Xây dựng giải pháp chống tấn công khai thác lỗ hổng cho các ứng dụng web Xây dựng giải pháp chống tấn công khai thác lỗ hổng cho các ứng dụng web Xây dựng giải pháp chống tấn công khai thác lỗ hổng cho các ứng dụng web luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
LỜI CAM ĐOAN Để hoàn thành luận văn thời gian quy định đáp ứng đƣợc yêu cầu đề ra, cố gắng nghiên cứu, học tập làm việc thời gian cho phép Tôi tham khảo số tài liệu nêu phần “Tài liệu tham khảo” không chép nội dung từ luận văn hay công trình nghiên cứu khác Tơi xin cam đoan lời khai đúng, thông tin sai lệch tơi xin hồn tồn chịu trách nhiệm trƣớc Hội đồng Hà Nội, ngày 28 tháng năm 2016 Ngƣời cam đoan Nguyễn Thanh Long ii MỤC LỤC TRANG BÌA PHỤ LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC HÌNH VẼ v DANH MỤC CÁC TỪ VIẾT TẮT .vii MỞ ĐẨU viii CHƢƠNG – CÁC KỸ THUẬT KHAI THÁC LỖ HỔNG BẢO MẬT ỨNG DỤNG WEB 1.1 Tổng quan nguy cơ, rủi ro tác động công 1.1.1 Khái niệm ứng dụng web 1.1.2 Vấn đề bảo mật ứng dụng web .2 1.1.3 Danh sách rủi ro bảo mật cho ứng dụng web OWASP Top 10 1.2 Các kỹ thuật công phổ biến .4 1.3 Các kỹ thuật để phát ngăn chặn công 1.3.1 Sự phát triển nhận dạng công ứng dụng web 1.3.2 Các phƣơng pháp nhận dạng công ứng dụng web .7 CHƢƠNG – XÂY DỰNG GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG KHAI THÁC LỖ HỔNG BẢO MẬT ỨNG DỤNG WEB 11 2.1 Tổng quan mơ hình chức WAF 11 2.1.1 Tổng quan WAF 11 2.1.2 Các mơ hình triển khai WAF 18 2.1.3 Các phiên mã WAF mã nguồn mở phổ biến 20 2.2 Module Modsecurity để phát ngăn chặn 21 2.2.1 Giới thiệu ModSecurity .21 2.2.2 Các mơ hình triển khai ModSecurity .24 2.2.3 Core Rule Set (CRS) 25 iii 2.3 Module quản trị hệ thống 31 2.3.1 Mô tả yêu cầu 31 2.3.2 Mô hình thiết kế .32 2.3.3 Mô tả chức 32 CHƢƠNG – TRIỂN KHAI VÀ THỬ NGHİỆM GIẢI PHÁP 35 3.1 Mơ hình triển khai giải pháp 35 3.1.1 Mơ hình thành phần giải pháp 35 3.1.2 Các bƣớc cài đặt .36 3.2 Mẫu liệu phƣơng án thử nghiệm 37 3.2.1 Phƣơng án thử nghiệm 37 3.2.2 Website chứa lỗ hổng bảo mật (DVWA) 39 3.2.3 Phần mềm quét lỗ hổng bảo mật Acunetix 42 3.3 Kết thử nghiệm .44 3.3.1 Kết quét lỗi chƣa dùng WAF 44 3.3.2 Kết triển khai WAF bảo vệ .45 KẾT LUẬN VÀ KIẾN NGHỊ 50 TÀI LIỆU THAM KHẢO 51 PHỤ LỤC 52 iv DANH MỤC HÌNH VẼ Hình 1.1: Mơ hình hoạt động ứng dụng web Hình 1.2: Mơ hình chi tiết hoạt động ứng dụng web Hình 1.3: Các kỹ thuật nhận dạng công ứng dụng web Hình 2.1: Mơ hình network-based WAF 12 Hình 2.2: Mơ hình host-based WAF 12 Hình 2.3: Mơ hình quan hệ sản phấm WAF 13 Hình 2.4: Mơ hình triển khai Reverse Proxy 18 Hình 2.5: Mơ hình triển khai Out – of – band 19 Hình 2.6: Mơ hình triển khai Embedded-mode 19 Hình 2.7: Mơ hình triển khai Internet Host/Cloud 20 Hình 2.8: Apache Request Cycle 23 Hình 2.9: Triển khai ModSecurity dạng Reverse Proxy 25 Hình 2.10: Sơ đồ xử lý chức cấu hình 33 Hình 2.11: Sơ đồ xử lý chức giám sát 33 Hình 3.1: Mơ hình triển khai giải pháp WAF 35 Hình 3.2: Mơ hình xử lý request từ ngƣời dùng giải pháp WAF 36 Hình 3.3: Mơ hình triển khai thử nghiệm giải pháp WAF 38 Hình 3.4: Ví dụ khai thác lỗi SQL Injection 40 Hình 3.5: Ví dụ khai thác lỗi XSS 40 Hình 3.6: Ví dụ khai thác lỗi Command Injection 41 Hình 3.7: Ví dụ khai thác lỗi File Include 41 Hình 3.8: Kết quét lỗi từ Acunetix website chƣa đƣợc bảo vệ 45 Hình 3.9: Kết quét lỗi từ Acunetix website đƣợc bảo vệ 46 Hình 3.10: Request công bị hệ thống WAF ngăn chặn 46 Hình 3.11: Thơng tin request công bị chặn log 47 v Hình 3.12: Thơng tin request công trang quản trị 47 Hình 3.12: Thơng tin chi tiết request công trang quản trị 47 Hình 3.13: Chức báo cáo request cơng 48 Hình 3.14: Chức báo cáo thông kê 48 Hình 3.15: Chức báo cáo thông kê thoại loại công 49 Hình 3.16: Chức báo cáo số lƣợng request công 49 vi DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt HTTP Hypertext Transfer Protocol HIDS Host-based intrusion Hệ thống phát xâm nhập detection system NIDS IDS WAF OWASP máy chủ Network intrusion detection Hệ thống phát xâm nhập system mạng Intrusion detection system Hệ thống phát xâm nhập Web application firewall Tƣờng lửa ứn dụng web Open Web Application Dự án mở bảo mật ứng dụng Security Project DVWA Giao thức truyền tải siêu văn Web Damn Vulnerable Website Ứng dụng web chứa lỗ hổng Application bảo mật vii MỞ ĐẨU Lý chọn đề tài Trong năm vừa qua, tình hình an ninh mạng quốc tế nƣớc có nhiều biến động Cùng với gia tăng hình thức tội phạm mới, giới có nhiều cơng trình nghiên cứu có tính ứng dụng cao, đƣợc áp dụng quy mô rộng lớn nhằm chống lại tội phạm trực tuyến Ở Việt Nam, tình hình an ninh mạng có nhiều diễn biến phức tạp Trong nƣớc ngày xuất hàng loạt cơng có chủ đích nhằm vào số quan quan trọng, hàng loạt đối tƣợng bị bắt giữ tội làm giả thẻ ATM, cơng từ chối dịch vụ…Ngồi có xuất nhiều loại mã độc ngày tinh vi nguy hiểm Tất hình thức tội phạm gia tăng gây tổn thất khơng nhỏ mặt tài uy tín cho tổ chức, doanh nghiệp Hình thức cơng cơng khai thác lỗ hổng web hình thức công phổ biến ngày tăng mạnh Internet Từ lỗ hổng khai thác đƣợc, kẻ cơng khai thác đƣợc liệu hệ thống chí leo thang chiếm quyền điều khiển Một website tổ chức đƣợc đƣa lên internet ln trở thành mục tiêu kẻ công nhắm tới Các website mắc lỗi trở thành cửa ngõ cho kẻ công xâm nhập vào hệ thống tổ chức Vì vậy, luận văn nghiên cứu kỹ thuật khai thác lỗ hổng website phổ biến giải pháp phòng chống, cụ thể hóa nghiên cứu vào ứng dụng cụ thể thử nghiệm thực tế Lịch sử nghiên cứu Năm 2009, tác giả Jim Beechey SANS Technologhy Institute công bố báo cáo “Web Application Firewalls: Defense in Depth for Your Web Infrastructure” giải pháp triển khai tƣờng lửa ứng dụng web để bảo vệ website Năm 2012, tác giả Ivan Ristic, thuộc công ty Qualys, công bố báo cáo “ProtocolLevel Evasion of Web Application Firewalls” việc xây dựng giải pháp tƣờng lửa ứng dụng web dùng Apache – ModSecuriy để đảo bảo yêu cầu theo chuẩn PCI Năm 2016, tác giả Vladimir Ivanov công bố nghiên cứu “Web Application Firewalls: Attacking detection logic mechanisms” kỹ thuật ngăn chặn waf, kỹ thuật kẻ công dùng để vƣợt qua hội thảo Black hat USA 2016 viii Mục đích nghiên cứu - Nghiên cứu giải pháp nhận dạng, ngăn chặn công ứng dụng web - Nghiên cứu giải pháp tƣởng lửa cho ứng dụng web (WAF) - Nghiên cứu giải pháp waf sử dụng ModSecurity kết hợp tập luật CoreRuleSet - Xây dựng giải pháp tƣờng lửa chống công khai thác lỗ hổng bảo mật ứng dụng web dùng Apache – ModSecurity, kết hợp hệ thống quản trị, theo dõi tập trung Đối tƣợng phạm vi nghiên cứu - Tìm hiểu lỗ hổng bảo mật ứng dụng WAF - Nghiên cứu lý thuyết mơ hình triển khai hệ thống WAFs - Tìm hiểu mơ hình nhận dạng cơng ứng dụng web Tóm tắt luận văn Tồn nội dung Luận văn đƣợc chia thành 03 chƣơng nhƣ sau: Chƣơng 1: Các kỹ thuật khai thác lỗ hổng bảo mật ứng dụng web Chƣơng 2: Xây dựng giải pháp phát ngăn chặn công thác lỗ hổng bảo mật ứng dụng web Chƣơng 3: Triển khai thử nghiệm giải pháp Phƣơng pháp nghiên cứu - Sử dụng thông tin, tài liệu trang web OWASP (Open Web Application Security Project) để nghiên cứu lý thuyết mơ hình triển khai hệ thống WAFs - Sử dụng tài liệu “Modsecurity Handbook complete guide to securing your Web applications” Ivan Ristic để nghiên cứu ModSecurity - Xây dựng giải pháp WAF thử nghiệm ix CHƢƠNG – CÁC KỸ THUẬT KHAI THÁC LỖ HỔNG BẢO MẬT ỨNG DỤNG WEB 1.1 Tổng quan nguy cơ, rủi ro tác động công 1.1.1 Khái niệm ứng dụng web Các ứng dụng web chƣơng trình cho phép ngƣời truy cập website để chuyển lên lấy liệu sở liệu thơng qua Internet cách sử dụng trình duyệt web Dữ liệu sau đƣợc hiển thị trình duyệt ngƣời dùng, thơng tin đƣợc tạo tự động (theo định dạng cụ thể, ví dụ nhƣ HTML cách sử dụng CSS) ứng dụng web thông qua máy chủ web Nếu tìm hiểu chi tiết kỹ thuật ứng dụng Web truy vấn máy chủ liệu tự động tạo liệu website để hiển thị cho ngƣời dùng Các liệu Web đƣợc tự động tạo theo định dạng chuẩn đƣợc hỗ trợ trình duyệt khác Các trình duyệt web giữ vai trị then chốt vừa diễn dịch, thực thi tất Script hiển thị nội dung trang web Mô hình hoạt động ứng dụng web Thơng thƣờng mơ hình ứng dụng web theo mơ hình 03 lớp Lớp trình duyệt web giao diện ngƣời dùng dạng Winform, lớp thứ hai công cụ sử dụng công nghệ tạo nội dung động nhƣ Java servlets (JSP) Active Server Pages (ASP), lớp thứ ba sở liệu có chứa nội dung (nhƣ tin tức, sản phẩm) liệu khách hàng (ví dụ nhƣ tên ngƣời dùng, thơng tin cá nhân, ) Hình 1.1: Mơ hình hoạt động ứng dụng web Hình 1.2 (bên dƣới) thể chi tiết trình từ lúc yêu cầu ban đầu đƣợc kích hoạt ngƣời sử dụng thơng qua trình duyệt Internet cho máy chủ ứng dụng web, ứng dụng web truy xuất đến máy chủ sở liệu để thực nhiệm vụ đƣợc yêu cầu nhƣ: thêm mới, cập nhật, lấy thông tin sở liệu Các ứng dụng web sau chuyển thơng tin đến trình duyệt web để cung cấp cho ngƣời dùng Hình 1.2: Mơ hình chi tiết hoạt động ứng dụng web 1.1.2 Vấn đề bảo mật ứng dụng web Khi công nghệ đƣợc phát triển ứng dụng mạnh mẽ nhƣ ứng dụng web nay, theo khách quan với điều hàng loạt lỗ hổng bảo mật đời Đa số công nghiêm trọng vào ứng dụng web làm lộ thông tin, liệu nhạy cảm truy cập không hạn chế với hệ thống mà ứng dụng hoạt động Vấn đề cốt lõi bảo mật ứng dụng web liên quan đến việc ngƣời dùng nhập, tùy biến liệu đầu vào Các ứng dụng web nhƣ ứng dụng phân tán khác phải đối mặt với vấn đề cần phải giải tốt kết nối từ phía ngƣời dùng thƣờng ngồi tầm kiểm sốt ứng dụng Kẻ công 192.168.44.1 www.victim.com 192.168.44.132 WAF Node 192.168.44.133 WAF Portal 192.168.44.130 Hình 3.3: Mơ hình triển khai thử nghiệm giải pháp WAF Các thành phần mơ hình: - Website cần bảo vệ www.victim.com: o Địa IP: 192.168.44.132 o Sử dụng website chứa lỗi bảo mật Damn Vulnerable Web App (DVWA) - Kẻ công: o Địa IP: 192.16.44.1 o Kẻ công đứng từ ngồi gửi request cơng, tìm cách khai thác lỗ hổng ứng dụng website victim.com o Kẻ công dùng phần mềm chuyên dụng để quét lỗi bảo mật wesite Acunetix - WAF Node: địa IP 192.168.44.133 - WAF Portal: địa IP 192.168.44.130 Thực cấu hình cho hệ thống: - Cấu hình file host máy cơng để trỏ địa website victim.com IP server web 192.168.44.132 (trƣờng hợp truy vấn trực tiếp) WAF Node 192.168.44.133 (trƣờng hợp truy vấn website qua hệ thống WAF) 38 - Trên trang quản trị, thực cấu hình thêm website victim.com vào cho WAF Node bảo vệ Thơng tin cấu hình gồm địa IP port website victim.com 192.168.44.132:80 Sau kiểm tra thấy request hợp lệ, WAF Node chuyển tiếp request tới địa 192.168.44.132:80 cho website xử lý Kịch thử nghiệm giải pháp: - Bƣớc 1: Kẻ công thực truy vấn trực tiếp tới website victim.com o Cấu hình file host máy Kẻ công o Thực quét lỗ hổng website phần mềm Acunetix o Lƣu lại kết xác nhận lỗ hổng phát đƣợc - Bƣớc 2: Kẻ công thực truy vấn tới website victim.com có hệ thống WAF bảo vệ o Cấu hình lại file host máy kẻ công để request qua hệ thống WAF o Thực cấu hình, chỉnh sửa tập luật chặn lọc request cho WAF Node o Thực quét lỗ hổng website phần mềm Acunetix o Xem kết quét lỗ hổng, thực chỉnh sửa luật cần thực quét lại lỗ hổng Acunetix o Lƣu lại kết quét lỗ hổng so sánh trƣờng hợp 3.2.2 Website chứa lỗ hổng bảo mật (DVWA) Tên đầy đủ Damn Vulnerable Web App (DVWA) ứng dụng website mã nguồn mở, viết PHP dùng MySQL cho xử lý sở liệu Website thƣờng đƣợc dùng mô phỏng, thực hành lỗi bảo mật ứng dụng website nhƣ để chuyên gia thực thử nghiệm công cụ quét lỗ hổng giải pháp bảo vệ ứng dụng web Các lỗ hổng DVWA lỗ hổng thƣờng gặp ứng dụng web, có độ nguy hiểm cao Ví dụ lỗi website: - SQL Injection: dạng Blind Error – Base Lỗ hổng cho phép kẻ cơng chèn câu truy vấn liệu trái phép 39 Hình 3.4: Ví dụ khai thác lỗi SQL Injection - XSS: dạng Reflected Stored Kẻ cơng chèn đoạn mã Javascript, VB Script để thực thi máy ngƣời dùng khác Hình 3.5: Ví dụ khai thác lỗi XSS - Command Injection: lỗi thuộc nhóm liệu đầu vào từ ngƣời dùng Kẻ cơng chèn trái phép câu lệnh thực thi cho hệ điều hành 40 Hình 3.6: Ví dụ khai thác lỗi Command Injection - File Include: kẻ cơng gọi tới file khác hệ thống, gọi tới file khác hệ thống để thực thi trực tiếp website Hình 3.7: Ví dụ khai thác lỗi File Include Ngồi cịn có số lỗ hổng khác nhƣ: - Lỗ hổng Upload file: kẻ cơng upload file với định dạng trái phép lên máy chủ web - CSRF: lỗi công mƣợn quyền Kẻ cơng tạo kịch lừa đảo để mƣợn quyền khác thực thi chức ứng dụng web - Bruteforce: lỗi cho phép kẻ cơng thực công vét cạn thông tin nhạy cảm nhƣ mật khẩu, mã PIN,… 41 - Lỗi Captcha: lỗi triển khai mơ hình captcha lỗi, bị kẻ công vƣợt qua chế kiểm tra 3.2.3 Phần mềm quét lỗ hổng bảo mật Acunetix Tên đầy đủ Acunetix WVS (Web Vulnerability Scanner) chƣơng trình tự động để quét lỗ hổng ứng dụng web Chƣơng trình phát tới 500 loại lỗi bảo mật khác Trong đó, Acunetix bật với tập liệu thử nghiệm đa dạng linh hoạt để phát nhiều trƣờng hợp lỗi khác Bên cạnh đó, Acunetix cịn qt lỗi bảo mật Webserver nhƣ Apache, IIS Hãng đƣa vào sản phẩm tính tiên tiến độc nhƣ: - Khả rà soát chuyên sâu lỗ hổng website: SQL Injection XSS - Công nghệ tiên tiến AcuSensor giúp giảm thiểu phát sai - Khả quét AJAX Web 2.0 - Tự động nhận diện nhập thông tin vào Form Web - Chức tự động đăng nhập để kiểm tra website có yêu cầu tài khoản - Hỗ trợ Google Hacking Database (GHDB) Bộ liệu lỗ hổng Acunetix WVS đƣợc cập nhật thƣờng xuyên, với thuật toán heuristic đáp ứng đƣợc chế họat động phức tạp môi trƣờng Web, để thực đƣợc điều Acunetix WVS dựa nhiều phƣơng pháp công cụ tích hợp để: - Crawling (lấy về) tồn website gồm tất liên kết site tập tin robots.txt sau hiển thị tịan cấu trúc cách chi tiết - Sau tiến trình cwarling khám phá tình trạng ứng dụng web, Acunetix WVS tự động phát động đợt cơng đƣợc lập trình sẳn dựa lổ hổng, giống nhƣ web site bị hacker cơng thực sự, phân tích trang vị trí nhập liệu với kết hợp khác liệu đầu vào làm cho website hiển thị thông tin nhạy cảm - Sau tìm đƣợc lổ hổng, Acunetix WVS thông báo “Alerts Node”, alert gồm thông tin lỗi nhƣ mối nguy hiểm gặp phải “dĩ nhiên” kèm theo khuyến nghị cách thức khắc phục Sau quét, Acunetix WVS liệt kê cấu trúc site, phiên webserver sử dụng, URL không tồn tại, lỗi phát đƣợc nhƣ mức độ Security 42 site quét Chƣơng trình cảnh báo lỗ hổng tìm đƣợc dƣới mức khác (low, medium, high) đồng thời đề giải pháp cho quản trị khắc phục cố cách Một số lổ hổng bảo mật đƣợc kiểm tra Acunetix WVS đƣợc giới thiệu trang chủ: http://www.acunetix.com – Code Execution – Directory Traversal – File Inclusion – Script Source Code Disclosure – CRLF Injection – Cross Frame Scripting (XFS) – PHP Code Injection – XPath Injection – Full Path Disclosure – LDAP Injection – Cookie Manipulation – MultiRequest Parameter Manipulation – Blind SQL/XPath Injection – File Checks – Checks Backup Files hay Directories – Cross Site Scripting URL – Checks Script Errors – Directory Checks – Discover Sensitive Files/Directories – Cross Site Scripting Path and PHPSESSID Session Fixation – Web Applications – Text Search – Directory Listings – Source Code Disclosure – Microsoft Office Possible Sensitive Information – Local Path Disclosure – Error Messages 43 – GHDB Google Hacking Database – Over 1200 GHDB Search Entries in the Database 3.3 Kết thử nghiệm 3.3.1 Kết quét lỗi chƣa dùng WAF Khi website victim.com chƣa đƣợc bảo vệ giải pháp WAF, từ ngƣời dùng sử dụng phần mềm quét lỗi Acunetix phát thấy website có 18 lỗi nguy hiểm nhƣ: - Lỗi SQL Injection: có lỗi, bao gồm lỗi Blind SQL Injection lỗi Error Based SQL Injection - Lỗi XSS: có lỗi, có lỗi Reflected XSS, lỗi Stored XSS - Lỗi Command Code Execution (lỗi ngƣời dùng thực thi lệnh điều hành): lỗi - Lỗi Path Traversal (lỗi ngƣời dùng thực truy cập, gọi trái phép tới file khác máy chủ web): lỗi - Lỗi cấu hình hệ thống: lỗi Ngoài ra, kết quét Acunetix cịn thơng báo nhiều lỗi mức trung bình khác 44 Hình 3.8: Kết quét lỗi từ Acunetix website chƣa đƣợc bảo vệ Từ kết cho thấy, website lộ nhiều lỗ hổng cho kẻ cơng từ bên ngồi khai thác vào hệ thống từ nhiều hƣớng khác 3.3.2 Kết triển khai WAF bảo vệ Sau đƣợc bảo vệ giải pháp WAF, lỗ hổng bảo mật nghiêm trọng website khơng cịn bị phần mềm Acunetix phát Trong kết quét lỗi Acunetix có báo lỗi mức cao, nhiên lỗi thuộc cấu hình hệ thống, đƣợc khắc phục qua cách cấu hình hệ thống, cập nhật phiên Các lỗi không thuộc lỗ hổng bảo mật lập trình nên không thuộc phạm vi cần chặn lọc đợt thử nghiệm 45 Hình 3.9: Kết quét lỗi từ Acunetix website đƣợc bảo vệ Sau triển khai giải pháp WAF bảo vệ, kẻ cơng thực tìm kiếm lỗ hổng bảo mật website cách chèn đoạn mã công bị WAF phát ngăn chặn Ví dụ kẻ công thử chèn đoạn mã khai thác để khai thác lỗi XSS website kết nhƣ sau: - Trên website victim.com trả lại mã thông báo 403, báo yêu cầu ngƣời dùng khơng hợp lệ, bị chặn lại Hình 3.10: Request công bị hệ thống WAF ngăn chặn 46 - Trong log ModSecurity ghi lại thông tin yêu cầu ngƣời dùng bị chặn Hình 3.11: Thơng tin request cơng bị chặn log - Trên trang quản trị xem thấy thông tin request cơng vừa bị chặn Hình 3.12: Thơng tin request công trang quản trị - Thông tin chi tiết request bị chặn xem lại đƣợc trang quản trị nhƣ sau: Hình 3.12: Thông tin chi tiết request công trang quản trị 47 Các liệu khác đƣợc xem website quản trị nhƣ sau: - Log request cơng gần Hình 3.13: Chức báo cáo request công - Báo cáo liệu công theo địa IP kẻ cơng, theo website bị cơng Hình 3.14: Chức báo cáo thơng kê 48 - Báo cáo theo nhóm đối tƣợng lỗi bị khai thác: Hình 3.15: Chức báo cáo thông kê thoại loại công - Dữ liệu log access, log error ghi nhận đƣợc web server apache Số lƣợng log error thể thơng tin có request cơng bị ModSecurity thực chặn Hình 3.16: Chức báo cáo số lƣợng request công 49 KẾT LUẬN VÀ KIẾN NGHỊ Kết đạt đƣợc Quá trình nghiên cứu xây dựng giải pháp chống công khai thác lỗ hổng cho ứng dụng website hoàn thành đƣợc số công việc sau: - Nghiên cứu tổng quan bảo mật cho website - Nghiên cứu giải pháp nhận dạng, ngăn chặn công ứng dụng web - Nghiên cứu giải pháp tƣởng lửa cho ứng dụng web (WAF) - Nghiên cứu giải pháp waf sử dụng ModSecurity kết hợp tập luật CoreRuleSet - Xây dựng module client chạy máy chủ cài WAF, module website quản trị phục vụ cho cấu hình WAF, theo dõi công - Triển khai thử nghiệm giải pháp Do kiến thức liên quan đến bảo mật, công ứng dụng web lớn thay đổi liên tục luận văn không tránh khỏi nhiều thiếu sót Tuy nhiên, với kết đạt đƣợc luận văn góp phần vào việc nghiên cứu sản phẩm liên quan đến bảo mật ứng dụng web Hƣớng phát triển - Bổ sung giải pháp lƣu chứng thƣ số website lên máy chủ WAF để thực bảo vệ cho website sử dụng https - Xây dựng giải pháp WAF dùng ModSecurity theo hƣớng cloud Sẽ có Load Balancing đứng trƣớc nhóm máy chủ cài WAF Nhóm máy chủ cài WAF có nhiệm vụ bảo vệ cho website phía sau Khi số lƣợng website cần bảo vệ tăng cần tăng tài nguyên cho cụm máy chủ cài WAF - Tích hợp giải pháp chống cơng DDOS lớp lên máy chủ cài WAF Nhƣ tạo thành giải pháp tổng thể, trọn gói để bảo đảm an toàn cho website 50 Tài liệu tham khảo TÀI LIỆU THAM KHẢO Jim Beechey (2009), Web Application Firewalls: Defense in Depth for Your Web Infrastructure, SANS Technologhy Institute Andrew Muller, Matteo Meucci (2013), “OWASP Testing Guide v4”, Open Web Application Security Project Ivan Ristic (2013), ModSecurity Handbook, The Complete Guide to the Popular Open Source Web Application Firewall, Feisty Duck Vladimir Ivanov (2016), Web Application Firewalls: Attacking detection logic mechanisms, Black hat 2016 Harold F Tipton and Micki Krause Information Security Management Handbook, Sixth Edition, Volume Ivan Ristic (2012), Protocol-Level Evasion of Web Application Firewalls, Qualys Issac Museong Kim (2011), Using Web Application Firewall to detect and block common web application attacks, SANS Institude OWASP, OWASP ModSecurity Core Rule Set Project, https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_R ule_Set_Project Information Technology Promotion Agency (2011), A Handbook to Understand Web Application Firewall, Japan (IPA) 10 Robertson, W K., Vigna, G., Krügel C & Kemmerer, R A (2006), Using Generalization and Characterization Techniques in the Anomaly-based Detection of Web Attacks, NDSS: The Internet Society ISBN: 1-891562-215 11 Jason Pabal (2015), Waf application firewall, SANS Institude 51 Phụ lục PHỤ LỤC Hƣớng dẫn cài đặt Apache – ModSecurity Cài đặt ModSecurity - Cài đặt gói phụ thuộc: #sudo yum install pcre-devel openssl-devel gcc -y - Cài đặt Apache server: #tar –zxvf httpd-2.4.17.tar.gz #tar –zxvf apr-1.5.2.tar.gz #tar –zxvf apr-util-1.5.4.tar.gz #cp –r apr-1.5.2 httpd-2.4.17/srclib/apr #cp –r apr-util-1.5.4 httpd-2.4.17/srclib/apr-util #cd httpd-2.4.17 #./configure enable-ssl enable-so with-included-apr with-mpm=event #make #make install #groupadd www #useradd -G www -r apache #chown -R apache:www /usr/local/apache2 # mkdir /usr/local/apache2/conf/sites-enabled Cấu hình dịch vụ httpd đƣợc đặt file cấu hình tại: /usr/local/apache2/conf/httpd.conf File cấu hình đƣợc đẩy xuống từ phía portal server File thực thi httpd: /usr/local/apache2/bin/apachectl - Cài đặt Modsecurity cho Apache: #sudo yum install automake libtool libxml2-devel unzip -y #tar -zxvf modsecurity-2.9.0.tar.gz #cd modsecurity-2.9.0 #./autogen.sh #./configure with-apxs=/usr/local/apache2/bin/apxs withapr=/usr/local/apache2/bin/apr-1-config with-apu=/usr/local/apache2/bin/apu-1-config #make #make install #cp /usr/local/modsecurity/lib/mod_security2.so /usr/local/apache2/modules 52 ... 1: Các kỹ thuật khai thác lỗ hổng bảo mật ứng dụng web Chƣơng 2: Xây dựng giải pháp phát ngăn chặn công thác lỗ hổng bảo mật ứng dụng web Chƣơng 3: Triển khai thử nghiệm giải pháp Phƣơng pháp. .. chặn công 1.3.1 Sự phát triển nhận dạng công ứng dụng web 1.3.2 Các phƣơng pháp nhận dạng công ứng dụng web .7 CHƢƠNG – XÂY DỰNG GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TẤN CÔNG KHAI THÁC LỖ HỔNG... mật ứng dụng website nhƣ để chuyên gia thực thử nghiệm công cụ quét lỗ hổng giải pháp bảo vệ ứng dụng web Các lỗ hổng DVWA lỗ hổng thƣờng gặp ứng dụng web, có độ nguy hiểm cao Ví dụ lỗi website: