Đang tải... (xem toàn văn)
tài liệu ngành cntt dành cho các bạn sinh vien năm 3 năm 4, các trường đại học, tài liệu cung cấp đầy đủ thông tin về môn học, các kiến thức, các kỹ năng cơ bản. tài liệu chỉ mang tính chất tham khảo vui lòng không thắc mắc
BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB Giảng viên: TS Hoàng Xuân Dậu Điện thoại/E-mail: dauhx@ptit.edu.vn Bộ mơn: An tồn thơng tin - Khoa CNTT1 Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB TÀI LIỆU THAM KHẢO Hoàng Xuân Dậu, Bài giảng an toàn ứng dụng web sở liệu, Học viện Công nghệ BCVT, 2017 Bryan Sullivan, Vincent Liu, Web Application Security, A Beginner's Guide, McGraw-Hill, 2012 Alfred Basta, Melissa Zgola, Database Security, Cengage Learning, 2012 Dafydd Stuttard, Marcus Pinto, The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, John Wiley & Sons, 2011 Ron Ben Natan, Implementing Database Security and Auditing, Elsevier Inc., 2005 Mike Shema, Hacking Web Apps: Detecting and Preventing Web Application Security Problems, Elsevier Inc., 2012 Roberta Bragg, Mark Rhodes-Ousley and Keith Strassberg, Network Security: The Complete Reference, McGraw-Hill Osborne Media, 2013 Trang BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB TÀI LIỆU THAM KHẢO Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 Denny Cherry, Securing SQL Server: Protecting Your Database from Attackers, Syngress, 2012 Mark L Gillenson, Fundamentals of Database Management Systems, 2nd edition, Wiley, 2011 10 David Knox, Scott Gaetjen, Hamza Jahangir, Tyler Muth, Patrick Sack, Richard Wark, Bryan Wise, Applied Oracle Security: Developing Secure Database and Middleware Environments, McGraw-Hill Osborne Media, 2009 11 Michael Gertz and Sushil Jajodia, Handbook of Database Security Applications and Trends, Springer, 2008 12 Roberta Bragg, Mark Rhodes-Ousley and Keith Strassberg, Network Security: The Complete Reference, McGraw-Hill Osborne Media, 2013 Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB ĐÁNH GIÁ MÔN HỌC ❖ Các điểm thành phần: ▪ ▪ ▪ ▪ Chuyên cần: 10% Kiểm tra: 10% Bài tập/thảo luận: 20% Thi cuối kỳ: 60% Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB NỘI DUNG MƠN HỌC Phần I – An tồn ứng dụng web Tổng quan bảo mật ứng dụng Web Các dạng công lên ứng dụng Web Các biện pháp bảo mật máy chủ, ứng dụng trình duyệt web Bảo mật phát triển triển khai ứng dụng web Phần II – An toàn sở liệu Tổng quan an toàn sở liệu Các chế bảo mật sở liệu Sao lưu, khôi phục dự phịng, kiểm tốn giám sát hoạt động CSDL Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB NỘI DUNG CHƯƠNG 1 Giới thiệu dịch vụ web kiến trúc ứng dụng web Các nguyên tắc bảo mật ứng dụng Web Các nguy lỗ hổng bảo mật ứng dụng Web Các phương pháp tiếp cận bảo mật ứng dụng Web Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.1 Giới thiệu dịch vụ web kiến trúc UD web Giao thức HTTP Các thành phần ứng dụng web Kiến trúc ứng dụng web Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.1 DV web & KT UD web – Giao thức HTTP ❖ Các ứng dụng web hoạt động dựa giao thức truyền siêu văn (HTTP - Hyper-Text Transfer Protocol): ▪ HTTP giao thức thuộc tầng ứng dụng giao thức TCP/IP chuyên dụng cho truyền siêu văn bản; • Cổng dịch vụ chuẩn HTTP 80; ▪ Ngoài HTTP, HTTPS (Secure HTTP) sử dụng cho ứng dụng web có u cầu đảm bảo an tồn thơng tin truyền máy khách (Client) máy chủ (Server); • Cổng dịch vụ chuẩn HTTPS 443 ▪ HTTP hoạt động theo kiểu yêu cầu – đáp ứng (request response) mơ hình khách – chủ (client – server) Trang BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.1 DV web & KT UD web – Giao thức HTTP Trang BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.1 DV web & KT UD web – Giao thức HTTP Giao tiếp HTTP Client (Web Browser) HTTP Server (Web Server): Client gửi yêu cầu (Request) Trang 10 BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật UD Web ❖ 10 nguy lỗ hổng bảo mật hàng đầu ứng dụng Web theo OWASP (2013): A1- Injection (Chèn mã) A2- Xác thực yếu vấn đề quản lý phiên A3- XSS – Cross-Site Scripting A4- Tham chiếu đối tượng trực tiếp không an tồn A5- Lỗi cấu hình an ninh A6- Rị rỉ liệu nhạy cảm A7- Thiếu kiểm soát truy nhập mức chức A8- CSRF – Cross-Site Request Fogery A9- Sử dụng thành phần chứa lỗ hổng biết A10- Tái định hướng chuyển tiếp không kiểm tra Trang 36 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật UD Web ❖ 10 nguy lỗ hổng bảo mật hàng đầu ứng dụng Web theo OWASP (2017 – thức): A1- Injection (Chèn mã) A2- Xác thực quản lý phiên yếu A3- Rò rỉ liệu nhạy cảm A4- Lỗi xử lý thành phần XML bên A5- Kiểm sốt truy cập yếu A6- Lỗi cấu hình an ninh A7- XSS – Cross-Site Scripting A8- Giải hố khơng an tồn A9- Sử dụng thành phần chứa lỗ hổng biết A10- Thiếu chế giám sát ghi log Trang 37 BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Injection (Chèn mã): ▪ ▪ ▪ ▪ ▪ Buffer overflow SQL injection XPath/XQuery injection LDAP lookups / injection Shell command injection Trang 38 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Xác thực quản lý phiên yếu: ▪ Khâu xác thực (authentication) trao quyền (authorisation) sử dụng phổ biến ứng dụng web; ▪ Nếu khâu xác thực không đủ mạnh → lỗ hổng để kẻ công truy nhập đánh cắp thông tin ▪ Phiên làm việc (session) cần quản lý chặt chẽ; ▪ Nếu khơng kẻ cơng lợi dụng để chiếm điều khiển phiên làm việc người dùng ▪ VD: đưa ID phiên lên URL mà mã hóa, kiểm tra: http://www.error-site.com/test.aspx?session_id=12345 Trang 39 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Rò rỉ liệu nhạy cảm: ▪ Nhiều ứng dụng web khơng có chế đủ mạnh để bảo vệ liệu nhạy cảm, thông tin thẻ tin dụng, số an sinh xã hội thông tin xác thực người dùng ▪ Kẻ công đánh cắp, chỉnh sửa thơng tin nhạy cảm thể lạm dụng, trục lợi ▪ Các liệu nhạy cảm mật cần lưu dạng mã hóa; • Mật Nên dùng hàm băm chiều (SHA) ▪ Hạn chế quyền truy nhập vào files chứa thông tin nhạy cảm (lưu mật khẩu,…) Trang 40 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Lỗi xử lý thành phần XML bên (XXE) ▪ Tấn công khai thác lỗi XXE xảy số xử lý tài liệu XML cũ cấu hình xử lý tài liệu XML có chứa tham chiếu đến tham chiếu đến thực thể bên ngồi ▪ Các trường hợp khai thác lỗi XXE gồm: • Các xử lý XML có lỗi cho phép kẻ công tải lên tài liệu XML nội dung độc hại tài liệu XML; • Lỗ hổng bảo mật mã chương trình; • Lỗ hổng bảo mật thành phần phụ thuộc; • Lỗ hổng bảo mật tích hợp hệ thống Trang 41 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Kiểm soát truy cập yếu: ▪ Việc hạn chế tác vụ mà người dùng xác thực phép thực thường không thực thi cách; ▪ Kẻ cơng khai thác lỗ hổng để truy cập vào chức / liệu trái phép, chẳng hạn truy cập tài khoản người dùng khác, xem file nhạy cảm, sửa đổi liệu người dùng khác, thay đổi quyền truy cập, v.v Trang 42 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Lỗi cấu hình an ninh: Đây dạng lỗi thường gặp, bao gồm: ▪ ▪ ▪ ▪ ▪ Cấu hình ngầm định khơng an tồn khơng đầy đủ Lưu trữ đám mây mở HTTP header cấu hình sai Thơng báo lỗi chứa thông tin nhạy cảm Hệ điều hành, framework, thư viện, ứng dụng khơng cấu hình đúng, khơng cập nhật Trang 43 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ XSS – Cross-Site Scripting: ▪ Là dạng cơng trình duyệt người dùng ▪ Kẻ công chèn mã script (thường javascript) vào trang web có lỗi XSS ▪ Khi người dùng mở trang mã script kẻ công thực giúp đánh cắp thơng tin lưu trình duyệt người dùng Trang 44 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ XSS – Cross-Site Scripting: Trang 45 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Giải hố khơng an tồn : ▪ Tuần tự hố giải tuần hố (serialization/ deserialization): • Tuần tự hố q trình chuyển đối tượng thành chuỗi byte; • Giải hố q trình chuyển chuỗi byte thành đối tượng ▪ Nguy cơ: • Giải hố khơng an tồn dẫn đến k thực mã từ xa; • Giải hố khơng an tồn bị sử dụng để thực công, công phát lại, chèn mã, leo thang đặc quyền Trang 46 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật–Top 10 OWASP 2017 ❖ Giải hố khơng an tồn : ▪ Ví dụ: • Một trang web PHP sử dụng kỹ thuật hố đối tượng để chuyển thơng tin phiên người dùng (gồm ID, tên, mật băm,…) thành chuỗi lưu dạng cookie sau: a:4:{i:0;i:132;i:1;s:7:”Mallory”;i:2;s:4:”user”; i:3; s:32:”b6a8b3bea87fe0e05022f8f3c88bc960″;} • Một tin tặc chỉnh sửa chuỗi để biến thành người quản trị: a:4:{i:0;i:1;i:1;s:5:”Alice”;i:2;s:5:”admin”; i:3;s:32:”b6a8b3bea87fe0e05022f8f3c88bc960″;} • Nếu tin tặc chỉnh sửa thơng tin giải tuần từ (chuyển chuỗi byte thành đối tượng phiên) chiếm quyền người quản trị chiếm quyền điều khiển ứng dụng web Trang 47 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật UD Web ❖ Sử dụng thành phần chứa lỗ hổng biết: ▪ Các thành phần, bao gồm thư viện, framework mô đun phần mềm chạy với quyền truy cập đầy đủ người dùng kích hoạt ứng dụng; ▪ Nếu thành phần có chứa lỗ hổng bị khai thác gây việc mát nhiều liệu, máy chủ bị chiếm quyền điều khiển ▪ Các ứng dụng sử dụng thành phần chứa lỗ hổng biết làm suy giảm khả phòng vệ ứng dụng cho phép thực nhiều loại công lên hệ thống Trang 48 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.3 Các nguy lỗ hổng bảo mật UD Web ❖ Thiếu chế giám sát ghi log: ▪ Thiếu chế giám sát ghi log với việc thiếu có chế phản ứng hiệu cho phép kẻ công thực công tiếp tục vào hệ thống, trì kiểm sốt hệ thống; ▪ Nhiều nghiên cứu công, khai thác cho thấy thời gian trung bình cho phát vi phạm khoảng 200 ngày, chủ yếu phát bên ngồi, khơng phải bên hệ thống nhờ việc giám sát ghi log Trang 49 BÀI GIẢNG MÔN AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1.4 Các phương pháp tiếp cận bảo mật ứng dụng Web ❖ Luôn thực kiểm tra liệu đầu vào ▪ Không tin người dùng ▪ Kiểm tra kích thước, định dạng nội dung liệu ▪ Sử dụng lọc ❖ Giảm thiểu giao diện bị cơng ▪ Hạn chế người dùng truy nhập trực tiếp vào hệ thống CSDL ▪ Phân quyền truy nhập mức "vừa đủ" cho cơng việc ❖ Phịng vệ có chiều sâu Trang 50 ... Trang 11 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1. 1 DV web & KT UD web – Giao thức HTTP Giao tiếp HTTP Client (Web Browser) HTTP Server (Web Server)... AN TOÀN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1. 1 DV web & KT UD web – Giao thức HTTP Giao tiếp HTTP Client (Web Browser) HTTP Server (Web Server): Server gửi trả đáp... máy khách máy chủ web Trang 13 BÀI GIẢNG MƠN AN TỒN ỨNG DỤNG WEB & CSDL CHƯƠNG – TỔNG QUAN VỀ BẢO MẬT ỨNG DỤNG WEB 1. 1 DV web & KT UD web – Các thành phần UD web ❖ Trình duyệt web: ▪ Là phần mềm