Tài liệu về các dạng tấn công website phổ biến trên môi trường mạng Internet (tính từ năm 2018): DDoS, SQL Injection, Phising, Man in the Middle,... Giới thiệu các khái niệm, chức năng, cách thức của từng cách tấn công cụ thể.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI TP HCM KHOA CÔNG NGHỆ THÔNG TIN Tiểu luận môn học AN NINH MẠNG Đề tài Các dạng cơng Website cách phòng chống GVHD: Huỳnh Ngun Chính Thực hiện: Nhóm Hồng Lê Anh Minh – N14DCCN138 Lê Nguyễn Chánh Tín – N14DCCN112 TP HCM, tháng năm 2018 Mục lục DANH SÁCH HÌNH ẢNH DANH SÁCH CÁC BẢNG LỜI MỞ ĐẦU Xã hội ngày phát triển với công nghệ đại giúp ích cho người Cuộc cách mạng cơng nghệ 4.0 diễn hàng ngày, hàng với tốc độ chóng mặt Người người, nhà nhà phải thay đổi, thích ứng để khơng bị lỗi thời Trong đó, phát triển mạng lưới Internet thể phần phát triển công nghệ ảnh hưởng trực tiếp đến người Và phần khơng thể thiếu nhắc đến Internet website, giúp kết nối người với người, giúp người dùng cập nhật tin tức, tiếp cận xu hướng công nghệ cách nhanh chóng Website cơng cụ hữu ích người dùng mục đích kinh tế, giáo dục, văn hóa – trị,… Để sở hữu trang web cho riêng thực khơng q khó khăn thời điểm Một cô bán hàng, trà sữa hay đơn vị tổ chức sở hữu cho riêng trang web để phục vụ cho nhu cầu cách đơn giản Tuy nhiên, với phát triển website cơng nghệ, cơng cụ độc hại nhằm công phá hoại hệ thống hữu ích Bài tiểu luận trình bày số cách thức công website thường dùng môi trường mạng Internet nay, ví dụ DDOS, Man in the Middle,… Trong đề cập đến khái niệm, khn dạng cách phòng chống cách thức công đề cập đến CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG TRÊN WEBSITE 1.1 Giới thiệu ứng dụng website Website gọi trang web, trang mạng, tập hợp trang web, thường nằm tên miền tên miền phụ World Wide Web Internet Một trang web tập tin HTML XHTML truy nhập dùng giao thức HTTP Website xây dựng từ tệp tin HTML (website tĩnh) vận hành CMS chạy máy chủ (website động) Website xây dựng nhiều ngơn ngữ lập trình khác (PHP,.NET, Java, Ruby on Rails ) Ban đầu, website bao gồm text, hình ảnh video, liên kết với thông qua link Tác dụng website lưu trữ hiển thị thơng tin Người dùng đọc, xem, click link để di chuyển page Về sau, với đời ngôn ngữ server: CGI, Perl, PHP, … website trở nên “động” hơn, tương tác với người dùng Từ đây, người dùng dùng web để “thực cơng việc máy tính“, web app đời Nói dễ hiểu, web app (ứng dụng web) ứng dụng chạy web Thông qua web app, người dùng thực số cơng việc: tính tốn, chia sẻ hình ảnh, mua sắm … Tính tương tác web app cao website nhiều Với số người không rành IT, tất thứ online, vào trình duyệt website Do họ thường yêu cầu bạn là: website quản lý siêu thị, website bán hàng, … thực chất chúng webapp Trên thực tế, ranh giới web app website mong manh Một trang báo mạng – vnexpress chẳng hạn, mắt người đọc website Nhưng mắt biên tập viên admin, lại web app Một số trang web cho phép người dùng search, comment website, chưa phải webapp Sau bảng so sánh (tương đối): Bảng 1.1 So sánh Website Web app WEB SITE WEB APP Tính tương tác thấp, chức (Xem, đọc, click qua lại link…) Được tạo thành từ trang html tĩnh số tài nguyên (hình ảnh, âm thanh, video) Tính tương tác cao, nhiều chức (Đăng thông tin, upload file, xuất báo cáo…) Được dùng để lưu trữ, hiển thị thông tin Được tạo html code back end (PHP, C#, Java, …) Được dùng để “thực công việc”, thực chức ứng dụng Hiện nay, ứng dụng web ứng dụng rộng rãi môi trường Internet Hầu người dễ dàng có trang web phục vụ cho nhu cầu Dưới số ứng dụng có: a Ứng dụng web tĩnh Nếu người dùng thiết kế ứng dụng web tĩnh, điều cần biết loại ứng dụng web hiển thị nội dung đặc biệt khơng có tính linh hoạt Thường người ta hay sử dụng HTML CSS để tạo nên trang web Tuy nhiên đối tượng hoạt họa banner, ảnh GIFs, video bố trí thêm vào Bên cạnh đó, việc tùy chỉnh nội dung kiểu ứng dụng web không dễ dàng Đầu tiên người dùng phải tải mã HTML về, sau chỉnh sửa upload lại lên server Và việc làm người quản trị trang web công ty thiết kế trang web Một ví dụ cho ứng dụng web tĩnh trang CV (curriculum vitae) cá nhân, hay trang web site giới thiệu tổ chức có nhu cầu cập nhật thông tin b Ứng dụng web động So với ứng dụng web tĩnh ứng dụng web động phức tạp mặt kỹ thuật Chúng sử dụng hệ sở liệu để load liệu nội dung update người dùng truy cập, chúng có quản lý (hay gọi CMS) nơi mà quản trị viên điều khiển chỉnh sửa nội dung trang web Có nhiều ngơn ngữ lập trình khác sử dụng để lập trình ứng dụng web động, PHP ASP hai ngơn ngữ phổ biến nhất, chúng cho phép cấu trúc nội dung trang web Ở dạng ứng dụng web này, nâng cấp nội dung đơn giản phía server khơng phải truy cập vào để chỉnh sửa chúng Thêm chúng cho phép thiết lập lượng lớn tính forums database Việc thiết kế, bên cạnh nội dung, chỉnh sửa cho khớp với yêu cầu người quản trị c Cửa hàng online thương mại điện tử Nếu ứng dụng web cửa hàng online shop, việc lập trình tái cấu trúc trang m-commerce e-commerce Quá trình kiểu ứng dụng phức tạp phải tích hợp cổng tốn điện tử qua credit card, Paypal Lập trình viên đồng thời phải thiết kế panel quản lý cho admin bao gồm danh sách sản phẩm, thêm bớt quản lý đơn hàng vv Ví dụ: El Corte Ingles công ty lớn Tây Ban Nha thiết lập trang web bán hàng online Trang web có tỷ lệ vừa vặn với thiết bị di động người dùng thao tác thuận tiện trình duyệt d Portal web app Portal hay gọi cổng thơng tin kiểu ứng dụng web mà người dùng truy cập tới nhiều khu vực danh mục khác qua trang chủ Những khu vực bao gồm nhiều chức năng: Forums, chat, email, khu vực dành cho đăng ký, nội dung nhất, làm việc nhóm vv e Ứng dụng web hoạt hình Hoạt hình cấu thành từ công nghệ FLASH, cho phép trang web hiển thị nội dung dạng hoạt hình, đồng thời cho phép việc thiết kế trở nên đại trực quan Đây công nghệ sử dụng rộng rãi designer giám đốc sáng tạo.Hạn chế công nghệ khơng phù hợp với cơng cụ SEO hay định vị web engine tìm kiếm khơng thể đọc xác nội dung mà trang web truyền tải f Ứng dụng web với hệ thống quản lý nội dung CMS Nội dung phải cập nhật thường xuyên, hệ thống quản lý nội dung (CMS) phương án quan trọng cần tính đến Admin sử dụng hệ thống CMS để thực thi thay đổi update nội dung Những hệ thống rât trực quan dễ sử dụng Dưới vài tên bật : • WordPress: Một framwork CMS phổ biến với nhiều thông tin, tutorial hướng dẫn Internet giúp người dùng tùy biến hiểu cách thức hoạt động CMS Và tất thứ FREE • Joomla: CMS đứng sau Joomla độ phổ biến, số lượng người dùng hạn chế Joomla có cộng đồng lớn thân thiện • Drupal: CMS miễn phí tùy biến, gợi ý để dùng cho xây dựng cộng đồng Mỗi loại ứng dụng web có điểm mạnh điểm yếu, đừng quên tảng chúng website, ứng dụng Người dùng phải tuân theo quy định cookes tăng cường bảo mật trước đợt công hacker, tương tự người dùng phải làm với website Và cuối ứng dụng web có xu hướng tạo giao diện giống với ứng dụng mobile, với mục đích giảm thiểu chi phí, việc thành thạo kiểu lập trình ứng dụng web điều quan trọng 1.2 Các dạng lỗ hổng phổ biến website a) Injection flaws Lỗ hổng Injection kết thiếu sót việc lọc đầu vào khơng đáng tin cậy Nó xảy người dùng truyền liệu chưa lọc tới Database (SQL injection), tới trình duyệt (XSS), tới máy chủ LDAP (LDAP Injection) tới vị trí khác Vấn đề kẻ cơng chèn đoạn mã độc dẫn đến liệu chiếm quyền kiểm sốt trình duyệt khách hàng Mọi thông tin mà ứng dụng người dùng nhận truy cập vào nguồn không đáng tin cậy phải lọc theo Whitelist, người dùng sử dụng Blacklist việc lọc thông tin dễ bị bỏ qua Các phầm mềm chống virus thường đưa ví dụ khơng thành cơng sử dụng Blacklist, dẫn đến tính Pattern matching khơng hoạt động b) Broken Authentication Đây nhóm vấn đề xảy q trình xác thực bị lỗi chúng không xuất phát từ ngun nhân gốc Có lời khun khơng nên tự phát triển giải pháp mã hóa khó làm xác có nhiều rủi ro gặp phải như: • URL chứa phiên ID rò rỉ referer header người khác • Mật khơng mã hóa lưu trữ • Có thể thực phiên cố định • Session hijacking xảy ra, thời gian chờ khơng triển khai sử dụng HTTP (không bảo mật SSL)… c) Cross Site Scripting (XSS) Đây lọc đầu vào phổ biến (chủ yếu trường hợp đặc biệt lỗ hổng đầu tiên) Kẻ công đưa thẻ JavaScript ứng dụng web người dùng lên đầu vào Khi đầu vào trả người dùng chưa lọc, chúng thực thi trình duyệt người dùng Nó tạo liên kết thuyết phục người dùng nhấp vào thứ nguy hiểm Trên trang tải tập lệnh chạy, ví dụ, kẻ cơng lấy cookie người dùng d) Insecure Direct Object Referances Đây trường hợp điển hình việc cho đầu vào người dùng tin cậy từ dẫn đến hậu lỗ hổng bảo mật Lỗ hổng xảy chương trình cho phép người dùng truy cập tài nguyên (dữ liệu, file, database) Vấn đề kẻ cơng cung cấp thông tin truy cập này, ủy quyền không thi hành (hoặc bị hỏng) kẻ cơng truy cập cách bất hợp pháp Chúng ta xem xét ví dụ sau để hiểu rõ hơn: Một đoạn mã có mơ-đun download.php cho phép người dùng tải tệp xuống, sử dụng tham số CGI để định tên tệp (ví dụ download.php?file=something.txt) Hoặc sai sót nhà phát triển, việc ủy quyền cho mã bị bỏ qua Bây kẻ công sử dụng để tải tệp hệ thống mà người dùng chạy PHP có quyền truy cập, hạn code ứng dụng, liệu khác để lại máy chủ Một ví dụ phổ biến khác chức đặt lại mật dựa vào đầu vài người dùng để xác định mật đặt lại Sauk hi nhấp vào URL hợp lệ, kẻ cơng sửa đổi trường tên người dùng URL để “đóng giả” admin e) Security Misconfiguration Trong thực tế, máy chủ web ứng dụng đa số bị cấu hình sai, có lẽ vài sai sót như: • Chạy ứng dụng với debug bật • Danh sách thư mục máy chủ bật làm rò rỉ thơng tin có giá trị • Sử dụng phần mềm lỗi thời (WordPress plugin, PhpMyAdmin cũ) • Có dịch vụ khơng cần thiết chạy máy • Khơng thay đổi default key mật (xảy thường xuyên) • Tiết lộ lỗi xử lý thông tin cho kẻ công chẳng hạn stack f) traces Sensitive data exposure Lỗ hổng bảo mật web bảo mật crypto tài nguyên Dữ liệu nhạy cảm phải mã hóa lúc, bao gồm chuyển đổi nghỉ ngơi, khơng có ngoại lệ Thơng tin thẻ tín dụng mật người dùng không di chuyển lưu trữ khơng mã hóa Rõ ràng thuật tốn crypto / hashing khơng phải cách bảo mật yếu – có nghi ngờ, tiêu chuẩn an ninh web đề nghị sử dụng AES (256 bit trở lên) RSA (2048 bit trở lên) Cần phải nói phiên ID liệu nhạy cảm không nên chuyển URL cookie nhạy cảm nên có cờ an tồn điều quan trọng g) Missing function level access control Đây sai sót vấn đề ủy quyền Nó có nghĩa hàm gọi máy chủ, ủy quyền thích hợp không thực Các nhà phát triển dựa vào thực tế phía máy chủ tạo giao diện người dùng họ nghĩ khách hàng truy cập chức không cung cấp máy chủ Nó khơng đơn giản vậy, kẻ cơng ln u cầu chức “ẩn” không bị cản trở, giao diện người dùng không làm cho chức nàytrở nên dễ truy cập Hãy tưởng tượng giao diện người dùng có bảng điều khiển /admin nút người dùng thực quản trị viên Khơng có ngăn cản kẻ cơng phát tính lạm dụng ủy quyền bị thiếu h) Cross Site Request Forgery (CSRF) Đây ví dụ cơng deputy attack theo trình duyệt bị lừa số bên khác lạm dụng quyền Ví dụ: trang web bên thứ ba làm cho trình duyệt người dùng lạm dụng quyền để làm điều cho kẻ công Trong trường hợp CSRF, trang web bên thứ ba gửi yêu cầu đến trang web đích (ví dụ: ngân hàng người dùng) sử dụng trình duyệt người dùng với cookie / phiên Nếu người dùng đăng nhập vào trang trang chủ ngân hàng trang dễ bị cơng, tab khác làm cho trình duyệt người dùng sử dụng sai thông tin người quản trị “đóng giả” kẻ cơng, dẫn đến cố nhầm lẫn Deputy trình duyệt lạm dụng quyền hạn (session cookies) để làm điều mà kẻ cơng u cầu Chúng ta xem xét ví dụ sau: Kẻ cơng Alice chọn mục tiêu ví Todd cách chuyển phần tiền Todd cho cô ta Ngân hàng Todd gặp phải lỗ hổng CSRF Để gửi tiền, Todd phải truy cập vào URL sau: http://example.com/app/transferFunds? amount=1500&destinationAccount=4673243243 Sau URL mở ra, trang thành cơng trình bày cho Todd, việc chuyển đổi hoàn tất Alice biết Todd thường ghé thăm trang web quyền kiểm soát cô blog.aliceisawesome.com, nơi cô đặt đoạn mã sau đây: Khi truy cập trang web Alice, trình duyệt Todd nghĩ Alice liên kết đến hình ảnh tự động đưa yêu cầu HTTP GET để lấy “hình ảnh”, điều thực hướng dẫn ngân hàng Todd chuyển $ 1500 đến Alice Ngồi việc chứng minh tính dễ bị tổn thương CSRF, ví dụ cho thấy thay đổi trạng thái máy chủ yêu cầu HTTP GET idempotent vốn lỗ hổng nghiêm trọng Yêu cầu HTTP GET phải idempotent (an tồn), có nghĩa họ thay đổi tài nguyên truy cập Không nên sử dụng phương pháp idempotent để thay i) đổi trạng thái máy chủ Using component with known vulnerabilities Đây vấn đề xảy sử dụng mà không kiểm duyệt thành phần tồn lỗ hổng Trước kết hợp mã mới, thực số nghiên cứu, kiểm tra Sử dụng mã mà người dùng nhận từ người ngẫu nhiên GitHub số diễn đàn thuận tiện, khơng phải khơng có rủi ro từ lỗ hổng bảo mật web nghiêm trọng Ví dụ: Nhiều trường hợp, nơi trang web sở hữu (tức là, người bên ngồi có quyền truy cập quản trị vào hệ thống) khơng phải lập trình viên sai sót, mà phần mềm bên thứ ba chưa sản xuất Điều xảy hầu hết với plugin WordPress Nếu người dùng nghĩ họ khơng tìm thấy cài đặt phpmyadmin ẩn người dùng, tìm hiểu dirbuster Bài học phát triển phần mềm không kết thúc ứng dụng triển khai Cần phải có tài liệu, thử nghiệm, kế hoạch cách trì cập nhật nó, đặc biệt có chứa bên thứ ba thành phần mã nguồn mở j) Unvalidated redirects and forwards Đây lại vấn đề lọc đầu vào Giả sử trang đích có mơđun redirect.php lấy URL làm tham số GET Thao tác với tham số tạo URL targetite.com chuyển hướng trình duyệt đến phần mềm malwareinstall.com Khi người dùng nhìn thấy liên kết, họ thấy targetite.com/blahblahblah mà người dùng cho đáng tin cậy an tồn nhấp chuột Họ biết điều thực chuyển vào trang thả phần mềm độc hại (hoặc trang độc hại khác) Ngoài ra, kẻ cơng chuyển hướng trình duyệt sang targetite.com/deleteprofile? confirm=1 Điều đáng nói đến việc cài đầu vào không xác định người dùng xác định vào tiêu đề HTTP dẫn đến việc header injection xấu 10 CHƯƠNG SQL INJECTION: 5.1 Đặc trưng ứng dụng sử dụng sở liệu: Hiện ứng dụng phổ biến chiếm thị phần doanh thu cao ứng dụng hỗ trợ tính quản lý Dữ liệu thứ sống hoạt động nghiệp vụ Vì vậy, ứng dụng nghiệp vụ xây dựng mơ hình phát triển gắn liền với sở liệu An tồn liệu đặt nặng lên tính an toàn bảo mật ứng dụng Web kết nối tới sở liệu Các mơ hình phát triển ứng dụng Web sử dụng phổ biến 3-tier, ngồi có số cải tiến, mở rộng mơ hình nhằm mục đích riêng Hình 10.1 Ứng dụng CSDL mơ hình hệ thống Web Các mơ hình ln có số điểm chung, database server làm nhiệm vụ lưu trữ liệu, database hồi đáp truy vấn liệu xây dựng theo chuẩn (ví dụ SQL) Mọi thao tác xử lý liệu input, output database server ứng dụng web tầng Logic xử lý Các vấn đề an ninh phát sinh đa phần nằm tầng 5.2 Tầm quan trọng câu lệnh sql hệ thống web : Cơ sở liệu (database) coi "trái tim" hầu hết website Nó chứa đựng liệu cần thiết để website chạy lưu trữ thơng tin phát sinh q trình chạy Nó lưu trữ thơng tin cá nhân , thẻ tín dụng , mật khách hàng , user chí người quản trị hệ thống Để lấy thông tin cần thiết từ sở liệu câu lệnh SQL đảm đương trách nhiệm thực yêu cầu truy vấn đưa từ phía người sử dụng: người dùng đăng nhập vào hệ thống, lấy thơng tin web… cần sử dụng câu lệnh SQL, câu lệnh SQL đóng vai trò quan trọng hệ thống web 5.3 Khái niệm SQL Injection: 35 SQL Injection kỹ thuật điền vào đoạn mã SQL bất hợp pháp cho phép khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng Lỗ hổng bảo mật xuất ứng dụng khơng có đoạn mã kiểm tra chuỗi ký tự thoát nhúng câu truy vấn SQL định dạng kiểu đầu vào không rõ ràng hay lỗi cú pháp SQL lập trình viên khiến cho đoạn mã bên ngồi xử lý ngồi ý muốn Tấn cơng SQL injection hiểu hình thức cơng chèn bất hợp pháp đoạn mã SQL SQL Injection dạng công dễ thực hiện, hầu hết thao tác người cơng cần thực với trình duyệt web, kèm theo ứng dụng proxy server Chính đơn giản học cách tiến hành công Lỗi bắt nguồn từ mã nguồn ứng dụng web khơng phải từ phía database, thành phần ứng dụng mà người dùng tương tác để điều khiển nội dung (ví dụ : form, tham số URL, cookie, tham số referrer, user-agent, …) sử dụng để tiến hành chèn mã độc vào câu truy vấn Hình 11.2 Mơ hình đặc trưng mã độc SQL Injection 5.4 Hậu SQL Injection: Dựa vào lỗi SQL Injection, hacker làm việc sau: • Có thể lấy nhiều thông tin quan trọng sở liệu hệ thống web tài khoản mật người quản trị website, hay thông tin quan trọng thẻ tín dụng khách hàng ngân hàng đó… • Có thể thêm, xóa, sửa sở liệu đối tượng bị cơng theo ý muốn • Có thể tạo backdoor cho lần cơng sau • Có thể đánh sập hồn tồn hệ thống • Có thể dùng phương pháp công DoS 5.5 Các dạng công SQL Injection: 36 a Vượt qua kiểm tra lúc đăng nhập (Authorization Bypass): Lỗi lập trình thường xảy chức tìm kiếm đăng nhập tài khoản Với dạng công này, hacker dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác database ứng dụng web Ví dụ câu lệnh SQL sau: SELECT * FROM accounts WHERE userName = '{$userName}' Giả sử ô đăng nhập người dùng nhập thêm đằng sau ' or '1' = '1' truy vấn, câu lệnh trở thành mệnh đề SELECT * FROM accounts WHERE userName = '{$userName}' OR '1' = '1' Vì đúng, nên câu lệnh thực thi trả kết dễ dàng đăng nhập vào hệ thống người dùng cách dễ dàng, điều nguy hiểm, trang quản trị toàn nội dung hệ thống backend b Dạng công sử dụng câu lệnh SELECT: Dạng công phức tạp Ðể thực đuược kiểu cơng này, hacker phải có khả hiểu lợi dụng sơ hở thơng báo lỗi từ hệ thống để dò tìm điểm yếu khởi đầu cho việc công Xét ví dụ thường gặp website tin tức Thơng thường, có trang nhận ID tin cần hiển thị sau truy vấn nội dung tin có ID Mã nguồn cho chức thường viết đơn giản Ví dụ: http://www.myhost.com/shownews.asp? ID=123 Mã nguồn cho chức thường viết đơn giản Trong tình thơng thường, đoạn mã hiển thị nội dung tin có ID trùng với ID định khơng thấy có lỗi Tuy nhiên, đoạn mã để lộ sơ hở cho lỗi SQL injection khác Kẻ cơng thay ID hợp lệ cách gán ID cho giá trị khác, từ đó, khởi đầu cho cơng bất hợp pháp, ví dụ như: OR 1=1 (nghĩa http://www.myhost.com/shownews.asp?ID=0 or 1=1) Câu truy vấn SQL lúc trả tất article từ bảng liệu thực câu lệnh: SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1 c Dạng công sử dụng câu lệnh INSERT: Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để truy cập quản lý tài khoản, sử dụng tiện ích có sẵn trang web Chức khơng thể thiếu sau đăng kí thành cơng, người dùng xem hiệu chỉnh thơng tin SQL injection dùng 37 hệ thống khơng kiểm tra tính hợp lý thơng tin nhập vào Ví dụ: Một đoạn mã xây dựng câu lệnh SQL có dạng: Nếu hacker nhập vào tại: Value One chuỗi ‘ + SELECT TOP FieldName FROM TableName + ’ lúc câu truy vấn là: INSERT INTO TableName Hình 12.3 Mã độc công SQL Injection dạng INSERT VALUES(' ' + (SELECT TOP FieldName FROM TableName) + ' ', 'abc', 'def'') Lúc thực lệnh xem thông tin, xem người dùng yêu cầu thực thêm lệnh SELECT TOP FieldName FROM TableName.Vậy tất liệu nằm website người dùng hacker lấy cắp d Dạng công sử dụng Stored-procedures: Stored Procedure sử dụng lập trình web với mục đích nhằm giảm phức tạp ứng dụng tránh cơng kỹ thuật sql injection.Tuy nhiên hacker lợi dụng stored procedure để công vào hệ thống Việc công gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống ‘sa’ Ví dụ: Nếu thay đoạn mã tiêm vào dạng: ' EXEC sp_cmdshell ‘cmd.exe dir C: ’ Lúc hệ thống thực lệnh liệt kê thư mục ổ đĩa C cài đặt server Việc phá hoại kiểu tuỳ thuộc vào câu lệnh đằng sau cmd.exe 5.6 Cách thức công qua lỗ hổng SQL Injection: Bước 1: Hacker tìm form lỗ hổng qua URL website Bước 2: Hacker chèn lệnh SQL vào lỗ hổng Bước 3: Hacker lấy thông tin cần thiết như: thông tin đăng thông tin người dùng thông tin đăng nhập SQL Bước 4: Hacker giải mã password admin, đổi password chiếm quyền quản trị website Bước 5: Thay đổi nội dung website, đánh cắp liệu… 5.7 Cách phòng chống: 38 Viết lại đường dẫn website hacker thường phải tìm sơ hở website đường link form nhập liệu người dùng, khơng tìm thấy biến query hacker phải tìm cách khác để thử lỗi Sử dụng tường lửa ứng dụng web (Web Application Firewall) để ngăn chặn lỗ hổng SQL Injection Khơng trả trang lỗi có thơng tin độc hại Cải thiện liệu nhập vào Hạn chế tối đa quyền truy vấn Thường xuyên kiểm tra, quét ứng dụng công cụ 5.8 Bộ cơng cụ hỗ trợ: • Acunetix Web Vulnerability Scanner: phiên thương mại chương trình tìm kiếm lỗ hổng bảo mật ứng dụng Web Acunetix WVS tự động kiểm tra ứng dụng Web để tìm kiếm lỗ hổng bảo mật SQL Injection, hay Cross-Site Scripting, tìm kiếm sách mật đăng nhập phương thức xác thực vào WebSite Với giao diện đồ họa thân thiện, • Report đầy đủ cho phép bạn kiểm tra vấn đề máy chủ ứng dụng Web N-Stealth: Là phiên thương mại, ứng dụng cho việc tìm kiếm lỗ hổng bảo mật máy chủ Web Phần mềm tự động update thường xuyên phần mềm miễn phí Whisker/libwhisker hay Nikto, nhiều lỗi Web khơng phát kịp thời nhanh chóng Phần mềm bao gồm 30.000 lỗ hổng Scan khai thác trực tiếp, với hàng tá cập nhật hàng ngày Dễ dàng triển khai kết hợp với Scan lỗ hổng bảo mật như: SQL Injection, Nessus, ISS Internet Scanner, Retina, SAINT Sara, bao gồm tính khác N-sealth phiên dành riêng cho Windows 5.9 Kết luận: SQL Injection tồn quanh ta nhiều thập kỷ tiếp tục đứng đầu bảng xếp hạng lỗ hổng nguy hiểm năm tới Chỉ vài bước dễ dàng –nhưng toan tính tốt – để bảo vệ bạn người dùng bạn khỏi công này, lỗ hổng ưu tiên hàng đầu kiểm tra mã nguồn cho lỗ hổng bảo mật Do đó, người lập trình web cần hiểu rõ nguyên nhân cách khắc phục cho hiệu Những người quản trị cần có cấu hình cần thiết để trách nguy giảm thiểu tác hại trường hợp ứng dụng web có lỗi khai thác SQL Injection 39 CHƯƠNG MAN IN THE MIDDLE: 6.1 Giới thiệu: Man-in-the-middle (MITM) hình thức cơng mà kẻ cơng nằm vùng kết nối với vai trò máy trung gian việc trao đổi thông tin hai máy tính, hai thiết bị, hay máy tính server nhằm mục đích nghe trộm, đánh cắp thơng tin thay đổi luồng liệu trao đổi nạn nhân Hình 13.1 Cách thức hoạt động kiểu công Man-in-the-Middle 6.2 Các kiểu công Man-in-the-middle Hiện có kiểu cơng MITM phổ biến như: • • • • Tấn cơng giả mạo ARP Cache (ARP Cache Poisoning) Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) Chiếm quyền điều khiển Session (Session Hijacking) Chiếm quyền điều khiển SSL 6.3 Tấn công ARP 6.3.1 Sơ lược giao thức ARP: a) Khái niệm : Giao thức ARP (Address Resolution Protocol) thiết kế để phục vụ cho nhu cầu thông dịch địa lớp thứ hai (Data Link) thứ ba (Network) mơ hình OSI • Lớp thứ hai (Data Link) sử dụng địa MAC để thiết bị phần cứng truyền thơng với cách trực tiếp 40 • Lớp thứ ba (Network) sử dụng địa IP để tạo mạng có khả mở rộng tồn cầu Mỗi lớp có chế phân định địa riêng, chúng phải làm việc với để tạo nên mạng truyền thông b) Cơ chế hoạt động ARP: Quá trình ARP (Address Resolution Protocol) thực theo chế: Một thiết bị IP mạng gửi gói tin broadcast đến tồn mạng để u cầu thiết bị khác gửi trả lại địa phần cứng (địa MAC) nhằm thực truyền tin cho thiết bị phát thiết bị nhận ARP trình chiều Request/Response thiết bị mạng nội Thiết bị nguồn yêu cầu(request) cách gửi tin broadcast tồn mạng Thiết bị đích trả lời (response) tin unicast đến thiết bị nguồn Mục đích Request Response tìm địa MAC phần cứng có liên quan tới địa IP gửi để lưu lượng đến đích mạng Khi thực trình ARP, trước hết thiết bị phát phải xác định xem địa IP đích gói tin có phải nằm mạng nội hay khơng.Nếu thiết bị gửi trực tiếp gói tin đến thiết bị đích Nếu địa IP đích nằm mạng khác, thiết bị gửi gói tin đến router nằm mạng nội để router làm nhiệm vụ forward (chuyển tiếp) gói tin 6.3.2 ARP Cache: ARP giao thức phân giải địa động Q trình gửi gói tin Request Responce tiêu tốn băng thông mạng Vì vậy, hạn chế tối đa việc gửi gói tin Request Response làm tăng khả hoạt động mạng Từ sinh nhu cầu ARP Caching, nghĩa lưu lại thông tin gói tin vào nhớ đệm ARP Cache ARP Cache tĩnh động (Static and Dynamic ARP Cache Entries) ARP cache coi bảng có chứa tập tương ứng phần cứng địa IP Mỗi thiết bị mạng có ARP cache riêng Có hai cách lưu giữ entry Cache để phân giải địa diễn nhanh Đó là: • ARP Cache tĩnh (Static ARP Cache Entries): Sự phân giải địa phải cập nhật cách thủ công vào bảng cache trì lâu dài người • quản trị ARP Cache động(Dynamic ARP Cache Entries): Các địa IP địa MAC giữ cache phần mềm sau nhận kết việc hoàn thành q trình phân giải trước Các địa giữ tạm thời sau 41 gỡ bỏ Dynamic Cache sử dụng rộng rãi tất q trình diễn tự động khơng cần đến tương tác người quản trị Ngoài hạn chế việc phải nhập tay, Static Cache thêm hạn chế địa IP thiết bị mạng thay đổi dẫn đến việc phải thay đổi ARP cache 6.3.3 Tấn cơng ARP: Đây hình thức cơng MITM đại có xuất sứ lâu đời (đơi biết đến với tên ARP Poison Routing hay ARP Spoofing) Hình thức cơng cho phép kẻ công (nằm subnet với nạn nhân nó) nghe trộm tất lưu lượng mạng máy tính nạn nhân.Đây hình thức cơng đơn giản lại hình thức hiệu thực kẻ công Tấn công giả mạo ARP thực môi trường mạng LAN, mà không thực WAN Việc giả mạo bảng ARP Cache lợi dụng tính khơng an tồn giao thức ARP Khơng giống giao thức khác, ví dụ DNS (có thể cấu hình để chấp nhận nâng cấp động an toàn), thiết bị sử dụng giao thức phân giải địa (ARP) chấp nhận nâng cấp lúc Nghĩa thiết bị gửi gói ARP Response đến máy tính khác máy tính cập nhật vào bảng ARP Cache giá trị Việc gửi gói ARP Response khơng có Request tạo gọi việc gửi ARP "vu vơ" Khi ARP Responce đến máy tính gửi Request, máy tính Request nghĩ đối tượng tìm kiếm để truyền thơng, thực update bảng ARP Cache mà khơng biết truyền thông với kẻ công 6.3.4 Cơ chế cơng ARP: Xét ví dụ: Giả sử mạng LAN có thiết bị (máy tính) sau: Hình 14.2 Mơ hình hoạt động kiểu cơng Man in the Middle • Victim A: máy phát ARP Request, nạn nhân công ARP Cache có: 42 Bảng 6.1 ARP Cache nạn nhân A ARP Cache Victim A IP 10.0.0.09 MA ff-ff-ff-ff-00-09 C • Victim B: máy nhận thông tin từ Victim A, nạn nhân công ARP Cache có: Bảng 6.2 ARP Cache nạn nhân B • ARP Cache Victim B IP 10.0.0.10 MA ff-ff-ff-ff-00-10 C Attacker: máy tính thực cơng ARP Cache có: Bảng 6.3 ARP Cache tin tặc ARP Cache Attacker IP 10.0.0.11 MA ff-ff-ff-ff-00-11 C Attacker(kẻ công) muốn thực công ARP máy Victim A B Attacker muốn gói tin mà Victim A Victim B trao đổi bị bắt lại để xem trộm Khi đó, cơng xảy sau: Đầu tiên, Victim A muốn gửi liệu cho Victim B, Victim A cần phải biết địa MAC Victim B để liên lạc Khi đó, Victim A gửi broadcast ARP Request tới tất máy mạng LAN để hỏi xem địa IP 10.0.0.10 (IP Victim B) có địa MAC bao nhiêu.Thơng tin có chứa ARP Request A gửi là: Bảng 6.4 Nội dung gói ARP Request nạn nhân A Nội dung gói ARP Request A IP Victim B 10.0.0.10 MAC A ff-ff-ff-ff-00-09 Lúc này, Victim B Attacker nhận gói tin ARP Request Victim A gửi đến Tuy nhiên, có Victim B gửi lại gói tin ARP Response (bao gồm thông tin IP Victim B, MAC Victim B MAC Victim A) lại cho Victim A, có B có IP giống với IP gói ARP Request A Bảng 6.5 Nội dung gói ARP Response nạn nhân B Nội dung gói ARP Response B IP Victim B 10.0.0.10 MAC Victim B ff-ff-ff-ff-00-10 MAC A ff-ff-ff-ff-00-09 43 Sau nhận gói tin ARP Response từ Victim B, Victim A biết địa MAC Victim B, thực lưu địa MAC vào Cache (tức ARP Cache máy A) Sau đó, Victim A bắt đầu thực liên lạc, truyền liệu tới Victim B dựa thông tin địa MAC vừa lưu Lúc này, Attacker xem nội dung liệu truyền máy Victim A Victim B Lúc hoạt động diễn bình thường Attacker tiến hành công ARP cách thực gửi liên tục ARP Response chứa thông tin IP Victim B, MAC Attacker MAC Victim A, nghĩa gói ARP Response, Attacker thực thay đổi MAC Victim B thành MAC Attacker, gói ARP Response lúc chứa mã độc Attacker tạo Bảng 6.6 Nội dung gói ARP Response tin tặc Nội dung gói ARP Response Attacker IP Victim B 10.0.0.10 MAC Attacker ff-ff-ff-ff-00-11 MAC A ff-ff-ff-ff-00-09 Khi nhận gói ARP Response chứa mã độc, Victim A nhầm tưởng tìm địa MAC ứng với IP Victim B 10.0.0.10 ff-ff-ff-ff-00-11 (MAC Attacker) Victim A tiến hành lưu thông tin chứa mã độc vào bảng ARP Cache thực trao đổi, truyền tin với địa MAC nhận Victim B qua trao đổi thông tin với Victim A (thông qua Attacker) cập nhật thông tin chứa mã độc vào bảng ARP Cache Khi đó, thơng tin, liệu mà Victim A B trao đổi với nhau, Attacker nhận thấy xem tồn nội dung thông qua công ARP Sau bị công ARP attack, nguy hiểm cho người dùng thơng tin trao đổi họ bị lộ, thơng tin quan trọng, cần phải giữ bí mật Nếu sau khoảng thời gian khơng có liên lạc Victim A B, thơng tin mã độc (có chứa Mac Attacker) ARP Cache hai Victim bị xóa, thế, Attacker phải thường xun gửi gói tin ARP Response chứa mã độc cho nạn nhân (Victim) để trì cơng ARP 6.4 Cách phòng chống Giả mạo ARP Cache dạng công dễ thực lại khó phát hiện.Hiện khơng có giải pháp cụ thể hỗ trợ, ta thực số biện pháp sau để phòng chống cơng giả mạo ARP cache mạng 6.4.1 Bảo mật mạng LAN: 44 Giả mạo ARP Cache kỹ thuật cơng mà sống sót cố gắng chặn lưu lượng hai thiết bị LAN Người dùng bảo mật bên tốt loại trừ nguy bị cơng 6.4.2 Cấu hình lại bảng ARP Cache: Để bảo vệ chống lại vấn đề khơng an tồn ARP request ARP reply thực cập nhật, bổ sung entry tĩnh vào ARP cache • So sánh địa MAC trước truyền tin: Trước tiến hành truyển tin, người dùng nên xem xét lại địa MAC máy đích có nằm ARP Cache máy hay khơng Nếu khơng ta nên cập nhật tĩnh (cập nhật thủ công) địa MAC máy đích vào Tuy nhiên, biện pháp phòng chống thủ cơng Xóa thơng tin ARP Cache: Thực xóa tồn thơng tin bảng • ARP Cache Khi đó, địa MAC kẻ cơng xóa, máy tính bắt đầu cập nhật lại Tuy nhiên, biện pháp không hiệu kẻ công tiếp tục gửi ARP Response chứa mã độc vào ARP Cache người dùng Dùng lệnh arp – s để gắn cố định địa IP đích vào MAC thật nó: Khi đó, • kẻ cơng không đầu độc IP Tuy nhiên, việc khơng khả thi mạng lớn có nhiều máy tính, có thay đổi IP Thêm entry tĩnh vào ARP Cache: Trong trường hợp nơi cấu hình mạng • người dùng khơng thay đổi, hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay dùng ARP request ARP response để cập nhật động entry không đáng tin cậy 6.4.3 Sử dụng phần mềm: Hiện có nhiều loại phần mềm bảo vệ máy tính khỏi cơng ARP Cache Poisoning, có hai loại phần mềm thực tương đối hiệu phần mềm AntiARP Comodo Internet Security Pro 6.5 Bộ cơng cụ hỗ trợ: 6.5.1 • AntiARP: Là phần mềm hàng đầu công tác an ninh (bảo vệ ARP), góp phần vơ hiệu hóa cơng mạng LAN phần mềm: NETCUT, 45 Netrobocop, P2POver Những nguyên nhân gây tượng bị đứt, ngắt kết nối • mạng Internet mà số phần mềm Anti NETCUT làm Chức AntiARP: o Chặn cơng ARP: Chặn gói tin ARP giả mạo hệ điều hành o Chặn công ARP từ máy ngồi: Chặn gói tin ARP giả mạo hệ điều hành để hạn chế công từ máy bị ảnh hưởng • o chương trình có chứa mã độc Chặn tranh chấp IP: Chặn gói tin tranh chấp IP hệ điều hành để o bảo vệ cơng tranh chấp địa Chủ động phòng thủ: Chủ động giữ liên lạc với gateway gơửi địa đến gateway tạo mối liên lạc thông suốt an tồn Ngồi có tính phụ trợ như: o Phòng thủ thơng minh: Có thể dò phản ứng nhanh gateway o o bị đánh lừa ARP Có thể xác định vị trí virus máy có cơng ARP từ Ngăn chặn công Dos: Chặn gói tin liệu dos giả mạo gửi đi, ghi vị trí chương trình gửi gói tin độc, bảo đảm liên lạc Internet thông suốt o Chế độ an tồn: Khơng trả lời u cầu ARP từ máy khác trừ gateway để có hiệu ứng che dấu giảm thiểu công ARP o Phân tích tất gói tin mà localhost nhận o Theo dõi sửa chữa bảng cache ARP cách tự động Nếu phát địa MAC gateway bị chương trình mã độc thay đổi,sẽ phát báo động tự o động sửa chữa lại địa bị thay đổi Xác định kẻ công: Khi dò bị cơng,phần mềm nhanh chóng xác o định địa IP kẻ công Bảo vệ đồng hồ hệ thống: Không cho thay đổi hệ thống chương o o o o trình độc Bảo vệ trang chủ IE: Khơng cho chương trình thay đổi trang chủ IE Bảo vệ bảng cache ARP: Khơng cho chương trình độc thay đổi bảng cache Tự bảo vệ: Tự khơng cho phép chương trình mã độc tắt Dò phần mềm quản lý mạng mạng chẳng hạn chương trình netcut dùng để phá quán net 6.5.2 • Comodo Internet Security Pro: Là ứng dụng bảo mật nhiều tầng miễn phí, giữ hacker khơng truy cập vào máy tính đảm bảo thơng tin cá nhân người dùng an toàn, giúp bảo vệ liệu máy có kết nối Internet Tích hợp nhóm chức bảo vệ: Antivirus, Firewall, Defense+ lại có miễn phí, COMODO Internet Security thực giải pháp tốt, có phần mềm sánh được, giúp cho máy tính • bạn tránh nguy xuất phát từ Internet Chức Comodo Internet Security Pro: 46 o o o o o o Antivirus: Làm phần mềm độc hại Firewall:Tường lửa bảo vệ Defense+ (Phòng thủ+): Bảo vệ xâm nhập máy chủ Cơng nghệ Scandbox tự động Mã hóa liệu Wi-Fi Bảo vệ từ xa hỗ trợ hệ thống 6.6 Kết luận: Vấn đề bảo mật mạng cần thiết thơng tin bị rò rĩ ảnh hưởng hay tác động xấu tới người sử dụng Đơi tạo mối nguy hại lường trước Tuy cơng mạng LAN khơng có cách phòng chống triệt để phát người dùng ngăn chặn trả đũa hacker họ làm.Vì cần phải nắm rõ kiến thức phương thức cơng ta tìm cách phòng chóng hữu hiệu Giả mạo ARP Cache hình thức cơng hiệu man-in-the-middle đơn giản lại hiệu Hiện việc giả mạo ARP Cache mối đe dọa thực mạng đại, vừa khó bị phát khó đánh trả 47 CHƯƠNG KẾT LUẬN 7.1 Kết đạt được: Về mặt lý thuyết: Qua trình tìm hiểu nghiên cứu đề tài “Các dạng công Website cách phòng chống”, nhóm chúng em thu thập nhiều thơng tin bổ ích, số kiến thức thiếu xót, cần phải bổ sung để mở mang tri thức, phục vụ cho cơng việc sau Trong vấn đề lý thuyết thu thập bao gồm: định nghĩa cách tổng quát web, ứng dụng thực tế trang web thực tế đời sống Tưởng chừng mơ hình website web application giống nhau, qua trình tìm hiểu, chúng em phân tích nhận định khác hai mơ hình Cùng với đó, chúng em tìm hiểu thêm lổ hổng bảo mật trang web, phương thức cơng tồn Từ vận dụng kiến thức để đưa giải pháp phòng chống hiệu Nhận thức rõ mức độ nguy hiểm, nghiêm trọng vấn đề bảo mật trang web Về mặt thực tế, thực hành: Nhờ vào trình tìm hiểu, nhóm chúng em tiến hành thực demo số phương thức công web phổ biến nay, đặc biệt phương thức công mà người quản trị bảo mật chưa có cách phòng chống khắc phục Nhận diện tình trạng trang web bị tin tặc cơng, lừa đào mà người dùng bình thường khó nhận biết Cùng với tìm hiểu cơng cụ phục vụ cho việc cơng, phòng chống cơng cho trang web 7.2 Hướng phát triển đề tài: Sau trình tìm hiểu cách thức cơng trang web cách phòng chống, phương hướng phát triển đề tài có tập trung nghiên cứu, tìm hiểu chuyên sâu cách thức cơng trang web phổ biến cách phòng chống cụ thể, chi tiết, đơn cử cách thức công Man in the Middle Đây cách thức công phổ biến nay, mức độ nghiêm trọng hậu mà để lại lớn Người dùng bị đánh cắp thơng tin tài khoản ngân hàng, điện thoại,… mà không hay biết Các thông tin sau bị tin tặc đánh cắp dễ bị sử dụng sai mục đích, đơi mang tính chất giả mạo để thực hành động phi pháp, trái pháp luật Cần nghiên cứu sâu cách thức, mơ hình, cấu trúc hình thức hoạt động phương thức cơng này, từ đưa giải pháp tối ưu bảo mật TÀI LIỆU THAM KHẢO [1] Webico: DDoS gì? Nguyên nhân cách khắc phục việc công DDoS 48 [2] [3] [4] [5] [6] [7] [8] Báo cáo khóa luận tốt nghiệp nhóm sinh viên Nguyễn Văn Quý Nguyễn Ngọc Liệu: Tìm hiểu XSS, cách cơng phòng thủ Báo cáo đề tài môn học: SQL INJECTION cách công phổ biến Báo cáo môn học: Đề tài SQL Injection (thực nhóm sinh viên trường ĐH Duy Tân, khoa CNTT) Báo cáo môn học: Đề tài Tìm hiểu cơng giả mạo ARP Cache Poisoning, DNS Poisoning phòng chống (thực nhóm sinh viên trường ĐH KTLuật TP HCM, khoa Tin học quản lý) Tạp chí An tồn thơng tin: 10 biện pháp chống hack website Cystack: 10 lỗ hổng bảo mật Web Techmaster: kiểu ứng dụng web phổ biến 49 ... Trong đề cập đến khái niệm, khn dạng cách phòng chống cách thức công đề cập đến CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG TRÊN WEBSITE 1.1 Giới thiệu ứng dụng website Website gọi trang web, trang mạng, tập... Và tiểu luận trình bày số kiểu công nêu 14 CHƯƠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 2.1 Giới thiệu: Tấn công DDOS (Distributed Denial of Service) hiểu hình thức “hack” vào website người dùng, khiến cho... tìm nguồn gốc công DDoS 19 2.6 Bộ công cụ hỗ trợ: Tấn công từ chối dịch vụ số hình thức cơng phổ biến hiệu Nếu bạn quản trị website, việc triển khai biện pháp phòng chống phát công từ chối dịch