trên đây là một mẫu báo cáo xuất về bộ môn học an toàn thông tin của khó học 20142019 của một số bạn sinh viên trong đề tài báo cóa tiểu luận của mình, nay share cho các bạn nào có đam mê an toàn thông tin cũng như hứng thú với bộ môn quản lí an toàn thông tin
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO ĐÁNH GIÁ RỦI RO ĐỐI VỚI MỘT HỆ THỐNG WEB SỬ DỤNG HỆ THỐNG ĐÁNH GIÁ NIST SP800-30 Giảng viên hướng dẫn: TS Phạm Hồng Duy Nhóm Sinh viên: Phạm Quang Huy Nguyễn Anh Minh Lê Văn Nam Trần Viết Tuấn Hà Nội, ngày 22 tháng 10 năm 2017 MỤC LỤC I Giới thiệu Trang web: http://freescience.info - Là trang web cung cấp sách điện tử miễn phí khoa h ọc II III IV V sinh học, vật lý, tin học,… - Do Claudio Attaccalite, người Italia tạo t năm 2002 - Mục tiêu freescience.info trở thành th viện online lớn khoa học Mục đích báo cáo - Đánh giá rủi ro hệ thống web freescience.info - Đề xuất số giải pháp giảm thiểu rủi ro Phạm vi đánh giá - Hệ thống web nhìn từ bên ngồi, coi nh m ột hộp đen Cách tiếp cận đánh giá rủi ro Phương pháp thu thập thông tin - Công cụ: Acunetix Web Vulnerability Scanner - Mẫu câu hỏi: Theo mẫu câu hỏi phụ lục A NIST SP800-30 Mô tả rủi ro - Ma trận mức độ rủi ro: sử dụng ma trận 3x3 Mô tả đặc trưng hệ thống Phần cứng - Máy chủ hosting Phần mềm - Máy chủ web: Apache - Hệ quản trị sở liệu: MySQL - Ngôn ngữ lập trình: PHP 5.2.17 Dữ liệu - Sách điện tử (chủ yếu dạng file pdf) Người dùng - Người dùng thông thường: không cần tạo tài khoản đăng nhập, download sách điện tử tùy ý - Người dùng quản trị: cần đăng nhập, upload sách Xác định mối đe dọa Con người - Tin tặc Tự nhiên - Thiên tai: động đất, sóng thần,… khu v ực đặt máy ch ủ hosting Môi trường - Điện áp cung cấp không ổn định thời gian dài Kết đánh giá rủi ro Xác định lỗ hổng Lỗ hổng Blind SQL Injection Cross Site Scripting Direcotory Traversal SQL Injection Apache http-only Disclosure Application Error Message AWStats Script Cross Frame Scripting OPTION Method is enabled Mô tả Là loại SQL Injection cho phép kẻ công gửi câu truy vấn trả kết sai dựa phản hồi ứng dụng Điều xảy ứng dụng web thiết kế để không trả liệu từ câu truy vấn SQL Injection, nhiên không ngăn chặn việc thực câu truy vấn Là lỗ hổng cho phép kẻ công gửi đoạn mã độc hại (của ngơn ngữ scrip hỗ trợ trình duyệt web JavaScript) đến người dùng khác trình duyệt web họ thực Là lỗ hổng cho phép kẻ công truy nhập thư mục thực thi lệnh hệ thống bên thư mục gốc máy chủ web Là lỗ hổng cho phép kẻ công th ực thi câu lệnh SQL từ liệu nhập vào ứng dụng web Là lỗ hổng cho phép kẻ công lấy liệu từ http-only cookie thông qua việc xử lý Bad Request máy chủ web Apache có phiên từ 2.0.21 trở xuống Là lỗ hổng cho phép kẻ công thu thập thông tin hệ thống từ thông điệp lỗi/cảnh báo ứng dụng web trả Là lỗ hổng cho phép kẻ công thu thập thông tin nhạy cảm cấu trúc hoạt động ứng dụng web thông qua báo cáo công cụ AWStats trang web Là lỗ hổng cho phép kẻ công đánh cắp thông tin người dùng thông qua việc sử dụng JavaScript để tải trang web hợp pháp lên iframe nằm trang web kẻ công Là lỗ hổng cho phép kẻ công biết phương thức HTTP máy chủ web cho phép thông qua việc sử dụng phương thưc HTTP OPTION Session Cookie without Là lỗ hổng cho phép kẻ công sử http-only flag set dụng ngôn ngữ script bên client để đánh cắp cookie, cookie truy nhập ngôn ngữ script bên client Session Cookie without Là lỗ hổng cho phép kẻ công secure flag set đánh cắp cookie đường truyền cookie không trình duyệt gửi qua kênh SSL/TLS an tồn TRACE Method is Là lỗ hổng cho phép kẻ công truy enabled nhập vào liệu nhạy cảm cookie phương thức HTTP TRACE cookie đặt cờ http-only Phân tích kiểm sốt - Hầu chưa có biện pháp kiểm sốt hiệu đối v ới lỗ hổng liệt kê - Kiểm sốt truy nhập tính quản trị thông qua xác th ực tài khoản người dùng quản trị - Ghi log kiểm toán truy nhập vào ứng dụng web Xác định mức độ chắn Lỗ hổng Blind SQL Injection Cross Site Scripting Direcotory Traversal SQL Injection Apache http-only Disclosure Application Error Message AWStats Script Cross Frame Scripting OPTION Method is enabled Session Cookie without http-only flag set Session Cookie without secure flag set TRACE Method is enabled Mức độ chắn Cao Cao Cao Cao Cao Cao Cao Cao Cao Cao Cao Cao Các lỗ hổng dễ dàng bị kẻ công khai thác, ứng dụng web chưa có biện pháp bảo vệ Phân tích tác động - Lỗ hổng Blind SQL Injection Cross Site Scripting Direcotory Traversal SQL Injection Apache http-only Disclosure Application Error Message AWStats Script Cross Frame Scripting OPTION Method is enabled Session Cookie without http-only flag set Session Cookie without secure flag set TRACE Method is enabled Mức độ tác động Cao Thấp Cao Cao Trung bình Trung bình Thấp Thấp Thấp Trung bình Thấp Trung bình Xác định rủi ro - Sử dụng ma trận mức độ rủi ro 3x3: - Mức độ rủi ro: Lỗ hổng Blind SQL Injection Cross Site Scripting Mức độ rủi ro Cao (100x1) Thấp (10x1) Direcotory Traversal SQL Injection Apache http-only Disclosure Application Error Message AWStats Script Cross Frame Scripting OPTION Method is enabled Session Cookie without http-only flag set Session Cookie without secure flag set TRACE Method is enabled Cao (100x1) Cao (100x1) Trung bình (50x1) Trung bình (50x1) Thấp (10x1) Thấp (10x1) Thấp (10x1) Trung bình (50x1) Thấp (10x1) Trung bình (50x1) Khuyến nghị biện pháp kiếm soát Lỗ hổng Blind SQL Injection Cross Site Scripting Direcotory Traversal SQL Injection Apache http-only Disclosure Application Error Message AWStats Script Cross Frame Scripting Biện pháp kiểm soát Xây dựng lọc liệu đầu vào, loại bỏ mã hóa từ khóa, kí hiệu ngơn ngữ SQL Xây dựng lọc liệu đầu vào, loại bỏ mã hóa từ khóa, kí hiệu ngôn ngữ script JavaScript Xây dựng lọc liệu đầu vào, loại bỏ mã hóa từ khóa, kí hiệu câu lệnh hệ thống Xây dựng lọc liệu đầu vào, loại bỏ mã hóa từ khóa, kí hiệu ngơn ngữ SQL Nâng cấp máy chủ web lên phiên Apache 2.2.22 trở lên Loại bỏ việc xuất thông báo lỗi hàm error_reporting(0) ngôn ngữ PHP Hạn chế truy nhập đến chương trình xác thực tài khoản quản trị Xây dựng lọc liệu đầu vào, loại bỏ mã hóa từ khóa, kí hiệu ngơn ngữ script JavaScript OPTION Method is enabled Session Cookie without http-only flag set Session Cookie without secure flag set TRACE Method is enabled VI Vô hiệu hóa phương thức HTTP OPTION máy chủ web Đặt cờ http-only cho cookie, cho session token Chấp nhận rủi ro việc cookie không mã hóa đường truyền Vơ hiệu hóa phương thức HTTP TRACE máy chủ web Kết luận - Ứng dụng web freescience.info tồn r ất nhi ều l ỗ hổng dễ dàng bị khai thác kẻ công - Sau áp dụng biện pháp kiểm soát khuy ến ngh ị, hạn chế đến tối đa rủi ro với chi phí tối thiểu - Tuy nhiên, ứng dụng cung cấp sách điện t miễn phí, nên rủi ro người dùng khơng cao Có th ể chấp nhận số rủi ro tồn