Đang tải... (xem toàn văn)
Trong bài báo này, tác giả sẽ phân tích những lỗ hổng phổ biến nhất của các ứng dụng trên nền web và khuyến nghị các phương pháp để kiểm tra phát hiện.
TẠP CHÍ KHOA HỌC ĐẠI HỌC ĐÀ LẠT Tập 7, Số 2, 2017 231–246 231 MỘT SỐ VẤN ĐỀ AN TOÀN CHO CÁC ỨNG DỤNG TRÊN NỀN WEB Nguyễn Sỹ Hịaa, Lại Thị Nhungb, Đặng Thanh Hảic* Khoa Cơng nghệ Thông tin Truyền thông, Trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội, Hà Nội, Việt Nam b Khoa Khoa học Cơ bản, Trường Đại học Điều dưỡng Nam Định, Nam Định, Việt Nam c Khoa Công nghệ Thông tin, Trường Đại học Đà Lạt, Lâm Đồng, Việt Nam a Lịch sử báo Nhận ngày 10 tháng 03 năm 2017 | Chỉnh sửa ngày 04 tháng 05 năm 2017 Chấp nhận đăng ngày 19 tháng 05 năm 2017 Tóm tắt Internet phát triển vô mạnh mẽ, kết nối 30% dân số giới, với 2.2 tỷ người dùng Lợi ích mà Internet đem lại kèm với rủi ro: Năm 2015 toàn giới thiệt hại 445 tỷ USD, Việt nam thiệt hại khoảng 8700 tỷ VNĐ cố công mạng; 5226 trang web quan doanh nghiệp Việt Nam bị cơng Ngun nhân tiến kẻ công, đời cơng nghệ mới, thiết lập hệ thống phức tạp khó quản lí hết rủi ro Vì vậy, việc nghiên cứu đánh giá nguy có tính rủi ro cao ứng dụng dựa web nhu cầu cấp thiết quan, tổ chức triển khai ứng dụng web Internet Trong báo này, phân tích lỗ hổng phổ biến ứng dụng web khuyến nghị phương pháp để kiểm tra phát Từ khóa: An tồn ứng dụng web; Bảo mật; Ứng dụng web GIỚI THIỆU Internet phát triển vô mạnh mẽ, kết nối 30% dân số giới, với 2.2 tỷ người dùng Việc kinh doanh truyền thống dần thay giao dịch điện tử hay thương mại điện tử (TMĐT) mà phần lớn dựa vào ứng dụng web Theo báo cáo năm 2015 Bộ Công thương, TMĐT Việt Nam năm 2015 tăng 37% so với năm 2014, đạt khoảng 4.07 tỷ USD, chiếm khoảng 2.8% tổng mức bán lẻ hàng hóa doanh thu dịch vụ tiêu dùng nước Theo báo cáo eMarketer, doanh thu TMĐT bán lẻ Mỹ năm 2015 ước đạt khoảng 355 tỷ USD, chiếm khoảng 7.4% tổng doanh thu bán lẻ nước Doanh thu bán lẻ trực tuyến TMĐT Trung * Tác giả liên hệ: Email: haidt@dlu.edu.vn 232 TẠP CHÍ KHOA HỌC ĐẠI HỌC ĐÀ LẠT [ĐẶC SAN CƠNG NGHỆ THƠNG TIN] Quốc tính đến tháng 9/2015 ước đạt 672 tỷ USD, tăng 42.1% so với kỳ năm 2014 chiếm khoảng 15.9% tổng doanh thu bán lẻ Còn Hàn Quốc, doanh thu bán lẻ TMĐT thị trường năm 2015 38.86 tỷ USD, chiếm 11.2% tổng doanh thu bán lẻ Liên quan đến dự báo quy mô thị trường TMĐT thời gian tới, hồi cuối tháng 1/2016, đại diện lãnh đạo Hiệp hội TMĐT Việt Nam (VECOM) cho biết, cuối năm 2015, hãng nghiên cứu thị trường Ken Research đưa dự đốn quy mơ thị trường bán lẻ Việt Nam năm 2019 đạt 7.5 tỷ USD Song song với lợi ích mà Internet mang lại, có rủi ro như: Năm 2015 tồn giới thiệt hại 445 tỷ USD, Việt nam thiệt hại khoảng 8700 tỷ VNĐ cố công mạng; 5226 trang web quan doanh nghiệp Việt Nam bị công Nguyên nhân tiến kẻ công, đời công nghệ mới, thiết lập hệ thống phức tạp khó quản lí hết rủi ro Vì vậy, việc nghiên cứu đánh giá nguy có tính rủi ro cao ứng dụng dựa web nhu cầu cấp thiết quan, tổ chức triển khai ứng dụng web Internet Trong báo này, chúng tơi phân tích lỗ hổng phổ biến ứng dụng web khuyến nghị phương pháp để kiểm tra phát NHỮNG LỖI THƯỜNG GẶP TRONG CÁC ỨNG DỤNG WEB Khi ứng dụng web (có thể Website WebApp) triển khai Internet, trở thành mục tiêu phá hoại kẻ cơng muốn tìm khai thác lỗ hổng bảo mật xuất ứng dụng Dưới lỗ hổng bảo mật mà người phát triển ứng dụng web cần tránh phát triển ứng dụng 2.1 Tấn công lỗi truy vấn SQL Theo Data (2016), công lỗi truy vấn SQL sử dụng chuỗi lệnh ngôn ngữ truy vấn có cấu trúc (SQL) để truy vấn trực tiếp sở liệu Ứng dụng thường sử dụng lệnh SQL để xác thực người dùng với ứng dụng xác nhận vai trò mức độ truy cập, lưu giữ lấy thông tin cho ứng dụng người dùng, đường dẫn tới nguồn liệu Sử dụng lỗi truy vấn SQL, kẻ cơng sử dụng ứng dụng web dễ bị tổn Nguyễn Sĩ Hòa, Lại Thị Nhung Đặng Thanh Hải 233 thương để tránh biện pháp bảo mật thông thường truy cập trực tiếp đến liệu có giá trị Lý công lỗi truy vấn SQL làm việc ứng dụng không xác nhận đầu vào cách phù hợp trước qua đến lệnh SQL Tấn cơng lỗi truy vấn SQL vào qua địa chỉ, trường ứng dụng qua câu truy vấn tìm kiếm Tấn cơng SQL cho phép kẻ công: Đăng nhập vào ứng dụng mà không cần cung cấp chứng nhận hợp lệ; Thực câu truy vấn liệu sở liệu mà ứng dụng thường không truy cập đến liệu đó; Thay đổi nội dung sở liệu thả vào sở liệu; Sử dụng mối quan hệ tin cậy thiết lập thành phần ứng dụng web để truy cập sở liệu khác Ví dụ: Trên ứng dụng Web, trang web thường có nhập văn để người dùng nhập thông tin vào cho câu lệnh SQL thực Server để truy vấn liệu Thông tin vào định cách ứng dụng xử lý Tuy nhiên, khơng phải trình ứng dụng có đầy đủ chế, sách đảm bảo an toàn Lợi dụng lỗi an toàn ứng dụng chưa kiểm soát hết, kẻ cơng chèn vào nhập văn đoạn mã độc thay thơng tin chuẩn mực để ứng dụng xử lý Chẳng hạn, câu lệnh SQL với thông tin đầu vào từ ô nhập văn sau: String query = "SELECT request.getParameter("id") +"'"; * FROM accounts WHERE custID='" + Exec(query); Câu lệnh đơn đưa thông tin tài khoản người dùng với mã id Tuy nhiên kẻ cơng thay tham số ‘id’ cần nhập vào chuỗi sau: ‘ or ‘1’=’1 Câu lệnh truy vấn Server trở thành: String query = "SELECT * FROM request.getParameter ("‘ or ‘1’=’1") +"'"; accounts WHEREcustID='" + Exec(query); Việc thay đổi ý nghĩa câu truy vấn trả lại giá trị tất tài khoản sở liệu thay người dùng Trong trường hợp xấu nhất, kẻ 234 TẠP CHÍ KHOA HỌC ĐẠI HỌC ĐÀ LẠT [ĐẶC SAN CÔNG NGHỆ THÔNG TIN] cơng sử dụng thơng tin đánh cắp để thực thi thủ tục lưu trữ sở liệu giúp chiếm quyền điều khiển sở liệu 2.2 Thực thi mã script xấu Theo Data (2016) thực thi mã scrip xấu biết với tên Cross-Site Scripting (XSS) dựa việc mã hóa thiếu kí tự đặc biệt (ví dụ >,