Trong bài viết này các tác giả đề xuất các nghiên cứu tổng quan tình hình an ninh trên website, nghiên cứu một số các lỗ hổng bảo mật web, một số kiểu tấn công phổ biến và cách khắc phục những lỗi này. Dựa trên các nghiên cứu tổng quan, triển khai các phương pháp đảm bảo an ninh Web và áp dụng hàm băm, thuật toán đối sánh chuỗi, cùng với thuật toán cải tiến Rabin Fingerprint để xây dựng một hệ thống giám sát Website nhằm giám sát các thay đổi nội dung các trang web.
ISSN 2354-0575 NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT WEBSITE Trần Đỗ Thu Hà, Nguyễn Vinh Quy Trường Đại học Sư phạm Kỹ thuật Hưng Yên Ngày tòa soạn nhận báo: 12/03/2020 Ngày phản biện đánh giá sửa chữa: 08/05/2020 Ngày báo duyệt đăng: 22/05/2020 Tóm tắt: Các hình thức cơng web ngày đa dạng thâm hiểm, đòi hỏi Website cần phải phát sớm cơng nhằm tìm biện pháp khắc phục Trong báo đề xuất nghiên cứu tổng quan tình hình an ninh website, nghiên cứu số lỗ hổng bảo mật web, số kiểu công phổ biến cách khắc phục lỗi Dựa nghiên cứu tổng quan, triển khai phương pháp đảm bảo an ninh Web áp dụng hàm băm, thuật toán đối sánh chuỗi, với thuật toán cải tiến Rabin Fingerprint để xây dựng hệ thống giám sát Website nhằm giám sát thay đổi nội dung trang web Từ khố: Thơng tin sưu tầm, phân tích thơng tin, đánh giá thơng tin Đặt vấn đề Sự đời Internet với phát triển ngày mạnh mẽ mang lại cho người nói chung doanh nghiệp nói riêng nhiều tiện ích Các hoạt động giao dịch trực tuyến thương mại điện tử hay toán online ngày phổ biến thực thông qua ứng dụng Web Ở đâu, máy tính có nối mạng Internet, người thực giao dịch cách thuận tiện nhanh chóng Mọi thơng tin người dùng lưu WebServer Nếu thơng tin sửa đổi với ý đồ xấu, câu truy vấn sở liệu bị thay đổi cấu trúc, từ kết trả khác với ý muốn người lập trình, kẻ mạo danh đánh cắp thơng tin, gây nên thiệt hại lớn Có thể thấy việc xây dựng trang Web động cho phép xây dựng câu truy vấn từ đầu vào người sử dụng cung cấp, chúng tiềm ẩn nguy an toàn cao khơng có chế kiểm tra liệu đầu vào cách chặt chẽ Tóm lại ứng dụng Web ln ln tiềm ẩn có nguy bị công kẻ công với ý đồ xấu, nên vấn đề bảo mật phát công thay đổi Web cấp thiết Theo Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), tháng 5/2014 có 70 gần 1.000 vụ kẻ cơng nước ngồi công vào website Việt Nam, tăng gấp 1,5 lần so với tháng trước Điều đặt yêu cầu cấp thiết cần có giải pháp giúp giám sát website 24/7, tăng cường tính bảo mật cập nhật nhanh trạng thái website mình, tránh ảnh hưởng tiêu cực đến hoạt động doanh nghiệp tổ chức, quan Nhà nước, đặc biệt công thay đổi giao diện website mà phát kịp thời, dù hạ tầng công nghệ thông tin (CNTT) quan tổ chức trang bị đầy đủ hệ thống an ninh thông tin tối tân hệ thống tường lửa (Firewall), hệ thống chống xâm nhập IPS… Một số kỹ thuật công Website 2.1 Tấn công XSS (Cross Site Scripting) Cross-Site Scripting (XSS) kĩ thuật công phổ biến nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web [1] Ngay trang www.fbi.gov, www.yahoo.com bị lỗi XSS Bất kì website cho phép người sử dụng đăng thơng tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS [2] Thường XSS xảy chỗ mà người dùng nhập Khoa học & Cơng nghệ - Số 26/Tháng - 2020 Journal of Science and Technology ISSN 2354-0575 liệu vào sau nhận thông báo trả Nên thường kiểm tra ô đăng nhập (login) đầu vào Khi nhập chuỗi kí tự vào xử lý mà kết trả có liên quan tới chuỗi đầu vào có khả trang bị mắc lỗi XSS [3] Hacker sử dụng XSS để lấy thông tin quan trọng: cookie, username, password Ở sử dụng XSS để đánh cắp cookies nạn nhân (victim) Cách chèn script: + Sử dụng Java script: kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Các kiểu công thuộc phương thức đa dạng [6]: - Tấn công chiếm dụng tài nguyên (Resource Depletion): cách lạm dụng trình giao tiếp giao thức mạng gói tin dị thường, kẻ cơng chiếm dụng nguồn tài nguyên hệ thống nhớ (RAM) vi xử lý (CPU) [7]… khiến cho người dùng chia sẻ không truy xuất hệ thống hệ thống không đủ khả xử lý - Tấn công SYN: xem kiểu công DOS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, máy khách (client) muốn thực kết nối (connection) với máy chủ (server) thực việc bắt tay ba lần (three-wayshandshake) thơng qua gói tin (packet) [8] Hàm location để chuyển trình duyệt đến trang khác, lúc document.cookie thay giá trị cookie [4] Đối với ứng dụng web mã nguồn mở, bạn tham khảo danh sách lỗ hổng chương trình bạn trang web chứa thông tin bảo mật securityfocus.com, securiteam.com Tuy nhiên website tự viết mã nguồn bạn khơng thể áp dụng phương pháp Trong trường hợp bạn cần đến chương trình dị tìm kiếm (scanner) tự động như: N-Stealth hay AppScan, chương trình quét tìm hiệu quả, bạn khơng kiểm tra lỗi XSS mà cho phép bạn kiểm tra lỗi khác website đó, Server [5] Có nhiều cách để giải vấn đề như: Chỉ chấp nhận liệu hợp lệ - Từ chối nhận liệu hỏng - Liên tục kiểm tra lọc liệu 2.3 Các phương pháp khắc phục 2.3.1 Dấu vân tay tài liệu Thông thường, dấu vân tay tài liệu tạo cách chọn chuỗi từ văn áp dụng hàm toán học cho chuỗi chọn Hàm này, giống hàm băm, tạo giá trị băm Giá trị băm sau lưu trữ mục (index) để truy cập nhanh truy vấn Khi tài liệu truy vấn (query document) so sánh với tập hợp số nguyên lưu trữ đó, dấu vân tài liệu cho truy vấn tạo Đối với giá trị băm dấu vân tay tài liệu, mục truy vấn danh sách dấu vân tay đối sánh lấy Số lượng giá trị băm chung dấu vân tay truy vấn dấu vân tay tập hợp lưu trữ xác định tài liệu tương ứng Có vài phương pháp để lấy dấu vân tay tài liệu dựa biến đổi thông số thiết kế sau: - Chiến lược lựa chọn (được sử dụng để chọn chuỗi từ tài liệu cho) - Kích thước chuỗi (được trích từ tài liệu) - Số lượng giá trị băm (được sử dụng để xây dựng tài liệu dấu vân tay) 2.2 Tấn công từ chối dịch vụ DOS Tấn công DOS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng 2.3.2 Thuật toán Rabin Fingerprint Thuật toán Rabin Fingerprint nhiều thuật tốn Fingerprint thực khóa công khai sử dụng đa thức trường giới hạn [9] javascript: alert(document.cookie) + Dùng file.php: javascript:location = http://utehy.edu.vn/cookie.php?cookie= + (document.cookie) Khoa học & Công nghệ - Số 26/Tháng - 2020 Journal of Science and Technology 71 ISSN 2354-0575 Thuật tốn Rabin Fingerprint điển hình tạo giá trị băm từ chuỗi trang web (web pages), thuật tốn nhanh dễ để thực thi, kèm với phân tích xác tốn học xác suất đụng độ (hai tập tin có dấu vân tay giống nhau) Thuật toán sử dụng hệ thống sau: Đầu vào: Tài liệu (trang web công khai) Đầu ra: Dấu vân tay tài liệu (các giá trị băm tài liệu đó) Bước 1: Bắt đầu Bước 2: Xử lý văn bản, xoá hết tất khoảng trắng kí tự đặc biệt (như: , %, !, …) từ mã HTML (mã trang web) để thu khối văn túy (pure text block) Bước 3: Chia khối văn xử lý thành chuỗi có độ dài K // Số lượng chuỗi có độ dài K số lượng giá trị băm (mã băm) (m-K+1), với m kích thước tài liệu Bước 4: Tính toán giá trị băm chuỗi cách tính H(P) sau: // H(P) tuyến tính n (n độ dài P) 2.5 Đánh giá Cả hai vấn đề cần giải tốn việc lưu trữ thơng tin đầu, cuối nhằm đưa biên pháp ngăn chặn trình cơng giả lập thơng tin từ lấy cắp thông tin hệ thống Phương lưu dấu vết giúp ta đảm bảo thông tin can thiệp từ người dung thứ Phương pháp sử dụng thuật toán Rabin Fingerprint 72 Khởi tạo: Count=K Tr = T[r r+n-1] H(S) = S(n) + 2*S(n-1) + 4*S(n-2) + … +2n-1*S(1) Do while Count > //Sử dụng Hp(P) = H(P) mod p giá trị băm (fingerprint) P Hp(Tr) = [2*Hp(Tr-1) - (2n mod p) * T(r-1) + T(r+n-1)] mod p //Tính giá trị băm cho chuỗi Until Count = Bước 5: Lưu lại tất giá trị băm văn Bước 6: Kết thúc 2.4 Hệ thống giám sát website Mục đích hệ thống giám sát website (Anti Website Defacement System – AWDS) để phát công thay đổi web phục hồi tập tin web bị công Để đạt nhiệm vụ này, hệ thống giám sát website thiết kế triển khai máy chủ (Web-server AWDS-server) với hệ thống (subsystem) tích hợp sở liệu tập trung giúp cho việc đảm bảo thông tin người gửi thông tin phía người nhận bảo tồn từ bảo mật thông tin hệ thống [9, 11] Kết luận Bài tốn trình bày hình thức công mạng phổ biến kỹ thuật công XSS DDOS Trên sở hiểu biết lý Khoa học & Công nghệ - Số 26/Tháng - 2020 Journal of Science and Technology ISSN 2354-0575 luận đưa đề xuất giải pháp để thực ngăn chặn việc cơng từ hình thức cơng mạng phổ biến với XSS hacker sử dụng việc giả mạo phiên đăng nhập, thơng tin người dùng trình duyệt để công nạn nhân (victim) Với phương pháp DDOS hacker sử dụng phương pháp công ạt làm cho việc phục vụ khách hàng chân bị gián đoạn Giải pháp nhóm đưa nhằm hạn chế tối đa hình thức cơng cách xác nhận xác đối tượng gửi thơng tin Hệ thống cần kiểm tra việc xuất xứ nguồn gốc tín trước trước cho phép chương trình thực tính toán gửi phản hồi lại cho nguồn tin gửi Ngồi chúng tơi triển khai phần mềm giúp phân tích file log máy chủ web để thực phát hình thức công máy chủ Tài liệu tham khảo [1] Jaime Carbonell, Jade Goldstein, The Use of MMR, Diversity-Based Reranking for Reordering Documents and Producing Summaries, In SIGIR-98, Melbourne, Australia, Aug 1998 [2] John M Conroy, Judith D Schlesinger, Dianne P O’Leary, Mary Ellen Okurowski, Using HMM and Logis-tic Regression to Generate Extract Summaries for DUC, In DUC 01, Nat’l Inst of Standards and Technology, 2001 [3] H Edmundson, New methods in automatic abstracting, Journal of ACM, 16 (2), pp 264-285, 1969 [4] Website: http://en.wikipedia.org/wiki/Multi-document_summarization [5] K Filippova, M Mieskes, V Nastase, S Paolo Ponzetto, M Strube, Cascaded Filtering for TopicDriven Multi-Document Summarization, In EML Research gGmbH, 2007 [6] H Luhn, The automatic creation of literature abstracts, IBM Journal of Research and Development, 2(2), pp.159-165, 1958 [7] Jade Goldstein, Vibhu Mittal, Jaime Carbonell, Mark Kantrowitz, 2000 [8] Multi-Document Summarization By Sentence Extraction, 2000 [9] Phan Xuan Hieu, Susumu Horiguchi, Nguyen Le Minh, Learning to Classify Short and Sparse Text & Web with Hidden Topics from Large-scale Data Collections, In The 17th International World Wide Web Conference, 2008 [10] Inderjeet Mani and Mark T Maybury (eds), Advances in Automatic Text Summarization, MIT Press, 1999, ISBN 0-262-13359-8 [11] B Hachey, G Murray, D Reitter, Query-Oriented Multi-Document Summarization With a Very Large Latent Semantic Space, In The Embra System at DUC, 2005 RESEARCH AND BUILDING A WEBSITE MONITORING SYSTEM Abstract: This article presents an overview of the security situation on the website, researches some of the web security vulnerabilities, some common types of attacks and how to fix these errors Based on overview studies, implement Web security methods and apply hash functions, string matching algorithms, along with improved Rabin Fingerprint algorithm to build a Website monitoring system to monitor The content changes web pages Keywords: Collect information, information analysis, information evaluate Khoa học & Công nghệ - Số 26/Tháng - 2020 Journal of Science and Technology 73 ... 2.4 Hệ thống giám sát website Mục đích hệ thống giám sát website (Anti Website Defacement System – AWDS) để phát công thay đổi web phục hồi tập tin web bị công Để đạt nhiệm vụ này, hệ thống giám. .. giá trị băm (được sử dụng để xây dựng tài liệu dấu vân tay) 2.2 Tấn công từ chối dịch vụ DOS Tấn công DOS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng 2.3.2 Thuật... dị thường, kẻ cơng chiếm dụng nguồn tài nguyên hệ thống nhớ (RAM) vi xử lý (CPU) [7]… khiến cho người dùng chia sẻ không truy xuất hệ thống hệ thống không đủ khả xử lý - Tấn công SYN: xem kiểu