Bảo vệ ứng dụng web khỏi các cuộc tấn công
MỤC LỤC
Vấn đề bảo mật ứng dụng web
Mặc dù hoạt động tấn công phá hoại website doanh nghiệp vẫn diễn ra thường xuyên, nhưng bây giờ tin tặc thích tăng cường khả năng truy cập dữ liệu nhạy cảm nằm trên trình chủ chứa database hơn vì lợi nhuận khổng lồ từ các vụ mua bán dữ liệu đem lại. Nói chung, bạn cần trả lời câu hỏi: “Phần nào trên website chúng ta nghĩ là an toàn nhưng lại mở cửa cho các cuộc tấn công?” và “Dữ liệu nào chúng ta đem vào một ứng dụng khiến nó thực hiện một số điều không nên làm?”.Đó là công việc của phần mềm rà soát lỗ hổng Web.
GIỚI THIỆU VỀ CÁC THUẬT NGỮ VÀ KHÁI NIỆM LIÊN QUAN
Các khái niệm và thuật ngữ thường dùng .1 Các khái niệm chung về ứng dụng web
- Các khái niệm và thuật ngữ liên quan đến tấn công và bảo mật ứng dụng web
Lý do bạn phải thuê Web Hosting để chứa nội dung trang web, dịch vụ mail, ftp, vì những máy tính đó luôn có một địa chỉ cố định khi kết nối vào Internet (đó là địa chỉ IP) , còn như nếu bạn truy cập vào internet như thông thường hiện nay thông qua các IPS (Internet Service Provider - Nhà cung cấp dịch vụ Internet) thì địa chỉ IP trên máy bạn luôn bị thay đổi, do đó dữ liệu trên máy của bạn không thể truy cập được từ những máy khác trên Internet. Có những lúc applet được sử dụng rất nhiều, nhưng nó cũng có những vấn đề nảy sinh: đó là sự phụ thuộc vào máy ảo Java JVM, các applet chỉ thực thi khi có môi trường thích hợp được cài đặt phía client, hơn nữa tốc độ của các applet là tương đối chậm vì thế applet không phải là giải pháp tối ưu cho Web động. XML có mặt ở khắp nơi, Microsoft Office 12 cũng sẽ hỗ trợ định dạng file XML.Ngày nay chúng ta có rất nhiều dạng dẫn xuất của XML cho các ứng dụng Web (tất nhiên là có cả XHTML): XUL của Mozilla; XAMJ, một sản phẩm mã nguồn mở trên nền Java; MXML từ Macromedia; và XAML của Microsoft.
• Persistent cookies được lưu trữ dưới dạng tập tin .txt (ví dụ trình duyệt NetscapeNavigator sẽ lưu các cookie thành một tập tin cookie.txt còn Internet Explorer sẽ lưu thành nhiều tập tin *.txt trong đó mỗi tập tin là một cookie) trên máy khách trong mộtkhoản thời gian xác định.
KĨ THUẬT TẤN CÔNG ỨNG WEB CƠ BẢN
Lý thuyết
- CHIẾM HỮU PHIÊN LÀM VIỆC(Session Mangement)
Trong quá trình thiết kế ứng dụng, những người phát triển ứng dụng có thể cài một “cửa sau” (back door) để sau này có thể thâm nhập vào hệ thống một cách dễ dàng. Là kĩ thuật tấn công cho phép hacker mạo danh người dùng hợp lệ bằng cách gửi một session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ. Là kĩ thuật tấn công cho phép hacker mạodanh người dùng hợp lệ sau khi nạn nhân đã đăng nhập vào hệ thống bằng cách giải mã session ID của họ được lưu trữ trong cookie hay tham số URL, biến ẩn của form.
3 LỢI DỤNG THIẾU SểT TRONG VIỆC KIỂM TRA DỮ LIỆU HỢP LỆ (INPUT VALIDATION)
- Các cách triển khai tấn công ứng dụng web
Bằng cách thêm một đoạn mã bất kì ( thường được lập trình bằng ngôn ngữ kịch bản như JavaScript, VBScript…), hacker có thể thực hiện việc đánh cắp thông tin quan trọng như cookie để từ đó trở thành người dùng hợp lệ của ứng dụng…dựa trên những thông tin đánh cắp này. Là khả năng thêm vào những câu lệnh thuộc hệ thống như nhúng file (include file), truy xuất cơ sở dữ liệu (jdbc)…khiến cho hacker có cơ hội truy xuất đến file, cơ sở dữ liệu…mà bình thường không thể xem được trên Web site. Những thông tin trao đổi giữa trình chủ và trình duyệt được lưu trữ trong những biến như biến trên URL, biến ẩn form, cookie…Bởi vì việc kiểm soát biến chưa được quan tâm đúng mức nên hacker có thể lợi dụng sửa đổi giá trị biến để đánh cắp phiên làm việc của người dùng hay thay đổi giá trị một món hàng….
Biến ẩn form không hiển thị trên màn hình trình duyệt nhưng người dùng có thể tìm thấy nội dung của nó trong “ view source ”, vì thế đây là một điểm yếu để hacker lợi dụng bằng cách lưu nội dung trang web xuống trình duyệt, thay đổi nội dung trang và gửi đến trình chủ.
2 Kĩ thuật tấn công SQL Injection
- Một số kĩ thuật tấn công bổ xung 1 Chuỗi kí tự không có dấu nháy đơn
Dùng biến HTTP_REFERER để kiểm tra nguồn gốc của yêu cầu gửi đến, tuy nhiên hacker có thể sử dụng Proxy để che dấu nguồn gốc thực của nó, vì vậy cũng không nên quá tin tưởng biến HTTP_REFERER để kiểm tra. Kĩ thuật “;”, “--“ được dùng như đã từng dùng với câu lệnh SELECT, phải đảm bảo đúng số lượng và kiểu giá trị được nhập vào nhằm tránh lỗi về cú pháp (nếu không xác định được kiểu dữ liệu có thể nhập tất cả là số). Trong trường hợp này, cách tốt nhất là đảm bảo tất cả dữ liệu được đưa vào câu truy vấn SQL (kể cả những giá trị trong cơ sở dữ liệu) phải được kiểm soát một cách chặt chẽ.
Nếu chế độ kiểm soát được bật thì tất cả các câu truy vấn SQL của hacker cũng bị ghi nhận và nhờ đó mà một người quản trị có thể kiểm soát những gì đang xảy ra và nhanh chóng tìm ra được giải pháp. Xp_availablemedia hiển thị những ổ đĩa hiện hành trên máy Xp_dirtree hiển thị tất cả các thư mục kể cả thư mục con Xp_loginconfig Lấy thông tin về chế độ bảo mật trên server Xp_makecab cho phép người sử dụng tạo các tập tin lưu trữ trên Server (hay bất cứ tập tin nào mà server có thể truy x. • Việc tấn công theo SQL Injection dựa vào những câu thông báo lỗi do đó việc phòng chống hay nhất vẫn là không cho hiển thị những thông điệp lỗi cho người dùng bằng cách thay thế những lỗi thông báo bằng 1 trang do người phát triển thiết kế mỗi khi lỗi xảy ra trên ứng dụng.
3 Kĩ thuật tấn công gây tràn bộ đệm và từ chối dịch vụ(Buffer overflow)
- Các kiểu tấn công DDos .1 Kiểu tấn công thứ 1
Không giống như kiểu tấn công DoS truyền thống ( phần 2 ), kiểu tấn công vào băng thông lớn hơn sẽ lợi dụng những gói tin từ những hệ thống khác nhau cùng một lúc tiến đến hệ thống đích khiến cho đường truyền của hệ thống đích không còn khả năng đáp ứng, máy chủ không còn khả năng nhận một gói tin nào nữa. Đây là kĩ thuật thường được hacker sử dụng trong trường hợp không thể chiếm quyền quản trị trên hệ thống hoặc thông tin, hoặc muốn phá hủy uy tín của cơ quan đó.Thêm vào đóviệc giả mạo địa chỉ khiến cho hacker càng dễ dàng thực hiện viêc tấn công mà không sợ bị phát hiện. Kiểu tấn công từ chối dịch vụ là kiểu tấn công gây nhiều khó khăn trong vấn đề bảo vệ cũng như điều tra tìm ra thủ phạm nhất, bởi vì hầu hết hacker đã thay đổi địa chỉ IP của máy mình nên rất khó xác định ai là thủ phạm.
Sau đó, kernel sẽ sử dụng một giao thức mã hoá như SYN cookie cho phép người dùng hợp lệ của hệ thống tiếp tục kết nối đến hệ thống Với WindowNT 4.0 trở về sau, sử dụng kĩ thuật backlog, mỗi khi hàng đợi kết nối không đủ đáp ứng, hệ thống tự động cung cấp tài nguyên cho hàng đợi, vì thế hàngđợi sẽ không bị phá vỡ.
ỨNG DỤNG WEB
Tool scanning
Nhưng nó cũng là công cụ hữu ích để các nhà quản trị mạng , các nhà quản trị hệ thống ứng dụng web đânhs giá lại mức độ bảo mật của hệ thống ứng dụng web từ đó có những phương phát bảo mật hay vá lỗi tương ứng. Nmap một công cụ rất dễ sử dụng bạn có thẻ sử dụng dòng lệnh trên môi trường dos hay có thể sử dụng các tùy chọn trước tiếp trên chính giao diện của nmap. Mặc dù có rất nhiều chức năng nhưng có những lúc nmap cũng không xác định được chính xác các thông số của đối tượng.
Khi bạn sử dụng namap để quét một host nào đó thì sau đó có thể sảy ra tình trạng không truy cập vào trang web này nữa bạn đừng lo lắng để vài phút sau bạn sẽ truy cập được.
Công cụ bắt gói tin
Như trong trường hợp trên Nmap không xác định được thông tin vè phần mềm của host(no Os matches for host). Khi bạn nhấp vào phâng mã hexa hoặc các dòng thông tin bạn sẽ thu được thông tin của gói tin được mã hóa. Bạn có thể save nhưng thông tin này ra và sử dụng nó sau.Công việc tiếp theo của bạn là tìm thêm phần mềm dich nhũng mà hóa đó ra và đọc thông tin của những gói tin đó.
Cảnh báo việc tấn côgn ứng dụng web là trái pháp luật nên bạn không thể tùy tiện sử dụng công cụ này.
