Để đánh giá được độ chính xác của SDriver với cơ chế rút bỏ dữ liệu mới thì có hai cách thức thực hiện là: sử dụng bộ công cụ kiểm thử và đánh giá dựa trên các ứng dụng web thực tế. Kết quả đánh giá độ chính xác của SDriver đề xuất cũng sẽ được so sánh với SDriver cũ. Do vậy trong quá trình đánh giá sẽ lần lượt chạy thực nghiệm SDriver cũ và SDriver đề xuất, sau đó sẽ so sánh kết quả thu được.
Sử dụng bộ công cụ kiểm thử để đánh giá độ chính xác:
Bộ công cụ kiểm thử được sử dụng để đánh giá độ chính xác SDriver đề xuất là sqlmap, tải tại trang web https://sqlmap.org. Sqlmap là bộ công cụ kiểm thử tấn công tiêm nhiễm SQL cho các ứng dụng web, rất mạnh mẽ và đa năng. Sqlmap hỗ trợ kiểm thử nhiều loại tấn công tiêm nhiễm SQL khác nhau, và hỗ trợ kiểm thử nhiều loại CSDL khác nhau. Tuy nhiên sqlmap không hỗ trợ tự động dò quét toàn bộ ứng dụng web mà phải truyền tham số cho nó. Hai phương thức truyền dữ liệu phổ biến trên ứng dụng web là GET và POST. Đối với mỗi phương thức, ta cần truyền tham số thích hợp cho sqlmap để kiểm thử.
Đối với phương thức GET, truyền tham số trực tiếp trên đường link url của ứng dụng web. Ví dụ kiểm thử tấn công tiêm nhiễm SQL qua tham số “Code”, với SDriver cũ, SDriver đề xuất thực hiện tương tự:
Hình 4. 7 Kiểm thử tấn công tiêm nhiễm SQL với tham số code theo phương thức GET.
Theo hình trên, đoạn mã url được truyền vào sqlmap để kiểm thử là “http://localhost:8080/simplewebapp_old/editProduct?code=”. Ngoài ra tham số “--dbs” cũng được truyền vào sqlmap với ý nghĩa là cố gắng lấy danh sách CSDL trên máy chủ. Sqlmap sẽ tự động tiêm nhiễm thông qua tham số “code”. Như hình trên có một chuỗi mã độc được sqlmap cố gắng tiêm nhiễm là “AND 6084=6084 AND 'jQSY'='jQSY”, nhưng SDriver đã phát hiện và ngăn chặn. Đối với phương thức POST thì trước hết cần phải lấy được tham số POST của ứng dụng web. Để làm được điều này cần sử dụng một công cụ là Burp Suite, phiên bản Free Edition. Sau khi lấy được thông tin về phương thức POST, như hình dưới là thông tin POST của trang login, thì có thể lưu thông tin dưới dạng một file text, ví dụ post.txt, để sử dụng.
Hình 4. 8 Ví dụ thông tin phương thức POST của trang login.
Khi đã có thông tin phương thức POST thì tiến hành kiểm thử các tham số, như ví dụ trên là “userName” và “password”. Cũng giống như với phương thức GET, khi tiến hành kiểm thử tấn công tiêm nhiễm với tham số “password” với phương thức POST, sqlmap sẽ tiến hành tự động tiêm nhiễm các mã độc hại, như hình dưới là một ví dụ. Mã độc hại “UNION ALL SELECT NULL, NULL, NULL,NULL,NULL,CONCAT(CONCAT
('qbvqq','tPGmtjQVRlTUhAXXcZoqrccTNrKmrpmXcVBcEBsA'),'qpbvq')-- KBkR” đã được tiêm vào tham số “password” nhưng SDriver đã phát hiện và ngăn chặn.
Hình 4. 9 Kiểm thử tấn công tiêm nhiễm SQL với tham số password theo phương thức POST.
Trên là hai ví dụ về cách thức sử dụng công cụ sqlmap để kiểm thử khả năng phát hiện và ngăn chặn tấn công tiêm nhiễm của SDriver cũ và SDriver đề xuất. Tiến hành sử dụng sqlmap để thăm dò lỗ hổng từ các tham số khác của ứng dụng web. Kết quả thu được là cả SDriver cũ và SDriver đề xuất đều phát hiện và ngăn chặn thành công tất cả chuỗi độc hại được sinh từ sqlmap.
Đánh giá qua các ứng dụng web thực tế:
Ứng dụng web thực tế được sử dụng để đánh giá là ba ứng dụng web có mã nguồn mở, được tải ở trang web http://www.codewithc.com. SDriver cũ và SDriver đề xuất sẽ lần lượt được triển khai trên ba ứng dụng web này. Một danh sách các chuỗi mã độc, thuộc nhiều kỹ thuật tấn công tiêm nhiễm khác nhau, sẽ được sử dụng để cố gắng tiêm nhiễm vào các tham số của các ứng dụng web. Bảng 4.2 dưới đây thể hiện kết quả phát hiện và ngăn chặn tấn công tiêm nhiễm SQL của SDriver cũ và SDriver đề xuất. Cột “tấn công tiêm nhiễm SQL” thể hiện số cuộc tấn công đã được thực hiện. Cột “ngăn chặn” thể hiện số cuộc tấn công mà SDriver ngăn chặn thành công, cột “tỷ lệ” là tỷ lệ % ngăn chặn thành công.
Bảng 4. 2 Kết quả ngăn chặn tấn công tiêm nhiễm SQL Ứng dụng web Tấn công
tiêm nhiễm SQL
SDriver cũ SDriver đề xuất Ngăn chặn Tỷ lệ (%) Ngăn chặn Tỷ lệ (%) EMusic 110 101 91,8% 110 100% Book store 130 124 95,4% 130 100% Document Manager System 151 145 96% 151 100%
Trong quá trình kiểm thử hoạt động của SDriver trên các ứng dụng web, có nhiều loại tham số khác nhau và không phải loại tham số nào cũng thích hợp để thử nghiệm tấn công tiêm nhiễm. Ví dụ như tham số “search” trong ứng dụng “Document Manager System”, có hai câu truy vấn được thực thi là “select *
from documentload where status !='deleted' and
author='user1'” và “select * from documentshared where status !='deleted' and sharedto='user1'”. Trong cả hai câu truy vấn trên đều không hề có tham số “search”, thay vào đó ứng dụng web sẽ truy vấn lấy toàn bộ danh sách “document” có liên quan đến user sau đó so sánh danh sách đó với chuỗi được truyền vào tham số search. Với các tham số kiểu như vậy thì các cuộc tấn công tiêm nhiễm SQL là vô nghĩa vì nó không thực sự tác động đến câu truy vấn. Kết quả là SDriver đã không phát hiện ra và không đưa ra cảnh báo. Do đó các cuộc tấn công tiêm nhiễm thử nghiệm vào kiểu tham số như trên sẽ không được tính vào bảng kết quả.
KẾT LUẬN Kết quả đạt được:
Sau thời gian tìm hiểu và thực hiện đề tài: “Chống tấn công tiêm nhiễm
SQL sử dụng các khuôn mẫu hợp lệ theo bối cảnh”. Nội dung bài luận văn đã
đạt được các kết quả như sau:
Hiểu được tổng quan về tấn công tiêm nhiễm SQL, các cách thức tấn công và các phương pháp ngăn chặn.
Hiểu được cơ chế hoạt động của kỹ thuật chống tấn công tiêm nhiễm SQL sử dụng các khuôn mẫu hợp lệ theo bối cảnh - SDriver, áp dụng thực hiện mô phỏng hoạt động của SDriver.
Tìm ra được vấn đề còn tồn tại của SDriver
Đưa ra được đề xuất cải tiến
Chạy mô phỏng SDriver với đề xuất cải tiến và đưa ra được đánh giá. Nhìn chung, luân văn đã đạt được các mục tiêu nghiên cứu đã đề ra. Tuy nhiên luận văn vẫn cần phải đưa ra được những đánh giá có tính thuyết phục hơn, như mở rộng ứng dụng web, mở rộng số lượng câu truy vấn, thực thi các câu truy vấn có độ phức tạp cao…
Hướng phát triển tiếp theo: Nội dung luận văn có thể phát triển theo các hướng sau:
Tiếp tục nghiên cứu cải tiến hiệu năng của kỹ thuật này.
Tài liệu tham khảo
1. Dimitris Mitropoulos and Diomidis Spinellis (2009), “SDriver: Location- Specific Signatures Prevent SQL Injection Attacks”, Computer & Security, Volume 28, pp. 121-129.
2. Inyong Lee, Sangsoo Yeo, Soonki Jeong, Jongsub Moon (2012), “A novel method for SQL injection attack detection based on removing SQL query attribute values”, Mathematical and Computer Modelling, Volume 55, pp. 58-68.
3. Open Web Application Security Project (2013), OWASP Top 10 - 2013 The Ten Most Critical Web Application Security Risks, United State.
4. William G.J. Halfond, Jeremy Viegas, and Alessandro Orso (2006), “A Classification of SQL Injection Attacks and Countermeasures”,
Proceedings of the IEEE International Symposium on Secure Software Engineering, (1), pp. 13-15.
5. William Stallings, Lawrie Brown (2014), “SQL Injection Attack”,