Với sự phát triển không ngừng của công nghệ 4.0, môi trường Internet ngày càng khẳng định vị trí của mình. Tuy nhiên, cùng với đó, các nguy cơ trên mạng cũng ngày càng tăng nhất là trong thời kì dịch bệnh diễn biến phức tạp, hệ thống làm việc và học tập trực tuyến đang được triển khai rộng rãi. Các cuộc tấn công mạng đang diễn ra từng ngày, từng giờ với số vụ và phương thức tấn công gia tăng với tốc độ đáng kinh ngạc, chỉ với một số kỹ thuật tấn công mạng, tin tặc có thể thâm nhập và đánh cắp dữ liệu quan trọng của công ty. Chính vì vậy, việc nghiên cứu biện pháp ứng phó trước, trong và sau sự cố là đặc biệt quan trọng. Trong phạm vi đề tài này, chúng ta cùng tìm hiểu về các biện pháp điều tra, phân tích tấn công lên ứng dụng web để có thể giảm thiểu đến mức thấp nhất những thiệt hại mà tin tặc để lại cũng như có các biện pháp ứng phó phù hợp trong tương lai.
ĐỀ TÀI: ĐIỀU TRA, PHÂN TÍCH TẤN CƠNG WEB Hà Nội, 2021 MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ ĐIỀU TRA MẠNG VÀ THU THẬP CHỨNG CỨ 1.1 Khái niệm điều tra mạng 1.1.1 Khái niệm điều tra số 1.1.2 Phân loại điều tra số 1.1.3 Điều tra mạng 1.1.4 Các cơng lên mạng máy tính 1.2 Tổng quan ứng dụng web 1.2.1 Khái niệm 1.2.2 Cấu trúc 1.2.3 Hoạt động 1.2.4 Các công lên ứng dụng Web 10 CHƯƠNG KỸ THUẬT ĐIỀU TRA, PHÂN TÍCH TẤN CƠNG WEB 14 2.1 Kỹ thuật điều tra, phân tích phía người dùng 14 2.1.1 Điều tra, phân tích người dùng 14 2.1.2 Phân tích liệu trình duyệt 14 2.2 Kỹ thuật điều tra, phân tích phía máy chủ 16 2.2.1 Phân tích luồng liệu 17 2.2.2 Phân tích nhật ký 18 2.3 Một số công cụ hỗ trợ điều tra mạng điều tra công web 19 2.3.1 Wireshark 20 2.3.2 Snort 20 2.3.3 Foremost 21 2.3.4 NetworkMiner 21 2.3.5 Net Analysis 21 2.3.6 FTK 22 2.3.7 Browser History Examiner 23 2.3.8 Encase 23 CHƯƠNG (THỰC NGHIỆM) TẤN CÔNG VÀ ĐIỀU TRA TẤN CÔNG VÉT CẠN MẬT KHẨU 24 3.1 Mơ tả tốn 24 3.2 Tấn công vét cạn mật Error! Bookmark not defined 3.3 Điều tra công vét cạn mật 24 LỜI KẾT 30 DANH MỤC HÌNH ẢNH Hình 1.2.1 Cấu trúc ứng dụng web Hình 2.1.1 Tổng hợp ghi số trình duyệt tiếng 15 Hình 2.1.2 Địa xóa ghi liệu trình duyệt 16 Hình 2.3.1 Giao diện FTK 22 Hình 3.1.1 Mơ hình thực tình minh họa 24 Hình 3.2.1 Dị qt cổng 24 Hình 3.2.2 Sử dụng WireShark chặn bắt gói tin 25 Hình 3.2.3 Sử dụng WireShark chặn bắt gói tin 25 Hình 3.2.4 Giao diện trang web 26 Hình 3.2.5 Gói tin HTTP bắt Wireshark Hacker truy cập vào Web 26 Hình 3.2.6 Kết TCP Stream 27 Hình 3.2.7 Dùng BurpSuite cơng vét cạn mật 27 Hình 3.2.8 Wireshark bắt hàng loại gói tin HTTP với POST methods 28 Hình 3.2.9 Nội dung gói HTTP POST method (1) 28 Hình 3.2.10 Nội dung gói HTTP POST method (2) 29 LỜI NÓI ĐẦU Với phát triển không ngừng công nghệ 4.0, môi trường Internet ngày khẳng định vị trí Tuy nhiên, với đó, nguy mạng ngày tăng thời kì dịch bệnh diễn biến phức tạp, hệ thống làm việc học tập trực tuyến triển khai rộng rãi Các công mạng diễn ngày, với số vụ phương thức công gia tăng với tốc độ đáng kinh ngạc, với số kỹ thuật cơng mạng, tin tặc thâm nhập đánh cắp liệu quan trọng công ty Chính vậy, việc nghiên cứu biện pháp ứng phó trước, sau cố đặc biệt quan trọng Trong phạm vi đề tài này, tìm hiểu biện pháp điều tra, phân tích cơng lên ứng dụng web để giảm thiểu đến mức thấp thiệt hại mà tin tặc để lại có biện pháp ứng phó phù hợp tương lai Chuyên đề trình bày thành ba phần chính: Chương “Tổng quan điều tra mạng thu thập chứng cứ” trình bày khái niệm điều tra số, điều tra mạng, cung cấp nhìn tổng quan ứng dụng web cơng lên mạng máy tính va ứng dụng web Chương “Kỹ thuật điều tra, phân tích cơng web” trình bày chi tiết kỹ thuật điều tra phân tích phía người dùng phía máy chủ số công cụ hỗ trợ Chương “(Thực nghiệm) công điều tra công vét cạn mật khẩu” trình bày mơi trường tiến hành kết thử nghiệm công vét cạn mật Do vốn thời gian hạn chế nên đề tài cịn nhiều sai sót, chúng em mong nhận ý kiến góp ý từ thầy bạn Chúng em xin chân thành cảm ơn! Nhóm sinh viên thực CHƯƠNG TỔNG QUAN VỀ ĐIỀU TRA MẠNG VÀ THU THẬP CHỨNG CỨ 1.1 Khái niệm điều tra mạng 1.1.1 Khái niệm điều tra số Điều tra số (đơi cịn gọi Khoa học điều tra số) nhánh ngành Khoa học điều tra đề cập đến việc phục hồi điều tra tài liệu tìm thấy thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu sử dụng tương đương với điều tra máy tính sau mở rộng để bao qt tồn việc điều tra tất thiết bị có khả lưu trữ liệu số Điều tra số định nghĩa việc sử dụng phương pháp, công cụ kỹ thuật khoa học chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thông tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống Điều tra số gồm giai đoạn: thu thập thơng tin, phân tích, báo cáo 1.1.2 Phân loại điều tra số Điều tra số lĩnh vực liên quan đến việc phục hồi điều tra chứng số tìm thấy thiết bị kỹ thuật số, phân chia thành loại là: điều tra máy tính, điều tra mạng điều tra thiết bị di động Trong đó, điều tra mạng (Network Forensics) tập trung vào việc chặn bắt, lưu phân tích lưu lượng mạng nhằm phục vụ điều tra cơng tác phịng chống tội phạm mạng 1.1.3 Điều tra mạng Không giống loại hình khác điều tra số, điều tra mạng xử lý thông tin dễ thay đổi biến động, khó dự đốn Lưu lượng mạng truyền sau bị mất, việc điều tra diễn linh hoạt, chủ động Các điều tra viên dựa vào thơng tin từ thiết bị an tồn lọc gói, tường lửa, hệ thống phát xâm nhập triển khai để dự đoán hành vi vi phạm Các kỹ năng, kỹ thuật cần thiết cho việc điều tra mạng phức tạp chuyên sâu, sử dụng thông tin khai thác từ nhớ đệm (cache) web, proxy hay chặn bắt thụ động lưu lượng truy cập mạng xác định hành vi bất thường 1.1.4 Các cơng lên mạng máy tính Bên cạnh tiến vượt bậc công nghệ, tân công mạng xuất thường xuyên hơn, gây hậu ngày nghiêm trọng Tấn công mạng hình thức xâm nhập trái phép vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân hay tổ chức thông qua mạng internet với mục đích bất hợp pháp Tấn cơng mã độc Tấn cơng malware hình thức phổ biến Malware bao gồm spyware (phần mềm gián điệp), ransomware (mã độc tống tiền), virus worm (phần mềm độc hại có khả lây lan nhanh) Thơng thường, tin tặc công người dùng thông qua lỗ hổng bảo mật, dụ dỗ người dùng click vào đường link email (phishing) để phần mềm độc hại tự động cài đặt vào máy tính Một cài đặt thành cơng, malware gây ra: Ngăn cản người dùng truy cập vào file folder quan trọng (ransomware) Cài đặt thêm phần mềm độc hại khác Lén lút theo dõi người dùng đánh cắp liệu (spyware) Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống Tấn công giả mạo Phishing hình thức giả mạo thành đơn vị/cá nhân uy tín để chiếm lịng tin người dùng, thơng thường qua email Mục đích cơng Phishing thường đánh cắp liệu nhạy cảm thông tin thẻ tín dụng, mật khẩu, đơi phishing hình thức để lừa người dùng cài đặt malware vào thiết bị (khi đó, phishing cơng đoạn công malware) Man – in – the – middle Tấn công trung gian (MitM), hay công nghe lén, xảy kẻ công xâm nhập vào giao dịch/sự giao tiếp đối tượng Khi chen vào thành cơng, chúng đánh cắp liệu giao dịch Loại cơng xảy khi: Nạn nhân truy cập vào mạng Wifi cơng cộng khơng an tồn, kẻ cơng “chen vào giữa” thiết bị nạn nhân mạng Wifi Vơ tình, thơng tin nạn nhân gửi rơi vào tay kẻ công Khi phần mềm độc hại cài đặt thành cơng vào thiết bị, kẻ cơng dễ dàng xem điều chỉnh liệu nạn nhân Từ chối dịch vụ DoS (Denial of Service) hình thức cơng mà tin tặc “đánh sập tạm thời” hệ thống, máy chủ, mạng nội Để thực điều này, chúng thường tạo lượng traffic/request khổng lồ thời điểm, khiến cho hệ thống bị tải, từ người dùng truy cập vào dịch vụ khoảng thời gian mà công DoS diễn Một hình thức biến thể DoS DDoS (Distributed Denial of Service): tin tặc sử dụng mạng lưới máy tính (botnet) để cơng nạn nhân Điều nguy hiểm máy tính thuộc mạng lưới botnet thân bị lợi dụng để làm công cụ công Đọc thêm: Sự nguy hiểm Tấn công DDoS Khai thác Zero – day Lỗ hổng Zero-day (0-day vulnerabilities) lỗ hổng bảo mật chưa công bố, nhà cung cấp phần mềm chưa biết tới, dĩ nhiên, chưa có vá thức Chính thế, việc khai thác lỗ hổng “mới lị” vơ nguy hiểm khó lường, gây hậu nặng nề lên người dùng cho nhà phát hành sản phẩm Chiến thuật phòng chống Đối với cá nhân: Sử dụng mật mạnh Hạn chế truy cập điểm wifi công cộng Không sử dụng phần mềm crack Cập nhật phần mềm, hệ điều hành Cẩn thận duyệt mail để tránh bị đánh lừa Sử dụng phần mềm diệt virus Không click vào đường link không rõ nguồn gốc Đối với tổ chức, doanh nghiệp: Xây dựng sách bảo mật có điều khoản rõ ràng Lựa chọn phần mềm, đối tác cách kỹ Ưu tiên bên có cam kết bảo mật cam kết cập nhật thường xuyên Không sử dụng phần mềm crack Sử dụng dịch vụ đám mây uy tín Đánh giá bảo mật xây dựng chiến lược an ninh tổng thể cho tổ chức 1.2 Tổng quan ứng dụng web 1.2.1 Khái niệm Ứng dụng web ứng dụng khách chủ sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác Trình khách dành cho người dùng thường trình duyệt web Internet Explorer, Firefox hay Google Chrome Người dùng gửi nhận thơng tin từ trình chủ thơng qua việc tác dộng vào trang Web Các chương trình trang trao dổi mua bán, diễn đàn, giử nhận email Tốc độ phát triển kỹ thuật xây dựng ứng dụng Web phát triển nhanh Trước ứng dụng Web thường xây dựng CGI (Common Gateway Interface) chạy trình chủ Web kết nối vào sở liệu đơn giản máy chủ Ngày ứng dụng Web biết Java (các ngôn ngữ tương tự) chạy máy chủ phân tán, kết nối đến nhiều nguồn liệu khác 1.2.2 Cấu trúc Một ứng dụng web gồm thành phần: Hình 1.2.1 Cấu trúc ứng dụng web Trong đó: - Máy khách sử dụng trình duyệt: IE, Firefox, … - Máy chủ: Apache, IIS,… - Cơ sở liệu - Tường lửa - Proxy 1.2.3 Hoạt động Đầu tiên trình duyệt gửi yêu cầu (request) đến trình chủ Web thơng qua phương thức GET, POST, giao thức HTTP Trình chủ lúc cho thực thi chương trình xây dựng từ nhiều ngơn ngữ Perl, C/C++, trình chủ yêu cầu diễn dịch thực thi trang ASP, PHP, JSP, theo yêu cầu trình khách Tùy theo tác vụ chương trình cài đặt mà xử lý, tính tốn, kết nối đến sở liệu, lưu thông tin trình khách gửi đến từ trả cho trình khách luồn liệu có định dạng theo giao thức HTTP, gồm hai phần: - Header mơ tả thơng tin gói liệu thuộc tính, trạng thái trao đổi trình duyệt máy chủ mục người dùng họ, liệu lưu Cookie, Cache, lịch sử lịch sử tải xuống (tham khảo thêm hình 8) Ngồi liệu lưu tập tin sở liệu index.dat hay container.dat liệu hai tập tin lưu dạng nhị phân Cũng lưu liệu tập tin sở liệu dạng nhị phân trình duyệt Safari, nhiên safari đặt tên tệp tin lưu trữ history.plist, lưu trữ thông tin địa URLs, ngày tháng truy cập, lượng truy cập website Firefox sử dụng định dạng liệu SQLite để lưu trữ thông tin, chúng đặt tên places.sqlite Opera lưu trữ thông tin tệp tin dat khác như: cookies4.dat, download.dat, global_history.dat Google chrome cho phép lưu trữ liệu tệp tùy chọn, tùy thuộc vào lựa chọn người dùng Dưới bảng cung cấp địa chỉ, nơi dùng để xóa ghi loại trình duyệt Hình 2.1.2 Địa xóa ghi liệu trình duyệt 2.2 Kỹ thuật điều tra, phân tích phía máy chủ Hiện nay, có nhiều thiết bị, công cụ hỗ trợ điều tra & phân tích cơng cách dễ dàng, ví dụ hệ thống: IDS/IPS, honey pot, honey net, Tuy nhiên viết đưa hai phương pháp hỗ trợ điều tra phân tích cơng web phía máy chủ, với trường hợp máy chủ Linux Apache & không hỗ trợ hệ thống phát xâm nhập hay phân tích liệu đại, chủ yếu dựa công cụ mã nguồn mở miễn phí 16 Hai phương pháp chính: Phân tích luồng liệu phân tích tập tin nhật ký Phương pháp Điểm mạnh Điểm yếu Dữ liệu cần phải chặn bắt Dữ liệu cần lắp ráp, chống phân mảnh, chuẩn hóa Phân tích luồng Có thể phân tích tất (Các gói tin IP, IP liệu thông tin fragments, ) Rất khỏ để chặn bắt giải mã liệu đường chuyền mã hóa (Encrypted traffic, High Traffic load, ) Các tập tin nhật ký thường chứa Phân tích tập tin Dữ liệu có sẵn phần nhỏ toàn nhật ký tập tin liệu (ví dụ: thiếu tham số gói POST HTTP) 2.2.1 Phân tích luồng liệu Luồng liệu (RFC3679) chuỗi gói tin gửi từ nguồn cụ thể tới đích nhiều đích, nguồn gán nhãn cho chuỗi gói tin luồng riêng Một số dấu hiệu cần ý: Địa IP nguồn, đích Cổng 17 Giao thức cờ hiệu Hướng luồng liệu Khối lượng liệu truyền Quan hệ địa IP: One to many: Spam, Scan port dải mạng, Many to one: DDOS attack, máy chủ syslog, Many to many: Đồng liệu, phát tán virus, One to one: Tấn cơng có mục tiêu, truyền tin, Phân tích luồng liệu thực việc tra chuỗi gói tin có liên quan đến nhằm xác định hành vi nghi ngờ, trích xuất liệu hay phân tích giao thức luồng Một số công cụ tiếng sử dụng q trình phân tích luồng liệu: Wireshark, Tshark, TCP dump, … 2.2.2 Phân tích nhật ký Các web server chuẩn Apache IIS tạo thông điệp ghi nhật ký theo chuẩn chung (CLF – common log format) Tệp nhật ký CLF chứa dịng thơng điệp cho gói HTTP request, cấu tạo sau: Host Ident Authuser Date Request Status Bytes Trong đó: Host: Tên miền đầy đủ client IP Ident: Nếu thị IdentityCheck kích hoạt client chạy identd, thơng tin nhận dạng client báo cáo Authuser: Nếu URL yêu cầu xác thực HTTP tên người dùng giá trị mã thông báo Date: Ngày yêu cầu Request: Dòng yêu cầu client, đặt dấu ngoặc kép (“”) Status: Mã trạng thái (gồm ba chữ số) 18 Bytes: số bytes đối tượng trả cho client, ngoại trừ HTTP header Mỗi yêu cầu chứa các liệu bổ sung đường liên kết chuỗi ký tự người dùng Nếu mã thơng báo khơng có giá trị, mã thơng báo biểu thị dấu gạch ngang (-) Ví dụ: 192.168.40.131 - - [08/May/2018:08:43:52 -0400] "GET /dvwa/login.php HTTP/1.1" 200 1289 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.8.0" Lợi ích lớn tập tin nhật ký tính sẵn có tương đối đơn giản phân tích nội dung chúng Máy chủ web Apache mặc định phải cho phép ghi nhật ký Các ứng dụng thường thực ghi nhật ký để đảm bảo truy xuất nguồn gốc hành động chúng Trong lưu lượng mạng đầy đủ cung cấp thông tin bổ sung, chi phí mua lại xử lý thường lớn lợi ích Việc thu thập lưu lượng mạng yêu cầu: suốt với gói tin thường phần cứng bổ sung Quan sát lưu lượng đạt với hubs, cổng SPAN, vòi thiết bị nội tuyến Mọi thiết bị phải mua, cài đặt hỗ trợ Một liệu thu thập phân tích Hiện tại, lưu lượng truy cập mạng thu thập có dạng với tệp nhật ký sẵn sàng để phân tích Cuối cùng, tệp nhật ký cung cấp khả dễ dàng dễ xử lý để theo dõi bảo mật 2.3 Một số công cụ hỗ trợ điều tra mạng điều tra cơng web Hỗ trợ cho q trình điều tra công cụ phục vụ cho công tác điều tra, có khả chặn bắt, lưu, trích xuất, khơi phục phân tích liệu mạng Những cơng cụ giúp điều tra viên xác định thời gian, cách thức, nội dung mà liệu truyền hay nhận về, cung cấp lượng chứng số nhanh chóng, xác, tạo thuận lợi cho việc điều tra 19 2.3.1 Wireshark WireShark có bề dày lịch sử, Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần cịn lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp lẫn nghiệp dư đưa nhiều tính để thu hút đối tượng khác 2.3.2 Snort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS kiểu hệ thống phát xâm nhập (IDS), sử dụng để giám sát liệu di chuyển mạng Cũng hệ thống phát xâm nhập Host-based, cài đặt Host cụ thể để phát công nhắm đến Host Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt Snort chủ yếu IDS dựa luật, nhiên Input plug-in tồn để phát bất thường Header giao thức Snort sử dụng luật lưu trữ File Text, chỉnh sửa người quản trị Các luật thuộc loại lưu File khác File cấu hình Snort snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu cung cấp nhằm phân tích liệu thu Tìm dấu hiệu sử dụng chúng luật vấn đề địi hỏi tinh tế, sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu 20 thực tế Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập thêm vào luật Cũng xóa vài luật tạo trước để tránh việc báo động sai 2.3.3 Foremost Foremost chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề cấu trúc liệu bên Quá trình thường gọi chạm khắc liệu (data carving) Foremost làm việc tệp tin ảnh, chẳng hạn tạo dd, Safeback, Encase, trực tiếp từ ổ cứng Tiêu đề phụ đề xác định tệp tin cấu hình sử dụng switch dòng lệnh dựa dạng tệp tin tích hợp Các dạng tích hợp tra cứu cấu trúc liệu định dạng tệp tin cung cấp nhằm đảm bảo việc phục hồi nhanh đáng tin cậy 2.3.4 NetworkMiner NetworkMiner cơng cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) cho Windows NetworkMiner sử dụng cơng cụ chặn bắt gói tin thụ động nhằm nhận biết hệ điều hành, phiên làm việc, tên host, port mở mà không cần đặt luồng liệu lên mạng NetworkMiner phân tích tệp tin pcap trường hợp ngoại tuyến tái tạo tập tin truyền tải, cấu trúc thư mục hay chứng từ tệp tin pcap Mục đích NetworkMiner thu thập liệu (chẳng hạn chứng pháp lý) host mạng thu thập liệu lưu lượng truy cập, quan tâm đến trung tâm máy chủ (nhóm thơng tin máy) khơng phải trung tâm gói tin (thơng tin danh sách gói tin, khung nhìn ) NetworkMiner tiện dụng phân tích mã độc C&C (command & control – lệnh điều khiển) kiểm soát lưu lượng truy cập từ mạng lưới botnet 2.3.5 Net Analysis NetAnalysis công cụ cấp phép công ty Digital Detective phát triển để điều tra số trình duyệt web, hỗ trợ Microsoft Internet Explorer, 21 Mozilla Firefox, Google Chrome, Apple Safari Opera bowsers Nó cho phép kiểm tra lịch sử Internet, nhớ cache, cookie thành phần khác công cụ cho phép thu thập nhanh chứng theo hành vi người dùng Phần mềm có cơng cụ phân tích hiệu để giải mã hiểu liệu Đồng thời, có khả sử dụng truy vấn SQL để xác định chứng liên quan Ngồi sử dụng để phục hồi thành phần trình duyệt web xóa 2.3.6 FTK FTK cơng cụ phát triển để phân tích tồn hệ thống Nó cho phép phân tích liệu trình duyệt web với tính năng, đặc điểm Lịch sử trình duyệt web ảo hóa chi tiết Internet Explorer, Firefox, Chrome, Safari Opera trình duyệt hỗ trợ Ngồi ra, liệu trình duyệt web xóa phục hồi FTK Phần mềm có tính báo cáo kết phân tích Hình 2.3.1 Giao diện FTK 22 2.3.7 Browser History Examiner Browser Hisotry Examiner công cụ cấp phép phát triển Foxton Forensics Company, có chức trích xuất phân tích lịch sử web Nó hỗ trợ trình duyệt web Chrome, Firefox, Internet Explorer Edge Và phân tích nhiều loại liệu dạng tải xuống, liệu nhớ cache tệp URL truy cập 2.3.8 Encase Encase cơng cụ phân tích phát triển để kiểm tra tồn hệ thống Nó cho phép kiểm tra trình duyệt web, liệu với tính trình duyệt Với trợ giúp tập lệnh đơn giản, tất lịch sử trình duyệt, cookie tệp nhớ cache chép vào tệp cách sử dụng phần mềm bên thứ ba Nó cho phép phục hồi thành phần internet bị xóa Dữ liệu thu được phân tích cách lọc theo thơng số từ thời gian 23 CHƯƠNG (THỰC NGHIỆM) ĐIỀU TRA TẤN CƠNG 3.1 Mơ tả tốn Hình 3.1.1 Mơ hình thực tình minh họa - Hacker: IP 10.2.0.142, DG 10.2.0.2, OS Kali Linux - Webserver: IP 10.2.0.143, DG 10.2.0.2, OS Metasploitable - Môi trường VMWare 15.1 - Công cụ hỗ trợ: Wireshark, BurpSuite 3.2 Điều tra công Bước Hacker sử dụng Nmap để qt cổng Hình 3.2.1 Dị qt cổng 24 Bước Sử dụng WireShark chặn bắt gói tin Nhận thấy, có lượng traffic liên tục từ địa 10.2.0.142 đến 10.2.0.143 với gói tin TCP => Kẻ cơng thăm dò cổng mở dịch vụ chạy Web Server Kẻ công thực hiện: XMAS Scan (Xác định máy chủ sử dụng dịch vụ nào, chạy cổng tương ứng nào) Hình 3.2.2 Sử dụng WireShark chặn bắt gói tin Hình 3.2.3 Sử dụng WireShark chặn bắt gói tin 25 Bước 3: Hacker sử dụng trình duyệt web máy tính để truy cập vào địa IP Web server Hacker sau nhận thấy cổng 80 – dịch vụ HTTP mở => Hacker thực truy cập vào trang web cách sử dụng địa IP: http://10.2.0.143 Hình 3.2.4 Giao diện trang web Bước 4: Sử dụng phần mềm thứ ba Wireshark để theo dõi luồng liệu từ máy Hacker đến Web server Ở đây, nhận thấy GET methods yêu cầu từ máy 10.2.0.142 đến Webserver 10.2.0.143 GET method: sử dụng để lấy lại thông tin từ Server cung cấp sử dụng URI cung cấp Các yêu cầu sử dụng GET nên nhận liệu khơng có ảnh hưởng đến liệu Hình 3.2.5 Gói tin HTTP bắt Wireshark Hacker truy cập vào Web Sử dụng TCP Stream để xem trình: 26 Hình 3.2.6 Kết TCP Stream Bước 5: Hacker sử dụng công cụ Burpsuite số tham số để thực cơng mật sau: Hình 3.2.7 Dùng BurpSuite công vét cạn mật 27 Bước 6: Trên Wireshark ta thu gói tin POST chứa tham số vét cạn từ máy Hacker POST method: yêu cầu sử dụng để gửi liệu tới Server, ví dụ: thơng tin khách hàng, thơng tin tài khoản, sử dụng mẫu HTML Hình 3.2.8 Wireshark bắt hàng loại gói tin HTTP với POST methods Hình 3.2.9 Nội dung gói HTTP POST method (1) 28 Hình 3.2.10 Nội dung gói HTTP POST method (2) Trên quan điểm Admin, sau quan sát trình công Wireshark, nhận thấy: công thăm dị sau thực cơng vét cạn cổng 80 vào Webserver Tấn cơng thăm dị: hàng loạt gói tin TCP SYN, ACK, PUSH,… gửi liên tục Tấn công vét cạn: nhận thấy hàng loạt gói tin HTTP sử dụng POST method chứa thông số gồm username password khác yêu cầu đến trang Login Ngoài phương thức GET, POST liệt kê trên, theo chuẩn RFC 2616 định nghĩa phương thức cho HTTP 1.1 bao gồm: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE 29 LỜI KẾT Qua trình thực chuyên đề, mục tiêu đặt thực đề tài đạt Chương trình bày khái niệm làm nảng cho trình nghiên cứu Chương trình bày phương pháp tiếp cận phân tích cơng web Chương thực công điều tra công web Có thể nói, cơng lên web ngày đa dạng phương pháp thực với số lượng ngày nhiều, để đảm bảo cho hệ thống an tồn cần triển khai biện pháp an toàn đồng từ khâu thiết kế, cài đặt vận hành hệ thống Cách thức điều tra, phân tích trình bày chun đề mang tính giúp định hướng cho trình nghiên cứu tương lai Cuối chúng em mong nhận ý kiến góp ý từ phía thầy bạn để báo cáo hồn thiện Chúng em xin chân thành cảm ơn! Nhóm sinh viên thực 30 ... đầu vào 13 CHƯƠNG KỸ THUẬT ĐIỀU TRA, PHÂN TÍCH TẤN CƠNG WEB 2.1 Kỹ thuật điều tra, phân tích phía người dùng Điều tra, phân tích người dùng 2.1.1 Người dùng ứng dụng web khách hàng, người dùng... 14 2.1 Kỹ thuật điều tra, phân tích phía người dùng 14 2.1.1 Điều tra, phân tích người dùng 14 2.1.2 Phân tích liệu trình duyệt 14 2.2 Kỹ thuật điều tra, phân tích phía máy chủ... trợ điều tra mạng điều tra cơng web Hỗ trợ cho q trình điều tra công cụ phục vụ cho công tác điều tra, có khả chặn bắt, lưu, trích xuất, khơi phục phân tích liệu mạng Những cơng cụ giúp điều