Nghiên cứu phát triển hệ thống bảo mật web Nghiên cứu phát triển hệ thống bảo mật web Nghiên cứu phát triển hệ thống bảo mật web luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
i L I CAM OAN Tôi xin cam đoan đơy lƠ cơng trình nghiên c u c a riêng tơi Các s li u, k t qu nêu Lu n v n lƠ trung th c vƠ ch a t ng đ c công b b t k cơng trình khác Tơi xin cam đoan r ng m i s đư đ giúp đ cho vi c th c hi n Lu n v n nƠy c c m n vƠ thơng tin trích d n Lu n v n đư đ c ch rõ ngu n g c H c viên th c hi n Lu n v n (Ký ghi rõ h tên) Tr n Thanh Phong ii L IC M N Trong su t trình h c t p q trình th c hi n đ tƠi, tơi đư đ h c h i đ c ch d n c r t nhi u ki n th c quý báu c ng nh nh ng kinh nghi m v nghiên c u khoa h c t th y cô, anh ch , b n bè đ ng nghi p Tr viên tr c h t, xin g i l i c m n sơu s c đ n th y TS L u Thanh TrƠ, gi ng ng đ i h c Bách Khoa TP.HCM, th y t n tình h ng d n, giúp đ tơi su t q trình th c hi n lu n v n Tôi c ng xin c m n quý th y cô c a tr ng i H c Cơng Ngh Thành Ph H Chí Minh đư t n tình gi ng d y, trang b cho nh ng ki n th c đáng giá nh ng n m h c v a qua Sau cùng, xin chân thành c m n gia đình, anh ch , b n bè vƠ đ ng nghi p đư ng h , giúp đ vƠ đ ng viên tơi su t q trình h c t p th c hi n lu n v n nƠy TPHCM, ngày tháng n m 2016 Tr n Thanh Phong iii TÓM T T Trong lu n v n này, t p trung nghiên c u phát tri n h th ng ng d ng t ng l a Modsecurity web T xơy d ng h th ng t server cho Tr ng Cao ng l a web ng Ngh Thành Ph H Chí Minh V lu n m th nghi m c a lu n v n, chúng tơi t p trung phơn tích, ng n ch n hai lo i t n công đ c h i: DDos SQL injection c a Tr ng Cao ng Ngh Thành Ph H Chí Minh iv ABSTRACT In this thesis, we focused on research and development system Modsecurity web application firewall From that building the web server firewall system for Ho Chi Minh City vocational college In the testbed of thesis, we go analyse, prevent two types of malicious attacks: DDoS and SQL injection for website of Ho Chi Minh City vocational college v M CL C L I CAM OAN i L I C M N ii TÓM T T iii ABSTRACT iv DANH M C CÁC HÌNH NH ix DANH M C CÁC B NG xi M U C S LÝ THUY T 1.1 V n B oM t ng D ng Web 1.2 Danh Sách R i Ro B o M t Cho Các 1.3 T n Công DDoS VƠ Ph ng D ng Web OWASP Top 10 ng Pháp Phòng Ch ng 1.3.1 Gi i Thi u 1.3.2 Chi n L c T n Công .8 1.3.3 Phân Lo i T n Công DDoS .9 1.3.4 Các Ph ng Pháp Phòng Ch ng 14 1.4 T n Cơng SQL Injection VƠ Ph ng Pháp Phịng Ch ng .14 1.4.1 Gi i Thi u 14 1.4.2 M t S Ki u T n Công SQL Injection 16 1.4.3 Ph ng Pháp Phòng Ch ng .19 MƠ HÌNH H TH NG B O V WEB SERVER NGH .20 2.1 T ng Quan 20 2.2 T ng L a 2.3 Các Lo i T ng D ng Web - Web Application Firewall 21 ng L a ng D ng Web B oV ng D ng Web 22 2.3.1 T ng l a ng d ng Allplicure DotDefender 22 2.3.2 T ng l a ng d ng Imperva SecureSphere 22 2.3.3 T ng l a ng d ng FortiWeb 22 2.3.4 T ng l a ng d ng Barracuda .23 2.3.5 T ng l a ng d ng Citrix 23 2.3.6 T ng l a ng d ng ModSecurity 23 2.3.7 T ng l a ng d ng WebKnight .23 2.3.8 T ng l a ng d ng Shadow Daemon 23 vi 2.4 T ng L a ng D ng Web - ModSecurity 25 2.4.1 Tính N ng C a ModSecurity 26 2.4.2 Ph ng Th c Ho t ng C a ModSecurity 27 2.4.3 Các Giai o n X Lý Trong ModSecurity .28 2.5 Mơ Hình Xu t 29 TRI N KHAI MƠ HÌNH H TH NG 32 3.1 CƠi t Ch ng Trình 32 3.2 T o Rule Trong ModSecurity VƠ Shell Script Ng n Ch n T n Công DDoS 37 3.2.1 T o Rule Trong ModSecurity Ng n Ch n DDoS 37 3.2.2 T o Shell Script system_status.sh 38 3.2.3 T o Shell Script add_ip.sh .38 3.3 T o Rule Cho ModSecurity Ng n Ch n T n Công SQL Injection 39 TH C NGHI M - ÁNH GIÁ H TH NG 40 4.1 Th c Nghi m T n Công VƠ Ng n Ch n DDoS .40 4.2 Th c Nghi m T n Công SQL Injection VƠ Ng n Ch n 47 K T LU N VÀ H NG PHÁT TRI N 58 TÀI LI U THAM KH O 59 vii DANH M C CÁC T Vi t t t VI T T T Ti ng Anh Ti ng Vi t Clients Máy tr m Server Máy ch Web Server Máy Ch Web Signature D u hi u t n công zombie Máy tính ma web browser Trình t web Firewall t Botnet m ng máy tính đ ng l a c t o l p t máy tính mà hacker Ph Get/post request ng th c truy n nh n d li u IDS/IPS intrusion detection H th ng phát hi n system /Intrusion ng n ch n xâm nh p Prevention System OWASP Open Web Application D án m v b o m t ng Security Project d ng web DMZ Demilitarized Zone Khu phi quân s HTML HyperText HTTP Markup Ngôn ng ánh d u Siêu Language v nb n HyperText Transfer Giao th c truy n t i siêu Protocol v nb n viii HTTPS Hypertext Transfer Giao th c truy n t i siêu Protocol Secure v n b n an toàn DoS Denial of Service T n công t ch i d ch v DDoS Distributed Denial of T n công t ch i d ch v Service SMTP TCP/IP Simple phân tán Mail Transfer giao th c truy n t i th tín Protocol đ n gi n Transmission Control B giao th c liên m ng Protocol/Internet Protocol ICMP Internet Control Message M t d ng giao th c m ng Protol UDP User Datagram Protocol M t d ng giao th c m ng ix DANH M C CÁC HÌNH NH Hình 1.1 Top 10 k thu t t n công n m 2014 vƠ 2015 [9] Hình 1.2 S đ phân lo i ki u t n công DDoS 10 Hình 1.3 Mơ hình t n công Agent-Handler [1] 11 Hình 1.4 Mơ hình t n cơng IRC-based [1] 11 Hình 1.5 Mơ hình t n cơng khu ch đ i [2] .12 Hình 1.6 T n cơng SYN ACK giao th c TCP [3] 13 Hình 2.1 T ng l a ng d ng Web (WAF) 21 Hình 2.2 Mơ hình h th ng WAF Tr Hình 4.1 H th ng Hình 4.2 Trang web ng Cao tr ng thái bình th tr ng thái bình th Hình 4.3 T p tin system_status.txt Hình 4.4 T p tin recentlist.txt ng Ngh Tp.HCM 30 ng 40 ng 41 tr ng thái bình th tr ng thái bình th Hình 4.5 T p tin suspiciouslist.txt Hình 4.6 T p tin whitelist.txt ng 41 tr ng thái bình th tr ng thái bình th Hình 4.7 T p tin blacklist.txt blocklist.txt ng 41 ng 41 ng 42 tr ng thái bình th ng 42 Hình 4.8 Giao di n HTTP Flooder 42 Hình 4.9 T p tin system_status.txt b t n công 43 Hình 4.10 T p tin recentlist.txt đ m s l ng k t n i b t n cơng .43 Hình 4.11 T p tin blocklist.txt b t n công .44 Hình 4.12 Khi b t n công truy c p vào web s b báo l i 44 Hình 4.13 T p tin suspiciouslist.txt đ m s k t n i l n h n 50 l n đ a vƠo blacklist.txt 44 Hình 4.14 Tr ng thái h th ng b t n cơng .44 Hình 4.15 T p tin blacklist.txt l u đ a ch có k t n i 50 l n b t n cơng 45 Hình 4.16 T p tin system_status.txt đ a ch máy b đ a vƠo blacklist.txt tr ng thái h th ng tr v 45 Hình 4.17 Các IP t p tin blocklist.txt b xóa tr ng thái h th ng tr v 45 Hình 4.18 Khi b t n cơng IP t p tin whitelist.txt truy c p web bình th ng 46 x Hình 4.19 Giao di n ph n m m Acunetix sau quét l i b o m t 47 Hình 4.20 Thông báo l i b o m t SQL Injection 47 Hình 4.21 Gõ l nh ki m tra c s d li u 48 Hình 4.22 Tên c s d li u có webserver 48 Hình 4.23 L nh hi n b ng c a c s d li u itcdn .48 Hình 4.24 Các b ng c a c s d li u itcdn .49 Hình 4.25 L nh hi n c t c a b ng d li u kcntt_users .49 Hình 4.26 Các c t c a b ng d li u kcntt_users .50 Hình 4.27 L nh l y d li u c t c a b ng d li u kcntt_users 50 Hình 4.28 D li u name, email, username password c a b ng d li u kcntt_users 51 Hình 4.29 Tên b ng c n l y d li u .51 Hình 4.30 L nh hi n th c t c a b ng kcntt_session .52 Hình 4.31 L nh hi n th c t c n l y d li u 52 Hình 4.32 Hi n th session_id c a admin 53 Hình 4.33 Thêm cơng c ch nh s a cookie 53 Hình 4.34 ng nh p quy n admin t i máy b t k 54 Hình 4.35 Copy session-id nh hình 4-32 b vào ph n Value 54 Hình 4.36 Truy c p vào trang qu n tr b ng session_id c a admin .55 Hình 4.37 Không th truy c p c s d li u có web server .56 Hình 4.38 Khơng cịn thơng báo l i b o m t SQL Injection 56 46 Hình 4.18 Khi b t n công IP t p tin whitelist.txt truy c p web bình th Nhi u k thu t công c t n công DDoS ph c t p đư đ ng c phát tri n, h tr đ c l c nh t cho t n công DDoS s phát tri n nhanh chóng c a k thu t lây nhi m ph n m m đ c h i, xây d ng h th ng m ng máy tính ma (zombie, botnets) Tin t c có th chi m quy n u n máy tính có k t n i Internet, u n m ng botnet v i hƠng tr m ngƠn máy tính đ th c hi n t n cơng DDoS H th ng phát hi n vƠ ng n ch n t n công DDoS bao g m: Mod Security, Shell Script, SNMP Mod Security có ch c n ng ki m tra gói tin GET/POST REQUEST g i t ng i dùng đ n máy ch d a đ c m c a m t s ki u t n cơng DDoS, Mod Security có th xác đ nh đơy lƠ d li u t n công yêu c u h p pháp ti n hành ch n ho c cho phép ng tr i dùng truy c p vào website Trong nhi u ng h p, Mod Security không nh n di n đ c ki u t n công trên, Shell Script s dùng SNMP đ truy xu t thông tin máy ch d a vào m c đ s d ng tài nguyên, Shell Script có th đ a d đốn máy ch có tình tr ng b t n cơng hay khơng đ ng th i có th h tr ModSecurity vi c ch n vƠ cho phép ng i dùng truy c p vào website Khi phát hi n máy ch b t n công, h th ng s n l c ng n ch n đ a ch IP không đáng tin truy c p vào máy ch Cùng lúc email đ qu n tr h th ng đ c nh báo cho ng c g i đ n ng i i qu n tr h tr vi c ng n c n cu c t n công DDoS u m c a h th ng d tri n khai, giá thành th p, t đ ng g i email nghi ng b t n cơng, có th b o v cho nhi u máy ch hi u qu cao Tuy nhiên, h th ng v n nh ng m h n ch Khi h th ng b t n công trang web truy c p ch m h n m c bình th c p ng tài nguyên h th ng s lý nhi u yêu c u truy 47 4.2 Th c Nghi m T n Công SQL Injection Và Ng n Ch n u tiên s d ng công c Acunetix Web Vulnerability Scanner đ quét l i b o m t c a trang web (hình 4.19 hình 4.20): Hình 4.19 Giao di n ph n m m Acunetix sau quét l i b o m t Hình 4.20 Thông báo l i b o m t SQL Injection 48 Sau s d ng Acunetix quét b o m t web phát hi n có l i SQL Injection, nhiên không hi n th chi ti t l i đ hi n l i SQL Injection ta s d ng công c SQLMAP đ quét (t hình 4.21 đ n hình 4.28): B c 1: hi n th c s d li u có webserver m cmd chuy n v th m c hi n hành C:\Users\peter\Desktop\sqlmapprojectsqlmap-3a94435> gõ l nh nh sau: Hình 4.21 Gõ l nh ki m tra c s d li u Hình 4.22 Tên c s d li u có webserver B c 2: hi n th danh sách b ng c a c s d li u itcdn Hình 4.23 L nh hi n b ng c a c s d li u itcdn 49 Hình 4.24 Các b ng c a c s d li u itcdn B c 3: hi n th danh sách c t c a b ng d li u kcntt_users Hình 4.25 L nh hi n c t c a b ng d li u kcntt_users 50 Hình 4.26 Các c t c a b ng d li u kcntt_users B c 4: th c hi n l y d li u c a c t b ng d li u kcntt_users Hình 4.27 L nh l y d li u c t c a b ng d li u kcntt_users 51 Hình 4.28 D li u name, email, username password c a b ng d li u kcntt_users Các b c cho th y vi c s d ng SQLMAP đ l y thông tin c a c s d li u web d dàng Tuy nhiên l y đ c thông tin c a quy n qu n tr web vi c gi i mã m t kh u s m t nhi u th i gian Vì v y có th s d ng session ID c a qu n tr web đ chi m quy n đ ng nh p tr c ti p vào trang qu n tr mà không c n user name vƠ password Các b Trong B c th c hi n nh sau: c (hình 4.23 vƠ hình 4.24) đư s d ng SQLMAP đ hi n th c s d li u web Chúng ta th c hi n thêm thao tác sau đ truy c p trang qu n tr b ng session ID (t hình 4.29 đ n hình 4.36) : Hình 4.29 Tên b ng c n l y d li u 52 Hình 4.30 L nh hi n th c t c a b ng kcntt_session Hình 4.31 L nh hi n th c t c n l y d li u 53 Hình 4.32 Hi n th session_id c a admin Hình 4.33 Thêm cơng c ch nh s a cookie 54 Hình 4.34 ng nh p quy n admin t i máy b t k Hình 4.35 Copy session-id nh hình 4-32 b vào ph n Value 55 Hình 4.36 Truy c p vào trang qu n tr b ng session_id c a admin Qua b c th y r ng vi c truy xu t vƠo c s d li u chi m quy n qu n tr web d dàng T l h ng cho phép nh ng k t n công l i d ng l h ng c s d li u c a trang web đ chi m quy n qu n tr web t lƠm thay đ i, xóa vƠ u n web theo h ng riêng Vi c chi m đ c quy n qu n tr web r t nguy hi m, v y vi c ng n ch n truy xu t vƠo c s d li u web r t quan tr ng đ i v i t t c trang web ng n ch n không cho truy xu t vƠo c s d li u hay t n công SQL Injection máy web serever kh i đ ng l i d ch v c a Modsecurity: ~# a2enmod security2 ~# service apache2 restart S d ng SQLMAP ki m tra website l i l h ng SQL Injection (hình 4.37 4.38) 56 Hình 4.37 Khơng th truy c p c s d li u có web server S d ng ph n m m Acunetix quét l i b o m t Hình 4.38 Khơng cịn thơng báo l i b o m t SQL Injection 57 Vi c s d ng hai ph n m m SQLMAP Acunetix quét l h ng ng d ng web, th y r ng ng d ng web mã ngu n m t n t i r t nhi u l h ng nghiêm tr ng ng d ng web ngày d n tr thành m c tiêu t n công ph bi n c a tin t c Nh ng k t n cơng có th d dàng t n d ng l h ng b o m t t ng đ i đ n gi n nh m chi m quy n truy c p vào ngu n thông tin nh y c m, bao g m thông tin cá nhơn ng i dùng, thông tin c a ng i qu n tr web T nh ng l h ng b o m t t n t i lu n v n đư k t h p ph n m m quét l h ng ModSecurity đ ng n ch n l i SQL Injection giúp cho d li u c a h th ng đ toàn s d ng mã ngu n m cho ng d ng web c an 58 K T LU N VÀ H NG PHÁT TRI N Theo m c tiêu đ t nghiên c u phát tri n h th ng b o m t web l a ch n đ n v th c nghi m lƠ tr hoƠn thƠnh đ ng Cao c m t s công vi c sau: Phân tích m t s ph - ng Ngh Thành Ph H Chí Minh Lu n v n đư ng th c t n cơng n hình vƠ ph ng pháp ng n ch n Nghiên c u phát tri n h th ng t - ModSecurity h th ng t Tìm hi u ph - th ng t ng l a ng d ng web l a ch n ng l a ng d ng web (WAF) ng th c t n công DDoS SQL Injection xây d ng h ng l a ng d ng web (WAF) có kh n ng phát hi n gi m thi u t n công web server tài t p trung xây d ng gi i pháp b o v h th ng thông tin web tr c hai lo i t n công ph bi n nguy hi m hi n DDoS SQL Injection Các gi i pháp th ng m i hi n v n giá thƠnh cao nên ch a phù h p v i nhi u doanh nghi p tƠi h ng đ n vi c phát tri n h th ng b o v mã ngu n m v i chi phí th p vƠ cho phép ng i qu n lý có th tr c ti p can thi p vào nhi u trình x lý b t n công Do t n công ngày r t đa d ng có nhi u bi n th th i gian ng n, gi i pháp mƠ đ tài nh m t i s cho phép ng i qu n lý phát hi n ch ng t n công nhanh h n Do ki n th c liên quan đ n b o m t, t n công web server r t l n thay đ i liên t c lu n v n không tránh kh i nhi u thi u sót Tuy nhiên, v i k t qu đ t đ c lu n v n đư góp ph n vào vi c nghiên c u phát tri n h th ng b o m t ng d ng Web c a tr H ng Cao ng Ngh Thành Ph H Chí Minh an tồn ng Phát Tri n: - Nghiên c u phát tri n tính n ng c a ModSecurity phát hi n ph n m m đ c h i n n web, Webshell/Backdoor Detection, quét virus cho t p tin đính kèm đ nâng cao kh n ng b o v c a h th ng, b o m t ng d ng web c a tr Cao ng Ngh Thành Ph H Chí Minh ng 59 TÀI LI U THAM KH O [1] Aniruddh R Ladole, D A Phalke ắA Survey on SQL Injection Attack Countermeasures Techniques” International Journal of Science and Research (IJSR) ISSN: 2319-7064 Index Copernicus Value (2013) [2] Ms Chandni M Patel, Asst Prof Viral H Borisagar ắSurvey On Taxonomy Of Ddos Attacks With Impact And Mitigation Techniques” International Journal of Engineering Research & Technology (IJERT) ISSN: 2278-0181 Vol Issue 9, November- 2012 [3] Rajkumar, ManishaJitendra Nene ắA Survey on Latest DoS Attacks: Classification and Defense Mechanisms” International Journal of Innovative Research in Computer and Communication Engineering ISO 3297: 2007 Certified Organization ISSN: 2320-9801 Vol 1, Issue 8, October 2013 [4] Vaishali Malekar, Prof J M.Waghmare ắWeb Application Firewall to Protect Against Web Application Vulnerabilities: A Survey and Comparison” Vaishali Malekar et al, ,Int.J.Computer Technology & Applications,Vol (1),141-144 ISSN:2229-6093 Các WEBSITE [5] Automatic SQL injection and database takeover tool, [Online] Available: http://sqlmap.org/ [Accessed May 2016] [6] Barracuda Application Firewall, [Online] Available: https://www.barracuda Com/products/webapplicationfirewall [Accessed September 2016] [7] DotDefender Web Application Firewall, [Online] Available: http://www applicure.Com/solutions/web-application-firewall [Accessed September 2016] [8] FortiWeb Web Application Firewall (WAF), [Online] Available: https://www fortinet.com /products/application-security/fortiweb.html [Accessed September 2016] 60 [9] Hackmageddon, ắ2015 Cyber Attacks Statistics” January 11, 2016, [Online] Available:http://www.hackmageddon.com/2016/01/11/2015-cyber-attacksstatistics/ [Accessed 15 September 2016] [10] ModSecurity Open Source Web Application Firewall, [Online] Available: https://modsecurity.org/about.html [Accessed June 2016] [11] NetScaler AppFirewall, [Online] Available: https://www.citrix.com/products /netscaler-appfirewall/ [Accessed September 2016] [12] OWASP Top Ten Attacks, [Online] Available: https://www.owasp.org/ index.php /Top_10_2013-Top_10 [Accessed 15 May 2016] [13] Securesphere Web Application Firewall, [Online] Available: https://www imperva.Com/Products/WebApplicationFirewall-WAF [Accessed September 2016] [14] Shadow Daemon Open Source Web Application Firewall, [Online] Available: https://shadowd.zecure.org/overview/introduction/ [Accessed 15 September 2016] [15] Simple Network Management Protocol (SNMP), [Online] Available: http://www.net-snmp.org/ [Accessed 15 September 2016] [16] Web Application Security with Acunetix Web Vulnerability Scanner, [Online] Available: https://www.acunetix.com/vulnerability-scanner/ [Accessed May 2016] [17] WebKnight Open Source Web Application Firewall, [Online] Available: https://www.aqtronix.com/?PageID=99 [Accessed 15 September 2016] [18] What is Cacti, [Online] Available: http://www.cacti.net/what_is_cacti.php [Accessed 15 May 2016] ... M c ích Nghiên C u - Lu n v n s nghiên c u t ng l a ng d ng web Modsecurity vƠ d a vƠo k thu t t n công web server ph bi n hi n nay, t xơy d ng h th ng t ng l a ng d ng Web có kh n ng phát hi... FortiWeb ng l a ng d ng web FortiWeb [8] b o m t web chuyên sâu, b o v m i đe d a ng d ng nhi u t ng FortiWeb Tích h p ng d ng web vƠ XML t ng l a b o v ng d ng ch y web m ng internet ph i đ... i ng d ng web T p trung phát tri n, xây d ng ng d ng web theo tiêu chu n Web 2.0 v i tiêu chí b o m t web c a OWASP Top Ten ModSecurity ph n m m ngu n m khơng tính phí, d s d ng phát tri n