N G HI ÊN C Ứ U TẤ N C Ô N G W EB Ứ N G D Ụ N G V À PH Ư Ơ N G PH ÁP PH Ò N G C H Ố N G Ni ên kh óa : 20 1120 15 NGUYỄN THỊ THU HƯỜNG VŨ CHÍ THÀNH NGHIÊN CỨU TẤN CƠNG WEB ỨNG DỤNG VÀ PHƯƠNG PHÁP PHỊNG CHỐNG Chun ngành: Cơng nghệ Thông tin ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội - Năm 2015 NGUYỄN THỊ THU HƯỜNG VŨ CHÍ THÀNH NGHIÊN CỨU TẤN CÔNG WEB ỨNG DỤNG VÀ PHƯƠNG PHÁP PHÒNG CHỐNG Giáo viên hướng dẫn: TS Đỗ Xuân Chợ Chuyên ngành: Công nghệ Thông tin ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội – 2015 Hà Nội - Năm 2012 VIỆN ĐẠI HỌC MỞ HÀ NỘI CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA CÔNG NGHỆ THÔNG TIN Độc lập – Tự – Hạnh Phúc Hà Nội, ngày 11 tháng 05 năm 2015 NHIỆM VỤ CỦA ĐỒ ÁN TỐT NGHIỆP Tên đề tài Nghiên cứu cơng Web ứng dụng phương pháp phịng chống Nhiệm vụ nội dung  Nghiên cứu sâu dạng công vào web ứng dụng, nghiên cứu công nghệ kỹ thuật kẻ công sử dụng để cơng vào web ứng dụng Bên cạnh đồ án nghiên cứu đề xuất phương án, cơng nghệ, kỹ thuật để phịng chống cơng lên web ứng dụng Từ hiểu rõ mối đe dọa an toàn thông tin làm việc ứng dụng web hàng ngày phương án xây dựng web ứng dụng an toàn  Đề tài cho phép: Ngày giao nhiệm vụ Ngày hoàn thành nhiệm vụ Cán hướng dẫn 1/10/2015 11/05/2015 Ths.Trần Duy Hùng Nội dung đề cương đồ án Hội đồng chuyên ngành thông qua Ngày tháng 09 năm 2014 CÁN BỘ HƯỚNG DẪN KHOA CƠNG NGHỆ THƠNG TIN 1.1 Phân cơng cơng việc: Sinh viên Vũ Chí Thành: - Trình bày hình thức cơng Web ứng dụng, đặc điểm, giai đoạn công - Demo công web Sinh viên Nguyễn Thị Thu Hường: - Trình bày hệ thống thơng tin, an tồn bảo mật hệ thống thông tin dạng công hệ thống thơng tin thơng dụng - Trình bày phương pháp phịng chống cơng Web ứng dụng LỜI CẢM ƠN Để hoàn thành đồ án “Nghiên cứu cơng Web ứng dụng phương pháp phịng chống”, trước tiên chúng em xin gửi lời cảm ơn sâu sắc đến thầy giáo Trần Duy Hùng - Viện Đại học Mở Hà Nội, tận tình hướng dẫn giúp đỡ chúng em suốt trình nghiên cứu, xây dựng thực đồ án Chúng em xin chân thành cảm ơn Ban chủ nhiệm khoa Công nghệ thông tin – Viện Đại học Mở Hà Nội, quý thầy cô hỗ trợ tạo nhiều điều kiện thuận lợi cho chúng em trình học tập trình thực đồ án Trong trình thực đồ án, chúng em học hỏi thêm nhiều kiến thức Mặc dù cố gắng nỗ lực để hồn thành tốt đồ án khơng thể tránh khỏi sai sót Kính mong q thầy đóng góp ý kiến để đồ án chúng em hồn thiện tốt Hà Nội, tháng 05 năm 2015 Sinh viên thực Vũ Chí Thành Nguyễn Thị Thu Hường MỤC LỤC DANH MỤC HÌNH VẼ TĨM TẮT ĐỒ ÁN Họ tên: Vũ Chí Thành Nguyễn Thị Thu Hường Chun ngành: Cơng nghệ Thơng tin Khóa : 11 Cán hướng dẫn: TS Đỗ Xuân Chợ Tên đề tài: Nghiên cứu công Web ứng dụng phương pháp phịng chống Tóm tắt: Trang web trình bày tất thơng tin liên quan đến sản phẩm, dịch vụ (tên sản phẩm, nguồn gốc, giá cả, hình ảnh, chức ) mà trung tâm có để phục vụ khách hàng Trang web cung cấp tin tức làm đẹp, tin tức làm đẹp Sao cho khách hàng Qua khách hàng xem, đọc, tìm kiếm sản phẩm hay dịch vụ hợp lí với Nếu có nhu cầu mua làm dịch vụ đến trực tiếp trung tâm để làm giao dịch để lại thông tin đặt lịch hẹn vào thời gian cho trung tâm xếp phục vụ Khách hàng ghé thăm trang web có điều thắc mắc chát trực tiếp với trung tâm để hiểu rõ thơng tin khách hàng gửi phản hồi cho trung tâm cách để lại liên hệ Đặc biệt trung tâm ln có nhiều chương trình ưu đãi để tri ân khách hàng cụ thể bán voucher điện tử Khách cần đặt mua voucher cách để lại thông tin cần thiết theo mẫu sẵn trung tâm giữ cho gói ưu đãi giảm giá dịch vụ tới trung tâm thực dịch vụ DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Ký hiệu, chữ viết tắt HTTP CSS SSL XML CSDL AJAX DNS HTML SSL 10 LDAP STT Tên đầy đủ Dịch tiếng việt Hypertext Transfer Protocol Cascading Style Sheet Giao thức chuyển đổi ngôn ngữ siêu văn Tập tin định kiểu theo tầng Secure Layer Ngơn ngữ lập trình kịch Sockets Extensible Markup Language Cơ sở liệu Asynchronous JavaScript And XML Domain Name System HyperText Markup Language Secure Socket Layer Lightweight Directory Access Protocol Ngơn ngữ truy vấn có cấu trúc Bộ công cụ cho phép tăng ứng dụng web Hệ thống phân giải tên miền Ngôn ngữ đánh dấu siêu văn Tiêu chuẩn bảo mật Giao thức truy cập nhanh dịch vụ thư mục 72 - - Hình 3.15 DotDefender - DotDerfender ứng dụng web dựa phần mềm tường lửa - DotDerfender bổ sung chức tường lửa, IPS bảo mật khác - Kiểm tra lưu lượng HTTP/HTTPS - Ngăn cản công SQL Injection 73 3.2.8 Maxisploit scanner - SQL Injection quét trang web dễ bị tổn tương dựa lỗi SQL phổ biển cho nhiều hệ quản trị sở liệu, như: MySQL, SQL server, Microsoft Access - XSS scanner: Nó mã hóa XSS vector cố gắng quét kết nhận từ máy chủ web (web server) Nếu XSS vector tìm thấy bên mã nguồn trang web có lỗi Nó sử dụng yêu cầu GET đến web server - Admin scanner: Nó quét tới trang đăng nhập admin, dựa vào danh sách mặc định hay danh sách mà bạn cung cấp Nếu nhận hồi đáp với mã 200 306 xem xét thành cơng - Shared hosting scanner: Nó gửi yêu cầu tới sameip.org sau phân tích mã html cho trang - 74 - Hình 3.16 Maxisploit scanner - 75 3.2.9 IBM AppScan - - Hình 3.17 IBM AppScan - IBM Appscan ứng dụng bảo mật web, đánh giá lỗ hổng Ngăn ngừa công SQL Injection trang Web Quét phần mềm độc hại nhúng vào Lập lịch báo cáo Ngăn ngừa công: SQL-injection, cross-site scripting, buffer overflow, and flash/flex application and Web 2.0 scans 76 3.3 Biện pháp đối phó 3.3.1 Phịng chống cơng SQL Injection - - Hình 3.18 Phịng chống cơng SQL Injection 3.3.2 Phịng chống công Injection Flaws - Thực xác nhận liệu đầu vào - Sử dụng thư viện language-specific tránh vấn đề shell commands - Sử dụng API an tồn, tránh sử dụng trình thơng dịch hồn toàn - Sử dụng tham số truy vấn SQL - Các ký tự thoát 77 - Thực mã hóa liệu đầu vào - Yêu cầu cấu trúc cung cấp thông số liệu, khơng phải nội dung có khả thực thi - Sử dụng modul disassociation từ nhân 3.3.3 Phịng chống cơng DOS - - Hình 3.19 Phịng chống cơng DOS 3.3.4 Phịng chống cơng XSS - Xác nhận tất Header, Cookie, truy vấn chuỗi, biểu mẫu trường ẩn (tức tham số) số đặc điểm kĩ thuật nghiêm ngặt - Lọc kịch đầu ngăn chặn lỗ hổng XSS cách ngăn chặn chúng truyền cho người sử dụng - Mã hóa liệu đầu vào đầu ra, lọc kỹ tự nhập vào - Sử dụng tường lửa để ngăn chặn thực scrip độc hại - Đúng lúc tin tưởng trang web sử dung HTTPS nói đến XSS 78 - Chuyển đổi ký tự chữ số cho ký tự HTML trước hiển thị cho người sử dụng nhập vào cơng cụ tìm kiếm diễn đàn - Sử dụng công cụ kiểm tra mở rộng giai đoạn thiết kế để loại bỏ lỗ hổng XSS ứng dụng trước vào sử dụng - Phát triển số scrip chuẩn để chắn scrip giới thiệu thực xác nhận - 79 3.3.5 Phòng chống cơng dịch vụ WEB - - Hình 3.20 Phịng chống công dịch vụ WEB 80 3.3.6 Phương Pháp Bảo Vệ Ứng Dụng WEB - Chuyển hướng chuyển tiếp Lỗi xác thực quản lý phiên Tránh sử dụng chuyển hướng chuyển tiếp Sử dụng SSL cho tất phận ứng dụng Đảm bảo giá trị cung cấp hợp lệ ủy Kiểm tra tất định danh củ người dùng thông tin quyền cho người sử dụng lưu trữ hình thức hàm băm Mã hóa lưu trữ khơng an tồn Giả mạo yêu cầu Cross-Site Logoff sau sử dụng ứng dụng web xóa lịch sử Khơng cho phép trình duyệt bạn lưu thơng tin đăng nhập Khơng sủ dụng thuật tốn yếu Tạp mật mã gián truyền lưu trữ chúng cách an toàn Đảm bảo liệu mã hóa lưu trữ đĩa dễ dàng giải mã - 81 - Hình 3.21 Phương pháp bảo vệ ứng dụng WEB - 82  Security Misconfiguration Cấu hình tất chế bảo mật tắt tất dịch vụ khơng sử dụng Thiết lập vai trị, quyền, tài khoản vơ hiệu hóa tất tài khoản mặc định thay đổi mật mặc định Quét lỗ hổng bảo mật vá lỗi bảo mật  LDAP Injection Attacks Thực loại hình, mơ hình xác nhận giá trị miền cho tất giá trị nhập vào Thực lọc LDAP cụ thể tốt Xác nhận hạn chế lượng liệu trả cho người sử dụng Thực kiểm soát truy cập chặt chẽ Thực kiểm tra phân tích nguồn  File Injection Attack Xác nhận đầu vào người dùng khắt khe PHP: Disable allow_url_fopen and allow_url_include in php.ini PHP: Disable register_globals and use E_strict PHP: Đảm bảo tất tập tin chức (Stream _*) kiểm tra cẩn thận - 83  Bảo vệ lớp giao vận không đầy đủ Không yêu cầu SSL cho trang web nên chuyền hướng Thiết lập cờ an tồn cho tất cookie Cấu hình cung cấp SSL hỗ trợ thuật toán mạnh Đảm bảo giấy chứng nhận hợp lệ không hết hạn - Sử dụng cơng nghệ mã hóa khác  Vượt rào đường dẫn - Xác định quyền truy cập vào thư mục chứa Website Áp dụng kiểm tra/sửa chữa để ngăn chặn việc khai thác lỗ hổng - Các máy chủ web cập nhật vá lỗi bảo mật nhanh chóng  Cookie/nhiễm độc phiên Khơng lưu trữ mã hóa dạng text mật yếu Cookie Thực thời gian chờ Cookie Thông tin xác thực Cookie nên kết hợp với địa IP Hãy đăng xuất chức có sẵn 84 3.3.7 Làm để phịng tránh Tấn cơng dịch vụ Web - - Hình 3.22 Phịng tránh Tấn cơng dịch vụ Web - 85 KẾT LUẬN - Trên em phân tích thiết kế hệ thống quản lý trung tâm thẩm mỹ dựa theo mơ hình cho trung tâm vừa nhỏ Tuy nhiên đề tài khơng thể tránh khỏi số điểm hạn chế, tính áp dụng vào sở thực tiễn chưa cao q trình khảo sát nghiên cứu thực tế khơng đầy đủ Hướng phát triển chúng em tiếp tục mở rộng, nâng cao đề tài với ứng dụng quản lý kho hàng sản phẩm hay hệ thống thông tin khuyến mại áp dụng cho hóa đơn, phân loại khách hàng theo tiêu chí trung tâm, …vv Do thời gian thực đề tài hạn hẹp, kinh nghiệm khả em hạn chế nên khơng thể tránh khỏi thiếu sót, sai lầm Một lần xin chân thành cảm ơn dạy, hướng dẫn, góp ý thầy bạn cho đề tài suốt trình học tập vừa qua - Em mong thầy bạn đóng góp ý kiến nhiệt tình để em hồn thiện tốt chương trình - 86 TÀI LIỆU THAM KHẢO - Tiếng việt: - [ ] Nguyễn Văn Ba, Phân tích thiết kế hệ thống thơng tin quản lý, NXB – ĐHQG, 2002 - [ ] Lê Văn Phùng, Phân tích thiết kế hệ thống thơng tin, NXBLĐ – XH, 2004 - [ ] Thạc Bình Cường, Nguyễn Thị Tĩnh, Phân tích thiết kế hệ thống thông tin, NXBĐHSP, 2005 - [ ] Đào Thanh Tĩnh, Phân tích thiết kế hệ thống thông tin, NXBQĐND, 2004 - Nguồn tham khảo từ Internet: - [5] http://www.e-ptit.edu.vn/hoctap/hoclieu/PTTKHTTT.pdf - [6] http://www.slideshare.net/interboy9x/giao-trinh-phan-tich-thiet-ke-hethong - [7] http://uet.vnu.edu.vn/tltk/Learning/File_PDF/GiaoTrinh_PT_TKHT.pdf - ... CHƯƠNG NGHIÊN CỨU VỀ TẤN CÔNG ỨNG DỤNG WEB Khái niệm ứng dụng WEB 2.1.1 Thống kê bảo mật ứng dụng Web Hình 2.1: Thống kê bảo mật ứng dụng Web 2.1.2 Giới thiệu ứng dụng Web Ứng dụng WEB ứng dụng. ..  Nghiên cứu sâu dạng công vào web ứng dụng, nghiên cứu công nghệ kỹ thuật kẻ cơng sử dụng để cơng vào web ứng dụng Bên cạnh đồ án nghiên cứu đề xuất phương án, cơng nghệ, kỹ thuật để phịng chống. .. thơng tin dạng công hệ thống thông tin thơng dụng - Trình bày phương pháp phịng chống cơng Web ứng dụng LỜI CẢM ƠN Để hồn thành đồ án ? ?Nghiên cứu công Web ứng dụng phương pháp phòng chống? ??, trước