BẢO MẬT ỨNG DỤNG WEB GVHD: MAI CƯỜNG THỌ Các nội dung cần tìm hiểu Tổng qt Lí cần bảo mật web? Một ứng dụng web cần bảo mật nào? Đối tượng dễ bị công Một số kỹ thuật công ứng dụng web điển hình 10 lỗ hỗng ứng dụng web thường gặp Hậu bị cơng Giải pháp bảo mật tồn diện cho ứng dụng web Chứng HTTPS gì? 10 Tại phải có chứng SSL? 11 SSL hoạt động nào? 12 Các loại SSL 13 So sánh HTTP HTTPS 14 Làm để sử dụng giao thức HTTPS? 15 Lợi ích giao thức HTTPS  16 Q trình giao tiếp client server thơng qua HTTPS Tổng quát • Ứng dụng web ngày cải tiến sử dụng rộng rãi Kéo theo tiềm ẩn việc bảo mật ứng dụng web đang hàng ngày gây quan ngại cho doanh nghiệp, tổ chức lớn phủ • Trong kỹ thuật phần mềm, Ứng dụng web hay webapp trình ứng dụng mà tiếp cận qua web thơng qua mạng Internet hay intranet Lí cần bảo mật web • Trong thời đại cơng nghệ số ngày tội phạm mạng lợi dụng phát triển mạnh mẽ thiết bị, ứng dụng công nghệ thông tin để công chiếm đoạt tài khoản cá nhân, thông tin doanh nghiệp, thông tin mật tổ chức phủ…Vai trò của bảo mật thơng tin càng ngày trở lên quan trọng định sống doanh nghiệp Một ứng dụng web cần bảo mật nào? • Cho phép cấm dịch vụ truy cập bên từ bên ngồi truy cập vào bên • Kiểm soát cấm địa truy cập người dùng • Theo dõi liệu Intranet Internet • kiểm sốt nội dung thơng tin mạng Đối tượng dễ bị cơng • Chủ yếu doanh nghiệp, tổ chức lớn, phủ • Lý do: Vì tiền, hacker sẵn sàng xâm nhập vào ứng dụng web ăn cắp liệu, bán data đe dọa chuộc tiền Một số kỹ thuật cơng ứng dụng web điển hình • Đánh cắp chiếm đoạt quyền truy cập người dùng, nhà quản trị • Chiếm phiên làm việc session management ẩn phiên làm việc session fixation • Mã hóa số Url quan trọng toàn url ứng dụng web từ hacker dễ dàng chèn mã lệnh trình duyệt để hại người dùng • Tấn công người dùng lỗi SQL Injection, Null Characters, từ chối dịch vụ DOS… 10 lỗ hỗng ứng dụng web thường gặp • Lỗ hổng XSS (Cross Site Scripting) • Chèn mã độc hại (Injection flaws) • Tệp tin chứa mã độc • CSRF (Cross-Site Request Forgery) • Tham chiếu đối tượng trực tiếp khơng an tồn • Rò rỉ thơng tin xử lý lỗi khơng cách • Quản lý xác thực quản lý phiên yếu • Khơng hạn chế truy nhập vào URL nội • Khơng kiểm tra điều hướng chuyển tiếp URL • Sử dụng lỗ hổng có sẵn thư viện 10 lỗ hỗng ứng dụng web thường gặp • Lỗ hổng XSS (Cross Site Scripting): Thông qua lỗ hổng XSS, kẻ công chiếm quyền điều khiển phiên người dùng, gỡ bỏ trang web, đánh cắp thơng tin người dùng dựa trình duyệt Tin tặc chèn mã JavaScript vào trang web có lỗi XSS, người dùng truy cập vào trang web này, mã script tin tặc hoạt động lưu lại thông tin người dùng 10 lỗ hỗng ứng dụng web thường gặp • Chèn mã độc hại (Injection flaws):  Hacker sử dụng điểm yếu truy vấn đầu vào bên ứng dụng để chèn thêm liệu không an tồn, từ máy chủ bị cơng số dạng như: SQL Injection, Xpath Injection, XML Injection, Buffer overflow, LDAP lookups, Shell command Injection 10 lỗ hỗng ứng dụng web thường gặp • Quản lý xác thực quản lý phiên yếu: Khâu xác thực (authentication) trao quyền (authorisation) sử dụng phổ biến ứng dụng web Nếu khâu khơng bảo mật mạnh mẽ lỗ hổng tiềm ẩn giúp tin tặc xâm nhập vào hệ thống Mối đe dọa tiềm ẩn kẻ cơng thỏa hiệp mật khẩu, mã khóa danh tính người dùng Để hạn chế nguy công, quản trị viên nên thiết lập session thật tốt 10 lỗ hỗng ứng dụng web thường gặp • Khơng hạn chế truy nhập vào URL nội : Một giải pháp nhằm hạn chế công từ bên nội mà nhà quản trị nên làm hạn chế truy cập vào URL quan trọng Bạn hạn chế địa IP, hạn chế sử dụng phân quyền, truy cập trực tiếp vào url 10 lỗ hỗng ứng dụng web thường gặp • Khơng kiểm tra điều hướng chuyển tiếp URL: Lợi dụng sơ hở này, tin tặc điều hướng đường link gốc đến trang web ứng dụng lừa đảo trang web đen Khi click vào đường dẫn tới trang web lừa đảo, máy tính người dùng bị nhiễm mã độc hacker sau ép người dùng tiết lộ thông tin cá nhân 10 lỗ hỗng ứng dụng web thường gặp • Sử dụng lỗ hổng có sẵn thư viện: Thực tế nay, số tổ chức doanh nghiệp Việt Nam chưa cập nhật vá lỗi ứng dụng web mình, cá nhân Một số lỗi xuất phát từ thư viện ứng dụng, số nằm plugin cài thêm, số khác module ứng dụng Cũng điều mà hacker nhanh chóng khai thác lỗ hổng bảo mật hàng loạt người dùng, thiết bị bị ảnh hưởng Hậu bị cơng • Những thơng tin cá nhân, thơng tin quan trọng, tài  của công ty khách hàng bị hacker xâm phạm • Ứng dụng web phần mềm khác mà cơng ty, doanh nghiệp sử dụng bị hacker cài mã theo dõi, virus độc hại • Hệ thống máy chủ hệ thống bị tê liệt cố bắt nguồn từ ứng dụng web Giải pháp bảo mật toàn diện cho ứng dụng web • Rà sốt lỗ hổng ứng dụng trước sử dụng Bạn  có thể nhờ dịch vụ pentest ứng dụng website chuyên gia bảo mật, chuyên gia an ninh mạng đánh giá • Xây dựng phát triển ứng dụng web theo tiêu chuẩn 2.0 vào tiêu chí bảo mật cao OWASP, DSS, PCI… • Tăng hiệu hệ thống tồn diện • Xây dựng lớp bảo mật cho thiết bị hệ thống có khả phát tự vệ trước cố mạng hay virus, hacker công Chứng HTTPS gì? • Khi u cầu kết nối HTTPS với trang web, trang web gửi chứng SSL tới trình duyệt bạn Chứng chứa khóa cơng khai cần thiết để bắt đầu phiên bảo mật Dựa trao đổi ban đầu này, trình duyệt trang web bắt đầu giao thức SSL handshake (giao thức bắt tay) Giao thức SSL handshake liên quan đến việc tạo bí mật chia sẻ để thiết lập kết nối an toàn bạn trang web • Khi sử dụng chứng SSL đáng tin cậy trình kết nối HTTPS, người dùng thấy biểu tượng ổ khóa địa trình duyệt Khi chứng Extended Validation Certificate cài đặt trang web, địa chuyển sang màu xanh Tại phải có chứng SSL? • Tất thơng tin liên lạc gửi qua kết nối HTTP nằm văn đọc hacker đột nhập vào kết nối trình duyệt trang web bạn Việc mối nguy hiểm có chứa thơng tin liên lạc nằm đơn đặt hàng, chi tiết thẻ tín dụng số an sinh xã hội bạn Với kết nối HTTPS, tất thơng tin liên lạc mã hóa an tồn Điều có nghĩa đột nhập vào kết nối, họ giải mã liệu qua bạn trang web SSL hoạt động nào? • Khi bạn truy cập vào trang web sử dụng https thì: Trình duyệt gửi yêu cầu cho máy chủ web cung cấp thông tin xác nhận danh tính Máy chủ web gửi lại cho trình duyệt chứng SSL mà cấp Trình duyệt kiểm tra thơng tin chứng Nếu đúng, thơng báo lại cho máy chủ web SSL chấp nhận Máy chủ web gửi ngược lại chữ ký số dùng để mã hóa giải mã suốt q trình giao tiếp sau Mọi thơng tin trao đổi trình duyệt máy chủ mã hóa Các loại SSL So sánh HTTP HTTPS • HTTPS viết tắt Hyper Text Transfer Protocol Secure (giao thức truyền tải siêu văn bảo mật) phiên an toàn HTTP, kết hợp giao thức HTTP giao thức bảo mật SSL, TLS nhằm tạo nên rào chắn an ninh, bảo mật truyền tải thông tin mạng Internet Chữ 'S' cuối HTTPS viết tắt "Secure" (Bảo mật) Nó có nghĩa tất giao tiếp trình duyệt trang web mã hóa • Tóm lại, HTTPS loại giao thức giúp đảm bảo yếu tố thông tin, bao gồm:  Confidentiality: Sử dụng phương thức mã hóa (encryption) để đảm bảo thông điệp trao đổi client server không bị kẻ thứ ba (hackers) đọc  Integrity: Sử dụng phương thức hashing để người dùng (client) máy chủ (server) tin tưởng thơng điệp chuyển giao qua lại tồn diện khơng qua chỉnh sửa  Authenticity: Sử dụng chứng số (digital certificate) để giúp client tin tưởng server/website mà họ truy cập thực server/website “chính Làm để sử dụng giao thức HTTPS? • Có cách để bạn cài đặt giao thức HTTPS: Cách 1: Mua chứng SSL trực tiếp từ đơn vị cung cấp Cách 2: Sử dụng dịch vụ cài đặt giao thức HTTPS, chứng SSL chuyên nghiệp từ đơn vị thiết kế web, cơng ty Việt Nam Lợi ích giao thức HTTPS • HTTPS đóng vai trò quan trọng loại website có thực giao dịch mua bán, chuyển tiền điện tử chuyển giao thông tin mật khách hàng Giao thức HTTPS giúp công ty, doanh nghiệp đảm bảo thơng tin lưu truyền từ máy chủ đến trình duyệt đảm an tồn Q trình giao tiếp client server thông qua HTTPS 1. Client gửi request cho secure page (có URL bắt đầu với https://) 2. Server gửi lại cho client certificate 3. Client (web browser) tiến hành xác thực certificate cách kiểm tra (verify) tính hợp lệ chữ ký số CA kèm theo certificate 4. Client tự tạo ngẫu nhiên một symmetric encryption key (hay session key), sử dụng public key (lấy certificate) để mã hóa session key gửi về cho server 5. Server sử dụng private key (tương ứng với public key trong certificate trên) để giải mã session key 6. Sau đó, server client sử dụng session key để mã hóa/giải mã thơng điệp suốt phiên truyền thông ... bảo mật web? Một ứng dụng web cần bảo mật nào? Đối tượng dễ bị công Một số kỹ thuật công ứng dụng web điển hình 10 lỗ hỗng ứng dụng web thường gặp Hậu bị cơng Giải pháp bảo mật tồn diện cho ứng. .. cho ứng dụng web • Rà soát lỗ hổng ứng dụng trước sử dụng Bạn  có thể nhờ dịch vụ pentest ứng dụng website chuyên gia bảo mật, chuyên gia an ninh mạng đánh giá • Xây dựng phát triển ứng dụng web. .. • Ứng dụng web ngày cải tiến sử dụng rộng rãi Kéo theo tiềm ẩn việc bảo mật ứng dụng web đang hàng ngày gây quan ngại cho doanh nghiệp, tổ chức lớn phủ • Trong kỹ thuật phần mềm, Ứng dụng web