LỜI CẢM ƠN Lời em xin chân thành cảm ơn hƣớng dẫn tận tình Nguyễn Nƣơng Quỳnh, khoa Kỹ thuật - Công nghệ Thông tin, truờng Đại học Quảng Bình Trong suốt thời gian thực khóa luận, bận rộn cơng việc nhƣng cô giành nhiều thời gian tâm huyết việc hƣớng dẫn em Cô cung cấp cho em nhiều hiểu biết lĩnh vực em bắt đầu bƣớc vào thực khóa luận Em xin chân thành cảm ơn thầy, cô giáo khoa Kỹ thuậtCông nghệ Thông tin, nhƣ thầy cô trƣờng giảng dạy giúp đỡ em năm học vừa qua Chính thầy cô xây dựng cho chúng em kiến thức tảng kiến thức chuyên môn để em hồn thành khóa luận tốt nghiệp chuẩn bị cho cơng việc sau Em gửi lời cảm ơn đến tất bạn bè, ngƣời bên em, động viên khuyến khích em q trình thực khóa luận tốt nghiệp Và cuối cùng, em xin bày tỏ lòng biết ơn sâu sắc đến gia đình ni nấng chỗ dựa vững cho em Đồng Hới, ngày 19 tháng 05 năm 2017 Sinh viên thực Hồng Trung Thƣơng LỜI CAM ĐOAN Tơi xin cam đoan kết đạt đƣợc khóa luận kết tìm hiểu thân Trong tồn nội dung khóa luận, điều đƣợc trình bày cá nhân đƣợc tổng hợp từ nhiều nguồn tài liệu Tất cá tài liệu tham khảo có xuất xứ rõ ràng đƣợc trích dẫn hợp pháp Tơi xin chịu trách nhiệm khóa luận mình! Sinh viên thực Hồng Trung Thƣơng MỤC LỤC A TỔNG QUAN ĐỀ TÀI 1.Lý chọn đề tài 2.Mục đích nhiệm vụ nghiên cửu 3.Nội dung nghiên cứu 4.Đối tƣợng, phạm vi, phƣơng pháp nghiên cứu 5.Dự kiến kết đạt đƣợc đề tài khả ứng dụng B NỘI DUNG ĐỀ TÀI CHƢƠNG 1: TỔNG QUAN VÀ KHẢO SÁT HIỆN TRẠNG VỀ WEBSITE 1.1.TỔNG QUAN VỀ WEBSITE 1.1.1 Tổng quan 1.1.2 Các dịch vụ ứng dụng web 1.2 KHẢO SÁT HIỆN TRẠNG 1.2.1 Tình hình an ninh mạng giới 1.2.2 Tình hình bảo mật Việt Nam CHƢƠNG 2: CÁC PHƢƠNG PHÁP TẤN CÔNG 10 2.1 Giới thiệu chung phƣong pháp công website 10 2.2 Broken Authentication and Session Management 11 2.2.1 Giới thiệu 11 2.2.2.Hoạt động 12 2.2.3 Cách phát lỗi 13 2.2.4 Phòng chống 13 2.3 Insecure Direct Object References 13 2.3.1 Giới thiệu 13 2.3.2 Hoạt động 14 2.3.3 Cách phát lỗi 14 2.3.4 Phòng chống 15 2.4 Cross Site Request Forgery 15 2.5 Security Misconfíguration 15 2.6 Insecure Cryptographic Storage 16 2.7 Failure to Restrict URL Access 16 2.8 Insufficient Transport Layer Protection 17 2.8.1 Giới thiệu 17 2.8.2 Hoạt động 17 2.8.3 Phòng chống 18 2.9 Unvalidated Redirects and Forwards 18 2.9.1 Giới thiệu 18 2.9.2 Hoạt động 18 2.9.3 Phòng chồng 19 2.10 Local Attack 19 2.10.1 Tun hiểu Local Attack 19 2.10.2 Các bƣớc thực Local Attack 20 2.10.3 Các kỹ thuật Local Attack 21 2.10.4 Cách phòng chong 23 2.10.5 Các công cụ hỗ trợ 24 2.11 Tấn công từ chối dịch vụ (Denial of Sever) 25 2.11.1 DOS 25 2.11.2 DDOS (Distributed Denial of Service) 30 2.12.1 Định nghĩa 33 2.12.2 Các dạng công SQL In jection 33 2.12.3 Tránh kiểm soát 36 2.12.4 Các phòng tránh SQL Injection 37 2.13.1 Tấn côngXSS 37 2.13.3 Cách công 38 2.13.4 Phân loại 38 2.13.5 Phòng chống 40 2.14.3 Những phƣơng thức hoạt động Phishing 41 2.14.4 Quá trình hoạt động 43 2.14.5 Các kiểu lừa đảo - Man in the middle attacks: 43 2.14.6 Phòng chống 45 C KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 47 Kết luận 47 Hƣớng phát triển 47 TÀI LIỆU THAM KHẢO 48 TỔNG QUAN ĐỀ TÀI Lý chọn đề tài Trong thời đại ngày internet trở nên quen thuộc cơng cụ hữu ích đế đất nƣớc giới thiệu hình ảnh hay đơn giản trang web cá nhân giới thiệu Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Khi mà phát triển mạng internet ngày phát triển đa dạng phong phú công website phát triển phức tạp Điều đặt vấn đề cấp thiết làm để đảm bảo an tồn thơng tin cho ứng dụng web,thông tin ngƣời sử dụng Xuất phát từ thực tế đó, khóa luận em tìm hiếu cách cơng Website cách phòng chống loại cơng Thơng qua việc tìm hiểu, em mong muốn góp phần nhỏ vào việc nghiên cứu tìm hiểu vấn đề an ninh mạng giúp cho việc học tập nghiên cứu Mục đích nhiệm vụ nghiên cửu - Tìm hiểu vấn đề liên quan đến hoạt động ứng dụng web - Tìm hiếu kỹ thuật công website nhƣ: Cross Site Scripting, SQL Injection, Broken Authentication and Session Management, Insecure Direct Object References, Insecure Cryptographic Storage, Failfure to Restrict URL Access, Insufficient Transport Layer Protection, Unvalidates Redirects and Forwards, Phishing, Local Attack, Autocomplete, DOS - Kết thực hiện: nắm rõ chất cách thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Nội dung nghiên cứu Chƣơng 1: Tổng quan khảo sát tƣợng website Chƣơng 2: Các phƣơng pháp công số giải pháp bảo mật Đối tƣợng, phạm vi, phƣơng pháp nghiên cứu Cơ sở lý thuyết liên quan hoạt động website Các kỹ thuật công website Dự kiến kết đạt đƣợc đề tài khả ứng dụng Nắm đƣợc phƣơng pháp công mà kẻ công thƣờng sử dụng để công website từ trƣớc đến sử dụng tiếp thời gian dài tƣơng lai A NỘI DUNG ĐỀ TÀI CHƢƠNG 1: TỔNG QUAN VÀ KHẢO SÁT HIỆN TRẠNG VỀ WEBSITE 1.1.TỔNG QUAN VỀ WEBSITE 1.1.1 Tổng quan World Wide Web đƣợc tạo vào năm 1990 CERN kỹ sƣ Tim Berners - Lee Ngày 30 tháng năm 1993, CERN thông báo rang World Wide Web đƣợc miễn phí đế sử dụng cho Website tập hợp trang web (web pages) bao gồm văn bản, hình ảnh, video, flash, thƣờng nằm tên miền (domain name) tên miền phụ (subdomain) Website đƣợc lƣu trữ (web hosting) Webserver truy cập thơng tin Website đóng vai trò văn phòng hay cửa hàng mạng internet - nơi giới thiệu thông tin doanh nghiệp, sản phẩm dịch vụ doanh nghiệp cung cấp Có coi website mặt doanh nghiệp, nơi để đón tiếp giao dịch với khách hàng, đối tác internet Website động (Dynamic website) website có sở liệu, đƣợc cung cấp cơng cụ quản lỷ website (admin tool) Đặc điểm website động tính linh hoạt cập nhật thơng tin thƣờng xuyên, quản lý thành phần website dễ dàng Loại website thƣờng đƣợc viết ngơn ngữ lập trình nhƣ PHP, ASP.NET, JSP, Perl, , quản trị sở liệu SQL MYSQL Website tĩnh lập trình ngơn ngữ HTML theo trang, khơng có sở liệu khơng có cơng cụ quản lý thơng tin website Thông thƣờng website tĩnh đƣợc thiết kế phần mềm nhƣ Frontpage, Dreamwaver Đặc điểm website tĩnh thay đổi nội dung, thay đổi nội dung thƣờng liên quan đến thay đổi văn kèm thể nội dung Hiện nay, hầu hết doanh nghiệp sử dụng website động, hệ công nghệ website đƣợc ngƣời biết đến web 2.0, web 3.0 công nghệ web office Tên miền (domain): tên miền địa website, internet tồn địa (tức tồn tên miền) Có hai loại tên miền: ■ Tên miền Quốc tế: Trung tâm quản lỷ tên miền quốc tế cấp: thƣờng có com, net, biz, info, Tên miền loại dễ mua, giá rẻ nhƣng dễ bị kẻ công ăn cắp tên miền ■ Tên miền quốc gia: Trung tâm quản lý tên miền quốc gia quản lý Tên miền Việt Nam có vn, com.vn, edu.vn, gov.vn, VNNIC quản lý Muốn sử dụng tên miền cần làm hồ sơ đăng ký tốn phí cao gồm phí đăng kí đóng lần phí trì hàng năm Tuy nhiên tên miền đƣợc cho thể nghiêm túc chuyên nghiệp cho doanh nghiệp không bị ăn cắp tên miền Lƣu trữ website: liệu thông tin website phải đƣợc lƣu trữ máy tính ln hoạt động kết nối với mạng Internet Một máy chủ lƣu trữ nhiều website, máy chủ bị cố chẳng hạn tắt thời điểm khơng có khả truy cập đƣợc website lƣu trữ máy chủ thời điểm bị cố Tùy theo nhu cầu lƣu trữ thơng tin mà doanh nghiệp thuê dung lƣợng thích hợp cho website Dung lƣợng host: nơi để lƣu trữ sở liệu website (hình ảnh, thơng tin, ), đơn vị dung lƣợng MB GB Băng thông hay dung lƣợng đƣờng truyền tổng số MB liệu tải lên máy chủ tải từ máy chủ nơi đặt website, đơn vị đo thông thƣờng MB/tháng 1.1.2 Các dịch vụ ứng dụng web - Với công nghệ nay, website không đơn giản trang tin cung cấp tin đơn giản Những ứng dụng viết web không đƣợc gọi phần website nữa, chúng đƣợc gọi phần mềm viết web - Có nhiều phần mềm chạy web nhƣ google documents, email, - Một số ƣu điểm phần mềm hay ứng dụng chạy web: ■ Mọi ngƣời có trình duyệt bạn cần trình duyệt để chạy phần mềm ■ Phần mềm ln ln đƣợc cập nhật chúng chạy máy chù ■ Luôn sẵn sàng 24/7 ■ Dễ dàng lƣu liệu thƣờng xuyên ■ Có thể truy cập lúc, nơi, miễn bạn có mạng ■ Chi phí triển khai cực rẻ so với phần mềm chạy desktop Hãy hình dung bạn có phần mềm quản lý bán hàng hay quản lý công việc công ty Không phải lúc bạn công ty, với phần mềm viết web, bạn vào kiếm tra, điều hành đâu, chí bạn cần điện thoại chạy đƣợc trình duyệt mà khơng phải cần đến máy tính 1.2 KHẢO SÁT HIỆN TRẠNG 1.2.1 Tình hình an ninh mạng giới Năm 2012, Kaspersky làm khảo sát tình hình an ninh mạng 2012 với giám đốc điều hành 3.300 công ty thuộc 22 quốc gia giới: có 30% doanh nghiệp nhỏ, 41% doanh nghiệp vừa 29% doanh nghiệp lớn Kết cho thấy 50% rủi ro kinh doanh doanh nghiệp từ mối đe dọa qua mạng, 26% vấn đề liên quan đến an ninh mạng Những báo cáo rằng, đợt công kẻ công nhằm vào doanh nghiệp ngày gia tăng Với xuất hàng loạt công trực tuyến thời gian qua, báo hiệu thời kì khó khăn cho ngân hàng trực tuyến toàn giới Năm 2012, công nhằm vào ngân hàng Mỹ, khiến cho website ngân hàng ngừng trệ dừng hẳn Theo Prolexic, Lúc câu truy vấn đƣợc gọi thực là: select * from user where tendangnhap=”OR”=” and matkhau = “OR”=” Ket câu truy van họp lệ trả tất ghi bảng user đoạn mã xử lý ngƣời dùng đăng nhập bất họp pháp nhƣ ngƣời dùng đăng nhập họp lệ - Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Đe thực đƣợc kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thơng báo lỗi từ hệ thống đế dò tìm điểm yếu khởi đầu cho việc cơng Xét ví dụ thƣờng gặp website bán sản phẩm Thơng thƣờng, có trang nhận ID sản phấm cần hiến thị sau truy vấn nội dung chi tiết sản phẩm có ID Câu truy vấn SQL là: sql=”select * from sanpham inner join loaisp on sanpham.maloai = loaisp.maloai where sanpham.masp = +masp+,,,” Trong tình thơng thƣờng, đoạn mã hiển thị nội dung tin có masp trùng với masp định hầu nhƣ không thấy có lỗi Tuy nhiên, đoạn mã để lộ sơ hở cho lỗi SQL Injection khác Kẻ cơng thay masp hợp lệ cách gán masp cho giá trị khác từ đó, khởi đầu cho cơng bất hợp pháp, ví dụ nhƣ: HRBD‟ ORDER BY 16 Lúc câu truy vấn trở thành: select * from sanpham where masp = „HRBD‟ ORDER BY 16-„ Dấu SQL có nghĩa thích Mục đích dùng đế loại bỏ lệnh SQL nằm phía sau dấu —“ Bằng cách kẻ cơng chèn câu lệnh sql vào đế website thực cách thêm dấu “ „ “ câu lệnh SQL muốn thực thi sau địa website Để xem thông tin phiên hệ quản trị sở liệu mà website dùng ta chèn thêm vào địa web chuỗi giá trị nhƣ sau: union all select „ l\@@vereion,*3747576777879710‟— 34 Lúc câu lệnh truy vấn ban đầu khơng thành cơng chƣơng trình thực thêm câu lệnh SELECT phía sau từ khóa UNION (từ khóa dùng đế họp kết câu lệnh SELECT thành 1) Tất ví dụ trên, dƣờng nhƣ khơng có nguy hiếm, nhƣng thử tƣởng tƣợng kẻ cơng xóa tồn sở liệu cách chèn vào đoạn lệnh nguy hiểm nhƣ drop table Ví dụ nhƣ: DROP TABLE USER Đe biết đƣợc ứng dụng có bị lỗi hay khơng, đơn giản, nhập vào chuỗi UNION nhƣ trên, hệ thống thông báo lỗi cú pháp dạng: Invalid object name “OtherTable” Ta biết hệ thống thực câu SELECT sau từ khố UNION, nhƣ trả lỗi mà ta cố tình tạo câu lệnh SELECT Để biết đƣợc tên bảng sở liệu mà thực thao tác phá hoại ứng dụng web bị lỗi SQL Injection, đơn giản, SQL máy chủ có hai đối tƣợng sysobject syscolumns cho phép liệt kê tất tên bảng cột hệ thống Ta cần chỉnh lại câu lệnh SELECT nhƣ sau: UNION SELECT name FROM sysobjects WHERE xtype =‟U‟ liệt kê đƣợc tên tất bảng liệu - Dạng công sử dụng câu lệnh INSERT: Thông thƣờng ứng dụng web cho phép ngƣời dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng nhập thành cơng, ngƣời dùng xem hiệu chỉnh thơng tin SQL Injection đƣợc dùng hệ thống khơng kiếm tra tính hợp lệ thơng tin nhập vào Xét ví dụ sau: câu truy vấn sql lúc đăng kí thành viên insert into users (hoten, tendangnhap, matkhau, email, gioitinh) values („ “+hoten+”7”) Thì chắn bị lỗi SQL Injection nhập vào trƣờng thứ „+(SELECT TOP tendn FROM users)+‟ Lúc câu truy vấn trở thành: Insert into user values (C,+(SELECT TOP tendn FROM user) +‟7abc7def) 35 Khi đó, lúc thực xem thơng tin, xem nhƣ bạn yêu cầu thực thêm lệnh là: SELECT TOP tendn FROM users - Dạng công sử dụng stored-procedure: Trong SQL, máy chủ có sở liệu tổng thể sở liệu có hệ thống thủ tục lƣu trữ đƣợc lập trình sẵn đế thực cơng việc cụ Nếu nhƣ kẻ công chiếm đƣợc quyền điều khiến hệ quản trị thực truy vấn đến lƣu trữ nguy hiểm xóa sở liệu tổng thể tồn sở liệu bị ảnh hƣởng không hoạt động đƣợc Việc công vào thủ tục lƣu trữ gây tác hại lớn ứng dụng đƣợc thực thi với quyền quản trị hệ thống „sa‟ Ví dụ ta thay đoạn mã tiêm vào dạng: ‟;EXEC xp_cmdshelFcmd.exe dir C:‟ Lúc hệ thống thực lệnh liệt kê thƣ mục đĩa C:\ cài đặt máy chủ.Việc phá hoại kiếu tuỳ thuộc vào câu lệnh đằng sau cmd.exe Nếu cài SQL chế độ mặc định SQL chạy SYSTEM, tƣơng đƣơng mức truy cập Windows Có thể dùng master., xpcmdshell để thi hành lệnh từ xa - Tấn công SQL Injection nâng cao: Chuỗi kí tự khơng có dấu nháy đơn: nhà lập trình bảo vệ ứng dụng họ cách loại bỏ tất dấu nháy, thông thƣờng loại bở dấu nháy cách thay dấu nháy thành dấu nháy Tấn công tầng: ứng dụng thay dấu nháy đơn nhƣng khả bị chèn đoạn mã SQL Cách giải tốt không cho phép nhập dấu nháy đơn 2.12.3 Tránh kiểm soát Máy chủ SQL có giao thức kiểm sốt chặt chẽ họ hàm sp traceXXX, cho phép ghi nhận nhiều kiện xảy sở liệu Đặc biệt kiên T-SQL, ghi nhận tất câu lệnh SQL thực máy chủ Nếu chế độ kiểm sốt đƣợc bật tất câu truy vấn SQL kẻ công 36 bị ghi nhận nhờ mà ngƣời quản trị kiếm sốt xảy nhanh chóng tìm đƣợc giải pháp 2.12.4 Các phòng tránh SQL Injection Trong hầu hết trình duyệt, kí tự nên đƣợc mã hóa địa URL trƣớc sử dụng Đối với giá trị numeric, chuyển sang integer trƣớc thực câu truy vấn SQL, dùng isnumeric để chắn số integer Dùng thuật tốn để mã hóa liệu Kiểm tra chặt chẽ kí tự nhập vào trƣớc thực lệnh truy vấn SQL Viết hàm xóa bỏ kí tự đặc biệt từ chuỗi nhập vào nhƣ: —, @@, SELECT, UNION, DROP, INSERT, Đối với máy chủ SQL nên dùng thủ tục lƣu trữ để thực truy vấn máy chủ SQL có hàm tự động lọc liệu nhập vào Hạn chế sử dụng đến quyền „sa‟ hay „dbo‟ sở liệu Tắt thông báo lỗi từ hệ quản trị CSDL Điều hạn chế việc công kẻ công nhiên website bị lỗi việc không giúp chống lại hồn tồn cơng 2.13 Cross Site Scripting (XSS) 2.13.1 Tấn côngXSS xss kĩ thuật công phố biến nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web nguời sử dụng web Bất kì website cho phép ngƣời sử dụng đăng nhập thơng tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi xss xss kĩ thuật công cách chèn vào website động thẻ HTML hay đoạn mã script nguy hiêm có thê gây nguy hại cho ngƣời sử dụng khác 37 2.13.2 Hoạt động xss xss yêu cầu đƣợc gửi từ máy khách đến máy chủ nhằm chèn vào thơng tin vƣợt q tầm kiểm sốt máy chủ Nó yêu cầu đƣợc gửi từ form liệu URL xss gây tổn hại website phía khách mà nạn nhân trực tiếp ngƣời khách duyệt site 2.13.3 Cách cơng - Qt lỗi xss ứng dụng web: ■ Cách 1: Sử dụng nhiều chƣơng trình dò qt lỗi ứng dụng web ■ Cách 2: Thực bƣớc • Bƣớc 1: Mở website cần kiểm tra • Bƣớc 2: Xác định chỗ cần kiểm tra xss • Bƣớc 3: Xác minh khả site có bị lỗi xss hay khơng cách xem thơng tin trả • Bƣớc 4: Khi xác định chỗ có khả bị dính lỗi xss chèn đoạn mã vào để thử tiếp • Bƣớc 5: Lên kế hoạch cơng - Tấn cơng: Có nhiều kĩ thuật công dựa lỗi xss này, chủ yếu sau tìm đƣợc lỗ hỏng ngƣời có mƣu mơ cho cách cơng 2.13.4 Phân loại - Stored- XSS: hình thức cơng mà cho phép kẻ cơng chèn đoạn script nguy hiểm vào website thơng qua chức đó, đế từ thành viên khác truy cập vào website bị dính mã độc từ kẻ cơng này, mã độc thƣờng đƣợc lƣu lại sở liệu website Stored xss thƣờng phát sinh không lọc liệu thành viên gửi lên cách đắn, khiến cho mã độc đƣợc lƣu vào sở liệu website Ở đoạn mã alert(“XSS”) đƣợc chèn vào lời nhắn đƣợc thực thi nhƣ hình Vì lời nhắn đƣợc lƣu 38 trữ sở liệu nên ngƣời dùng truy cập vào trang web thực thi đoạn mã Thay đoạn mã vơ hại nhƣ trên, kẻ cơng thay đoạn mã nguy hiểm khác nhằm gây hại đến ngƣời dùng - Reflected- XSS: đoạn mã khai thác không đƣợc lƣu trữ máy chủ Trong hình thức kẻ công thƣờng gắn thêm đoạn mã độc vào URL website gửi đến nạn nhân, nạn nhân truy cập URL dính mã độc Điều xảy ta không ý lọc liệu đầu vào từ URL website Ta thấy từ khóa tìm kiếm mà ta nhập vào textbox đƣợc hiển thị lại trình duyệt Lợi dụng việc khơng kiểm sốt giá trị này, ta chèn thêm đoạn mã gây hại vào Đƣờng link có dạng: http://www.example.com/index php?q=alert(“ XSS”) Tuy nhiên đoạn mã độc hại không đƣợc lƣu lại máy chủ nên chạy đƣờng link trên, ngƣời dùng bị cơng Điển hình khai thác xss kẻ công chèn đoạn javascript nhƣsau: document.write(“,,); Một iframe với kích thƣớc 0x0 đƣợc chèn vào trang web tự động load trang lay cookie kẻ công địa http://ké cơng.com/getcookie.php Khi có đƣợc cookie, kẻ cơng đăng nhập dễ dàng mà khơng cần biết mật ngƣời dùng - xss Attack Consequences: phƣơng pháp tƣơng tự nhƣ phƣơng pháp Tuy nhiên, đếm khác biệt cách mà tải trọng đƣợc đƣa tới máy chủ xss gây thiệt hại từ mức độ nhỏ đến lớn nhƣ việc chiếm tài khoản ngƣời sử dụng Một cơng xss lấy đƣợc session cookie, gây tài khoản sử dụng Hoặc ảnh hƣởng tới liệu ngƣời dùng đầu cuối cách cài đặt Trojan redirect trang web ngƣời truy cập sang trang web khác, thay đối nội dung trang 39 2.13.5 Phòng chống - Đối với ngƣời thiết kế web: ■ Xóa bỏ thẻ hay tắt chức script ■ Tạo danh sách thẻ HTML đƣợc phép sử dụng ■ Cho phép nhập kí tự đặc biệt nhƣng mã hóa theo chuẩn riêng ■ Đảm bảo trang phát sinh động không chứa thẻ script cách lọc xác nhận hợp lỷ liệu đầu vào từ phía ngƣời dùng mã hóa lọc giá trị xuất cho ngƣời dùng - Đối với ngƣời dùng : ■ Cần ý thức đƣợc nguy từ đƣờng link không rõ nguồn gốc nhƣ từ ngƣời lạ gửi đến ■ Việc giả mạo email kẻ công dễ dàng, email đƣợc chun vào hòm thƣ spam khơng nên mở xem ■ Cần cài đặt chƣong trình diệt virus cập nhật phiên thƣờng xuyên đen tốt hon ■ Chỉ chấp nhận liệu họp lệ, từ chối nhận liệu hỏng, liên tục kiểm tra lọc liệu 2.14 Phishing 2.14.1 Giới thiệu Phishing Lần đầu đƣợc biết đến vào năm 1996, kẻ cơng sử dụng để đánh cắp tài khoản khách hàng công ty American Online Cũng vào năm 1996, kỹ thuật Phishing đƣợc thảo luận thƣờng xuyên nhóm tin (New Group) nhóm Hacker 2600 Theo thời gian công Phishing không nhằm vào tài khoản internet công ty AOL mà mở rộng đến nhiều mục tiêu khác, đặc biệt ngân hàng trực tuyến, dịch vụ thƣơng mại điên tử, toán mạng hầu hết ngân hàng lớn Mỹ, Anh, úc bị công Phishing Phishing hình thức gian lận đế có thơng tin nhạy cảm nhƣ tên đăng nhập, mật khẩu, credit card cách giả mạo thực đáng tin cậy giao tiếp mạng Quá trình giao tiếp thƣờng diễn trang 40 mạng xã hội nối tiếng, trang web đấu giá, mua bán online, mà đa số ngƣời dùng không cảnh giác với Phishing sử dụng email tin nhắn tức thời, gửi đến ngƣời dùng, yêu cầu họ cung cấp thơng tin cho trang web, trơng hợp lý nhƣng website giả mạo kẻ công lập nên 2.14.2 Những yếu tố để công Phishing thành công Sự thiếu hiếu biết: Sự thiếu hiểu biết hệ thống mạng máy tính giúp cho kẻ cơng khai thác thông tin nhạy cảm Bạn cần biết rõ q trình hoạt động internet hiểu cách thức truy cập website an tồn Điển hình việc bấm nút Save Password bạn truy cập trang web điểm công cộng làm tăng nguy bị xâm phạm tài khoản cá nhân Đặc biệt ngƣời thƣờng xun mua bán, tốn qua mạng cần phải hiểu rõ việc cung cấp credit card quan trọng biết đƣợc nên cung cấp, khơng Bạn nên tìm hiểu sơ giao thức mạng phân biệt giao thức mạng an tồn Điển hình bạn đừng giao dịch trực tuyến với giao thức mạng http, mà phải sử dụng giao thức https Đánh lừa áo giác: Nghệ thuật đánh lừa ảo giác khiến nạn nhân không thật đâu giả Kỹ thuật lừa ảo giác tạo trang web, thƣ, nhũng thứ mà ngày bạn truy cập, giống đến mức mà ngƣời ta không phát giả mạo Nên cấn thận với trang web mà thƣờng truy cập, đặc biệt email ngân hàng, ngƣời thân mà lại u cầu cung cấp thơng tin Bởi trang chứa nguy giả mạo cao Nên tự gõ địa trang web vào trình duyệt, thay kích chuột vào đƣờng link từ trang web khách Khơng ý đến tiêu chí an toàn: cảnh báo window mức độ an tồn việc truy cập thơng tin, điều mà ngƣời thƣờng hay bỏ qua nguy khiến bạn trở thành nạn nhân 2.14.3 Những phương thức hoạt động Phishing -Email Spam: ■ Kỹ thuật Phishing phổ biến dùng email Kẻ công tiến hành gửi hàng loạt thƣ đến địa email họp lệ Bằng kỹ thuật 41 công cụ khác nhau, kẻ công tiến hành thu thập email trƣớc Sau kẻ cơng gửi thƣ đến email với nội dung thƣờng có tính khẩn cấp, đòi hỏi ngƣời nhận thƣ phải cung cấp thông tin ■ Kẻ công sử dụng giao thức SMTP kèm theo vài kỹ thuật đế giả mạo khiến cho ngƣời nhận không chút nghi ngờ Ví dụ, kẻ cơng giả email đƣợc gửi từ ngân hàng yêu cầu ngƣời dùng cung cấp thông tin cá nhân để mở lại tài khoản cố Hoặc nội dung email đƣợc gửi thƣờng có vài đƣờng link cho bạn liên kết đến trang web Nếukhông cẩn thận liên kết đến trang web giả mạo kẻ công lập nên Web based delivery: ■ Một kỹ thuật dựa vào sƣ phát tán website lừa đảo, thƣờng thấy website dạng nhƣ kiếm tiền online Chúng yêu cầu cung cấp tài khoản ngân hàng để trả tiền công Ngƣời dùng không ngần ngại cung cấp Kết tiền cơng chẳng thấy mà tiền tài khoản khơng ■ Một hình thức lừa đảo tinh vi liên quan đến kiếm tiền online Theo chuyên gia đánh giá có đến 90% khơng lấy tiền sau thời gian miệt mài làm việc Cái mà kẻ lừa đảo thu đƣợc tiền mà cơng sức đọc quảng cáo, đƣợc trả cơng ty quảng cáo ■ Một hình thức khác khiêu khích trí tò mò ngƣời dùng cách chèn vào trang web banner text quảng cáo có ý khiêu khích tò mò ngƣời dùng Kết sau kích vào máy tính bạn bị nhiễm loại malware đó, phục vụ cho cơng khác IRC & Insant messing: ■ Chat thuật ngữ quen thuộc với ngƣời, hữu ích giao tiếp Tuy nhiên, nhũng kẻ lừa đảo bắt đầu lợi dụng việc chat để tiến hành gửi tin nhắn tức cho hàng loạt ngƣời dùng Nhũng nội dung đƣợc gửi liên quan đến hàng loạt ngƣời dùng kích thích trí tò mò ngƣời dùng ■ Vì tình khơng qn việc trò chuyện trực tuyến, ngƣời trò chuyện thƣờng khơng thấy mặt nên khơng biết đƣợc ngƣời nói chuyện với có đáng tin cậy hay khơng Một kĩ thuật tinh vi kẻlừa đảo 42 giả dạng nick Chat Bằng cách giả dạng nick Chat ngƣời quen để tiến hành trò chuyện yêu cầu cung cấp thông tin lừa đảo làm việc Gần Việt Nam nở rộ tình trạng nàv Nhiều ngƣời dùng Chat với ngƣời thân họ nhờ vả nạp tiền điện thoại - Trojaned hosts: Kiểu lừa đảo cài vào máy tính phần mềm gián điệp Phần mềm giản điệp phục vụ cho mục đích cơng khác 2.14.4 Q trình hoạt động Bao gồm giai đoạn: Lên kế hoạch: kẻ lừa đảo xác định mục tiêu doanh nghiệp nạn nhân xác định cách lấy địa email khách hàng doanh nghiệp Chúng thƣờng sử dụng gửi nhiều email phƣơng pháp thu thập địa email nhƣ spammer Thiết lập: Sau xác định doanh nghiệp nạn nhân Kẻ cơng tìm cách phát tán email thu thập liệu Thông thƣờng, chúng sử dụng địa email trang web Tấn cơng: Kẻ cơng gửi thông báo giả mạo nhƣ đến từ nguồn tin đáng tin cậy Thu thập: Kẻ công thu thập thông tin nạn nhân điền vào trang web cửa sổ pop-up Ăn cắp tài liệu cá nhân lừa đảo: Kẻ công sử dụng thông tin mà chúng thu thập đƣợc để tiến hành mua bán bất họp pháp thực lừa đảo Nếunhững kẻ lừa đảo trực tuyến muốn xếp công khác, xác định tỷ lệ thành công thất bại vụ lừa đảo công để bắt đầu lại trình 2.14.5 Các kiểu lừa đảo - Man in the middle attacks: Với kĩ thuật này, máy tính kẻ cơng đƣợc xem nhƣ máy tính trung gian máy tính ngƣời dùng website thật Kẻ cơng dựng lên máy tính trung gian để nhận liệu ngƣời dùng chuyển cho website thật ngƣợc lại Dữ liệu chuyển qua lại đƣợc lƣu trữ máy tính kẻ 43 cơng Đúng vậy, dó proxy nơi không tin cậy cho truy cập web thơng qua Những kẻ cơng dựng lên proxy máy chủ với lời mời gọi đƣợc sử dụng đế truy cập internet Vì lý ngƣời dùng tìm đến proxy máy chủ để nhờ giúp đỡ việc truy cập web Và vơ hình trở thành mồi cho bọn kẻ cơng Những kẻ cơng ngồi việc dựng lên proxy máy chủ dụ mồi đến nghĩ đến việc cơng proxymáy chủ khác để lấy liệu Bằng kĩ thuật công khác, kẻ công xâm nhập vào hệ thống lƣu trữ proxy đế lấy liệu, phân tích có đƣợc thứ họ cần Một cách khác đế công kĩ thuật tiến hành làm lệch đƣờng gói liệu Thay chuyển gói tin đến trang web máy chủ đằng lại chuyển đến máy tính kẻ cơng trƣớc, sau máy tính kẻ cơng thực cơng việc chuyển gói tin tiếp Đe làm điều này, kẻ cơng sử dụng kĩ thuật DNS Cache Poisming Kĩ thuật làm lệch đƣờng gói tin liệu cách làm sai kết phân giải địa DNS Một lƣu ý kĩ thuật công không phân biệt giao thức http hay https - URL Obfuscation attacks: Làm giả URL kỹ thuật mà bàn đến Trong kĩ thuật kẻ công làm giả URL trang web đƣợc ngƣời truy cập cách đó, URL đƣợc gửi cho ngƣời dùng thiếu tính cẩn thận nên ngƣời dùng truy cập vào trang web - Hidden Attacks ■ Attack sử dụng ngơn ngữ lập trình để chèn đoạn script vào sử dụng kí tự đặc biệt nhằm đánh lừa ngƣời dùng ■ Các cách thức sử dụng Hidden Attacks: • Ân frame: frame đƣợc attacks làm ẩn trình duyệt ngƣơi dùng, qua attacks chèn vào đoạn mã độc • Ghi đè nội dung trang web thay đổi hình ảnh trang web Qua nội dung bị thay đổi, kẻ cơng chèn đoạn mã độc hại vào 44 - Mal-ware Based phishing: ■ Dùng phần mềm độc hại đế cơng máy tính ngƣời dùng ăn cắp liệu ■ Phƣơng thức đòi hỏi phải có kiến thức lỗi bảo mật cần có cách giao tiếp tốt 2.14.6 Phòng chống - Thông thƣờng sử dụng firewall phần mềm diệt virus tránh khỏi lừa đảo trực tuyến Bạn hiển thị chứng số SSL web kêkhai in sẵn ngân hàng thẻ tín dụng để có thêm phƣong pháp bảo mật - Ngồi kẻ cơng có xu hƣớng để lại số dấu hiệu email thông báo địa web Khi đọc email ý tới: ■ Các câu chào chung chung nhƣ “Dear, Customer” Nếu ngân hàng gửi cho bạn thơng báo thức có tên đầy đủ bạn ■ Đe dọa tài khoản bạn yêu cầu ngƣời dùng phải có hành động ■ u cầu thơng tin cá nhân Hầu hết doanh nghiệp không yêu cầu cung cấp thông tin cá nhân thông qua điện thoại email ■ Những đƣờng link khả nghi, đƣờng link dài hon bình thƣờng ■ Sai tả trầm trọng 2.15 AutoComplete Autocomplete chức trình duyệt cho phép ghi nhớ kí tự hay mật vào biểu mẫu trang web tự động điền lại cho lần truy cập sau Thực ra, ngƣời sử dụng máy tính cá nhân chức tiện lợi tiết kiệm thời gian nhập thông tin vào biểu mẫu hay nhập địa trang web thƣờng xuyên ghé thăm, nhƣ nhớ nhiều mật đăng nhập vào tài khoản Tuy nhiên, Autocomplete lại không phù hợp hệ thống hay máy tính có nhiều ngƣời sử dụng, kẻ cơng lợi dụng chức để đăng nhập 45 vào tài khoản cá nhân Bên cạnh đó, kẻ cơng biết ngƣời dùng tìm kiếm qua danh sách biếu mẫu trang web tìm kiếm, thật khơng hay thơng tin tìm kiếm có tính nhạy cảm Để xóa nội dung mà Autocomplete lƣu trữ, từ cửa sổ trình duyệt Internet Explorer, chọn menu Tools/Intemet option Chọn Tab Content sau kích chuột vào “Autocomplete”, cửa số pop up ra, tiếp tục kích vào nút “clear password” “clear form” Thao tác xóa hết địa trang web mà ngƣời dùng nhập vào địa cửa sơ trình duyệt Có thể tắt hồn toàn chức Autocomplete tắt phần, cách hay sử dụng chức cho biểu mẫu trang web tìm kiếm gõ‟ bỏ chức tự động với mật để giữ bí mật cá nhân Đối với địa Web: đƣợc kích hoạt, chức tự động lƣu địa bạn viếng thăm, muốn vào lại, bạn không cần phải nhập tất ký tự dòng địa Đối với biểu mẫu: chức lƣu trữ thông tin biếu mẫu HTML Form muốn nhập chuỗi ký tự Tên đăng nhập mật khẩu: Autocomplete lƣu trữ tên đăng nhập mật khẩu, nhƣng sử dụng chức này, lƣu ý tới điều đƣợc trình bày trên! Nếu muốn tắt phần chức kể trên, kích đế xóa ô đánh dấu, ngƣợc lại muốn kích hoạt chức đó, cần đánh dấu vào Khi muốn tắt tất phần, xóa tất ô đánh dấu Lƣu V : Tắt chức AutoComplete khơng có nghĩa xóa tất thơng tin đƣợc lƣu trữ trƣớc Nếu muốn xóa, thực thao tác nhƣ mục kể 46 C KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Kết luận Kết khóa luận gồm có: - Tìm hiểu phƣơng pháp cơng website bao gồm: ■ Local Attack ■ AutoComplete ■ SQL Injection ■ Cross Site Scripting ■ DOS ■ Phishing ■ Broken Authentication and Session Management ■ Insecure Direct Object References ■ Cross Site Request Forquery ■ Security Misconfiguration ■ Failfure to Restrict URL Access ■ Insufficient Transpot Layer Protection - Các biện pháp bảo mật từ kết họp nhà quản trị mạng, nhà thiết kế ứng dụng web ngƣời dùng: - website “ Web Check” đạt đƣợc số nội dung sau: ■ Kiếm tra nội dung trang web có khả bị lỗi bảo mật: Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete, Direct Object References, SSL Certificate not true, Unvalidated Redirects Hướng phát triển Khóa luận đạt đƣợc yêu cầu đặt Tuy nhiên, kết đạt đƣợc khiêm tốn hạn chế tài liệu thời gian Trong thời gian tới, có điều kiện cần tiếp tục phát triển nội dung sau: - Tìm hiếu thêm phƣơng pháp cơng đế đƣa biện pháp phòng chống mức độ sâu - Khai triến chƣơng trình phát triển lỗi tốt hơn, nhiều phƣơng diện kĩ 47 thuật TÀI LIỆU THAM KHẢO [1] Trends in Denial of Service Attack Technology, October 2001, Kevin Houle, George Weaver, Software Engineering Institute [2] http://securitydaily.net/mot-so-phuong-thuc-tan-cong-ung-dung-web/ [3]http://rhodium.vn/vi/chia-se-kinh-nghiem-lap-trinh/cach-tan-congwebsite-thuong-gap.html [4]http://notes.viphat.work/cac-ky-thuat-tan-cong-web-co-ban [5]http://luanvan.net.vn/luan-van/mot-so-phuong-phap-tan-cong-vao-trangweb-va-cach-phong-chong-53008/ 48 ... 2.10.2 Các bước thực Local Attack Bƣớc : Xác định website cần công - Khi xác định đƣợc website cần công trƣớc hết lần lƣợt dò tìm lỗi website - Khi phát website có dấu hiệu lỗi cơng website cách. .. Tìm cách khai thác website đặt chung máy chủ với mục tiêu - Khai thác đƣợc website Tìm cách tải webshell thực thi mã shell - Lần lƣợt kiếm tra website với website mục tiêu Khi xác định đƣợc website. .. nắm rõ chất cách thức công website, áp dụng vào thực tế để hạn chế thấp khả bị công website Nội dung nghiên cứu Chƣơng 1: Tổng quan khảo sát tƣợng website Chƣơng 2: Các phƣơng pháp công số giải