19h94.aspx https://www.darkreading.com/risk-management/6-ways-to-strengthen-web-app-security/d/d-id/1106197? https://msdn.microsoft.com/en-us/library/zdh19h94.aspx https://www.darkreading.com/risk-management/6-ways-to-strengthen-web-app-security/d/d-id/1106197? http://www.zonealarm.com/blog/2014/05/6-ways-to-secure-web-browser/ 18 | P a g e 19 | P a g e ... 4.2.Tại bảo mật ứng dụng web lại quan trọng ? 14 4.3 .Các nguy bảo mật ứng dụng web 14 4.4.Nguyên tắc bảo mật ứng dụng web 15 4.5 .Các biện pháp bảo mật ứng dụng web. .. động máy chủ web, trình duyệt ứng dụng web. Bên cạnh đó, báo cáo tập trung vào việc nguy an toàn đặc biệt giải pháp bảo mật chúng 5|Page 2 .Bảo mật trình duyệt web 2.1.Giới thiệu trình duyệt web Trình. .. 4.5 .Các biện pháp bảo mật ứng dụng web 4.5.1 .Các đề xuất bảo mật ứng dụng web bản: Ngay ứng dụng bảo mật phức tạp thất bại tin tặc sử dụng cách đơn giản để truy cập vào máy tính