1. Trang chủ
  2. Công Nghệ Thông Tin

Bài giảng An toàn mạng máy tính nâng cao: Chương 6 - ThS. Nguyễn Duy

51 75 0
Bài giảng An toàn mạng máy tính nâng cao: Chương 6 - ThS. Nguyễn Duy

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Bài giảng An toàn mạng máy tính nâng cao - Chương 6: Web application security cung cấp cho người học các kiến thức về bảo mật ứng dụng Web, web application attack and defense. Đây là một tài liệu hữu ích dành cho các bạn sinh viên và những ai quan tâm dùng làm tài liệu học tập và nghiên cứu.

WEB APPLICATION SECURITY Author: Nguyễn Trường Phú – Nguyễn Tuấn Anh Date: 1-5-2015 ABOUT AUTHOR •  Name: Nguyễn Tuấn Anh Nguyễn Trường Phú •  Class: 23CCAN04 •  Unit: An tồn ứng dụng CONTENT 1.  Web application attack and defense 2.  Modsecurity (mod_sec) Web Application attack and Defense Web Application Security Nền tảng Website phổ biến: Web services: Languages: Databases: Client – Side •  Apache (httpd) •  Nginx + •  HTML + CSS / HTML5 + CSS3 •  Javascript / Jquery Server - Side •  IIS •  Apache Tomcat •  PHP •  ASPX (ASP.NET) •  JSP + Servlet (JAVA) + •  •  •  •  •  •  •  •  MySQL MariaDB MongoDB MemSQL Access SQLserver MSSQL …… Web Application Security Website bị cơng nào? •  Thơng qua Authencation (Các hình thức cơng vào mật khẩu, giao thức mã hố, hình thức chứng thực,…) •  Thơng qua Session, Transport,… (Các hình thức cơng qua bảo mật đường truyền bao gồm MITM) •  Thơng qua Lổ hổng Web Application •  •  •  •  •  •  •  Thông qua Lổ hổng OS (Đặc biệt nhiều Windows Linux) Thơng qua Server Application/Software (Lổ hổng service/software khác server: Mail, browser,adobe,java,…) Thông qua Mã độc Backdoor thiết lập từ trước Thơng qua hình thức cơng từ chối dịch vụ (DoS, DDoS, DRDoS, Spam, … ) Thông qua Crawler kẻ hở configure quản lý (lổ hổng phân quyền, lộ tập tin, đường dẫn nhạy cảm,… Thông qua Tấn công vật lý Thông qua tâm lý người (Social) Web Application Security Lổ hổng Web Application 10 quy chuẩn bảo mật 10 phân nhóm lỗ hổng bảo mật ứng dụng web theo OWASP 2010 1.  Injection (SQLi, LDAPi, OS command injection,…) 2.  Cross Site Scripting (XSS) 3.  Broken Authentication and Session Management (Nguy quản lý phiên/session) 4.  Insecure Direct Object References (Các lổ hổng tham chiếu) 5.  Cross Site Request Forgery (CSRF) 6.  Security Misconfiguration (Lổ hổng cấu hình, triển khai dịch vụ web,…) 7.  Insecure Cryptographic Storage (Lổ hổng mã hoá liệu nhạy cảm) 8.  Failure to Restrict URL Access (Các lổ hổng quyền hạn truy cập url nhạy cảm) 9.  Insufficient Transport Layer Protection (Lổ hổng đường truyền) 10.  Unvalidated Redirects and Forwards (Các lổ hổng chuyển hướng) Web Application Security Ví dụ số hình thức cơng Web Application phổ biến: •  •  •  •  •  •  SQL injection (SQLi) Cross Site Scripting (XSS) Local File Inclusion (LFI) Remote File Inclusion (RFI) Local File Discluse/Download (LFD) … SQL injection Web Application Security Định nghĩa: SQL injection (SQLi) kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection Web Application Security Ví dụ: Truy cập chuyên mục SQL ceh.vn thấy URL có dạng: http://ceh.vn /index.php?page=SQl è Câu truy vấn CSDL có dạng: “SELECT * FROM chuyenmuc WHERE tenchuyenmuc =“ + $page Trong $page=$_GET(‘tenpage’) Attacker cố tình truy vấn URL: http://ceh.vn /index.php?page=SQl or 1=1 è Câu truy vấn CSDL có dạng: SELECT * FROM chuyenmuc WHERE tenchuyenmuc=SQl or 1=1 Ta thấy 1=1 ln nên truy vấn trả lại tất thơng tin có bảng chuyenmuc ⇒  Thơng tin bị khai thác => Lỗi Attacker thực truy vấn phức tạp hơn, truy vấn cột, trường, thông tin quan trọng Modsecurity Các thành phân rule mod_sec: (thực triển khai Server Centos, Web service: apache) VARIABLE: (WHERE?) Vị trí So sánh Web Application Security Web Application Security Modsecurity Các thành phân rule mod_sec: (thực triển khai Server Centos, Web service: apache) OPERATOR : (HOW?) Dấu hiệu để so sánh •  So sánh theo chuỗi thường •  So sánh theo tốn tử Ví dụ so sánh toán tử: SecRule ARGS "!@rx ^CrazyKid$" Modsecurity Web Application Security Các thành phân rule mod_sec: (thực triển khai Server Centos, Web service: apache) ModSecurity hỗ trợ nhóm OPERATOR: • String–matching operators //so khớp string dùng tốn tử • Numerical operators // So sánh số • Validation operators // Một vài toán tử đặc biệt so sánh giá trị đặc biệt (XML, UTF-8,…) • Miscellaneous operators // Các toán tử lọc Dùng so sánh lộ thông tin CC, lộ thông tin người dùng,… Modsecurity Các thành phân rule mod_sec: (thực triển khai Server Centos, Web service: apache) [ACTIONS]: (WHAT?) Xử lý ModSecurity chia action thành phân mục: • Disruptive actions • Flow actions • Metadata actions • Variable actions • Logging actions • Special actions • Miscellaneous Actions Web Application Security Web Application Security Modsecurity Các thành phân rule mod_sec: (thực triển khai Server Centos, Web service: apache) Ví dụ Disruptive actions: -  Nếu xử lý so khớp thơng tin = True thực hiện: + Allow (cho phép) +Block (khoá) +Deny (chặn gửi phản hồi) +pass (cho qua luật tiếp theo) +Drop (Loại bỏ không phản hồi) +Pause (Tạm dừng) … Modsecurity Web Application Security Câu hỏi đặt ra: Các quản trị viên khơng am hiểu Rules mod_sec triển khai mod_sec cách an tồn khơng? Giải pháp trường hợp này: CORE RULE SET (CRS) Hạn chế: Core rules set tập hợp rules viết cho đại đa số người dùng Hệ thống cụ thể è Tính tuỳ biến, linh hoạt bảo mật không đảm bảo tự thiết kế rules Modsecurity Một số tính mở rộng khác Modsecurity Fake port: Web Application Security Modsecurity Một số tính mở rộng khác Modsecurity Fake robots.txt Disallow Entries Web Application Security Modsecurity Một số tính mở rộng khác Modsecurity Fake hidden form fields Web Application Security Modsecurity Một số tính mở rộng khác Modsecurity Làm chậm công cụ scan lổ hổng tự động Web Application Security Modsecurity Modsecurity Logs Web Application Security Modsecurity Giải pháp Gui logs cho Modsecurity Một số giải pháp nguồn mở Cho việc monitor mod_sec Bằng giao diện đồ hoạ: Ví dụ: WAF-FLE Web Application Security Web Application Security Modsecurity Và nhiều tính khác…… Web Application Security Modsecurity Demo Q&A THANK YOU ... •  Name: Nguyễn Tuấn Anh Nguyễn Trường Phú •  Class: 23CCAN04 •  Unit: An toàn ứng dụng CONTENT 1.  Web application attack and defense 2.  Modsecurity (mod_sec) Web Application attack and Defense... cơng cụ Scan, tìm kiếm lổ hổng Ví dụ: OpenSource: W3AF, Paros (Andiparos Zed attack Proxy), Skipfish, Grabber, Zero Day Scan,… CloseSource: Acunetix, N-stalker, NeXpose, Retina, AppScan, ParosPro,... web theo OWASP 2010 1.  Injection (SQLi, LDAPi, OS command injection,…) 2.  Cross Site Scripting (XSS) 3.  Broken Authentication and Session Management (Nguy quản lý phiên/session) 4.  Insecure

Ngày đăng: 30/01/2020, 12:42

Xem thêm: Bài giảng An toàn mạng máy tính nâng cao: Chương 6 - ThS. Nguyễn Duy

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan