BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM ĐỒ ÁN CHUYÊN NGÀNH PENTEST WEB Ngành: An Tồn Thơng Tin Chun ngành: An Tồn Thơng Tin Giảng viên hướng dẫn : Dương Minh Chiến Sinh viên thực : Vũ Quang Long - 1811770020 Đỗ Chiến Anh Tú Lớp: 18DATA1 - 1811770070 TP Hồ Chí Minh, 2021 LỜI MỞ ĐẦU Ngày nay, công nghệ thông tin hầu hết phân bố rộng rãi toàn giới Việt Nam Cũng dần chuyển để kết nối với cơng nghệ Vì thấy lợi ích to lớn việc áp dụng công nghệ thông tin vào lĩnh vực dịch vụ kinh doanh, quản lý, mua sắm, Thì dịch vụ cơng nghệ hàng đầu sử dụng phổ biến rộng rãi dịch vụ web Với công nghệ web đáp ứng nhu cầu người Từ ngày xưa, trang web thường biết đến trang giới thiệu công ty hay tổ chức với phát triển vượt bậc xuất thêm trang web khác cá nhân Nhưng lại khác web thuật ngữ khơng thể thiếu sống người, chí người tiêu dùng muốn mua hàng không cần phải đến trực tiếp cửa hàng để mua mà cần cú click chuột hàng giao đến tận nhà Đấy kinh doanh với cá nhân có ứng dụng web để chia sẻ hay viết nhật ký online nghe nhạc xem phim để thư giãn facebook, youtube, yahoo, blog, bắt đầu mọc nấm Và để bắt kịp với xu ngân hàng hay doanh nghiệp xây dựng nên trang web chuyển tiền cách nhanh chóng website toán trực tuyến, tiện lợi cho người dùng Nhưng để trang web chạy mượt mà, có tính bảo mật cao, tạo uy tín, đáp ứng nhu cầu người dùng cần đến kiểm thử xâm nhập cách mô công thực tế pentester Và đề tài này, em trình bày quy trình để kiểm thử bảo mật website từ đưa biện pháp khắc phục LỜI CAM ĐOAN Chúng em xin cam đoan đồ án chuyên ngành Pentest Web công trình nghiên cứu chúng em Những phần sử dụng tài liệu tham khảo có đồ án liệt kê, nêu rõ phần tài liệu tham khảo kèm với hướng dẫn nhiệt tình Ths Dương Minh Chiến Đồng thời số liệu hay kết trình tìm kiếm, nghiên cứu tài liệu trình bày đồ án mang tính chất trung thực, khoa học LỜI CẢM ƠN Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến hội đồng khoa Công Nghệ Thông Tin Trường Đại học Cơng Nghệ TP Hồ Chí Minh tạo điều kiện để chúng em có đồ án chuyên ngành Đặc biệt, chúng em xin gửi lời cảm ơn sâu sắc đến giảng viên hướng dẫn Ths Dương Minh Chiến hướng dẫn truyền đạt kiến thức quý báu cho chúng em suốt thời gian vừa qua Trong thời gian thầy giảng viên hướng dẫn, em có thêm cho nhiều tài liệu bổ ích Đây chắn kiến thức quý báu mà chúng em nhận trình làm đồ án, hành trang để chúng em vững bước sau Tuy nhiên, vốn kiến thức, tìm tịi tài liệu cịn nhiều hạn chế khả tiếp thu thực tế nhiều bỡ ngỡ Dù chúng em cố gắng chắn khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác, kính mong thầy hội đồng xem xét góp ý để báo cáo chúng em hoàn thiện hơn, tiếp thêm kiến thức để hồn thành tốt cơng việc giao Chúng em xin chân thành cảm ơn! MỤC LỤC LỜI MỞ ĐẦU LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC Chương 1: TỔNG QUAN VỀ PENETRATION TESTING 1.1 Giới thiệu 1.1.1 Lịch sử hình thành phát triển penetration test (pentest) 1.1.2 Đặt vấn đề 1.1.3 Ý nghĩa thực tiễn đề tài 1.2 Mục tiêu đề tài 1.3 Đối tượng phạm vi nghiên cứu 1.3.1 Đối tượng nghiên cứu 1.3.2 Phương pháp nghiên cứu 1.3.3 Cấu trúc đồ án Chương 2: CƠ SỞ LÝ THUYẾT 2.1 Khái niệm Pentest Web 2.1.1 Pentest Web 2.1.2 Đánh giá bảo mật 2.1.3 Hạn chế việc đánh giá bảo mật 2.1.4 Những điểm cần lưu ý 10 2.1.5 Tại phải kiểm thử xâm nhập 11 2.1.6 Những nên kiểm tra 11 2.2 Môi trường thử nghiệm 12 2.3 Quy Trình Thực Hiện Pentest Web 13 2.3.1 Trinh sát 13 2.3.2 Lập đồ 13 2.3.3 Khám phá 13 2.3.4 Khai thác 13 2.3.5 Báo cáo 14 2.3.6 Giai đoạn quan trọng trình Pentest Web 14 2.4 Các Công Cụ Hỗ Trợ Pentest Web 14 2.4.1 Trinh sát 14 2.4.2 Lập đồ 16 2.4.3 Khám phá 17 2.4.4 Khai thác 19 2.4.5 Báo cáo 20 2.5 Các lỗ hổng thường gặp trang web 21 2.5.1 Lỗ hổng Injection (Lỗi chèn mã độc) 21 2.5.2 Broken Authentication (Lỗ hổng xác thực) 21 2.5.3 Lỗ hổng XSS (Cross Site Scripting) 22 2.5.5 Clickjacking (UI redress attack) 22 2.5.8 Cross Site Request Forgery (CSRF) 23 2.6 Một số cơng ty/doanh nghiệp có dịch vụ Pentest 24 2.6.1 Vietsunshine 24 2.6.2 CyStack 25 Chương 3: KẾT QUẢ THỰC NGHIỆM 26 3.1 Xác định mục tiêu để thực Pentest Web 26 3.2 Thu thập tất thông tin trang mục tiêu (Trinh sát lập đồ) 26 3.3 Dò quét bảo mật trang mục tiêu (khám phá) 31 3.4 Đánh giá mức độ lỗ hổng (khai thác) 33 3.4.1 Cross Site Request Forgery (CSRF) 33 3.4.2 Clickjacking 35 3.5 Biện pháp khắc phục (báo cáo) 42 3.5.1 Cross Site Request Forgery (CSRF) 42 3.5.2 Clickjacking 44 3.6 Thực báo cáo 44 Chương 4: KẾT LUẬN VÀ KIẾN NGHỊ 46 4.1 Kết Luận 46 4.2 Đánh giá 46 4.2.1 Những điều làm 46 4.2.2 Những điều chưa làm 46 4.3 Hướng phát triển 46 ĐỀ TÀI THAM KHẢO 47 Chương 1: TỔNG QUAN VỀ PENETRATION TESTING 1.1 Giới thiệu 1.1.1 Lịch sử hình thành phát triển penetration test (pentest) Giữa năm 1960, chứng kiến gia tăng khả trao đổi liệu qua mạng máy tính, chuyên gia cảnh báo nguy chắn có cơng xâm nhập vào mạng phủ doanh nghiệp giành quyền truy cập vào liệu trao đổi Tại Hội nghị Máy tính Chung Thường niên năm 1967 quy tụ 15.000 chuyên gia bảo mật máy tính, nhà phân tích thảo luận đặt thuật ngữ “penetration” (xâm nhập) Các chuyên gia xác định hiểm họa trao đổi liệu qua mạng máy tính ngày Cuối năm 1967, tập đoàn RAND hợp tác với Cơ quan Dự án Nghiên cứu Tiên tiến (dARPA) Hoa Kỳ để tạo báo cáo chuyên đề, gọi Willis Report (đặt tên theo người đứng đầu dự án) Báo cáo thảo luận vấn đề an ninh mạng internet đề xuất sách, đặt móng cho biện pháp an ninh ngày Dựa báo cáo này, phủ Hoa Kỳ hợp tác với doanh nghiệp thành lập nhóm với sứ mệnh “dị tìm lỗ hổng bảo mật hệ thống mạng máy tính để có biện pháp bảo vệ hệ thống khỏi xâm nhập khai thác trái phép” Những nhóm pentest giới có tên Tiger Teams (đặt tên theo lính đặc nhiệm Hoa Kỳ) hình thành vào cuối năm 1960 với nhiệm vụ cơng vào mạng máy tính để đánh giá khả chống chịu mạng trước công thù địch Kết thu khiến nhà lãnh đạo không khỏi bất ngờ: Hầu hết hệ thống kiểm tra “bị đánh gục cách dễ dàng nhanh chóng” Chiến dịch thử nghiệm thâm nhập RAND Corporation phủ chứng minh hai điều: + thứ nhất, hệ thống bị xâm nhập + thứ hai, sử dụng kỹ thuật kiểm tra thâm nhập (Penetration Testing) để xác định lỗ hổng hệ thống, mạng, phần cứng phần mềm phương pháp hữu ích để đánh giá cải thiện tính bảo mật cho hệ thống Sau này, học giả Deborah Russell G T Gangemi Sr nhận xét rằng, năm 1960 “đánh dấu khởi đầu thực thời đại bảo mật máy tính” 1.1.2 Đặt vấn đề Ngày nay, phát triển vượt bậc công nghệ thông tin, vấn đề bảo mật quan tâm hàng đầu doanh nghiệp lớn nhỏ Và với việc công mạng diễn ngày nhiều ngày nghiêm trọng website mục tiêu dễ bị đe dọa Vì nên pentest web xem lựa chọn ưu tiên hàng đầu cho việc chống lại công Vì trước bảo mật trang web ta cần phải hiểu rõ hành động tâm lý tin tặc, thông qua công mô thực để tìm điểm yếu hay lỗ hổng có tồn website qua giúp doanh nghiệp hay khách hàng vá lỗ hổng kịp thời trước chúng bị khai thác gây nên tổn thất nghiêm trọng mặt vật chất tinh thần cho doanh nghiệp khách hàng Bên cạnh nhóm em muốn tìm hiểu rõ pentest web để chuẩn bị cho cơng việc liên quan đến website Chính mà nhóm em chọn phần nhỏ pentest để làm đồ án cho Website Application Penetration Testing hay gọi pentest web 1.1.3 Ý nghĩa thực tiễn đề tài Về mặt lý thuyết, đề tài thể rõ quy trình kiểm tra xâm nhập với ứng dụng web từ trước đến nay, đưa vấn đề lỗ hổng thường gặp tạo hay dựng website Và kiến thức sử dụng tiếp thời gian dài tương lai Về mặt thực tiễn, với cách quy trình kiểm thử xâm nhập web hay gọi Pentest Web tìm hiểu, nghiên cứu báo cáo này, thực quy trình kiểm tra xâm nhập vào ứng dụng web phương pháp phòng ngừa đề tài nêu góp phần nâng cao khả bảo vệ ứng dụng web trước nguy công kẻ xấu nâng cao tính bảo mật web 1.2 Mục tiêu đề tài Mục tiêu đề tài chúng em tìm hiểu xem Pentest Web sử dụng Và cách thức thực để tìm điểm yếu bảo mật tồn thiết kế, phát triển triển khai ứng dụng web Và từ điểm yếu đó, chúng em đưa biện pháp phòng chống, ngăn chặn cơng trang web từ bên ngồi 1.3 Đối tượng phạm vi nghiên cứu 1.3.1 Đối tượng nghiên cứu + Cở sở lý thuyết liên quan hoạt động ứng dụng web + Các quy trình kiểm tra xâm nhập pentest + Phân tích đánh giá lỗ hổng ứng dụng web + Các mô hình cơng đặc trưng vào ứng dụng web + Các giải pháp phòng ngừa lỗ hổng 1.3.2 Phương pháp nghiên cứu + Tổng hợp tìm hiểu, nghiên cứu từ tư liệu liên quan + Phân tích, dị tìm lỗ hổng trang web + Đánh giá thiệt hại mà lỗ hổng gây cho web hướng khắc phục 1.3.3 Cấu trúc đồ án Chương 1: Tổng quan đề tài: Tóm tắt đề tài, lịch sử hình thành, đặt vấn đề Chương 2: Cơ sở lý thuyết: Trình bày khái niệm, đánh giá bảo mật, hạn chế việc đánh giá bảo mật, điểm cần ý, phải kiểm thử xâm nhập, nên kiểm tra, lộ trình thử pentest, công cụ hỗ trợ pentest web, lỗ hổng thường gặp trang web Chương 3: Kết thực nghiệm: Lựa chọn trang web, dị tìm lỗ hổng, đánh giá thiệt hại lỗ hổng, đưa biện pháp phòng ngừa khắc phục Chương 4: Kết luận hướng phát triển: Nêu kết luận chung, khẳng định kết đạt được, đề xuất hướng phát triển 3.4 Đánh giá mức độ lỗ hổng (khai thác) 3.4.1 Cross Site Request Forgery (CSRF) Ở em phát lỗi CSRF dấu hiệu Hình 3.13: Dấu hiệu nhận thấy lỗi CSRF Lỗ hổng CSRF thường biết đến Cross site request forgery Đây lỗ hổng giúp hacker cơng trang web cách giả mạo chủ gây hậu nghiêm trọng Thường hacker thực việc đổi mật công nên em kiểm tra vào phần đổi mật trước Sau em dùng Burp Suite để bắt request thực đổi mật cho user Hình 3.14: Sử dụng burp suite bắt request Và request mà burp suite bắt request đáp ứng đủ ba yếu tố cần thiết cho CSRF : Hành động thay đổi mật người dùng Sử dụng session cookie để kiểm tra xác nhận người dùng đưa request Hacker xác định giá trị tham số request cần thiết để thực hành động Ở em tạo trang giả dạng trang đổi mật khẩu: 33 Hình 3.15: Code giả mạo trang đổi mật Sau chạy lên form đổi mật khẩu: Hình 3.16: Giao diện sau thực code Do em có để script tự động submit nên tự động đổi mật trở trang thơng tin Hình 3.17: Hình giao diện trang thơng tin cá nhân 34 Ở em đăng nhập vào quyền tài khoản Sau em thực đặt hàng thử số lượng để chắn mức độ mà mang lại sau lấy tài khoản user Hình 3.18: Hình giao diện đặt hàng Sau đặt hàng thành cơng em xác định lỗ hổng vơ nguy hiểm không ảnh hưởng trực tiếp đến người dùng mà cịn gây thiệt hại tới trang Web Nếu xuất trang admin tin tặc truy cập vào sử dụng quyền quản trị để thêm xóa admin hay liệu trang web 3.4.2 Clickjacking Sau quét lỗ hổng trang giaystore.ga cơng cụ OWASP Zap em phát trang web xuất lỗi “X-Frame-Options Header Not Set” lỗ hổng bị khai thác công Clickjacking Nên em xác định vị trí bị lỗi khai thác sâu vào cơng cụ clickjacking chun để khai thác Clickjacking Trong terminal em nhập lệnh: “python clickjacked http://giaystore.ga/” 35 Hình 3.19: Hình sử dụng cơng cụ clickjack Sau chạy thành công file tạo là: + cj-target.html + cj-attacker.html Và em dừng Visual Code để mở file xem nội dung code bên em thấy bên file cj-target có jframe viết đè lên frame thị trang mục jframe lại ẩn mờ trang người cơng Hình 3.20: Hình source code file mục tiêu hacker Khi xem chi tiết nội dung code em tiến hành chạy thử file em thấy kết sau: 36 Hình 3.21: Hình giao diện trang attacker dấu vào trang mục tiêu Sau hiển thị em click thử thấy trang khơng có tượng lạ nên dựa vào code em cải tiến thêm lệnh script thực thi hiển thị thông báo người dùng click vào trang mục tiêu Hình 3.22: Hình code thực trang hacker Sau viết code em thực chạy lại file cho kết sau: Hình 3.23: Hình thơng báo hiển thị trang mục tiêu 37 Và từ file em tạo thêm file tương tự dùng iframe trang mục tiêu thêm vào chức hiển thị thơng báo lừa đảo lấy xác nhận từ người dùng để tải file máy người dùng Hình 3.24: Hình code script download file Và cách thức hoạt động sau chạy file, người dùng ấn vào trang mục tiêu thơng báo xác nhận bạn trúng thưởng khiến người dùng bị lừa nhấn vào nút OK Cancel em đặt yêu cầu code người dùng có OK hay Cancel file tải xuống Hình 3.25: Hình thơng báo cho người dùng nhấn vào trang mục tiêu Người dùng dễ bị lừa mã nhận thưởng nên cho phép tải điều khiến cho máy tính họ bị dính mã độc 38 Hình 3.26: Hậu sau thơng báo Sau thực khai thác em chuyển qua dạng khai thác Đó lấy liệu nhập vào từ người dùng Nội dung code tương tự cách khác thác sử dụng iframe trang mục tiêu lần em chọn mục tiêu phần đăng nhập trang Ở em thêm vào form đăng nhập giả ẩn trang mục tiêu với hành động sau người dùng nhấn nút đăng nhập lấy tên tài khoản với mật gửi địa trang mà người công tạo: https://webhostxss.000webhostapp.com/xuli.php Hình 3.27: Hình code form đăng nhập ẩn trang mục tiêu Trong trang người công em sử dụng code php để thực lấy liệu gửi lưu file luu.txt với nội dung địa trang mục tiêu tài khoản người dùng Sau code thực trả trang mục tiêu 39 Hình 3.28: Code php lấy liệu trang hacker Hình 3.29: File lưu tài khoản hacker Và cách hoạt động, bên iframe trang mục tiêu bắt người dùng phải đăng nhập vào Hình 3.30: Giao diện form đăng nhập ẩn form trang mục tiêu 40 Sau người thực nhập liệu nhấn đăng nhập lấy tên đăng nhập: long123 mật khẩu: longpi314 lưu vào file luu.txt bên web người cơng Hình 3.31: Sau người dùng đăng nhập Sau lưu thành công việc trả lại trang mục tiêu khiến cho người dùng khơng biết bị lừa đảo Hình 3.32: Trả trang 41 Sau lần khai thác lỗ hổng cách cơng Clickjacking em nhận thấy mức độ nguy hiểm mà mang lại dù lỗ hổng để ý Mục tiêu công nhắm đến mong muốn quà cáp thiếu ý người dùng Và dẫn điều xấu xảy tiền oan, tài khoản quan trọng tải file mà người dùng khơng biết 3.5 Biện pháp khắc phục (báo cáo) Sau nhận thấy hậu nghiêm trọng nên em thực biện pháp phịng chống lỗ hổng Thì theo thơng tin mà em tìm q trình tìm thơng tin trang web viết tảng ASP.NET Thì ASP.NET có thuộc tính ValidateAntiForgeryToken để ngăn chặn công giả mạo 3.5.1 Cross Site Request Forgery (CSRF) Ở em vào UserController tìm phương thức đổi mật Hình 3.33: Source code web Ở em thấy phương thức đổi mật có thuộc tính Post chưa có thuộc tính ValidateAntiForgeryToken để ngăn chặn CSRF em thêm thuộc tính vào cơng lại xem khắc phục chưa 42 Hình 3.34: Hình thực chèn lệnh chống CSRF Đổi đường link action lại thành đường link local Hình 3.35: Đổi đường link local Và sau đoạn code submit xong: Hình 3.36: thơng báo lỗi gặp CSRF Nó bị chặn lại thuộc tính ValidateAntiForgeryToken ASP.NET 43 3.5.2 Clickjacking Còn lỗ hổng em sử dụng Validate AntiForgery cách phòng chống CSRF, em cịn sử dụng thêm cách em kết hợp css javascript để viết lệnh thực kiểm tra trang html Hình 3.37: Code chặn lỗ hổng Clickjacking Và để kiểm tra nội dung code có hiệu nghiệm khơng em tạo trang web đơn giản chưa có lệnh trang bị lỗi Hình 3.38: Kết chưa có code chặn Sau em thêm lệnh nhận kết ngăn chặn thành cơng lỗ hổng Hình 3.39: Kết sau thêm code vào 44 3.6 Thực báo cáo Hình 3.40: Hình thực lập báo cáo Sau tiến hành biện pháp khắc phục xong tụi em làm mẫu báo cáo để đưa cho khách hàng em vào trang vulnrepo để thực báo cáo Ở ta khai báo toàn lỗ hổng mà ta gặp phải trang web, trang có lỗ hổng, đánh giá mức độ nguy hiểm, ngày phát hiện, mơ tả lỗi cho khách hàng, tình trạng lỗ hổng (đã vá), hình ảnh chứng minh Và sau làm xong ta tải dạng html hay text để đưa cho khách hàng Hình 3.41: Hình sau hoàn thành 45 Chương 4: KẾT LUẬN VÀ KIẾN NGHỊ 4.1 Kết Luận + Hiểu cách bảo mật website + Cách kiểm tra xâm nhập cho web + Biết tăng cường an ninh cho ứng dụng web + Giảm thiểu tối đa khả bị hacker xâm nhập trái phép gây thiệt hại; + Ước tính thiệt hại mà cơng thực tế gây ra; + Biết cách bảo mật sở liệu, thông tin quan trọng + Biết cách tìm lỗ hổng nguy hiểm 4.2 Đánh giá 4.2.1 Những điều làm + Hiểu cách bảo mật website + Cách kiểm tra xâm nhập cho web + Biết cách tìm lỗ hổng nguy hiểm 4.2.2 Những điều chưa làm + Kiến thức hạn hẹp + Tài liệu phổ biến không chi tiết + Chưa sử dụng thành thạo công cụ hỗ trợ 4.3 Hướng phát triển Nghiên cứu sâu trình Web Application Penetration testing việc sử dụng thành thạo công cụ hỗ trợ để quét lỗ hổng đọc hiểu liệu Và tìm biện pháp khắc phục để tăng tính bảo mật Website ngăn chặn tin tặc công 46 ĐỀ TÀI THAM KHẢO [1] https://en.wikipedia.org/wiki/Penetration_test [2] https://viblo.asia/p/penetration-testing-va-cac-ki-nang-can-thiet-de-tro-thanhmot-pentester-bJzKm7E6l9N [3] https://whitehat.vn/threads/tong-hop-nhung-website-de-thuc-hanh-khai-thac-lohong-web.9344/ [4] https://cystack.net/vi/blog/cong-cu-pentest-tot-nhat [5] Niklas Särökaari, Identifying malicious HTTP Requests, HAAGA-HELIA, Finland [6] https://viblo.asia/p/ton [7] https://securitytrails.com/blog/information-gatheringg-quan-ve-pentest-trongkiem-thu-bao-mat-owasp-4dbZNgwglYM [8] https://topdev.vn/blog/csrf-la-gi/ [9] https://www.vietsunshine.com.vn/ [10] https://cystack.net/vi/services/pentest/ 47