Nghiên cứu một số dạng lỗ hổng bảo mật, công cụ phát hiện chúng và ứng dụng để kiểm thử an ninh trên trang web truongnha com

5 MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC BẢNG BIỂU DANH MỤC HÌNH VẼ CHƢƠNG GIỚI THIỆU 1.1.Tính cấp thiết đề tài 1.2.Mục tiêu đề tài 1.3.Bố cục luận văn 1.4.Tổng quan vấn đề bảo mật Web 1.5.Một số nguyên nhân phở biến cho ƣƣ́ng dụng Web tín 1.6.Thống kê các loại công CHƢƠNG MỘT SỐ NGUY CƠ AN NINH THƢỜNG GẶP 2.1.Tấn công DoS 2.1.1 Giới thiệu DoS 2.1.2 Mục đích các dạng cơng DoS 2.1.3 Tấn công DDoS 2.2.Cross-Site Scripting (XSS) 2.2.1 Tổng quan XSS 2.2.2 Ảnh hƣởng XSS gây 2.2.3 Phân loại 2.2.4 Cách phát sâu XSS 2.2.5 Các phƣơng pháp ngăn chặn lỗ hổng bảo mật XSS 2.3.Tổng quan SQL Injection 2.3.1 Định nghĩa 2.3.2 Các kỹ thuật công SQL Injection 2.3.3 Những ảnh hƣởng gây SQL Injection 2.3.4 Các phƣơng pháp phòng chống SQL Injection phổ biến CHƢƠNG MỘT SỐ CÔNG CỤ PHÁT HIỆN NGUY CƠ AN NINH 3.1.Netsparker 3.2.Websecurify 3.3.Acunetix 3.4 WebScarab 3.5 Havij 3.6 Burp Suite 3.7 Wapiti 3.8 Exploit-Me 3.9 W3af 3.10 Công cụ công DoS CHƢƠNG THỰC NGHIỆM VÀ PHÂN TÍCH KẾT QUẢ 4.1 Acunetix 4.1.1 Thực nghiệm 4.1.2 Phân tích thực nghiệm 4.2 BurpSuite 4.2.1 Thực nghiệm 4.2.2 Phân tích thực nghiệm 4.3 Netsparker 4.3.1 Thực nghiệm 4.3.2 Phân tích thực nghiệm 4.4 Skipfish 4.4.1 Thực nghiệm 4.4.2 Phân tích thực nghiệm 4.5 W3af 4.5.1 Thực nghiệm 4.5.2 Phân tích thực nghiệm 4.6 Websecurify 4.6.1 Thực nghiệm 4.6.2 Phân tích thực nghiệm 4.7 Tổng hợp đánh giá CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN TÀI LIỆU THAM KHẢO DANH MỤC BẢNG BIỂU Bảng 2.1: Các mẫu đầu vào 26 Bảng 4.1: Danh sách các lỗ hổng các công cụ 66 DANH MỤC HÌNH VE Hình 1.1: Thống kê các loại công 14 Hình 2.1: Tấn cơng SYN 16 Hình 2.2: Tấn cơng Smurf 17 Hình 2.3: Phân loại công DDOS 18 Hình 2.4: Tấn cơng TCP SYN 20 Hình 2.5: Mơ hình cơng XSS 22 Hình 2.6: Mơ hình cơng Reflected XSS 23 Hình 2.7: DOM-base XSS 24 Hình 3.1: Thực nghiệm cơng cụ Netsparket 30 Hình 3.2: Thực nghiệm cơng cụ Websecurify ứng dụng 33 Hình 3.3: Kết quả chạy công cụ Websecurify 34 Hình 3.4: Cách thức làm việc Acunetix 35 Hình 3.5: Thống kê các cơng cụ năm 2012 Benchmark 36 Hình 3.6: Ví dụ Acunetix 40 Hình 3.7: Kết quả chạy Acunetix 40 Hình 3.8: Phân tích chi tiết kết quả 41 Hình 3.9: Thƣƣ̣c nghiệm lỗi xảy 41 Hình 3.10: Ví dụ chạy WebScarab 43 Hình 3.11: Thƣƣ̣c nghiệm công cụ Havij 44 Hình 3.12: Vị trí thay giá trị công 46 Hình 3.13: Các giá trị thay thẻ Positions 46 Hình 3.14: Kết quả sau công 47 Hình 3.15: Ví dụ công cụ XSS-ME 49 Hình 3.16: Mối quan hệ các Plugin công cụ W3af 51 Hình 3.17: Tấn cơng DOS 52 Hình 4.1: Kết quả chạy cơng cụ Acunetix 54 Hình 4.2: Khởi động BurpSuite Hình 4.3: Cấu hình Proxy Hình 4.4: Chạy ứng dụng cho BurpSuite Hình 4.5: Kết quả quét phần mềm Trƣờng Nhà Hình 4.6: Thƣƣ̣c nghiệm cơng cụ Netsparker Hình 4.8: Chi tiết thơng tin cảnh báo cơng cụ Skipfish Hình 4.7: Kết quả chạy công cụ Skipfish Hình 4.9: Cơng cụ W3af bật các plugin Hình 4.10: Thơng tin các lỗ hởng các lỗi công cụ W3af Hình 4.11: Kết quả các lỗ hởng đƣợc tìm thấy W3af Hình 4.12: Kết quả chạy cơng cụ Websecurify DANH MỤC CÁC CHỮ VIẾT TẮT Từ viết tắt Từ API App AJAX Asy CSS Cas CPU Cen XSS Cro DoS Den DDoS Dis DOM Doc HTML Hyp PHP Hyp HTTP Hyp LAN Loc OWASP Ope SQL Stru ASP Tra URI Uni URL Uni WAN Wid 10 11 CHƢƠNG GIỚI THIỆU Nội dung chương trình bày tính cấp thiết, mục tiêu, bố cục đề tài tìm hiểu chung vấn đề bảo mật anh ninh Web, đưa vài nguyên nhân gây an toàn an ninh ứng dụng Web lỗ hổng thường thấy nhiều 1.1 Tính cấp thiết đề tài Với sƣƣ̣ phát triển nhanh các ƣƣ́ng dụng Web, việc bảo mật an ninh an toàn cho các trang Web mợt lĩnh vực đặc biệt quan vìnó đƣ ợc truy cập lúc nơi Tuy không phải nhà phát triển phần mềm Web cũng tâm đến việc bảo mật anh ninh , nhiều ứng dụng Web tồn tại với các nguy an ninh/an toàn/bảo mật (security vularability) gây nhiều thiệt hại bị cơng Tuy nhiên việc tìm kiếm phát các nguy an ninh thủ công khá khó khăn có nhiều nguy an ninh có thể phát đƣợc các cơng cụ tƣƣ̣ đợng Bên cạnh đó, các loại nguy an ninh khơng ít, cũng có nhiều cơng cụ tự động phát nguy bảo mật nên ngƣời phát triển phần mềm muốn kiểm tra mức đợ an ninh an tồn trang web cũng gặp phải nhiều khó khăn Chính đề tài nghiên cƣƣ́u m ột số kiểu công ph ổ biến các công cụ tƣƣ̣ động phát nguy an ninh an toàn đ ồng thời thử nghiệm chúng vào phần mềm “Trƣờng Nhà” trang web http://truongnha.com Ứng dụng “Trƣờng Nhà” một trang Web quản lý trƣờng học phổ thông đƣợc xây dựng một đội phát triển phần mềm Chính vậy, đề tài thử nghiệm vào ứng dụng để đƣa lỗ hổng một vài khuyến cáo cho đội phát triển phần mềm từ kiểm tra đƣợc tính đắn kết quả cũng nhƣ các khuyến cáo luận văn đƣa Qua việc nghiên cứu thử nghiệm này, đề tài đƣa các nguy bảo mật công cụ để phát hiện/kiểm tra cho phần mềm Trƣờng Nhà Từ để tài cũng tởng quát hóa đƣa các khuyến cáo cho các nhóm phát triển phần mềm nói chung đặc biệt sử dụng các công nghệ tƣơng tự nhƣ Trƣờng Nhà (sử dụng khung ứng dụng Django) các nguy bảo mật các công cụ kiểm tra để các đơn vị phát triển phần mềm có thể tham khảo, áp dụng vào các ƣƣ́ng dụng Web Đề tài hy vọng giúp ngƣời phát triển phần mềm có thêm hiểu biết an ninh an tồn cũng nhƣ các cơng cụ nên sử dụng để tăng cƣờng anh ninh, bảo mật cho hệ thống Web 1.2 Mục tiêu đề tài Mục tiêu đề tài trình bày đƣợc tổng quan cập nhật các nguy bảo mật, các cách thức công các cách phát hi ện lỗ hổng bảo mật các hệ thống 12 Web sâu vào một vài loại xâu Web nổi tiếng nguy hiểm Từ luận văn khảo sát mợt số công cụ phần mềm nhằm phát các nguy bảo mật để giúp ngƣời lập trình có thể ngăn chặn công chúng, giảm thiểu khả các ứng dụng web bị ảnh hƣởng lỗ hởng Cuối cùng luận văn sâu vào phát lỗ hổng cho ứng dụng hệ thống quản lý trƣờng học : http://truongnha.com dƣƣ̣a các cơng cụ 1.3 Bố cục luận văn Luận văn bao gồm các chƣơng sau: Chƣơng 1: Tổng quan an toàn bảo mật Web: Chƣơng giới thiệu vấn đề bảo mật, vai trò quan trọng bảo mật web các nguy gây việc thiếu an toàn bảo mật cho ƣƣ́ng dụng web Chƣơng 2: Tấn cơng an tồn thơng tin ứng dụng Web: Chƣơng mô tả một vài kỹ thuật cơng an tồn Web phở biến (DoS/DDoS, XSS, SQL injection), ví dụ cách thức cơng chúng Chƣơng 3: Giới thiệu vài cơng cụ tìm kiếm lỗ hổng bảo mật: Chƣơng giới thiệu một vài cơng cụ hỗ trợ việc tìm kiếm lỗ hởng Web Bên cạnh đó, chƣơng cũng nêu lên cách thƣƣ́c làm việc các lỗ hổng mà các ƣƣ́ng dụng có thể phát ra, đƣa đƣợc nhận xét các công cụ Chƣơng 4: Thực nghiệm phân tích kết quả: Thực nghiệm chạy mợt số cơng cụ chƣơng vào việc tìm các lỗ hổng cho ứng dụng Web http://truongnha.com phân tích cách thức phƣơng pháp chạy để tìm lỗi Chƣơng cũng đƣa đƣợc một vài khuyến cáo cho các nhà phát triển phần mềm Chƣơng 5: Kết luận hƣớng phát triển: Chƣơng trình bày nhƣƣ̃ng kết quả đạt đƣợc luận văn hƣớng phát triển tƣơng lai 1.4 Tổng quan vấn đề bảo mật Web Ngày nay, với phát triển mạnh mẽ công nghệ thông tin đặc biệt đời hàng loạt các trang Web mang l ại cho ngƣời nhiều tiện ích cho các doanh nghiệp Các hoạt động giao dịch trực tuyến nhƣ thƣơng mại điện tử hay toán trực tuyến ngày phổ biến đƣợc thƣƣ̣c thông qua các ƣƣ́ng dụng Web Ở đâu, mợt máy tính có nối mạng internet, ngƣời có thể thực các giao dịch mợt cách thuận tiện nhanh chóng Mọi thông tin ngƣời dùng đƣợc lƣu Web Nếu nhƣ thơng tin b ị sửa đổi với ý đồ xấu, câu truy vấn sở liệu có thể bị thay đởi cấu trúc, từ kết quả trả khác với ý muốn ngƣời lập trình, nhƣƣ̃ng kẻ lạc danh có thể đá nh cắp thơng tin , gây lên nhƣƣ̃ng thiệt hại lớn Có thể thấy việc xây dựng các trang Web động cho phép xây dựng câu truy vấn 13 động từ đầu vào ngƣời sử dụng cung cấp, chúng tiềm ẩn một nguy an tồn cao nhƣ khơng có mợt chế kiểm tra liệu đầu vào mợt cách chặt chẽ Tóm lại, các ứng dụng Web luôn tiềm ần có nguy bị cơng các kẻ công với ý đồ xấu, nên vấn đề bảo mật Web cấp thiết 1.5 Một số nguyên nhân phổ biến cho ƣƣ́ng dụng Web tính an tồn Khi mợt ƣƣ́ng dụng Web tính an tồn , điều tƣơng đƣơng với việc trang web có khả cơng gây thiệt hại nhƣƣ̃ng ý đồ xấu kẻ công Để khắc phục cho các lỗ hổng đó, việc trƣớc tiên cần làm tìm ngun nhân Dƣới mợt vài ngun nhân có thể gây nhƣƣ̃ng điểm yếu cho ƣƣ́ng dụng Web: o Thiếu nhận thƣƣ́c an toàn cho ƣƣ́ng dụng Web ngƣời dùng ngƣời lập trình o Thiếu các giải pháp bảo mật sẵn có o Sƣƣ̣ thúc ép sản phẩm nhanh chóng , dẫn đến các nhà lập trình làm nhanh ẩu , quên việc áp dụng các giải pháp cho bảo mật 1.6 Thống kê loại cơng Vấn đề an tồn bảo mật cho một ứng dụng W eb một vấn đề quan trọng, ảnh hƣởng tới chất lƣợng an ninh cả một hệ thống quan Với tình trạng tại hàng loạt các kẻ công lợi dụng sơ hở phần mềm để công vào hệ thống nhằm phá hủy, ăn cắp liệu việc làm lại cấp bách cần thiết Theo thống kê Web Hacking Incident Database năm tƣƣ̀ 1999 tới 2011, có thể nhìn thấy tỷ lệ các phƣơng thức cơng web theo dạng XSS, DoS SQL injection đƣƣ́ng đầu so sánh nhƣ sau [12]: 14 Hình 1.1: Thống kê các loại cơng Nhìn biểu đồ Hình 1.1 thấy nhiều loại công tồn tại nhƣng có cơng liên trang (XSS), công từ chối dịch vụ (Denial of Service) SQL Injection chủ yếu Tiếp theo nghiên cứu chi tiết loại công chƣơng một vài lỗ hổng đƣợc ý hơn, chúng đƣợc miêu tả tại chƣơng thực thi các công cụ ứng dụng “Trƣờng Nhà” 57 Hình 4.4: Chạy ứng dụng cho BurpSuite 4.2.2 Phân tích thực nghiệm Khi cấu hình xong, yêu cầu gửi từ trình duyệt đến server bị chặn burpsuite tiến hành chỉnh sửa các yêu cầu thực thi công nhờ chức Intruder nhƣ sau: Giá trị đầu Request response tƣơng ứng với các đầu vào Hình 4.5: Kết quả quét phần mềm Trƣờng Nhà Danh sách thị các giá trị đầu vào cùng với kết quả phản hồi, giúp biết đƣợc REQUEST gửi gì, phản hồi nhận lại đƣợc từ biết đƣợc có khả lỗi đâu 58 4.3 Netsparker 4.3.1 Thực nghiệm Chúng ta chạy ứng dụng http://truongnha.com: Hình 4.6: Thƣƣ̣c nghiệm cơng cụ Netsparker 4.3.2 Phân tích thực nghiệm Netsperker tìm mợt loạt các vấn đề trang web này, khả mà kẻ cơng có thể lợi dụng nhƣ: mật đƣợc truyền ngang qua HTTP, khả tự động hiển thị một vài trƣờng quan trọng nhƣ trƣờng mật khẩu, hay trƣờng Credit Card, Django Stack Trace Disclosure …Hình giao diện cơng cụ qt Nó hiển thị tồn bợ thơng tin “site map”- tức thông tin bố cục trang web bạn, “Scan information” – thông tin tốc độ quét, các yêu cầu lỗi…, “Issues”- tất cả các vấn đề bảo mật mà Netsperker phát ra, đƣợc hiển thị rõ lỗi, mức độ quan trọng bạn nhấn vào Lỗ hởng xảy tại: http://truongnha.com/admin/  Lỗi mật đƣợc truyền ngang qua HTTP: Khi tồn tại lỗi xảy ra, kẻ cơng có thể lợi dụng làm chặn lại giao thông mạng ăn trộm chứng thực ngƣời sử dụng hợp pháp Để tránh đƣợc lỗ hổng xảy ra, các liệu nhảy cảm, hay các form trang nên đƣợc truyền ngang qua HTTPs thay truyền qua HTTP khơng an tồn  Lỗ hởng Django Stack Trace Disclosure: khả hiển thị chi tiết trang web lỗi tại ứng dụng web mục tiêu 59 Xảy tại: http://truongnha.com/register/ Ảnh hƣởng tồn tại lỗ hổng này, kẻ cơng có thể:  Lấy đƣợc thơng tin phiên bản Django Python  Sử dụng kiểu sở liệu, tên ngƣời sử dụng sở liệu đó, tên sở liệu thời  Thông tin chi tiết cấu hình dự án Django  Biết đƣợc đƣờng dẫn tới các tệp bên hệ thống  Các ngoại lệ từ mã nguồn, biến địa phƣơng các giá trị biến Những thông tin giúp cho kẻ cơng có thể chống lại hệ thống, khai thác các lỗ hổng hệ thống dựa các thơng tin biết, từ thực thi khai thác chúng, có thể dẫn đến phá hủy hệ thống Để khắc phục lỗi này, nhà phát triển phần mềm nên thay đởi cấu hình Django là: thay đởi lựa chọn DEBUG tới false Bên cạnh có nhiều nhƣƣ̃ng lỗi với mƣƣ́c độ thấp nhƣ:  Lỗi bên máy chủ : Máy chủ đáp trả lại mợt HTTP với trạng t điều chỉra lỗi phía m áy chủ Thơng tin sau đƣợc phâ cách cẩn thận Sƣƣ̣ ảnh hƣởng lỗ hổng phụ thuộc vào nhiều đ nhƣng có khả gây cơng dƣới dạng SQL Injection chặn lỗ hổng xảy ra, nhà phát triển phần mềm nên xem xét lại mã trình để ngăn chặn lỗi không mong đợi , để khơng làm lợ nhữn ngồi , các lỗi nên đƣợc xử lý phía máy chủ http://truongnha.com/static/bootstrap/  Cookie không đƣợc đánh dấu nhƣ HTTPOnly : HTTPOnly một mật cookie Nếu một cookie đƣợc đánh dấu nhƣ HTTPOnly thìc khơng có khả truy cập đƣợc tƣƣ̀ máy khách Do có khả năn một tầng bảo vệ chống lại công XSS Trang web có khả bịkẻ công truy cập cookie một cách dễ dàng Để ngăn chặn các lỗi , nhà phát triển phần mềm nên đánh dấu cookie với cờ HTTPOnly để tạo một tầng bảo mật chống lại XSS cho các trang Web 4.4 Skipfish 4.4.1 Thực nghiệm Skipfish mợt cơng cụ dị tìm bảo mật cho các ứng dụng Web mợt cách hiệu quả Nó chuẩn bị mợt tập các trang tƣơng tác với cho trang đích đến việc thực quét đệ quy dò tìm dựa các thƣ mục Việc xếp kết quả sau đƣợc 60 đƣa với mợt đầu từ một số các hoạt động kiểm tra an ninh Bản báo cáo cuối cùng đƣợc thực công cụ đƣợc coi nhƣ điều bản cho dự đánh giá anh ninh các ứng dụng Web chuyên nghiệp Skipfish một công cụ mã nguồn mở với tính năng:  Ƣu điểm o Tốc độ cao: Sử dụng code C, xử lý tối ƣu HTTP cao, dấu vết CPU thấp – đạt đƣợc 2000 yêu cầu giây một cách dễ dàng với phản hồi đích đến mạng LAN/WAN, 500 yêu cầu cho giây mạng Internet, 7000 yêu cầu chống lại các thực thể địa phƣơng, với một CPU đơn giản Kết hợp các luồng đơn lẻ, khơng đồng bợ mạng I/O mơ hình xử lý liệu, loại bỏ quản lý bộ nhớ, kế hoạch đại diện không hiệu quả một số đa luồng máy khách o Dễ học dễ sử dụng: Skipfish mang tính thích nghi mức đợ tin tƣởng cao Chuẩn đóan để hỗ trợ nhiều tảng Web trang có áp dụng nhiều cơng nghệ, với khả tự học o Logic bảo mật tiên tiến: chất lƣợng cao, khả lỗi thấp, kiểm tra đƣợc các kiểu bảo mật khác nhau, khả phát một miền lỗi tinh vi, bao gồm cả lỗi Blind injection o Tạo kết quả dƣới dạng HTML tốt o Phát đƣợc lỗ hổng dạng XSRF (Cross-Site Request Forgery)  Nhƣợc điểm: o Không hỗ trợ các Plugin o Không phát đƣợc lỗ hổng dạng: reflected stored XSS  Tóm lại: Cơng cụ tiện ích cho ngƣời quen sử dụng dịng lệnh hỗ trợ việc tạo báo cáo dƣới dạng HTML hữu ích Tuy nhiên khơng thể nắm bắt đƣợc các tham số yêu cầu ứng dụng Công cụ đƣợc dùng các môi trƣờng: Linux, FreeBSD, MacOS X Windows (Cygwin) Dƣới thƣƣ̣c nghiệm chƣơng trình chạy trang http://truongnha.com Hình 4.7 kết quả việc chạy cơng cụ Skipfish , thể nhƣƣ̃ng cảnh báo , thông tin mƣƣ́c đợ nguy hiểm nhiều , cơng cụ tới hệ thống web Tuy nhiên kết quả tìm đƣợc mợt cảnh báo 61 Hình 4.7: Kết quả chạy cơng cụ Skipfish Để xem chi tiết cảnh báo , ngƣời dùng có thể mở kết quả dƣới dạng tệp html nhƣ Hình 4.8 sau: Hình 4.8: Chi tiết thơng tin cảnh báo cơng cụ Skipfish 4.4.2 Phân tích thực nghiệm 62 Công cụ lƣu kết quả máy , báo cáo kết quả đƣợc xem dƣới dạng tệp HTML nhƣ kết quả Đối với ứng dụng quản lý trƣờng học , công cụ tìm có mợt lỗi DNS 4.5 W3af 4.5.1 Thực nghiệm Thƣƣ̣c việc tìm kiếm lỗ hởng an ninh cho ƣƣ́ng dụng Web http://truongnha.com, thu đƣợc kết quả nhƣ sau: Hình 4.9: Cơng cụ W3af bật các plugin 4.5.2 Phân tích thực nghiệm Kết quả cơng cụ đƣợc hiển thị bản “Log” 63 Hình 4.10: Thông tin các lỗ hổng các lỗi cơng cụ W3af Bên cạnh đó, cơng cụ cịn thể đƣợc biểu đồ xuất các điểm yếu Kết quả việc tìm kiếm các lỗ hổng phụ thuộc vào việc chọn các plugin phần “scan config” Và có thể nhìn thấy kết quả bên cợt “Result” nhƣ sau: 64 Hình 4.11: Kết quả các lỗ hởng đƣợc tìm thấy W3af Chúng ta cùng phân tích các lỗ hởng sau đây:  collectCookies: cơng cụ tìm nhiều cookies, điều đồng nghĩa với việc kẻ cơng cũng có thể dùng cơng cụ vào việc tìm cookies đăng nhập đƣợc vào hệ thống để chỉnh sƣƣ̉a điểm hay thao tác tùy theo ý họ  serverHeader: thông số máy chủ bịlộ , cung cấp thêm thơng tin cho kẻ cơng Nó đƣợc tìm thấy tại yêu cầu ID  Xsrf (get_xsrf): Phát lỗi Cross Site Request Forgery ứng dụng  Error500: một lỗi ƣƣ́ng dụng khơng đƣợc xác nhận đ ã đƣợc tìm thấy t ại: http://truongnha.com/_vti_inf.html" 4.6 Websecurify 4.6.1 Thực nghiệm Chúng ta thực thi qt trang web với cơng cụ Websecurify có kết quả nhƣ sau: 65 Hình 4.12: Kết quả chạy cơng cụ Websecurify 4.6.2 Phân tích thực nghiệm Dƣới các lỗ hởng đƣợc tìm thấy cơng cụ  Error Disclosure: lộ thông tin này, kẻ công biết thêm ứng dụng , phiên bản cấu hình tại ứng dụng giúp ích cho vi ệc khai thác các điểm yếu  Autocomplete Enable: nhƣƣ̃ng trƣờng thông tin nhạy cảm đƣợc hiển thị , kẻ cơng có thể truy cập vào bợ đệm có thể lấy đƣợc các thơng tin cơng các thơng tin nhƣ mật khẩu, cookies…  Email Disclosure: Máy chủ ứng dụng bị lộ địa email Điều gây một cuộc spam thƣ, hay lộ thông tin ngƣời dùng  Banner Disclosure: Máy chủ ứng dụng bị lộ các thông tin phiên bản kiểu 4.7 Tổng hợp đánh giá Chƣơng thƣƣ̣c việc kiểm thƣƣ̉ an ninh cho ƣƣ́ng dụng quản lý trƣờng học phổ thông mang tên “Trƣờng Nhà” (http://truongnha.com) phát các lỗ hổng bảo mật giúp ƣƣ́ng dụng có thể giảm thiểu phần các thiệt hại gây Dƣới danh sách các công cụ thƣƣ̣c thi ƣƣ́ng dụng “Trƣờng Nhà”, các lỗ hổng đƣ ợc miêu tả chi tiết thực thi công cụ các phần thực nghiệm trên: 66 Bảng 4.1: Danh sách các lỗ hổng các công cụ Công cụ Lỗ hổng Lộ thông tin địa Email XSS DOS/DDOS Lộ đƣờng dẫn Lộ ngôn ngữ ứng dụng Tấn công liên trang giả mạo Mật truyền qua HTTP Mật tự động hiển thị Lộ thông tin máy chủ Hiển thị cookies Khả tự đợng thị các trƣờng Ngồi các công cụ đƣợc liệt kê với các lỗ hổng trên, luận văn cũng thực thi áp dụng các công cụ khác nhƣ: Skipfish Burp suite giai đoạn sau lỗ hổng đƣợc nhà phát triển vá lỗ hởng khơng cịn Dƣới một vài kh uyến cáo các nhà phát triển phần mềm quá trình tơi làm luận văn, hi vọng có thể giúp các ƣƣ́ng dụng Web giảm thiểu đƣợc lỗ hổng bảo mật anh ninh cho trang Web mình: o Đảm bảo nhƣƣ̃ng lỗ i ứng dụng đƣợc xử lý phía máy chủ khơng thịtới ngƣời dùng Nếu hiển thịlỗi để thông báo lỗi ngƣời dùng nhập vào, khơng nên để lộ thông tin nhạy cảm nhƣ : ngôn 67 ngƣƣ̃, phiên bản… o Đối với các trƣờng có thông tin nhạy cảm nhƣ : trƣờng mật khẩu, cookies… nên sƣƣ̉a tḥc tính: autocomplete="off" để tránh trƣờng hợp chúng đƣợc lƣu vào bợ nhớ đệm, kẻ cơng có thể truy nhập vào khai thác chúng o Để tránh lỗ hổng mật đƣợc truyền không an toàn , nên sử dụng HTTPs truyền nhƣƣ̃ng dƣƣ̃ liệu nhạy cảm o Tất cả thông tin đƣợc nhập vào từ ngƣời dùng phải đƣợc kiểm tra trƣớc xử lý o Các máy chủ nên sƣƣ̉ dụng apache httpd 2.2.15 (trở đi) có thêm module mod_reqtimeout – tƣƣ̀ các request mà quá thời gian thìnó hủy kết nối giải phóng cho các request khác Điều tránh đƣợc việc nắm giƣƣ̃ hệ thống quá lâu gây nên nghẽn mạng o Để ngăn chặn các lỗi cookies nhà phát triển phần mềm nên đánh dấu cookie với cờ HTTPOnly để tạo một tầng bảo mật chống lại XSS cho các trang Web Tồn bợ chƣơng tập trung sâu vào quét lỗ hổng bảo mật các công c đại đƣợc sƣƣ̉ dụng nhiều ƣƣ́ng dụng quản lý trƣờng học tại http://truongnha.com Thêm vào đó, chƣơng đƣa mợt vài khuyến cáo để giúp ứng dụng có thể giảm thiểu các lỗ hổng an ninh nhằm ngăn chặn công kẻ công vào ƣƣ́ng dụng Nhƣƣ̃ng khuyến cáo cũng có thể áp dụng với ứng dụng Web khác Dựa vào việc thực nghiệm trên, luận văn cũng đƣa mợt qui trình áp dụng cho việc sử dụng các công cụ một cách hiệu quả nhƣ sau: o Đầu tiên, nên sử dụng công cụ Websecurify cơng cụ cài đặt đơn giản, khơng thời gian có khả tìm đƣợc lỗ hổng bản quan trọng nhƣ: SQL Injection, XSS, các thơng số bị lợ o Sau đó, phát đƣợc lỗ hổng bản, ngƣời dùng muốn phát rộng thêm các lỗ hổng khác, có thể áp dụng các cơng cụ nhƣ Acunetix Netsparker chúng có nhiều lựa chọn nhiều cấu hình cho ngƣời dùng để quét tồn bợ cấu trúc trang Web, từ có khả phát các lỗ hổng nhƣ DOS, các cổng thông tin mở mật đƣợc truyền một cách khơng an tồn o Cuối cùng, ngƣời dùng quen dùng chế đợ dịng lệnh có thể sử dụng thêm các công cụ nhƣ W3af Skipfish để quét lại một lƣợt để phát thêm một vài lỗ hổng nhƣ dạng công liên trang giả mạo Với việc áp dụng mợt quy trình nhƣ vậy, ứng dụng Web cũng phần giảm 68 thiểu đƣợc các mối nguy hại các lỗ hổng gây mà mợt ứng dụng Web cũng có thể áp dụng đƣợc 69 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Chương tổng kết lại kết mà luận văn làm đưa hướng phát triển thời gian tới Vấn đề bảo mật an ninh Web vấn đề quan trọng cần thiết sƣƣ̣ phát triển nhanh các ứng dụng Web , nguy thiệt hại gây các lỗ hổng không nhỏ Tuy không phải nhà phát triển phần mềm Web cũng tâm đến việc bảo mật anh ninh, nhiều ứng dụng Web tồn tại các nguy tính an tồn bảo mật (security vularability) liên tục có các c̣c cơng xảy Việc tìm kiếm phát các nguy an ninh mợt cách thủ cơng khá khó khăn có nhiều nguy an ninh có thể phát đƣợc các công cụ tƣƣ̣ động Bên cạnh các loại nguy an ninh các công cụ tự động phát các nguy ngày nhiều, khiến cho ngƣời dùng khó khăn việc lựa chọn công cụ phù hợp với ứng dụng Chính đề tài nghiên cƣƣ́u m ột số kiểu công ph ổ biến các công cụ tƣƣ̣ động phát nguy an ninh an toàn thử nghiệm chúng vào phần mềm quản lý trƣờng h ọc phổ thông với tên gọi “Trƣờng Nhà” trang web http://truongnha.com Qua quá trình nghiên cứu thử nghiệm này, đề tài tìm hiểu đƣợc cách thức hoạt đợng, ƣu nhƣợc điểm một số công cụ áp dụng việc quét các lỗ hổng ƣƣ́ng dụng Web, đƣa đánh giá các công cụ để giúp ngƣời sử dụng có thể tham khảo để biết phù hợp với hồn cảnh ƣƣ́ng dụng để áp dụng mang lại hiểu quả cao Bên cạnh đó, đề tài đƣa các nguy bảo mật công cụ để phát kiểm tra cho phần mềm Trƣờng Nhà Từ để tài cũng tởng quát hóa đƣa các khuyến cáo cho các nhóm phát triển phần mềm nói chung đặc biệt sử dụng các công nghệ tƣơng tự nhƣ Trƣờng Nhà (sử dụng khung ứng dụng Django) các nguy bảo mật các công cụ kiểm tra để các đơn vị phát triển phần mềm có thể tham khảo, áp dụng vào các ƣƣ́ng dụng Web Đề tài hy vọng giúp ngƣời phát triển phần mềm có thêm hiểu biết an ninh an tồn cũng nhƣ các công cụ nên sử dụng để tăng cƣờng anh ninh, bảo mật cho hệ thống Web Kế hoạch tƣơng lai luận văn , đề tài tiếp tục sâu nghiên cứu thêm các kĩ thuật cơng, có thể sử dụng phần mềm mã nguồn mở để mở rộng thêm chức cho công cụ để đƣa phƣơng pháp triển khai chƣơng trình phát lỗ hởng bảo mật ứng dụng Web mức độ sâu 70 TÀI LIỆU THAM KHẢO Tiếng Việt Vnexperts Research Department, DOS DDOS toàn tập Tiếng Anh Acunetix (2012), Web Vulnerability Scanner V8, User manual v.1 2012 CEH – Certified Ethical Hackers, Hacking Web Applications – Module 13 Craig Shue, Brian Kopecky, Chris Weilemann, Denial of Service Attack Detection using Extended Analog Computers MSI::Labs (2006), Acunetix Web Vulnerability Scanner L Garber (2000), Denial-of-service attacks rip internet, IEEE Computer OWASP, http://www.owasp.org OWASP, SQL Injection, https://www.owasp.org/index.php/SQL_Injection Hakipedia, SQL Injection, http://hakipedia.com/index.php/SQL_Injection 10 Holger Peine Dr, The interactive HTTP proxy WebScarab – Installation and basic use, Fraunhofer IESE 11 Sector Toronto (2009), A framework to Own the Web – part I SpiderLaps, Web Hacking Incident Database, by SpiderLaps, http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database 12 13 Web Application Security Scanner Evaluation Criteria –2009 Web Application Security Consortium 14 Websecurify, http://www.websecurify.com/suite ... miêu tả công cụ phát lỗ hổng bảo mật, với chiến lược công cụ dễ sử dụng, có khả phát tốt sử dụng nhiều mà nhà kiểm thử dễ dàng áp dụng chạy hồn tồn tự động, khơng tốn cơng sức người Đó công cụ như:... đợ an ninh an tồn trang web cũng gặp phải nhiều khó khăn Chính đề tài nghiên cƣƣ́u m ợt số kiểu công ph ổ biến các công cụ tƣƣ̣ động phát nguy an ninh an toàn đ ồng thời thử nghiệm chúng. .. nhƣng chúng lại cung cấp thông tin hữu ích cho kẻ công để nhằm thực thi công vào trang Web, chúng đƣợc miêu tả chi tiết các chƣơng sau 30 CHƢƠNG MỘT SỐ CÔNG CỤ PHÁT HIỆN NGUY CƠ AN NINH