Hình 3.12: Mức độ cảnh báo
Hệ thống hiển thị 4 mức độ cảnh báo an ninh với các màu tƣơng ứng:
- Màu đỏ(level 3): Cảnh báo cho những lỗi nguy hiểm, đƣa website và tình trạng rủi do cao nhất, dễ bị hack và trộm cắp dữ liệu. Ở đây có 20 lỗi có mức độ nguy hiểm
- Màu vàng (level 2)(20 lỗi): Cảnh báo cho những lỗi nhƣ thiếu cấu hình máy chủ, mã hóa trang web site dẫn đến tạo điều kiện cho sự gián đoạn và xâm nhập vào máy chủ.
- Màu xanh da trời(5 lỗi): Cảnh báo cho những lỗi thiếu mã hóa trên đƣờng truyền dữ liệu hoặc bị lộ đƣờng dẫn thƣ mục.
- Màu xanh lá cây(7 lỗi): Thông tin cảnh báo cho những trang web dễ bị tiết lộ thông tin qua tìm kiếm trên google hoặc dễ bị tiết lộ địa chỉ email.
Hiển thị thông tin chi tiết về một lỗi đƣợc tìm thấy:
Khi nhấn vào một lỗi trong danh sách các lỗi ở phần kết quả, cửa số bên phải sẽ hiểu thị chi tiết về lỗi đó bao gồm:
- Mô tả về lỗi.
- Đƣờng dẫn/ nơi chứa file gây ra lỗi đó.
- Mức độ nguy hiểm mà lỗi này có thể mang lại.
- Chi tiết về các tham số, biến đƣợc đùng để test ra lỗi này.
- Cách để fix lỗi này.
- Thông tin chi tiết về lỗi.
Bảng 3-3 Kết quả theo kịch bản
STT Trƣờng hợp test Kết quả mong muốn Đánh giá
1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested
Không bị lỗi XSS Không đạt
2. SQL Injection Không bị lỗi SQL Injection Đạt
3. Blind SQL/XPath injection Không bị lỗi Không đạt
4. Buffer overflows Không bị lỗi tràn bộ nhớ Đạt 5. Input Validation Có validate dữ liệu truyền
vào
Đạt
6. SSL Không bị lỗi SSL Không
Đạt
7. Security and configuration checks
for badly configured proxy servers Không bị lỗi bảo mật do cấu hình Proxy trên Server Không đạt
8. Port scans the web server and obtains a list of open ports with banners
Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)
Đạt
9. Apache httpOnly Cookie
Disclosure Không bị lỗi Không đạt
10. Application error message Không bị lỗi Không đạt
11. Session Cookie without Secure flag set
Không bị lỗi Không
đạt
12. Broken links Không bị lỗi Không
đạt
13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde Đạt 14. Error page Web Server version
disclosure Không bị lỗi Không đạt
15. URL redirection Không tự động redirect sang các trang web khác Đạt
16. CSRF Không bị lỗi CSRF Không
đạt
17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống
Đạt
STT Trƣờng hợp test Kết quả mong muốn Đánh giá đạt
19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp
Đạt
20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên
Cookie Đạt
21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file Đạt
b) Xuất báo cáo đánh giá
Để mở màn hình báo cáo, nhấn nút Report trên thanh toolbar
Hình 3.13: Giao diện xuất báo cáo
Hình 3.14 : Báo cáo Danh sách các loại báo cáo
- Affected Items: Báo cáo này đƣợc tổ chức theo từng Item bị lỗi trên web site cùng với chi tiết về lỗi đƣợc tìm thấy.
- Developer Report: Đƣợc dùng cho các dev để dễ dàng cho việc fix các bug đƣợc tìm thấy.
- Executive Summary: Dùng cho các quản lý nhóm để xem xét đƣợc tình hình bảo mật của một website.
- Quick Report: Báo cáo nhanh danh sách các lỗ hổng trên các file hoặc các tham số bị lỗi.
- Compliance: Báo cáo theo một số chuẩn nhƣ PCI DSS, OWASP và WASC.
- Scan Comparison: Cho phép so sánh với các lần quét trƣớc để dễ dàng xác định các lỗi đã đƣợc fix và các lỗi chƣa đƣợc fix.
- Monthly Vulnerabilities: Thống kê các lỗi đƣợc tìm thấy theo từng tháng.
Cách tạo report
Hình 3.15: Tuỳ chọn xuất báo cáo
- Nếu chọn Display all scan: Hệ thống sẽ hiển thị danh sách tất cả các lần quét để bạn chọn sẽ báo cáo cho lần quét nào.
- Nếu chọn Filter displayed scans: Hệ thống cho phép bạn lọc các lần quét để báo cáo.
- Nhấn Next
Chọn lần quét, các lỗi sẽ đƣợc báo cáo trong mỗi lần
Hình 3.16: Chọn lần quét để xuất báo cáo
- Tích chọn vào lần quét sẽ báo cáo.
- Nhấn để mở các lỗi đã đƣợc tìm thấy, chọn lỗi sẽ báo cáo.
Tạo báo cáo
- Nhấn nút Generate để tạo báo cáo
Xuất báo cáo
- Sau khi tạo báo cáo, hệ thống sẽ hiển thị màn hình chứa báo cáo đó và cho phép ngƣời dùng lƣu lại hoặc xuất báo cáo với nhiều định dạng khác nhau
Hình 3.17: Giao diện xuất báo cáo ra các định dạng
- Nhấn nút xuất báo cáo phía trên
- Chọn định dạng sẽ xuất báo cáo: PDF, HTML, text, Word, BMP
- Chọn các thông tin: các trang, cách hiển thị…. Cho báo cáo sẽ xuất Nhấn OK để hoàn thành thao tác xuất báo cáo
c) Đưa ra khuyến cáo hoặc giải pháp để khắc phục lỗ hổng, hoàn thiện hệ thống
website
Tuỳ thuộc vào từng loại báo cáo, hệ thống sẽ chỉ rõ file nguồn phát sinh lỗi, chẳng hạn nhƣ trong hình sau:
Ngoài ra, khi mô tả về từng lỗi trong màn hình thực hiện test. hệ thống cũng đƣa ra các khuyến các để thực hiện vá các lỗ hổng này.
Hình 3.19: Khuyến cáo để thực hiện vá lỗi
Với lỗi trên, khi đăng nhập vào hệ thống, ngƣời dùng sẽ đƣợc gọi tới địa chỉ sau khi đăng nhập thành công:
https://cloud.neo.vn/neo/main?IzL1Dx9w5BxmCEtw5A9c6Bnb=CEt1CzAwJyLZ4dK l6B1a53W.&IyLlCc5f5w5fCES.=DEAuDy9k4BnfUcSl5Etv6EHl43HaJybk5EA0&C BAkT3Hb5dHbDyW.=1
Nhận định đƣợc cấu trúc trong URL trên, Acunetix đã tạo ra dữ liệu để tác động và gán giá trị của biến IyLlCc5f5w5fCES thành onmouseover=prompt(907189) bad= . Khi đó đƣờng dẫn URL trở thành
https://cloud.neo.vn/dp/main?IyLlCc5f5w5fCES.=%27%20onmouseover%3dprompt %28907189%29%20bad%3d%27
Câu lệnh này sẽ thực thi lệnh onmouseove và bắn ra một thông báo theo lệch Prompt. Nhƣ vậy hacker hoàn toàn có thể tạo ra các đoạn mà script để chƣơng trình gọi tới và sẽ đạt đƣợc mục đích phá hoại theo ý muốn. Hay nói cách khác là hệ thống đã bị lỗi XSS
Giải pháp để fix các lỗi này có thể có nhiều cách, tuy nhiên hiệu quả nhất là một trong các cách sau:
- Thực hiện lọc các ký tự đặc biệt nhƣ:<,>,‟,/… khi ngƣời dùng nhập vào. - Thực hiện mã hoá các ký tự đặc biệt nếu cho phép ngƣời dùng nhập.
Để làm theo hai cách trên, ngƣời lập trình có thể sử dụng câu lệnh code, hoặc có thể sử dụng các class có sẵn trên mạng và chèn vào code của mình. Ngoài ra còn có cả một thƣ viện Hdiv [10] hỗ trợ việc lọc các ký tự đầu vào để hạn chế các lỗi XSS cho các lập trình viên lựa chọn.
SSL 2.0 deprecated protocol: Lỗi này đƣợc phát hiện là giao thức mã hoá dữ liệu trên đƣờng truyền đang sử dụng là giao thức cũ và không an toàn
Để khắc phục đƣợc lỗi này, Acunetix đƣa ra giải pháp là nên ẩn đi giao thức cũ này và sử dụng giao thức mới hơn và an toàn hơn là SSL 3.0 hoặc TLS 1.0
Các lỗi có mức độ trung bình là lỗi thuộc về webserver, chẳng hạn:
Apache httpOnly Cookie Disclosure: Đây là lỗi của Web Server có thể làm lộ thông tin của Cookie. Và để khắc phục đƣợc lỗi này cần nấp cấp lên bản Apache tối thiểu là 2.2.22 là bản tối thiểu đã đƣợc vá lỗ hổng này.
Application error message: Một chƣơng trình có thể đƣa ra các thông báo lỗi hoặc cảnh báo và những thông báo này có thể để lộ một số thông tin nhạy cảm, các thông tin này có thể bị sử dụng để tấn công website. Trong trƣờng hợp này một message lỗi đã để lộ thông tin về webserver đang đƣợc sử dụng “Apache tomcat/7.0.14 – Error Report”. Để khắc đƣợc lỗi này, các lập trình viên phải xem xét thật kỹ đoạn script của mình để loại bỏ những thông báo kiểu này.
3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Đại học công nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix
3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử
Bảng 3-4 Kịch bản đánh giá
STT Trƣờng hợp test Kết quả mong muốn Đánh giá
1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested
Không bị lỗi XSS
2. SQL Injection Không bị lỗi SQL Injection 3. Blind SQL/XPath injection Không bị lỗi
4. Buffer overflows Không bị lỗi tràn bộ nhớ 5. Input Validation Có validate dữ liệu truyền
STT Trƣờng hợp test Kết quả mong muốn Đánh giá
6. SSL Không bị lỗi SSL
7. Security and configuration checks
for badly configured proxy servers Không bị lỗi bảo mật do cấu hình Proxy trên Server 8. Port scans the web server and
obtains a list of open ports with banners
Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080) 9. Apache httpOnly Cookie
Disclosure Không bị lỗi
10. Application error message Không bị lỗi 11. Session Cookie without Secure
flag set Không bị lỗi
12. Broken links Không bị lỗi
13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde 14. Error page Web Server version
disclosure
Không bị lỗi
15. URL redirection Không tự động redirect sang các trang web khác
16. CSRF Không bị lỗi CSRF
17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống 18. GHDB Không bị lỗi google hacking 19. Arbitrary File deletion Không xóa đƣợc file mà
không sử dụng các chức năng của hệ thống cung cấp
20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên Cookie
21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file
3.4.2. Thực hiện đánh giá
Tƣơng tự nhƣ quá trình thao tác để tạo một phiên dò quét nhƣ web http://cloud.neo.vn trên
Ta cũng có thể tạo một phiên đánh giá, dò quét tƣơng tự với cổng thông tin của Đại học Công nghệ
3.4.3. Kết quả đánh giá
Hình 3.20: Kết quả đánh giá
Sau khi dò quét toàn bộ website phát hiện đƣợc toàn bộ 155 lỗi, trong đó có 27 có mức độ nghiệp trọng cao đó là lỗi XSS và lỗi HTTP parameter pollution
Các lỗi chủ yếu nằm tại đƣờng dẫn /uet
Hình 3.21: Danh sách số lƣợng các lỗi
Lỗi có mức độ trung bình chủ yếu là các lỗi do phiên bản web Server đã bị lỗi thời và có nhiều lỗ hổng
Đặc biệt hệ thống có tới 120 lỗi HTML form without CSRF protection nằm trong đƣờng dẫn file /uet
Hình 3.22: Chi tiết lỗi from HTML không có bảo vệ CSRF Bảng 3-5 Kết quả đánh giá theo kịch bản
STT Trƣờng hợp test Kết quả mong muốn Đánh giá
1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested
Không bị lỗi XSS Không đạt
2. SQL Injection Không bị lỗi SQL Injection Đạt
3. Blind SQL/XPath injection Không bị lỗi đạt
4. Buffer overflows Không bị lỗi tràn bộ nhớ Đạt 5. Input Validation Có validate dữ liệu truyền
vào
Đạt
6. SSL Không bị lỗi SSL Đạt
7. Security and configuration checks for badly configured proxy servers
Không bị lỗi bảo mật do cấu
hình Proxy trên Server Không đạt
8. Port scans the web server and obtains a list of open ports with banners
Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)
Đạt
9. Apache httpOnly Cookie
STT Trƣờng hợp test Kết quả mong muốn Đánh giá
10. Application error message Không bị lỗi Đạt 11. Session Cookie without Secure
flag set Không bị lỗi
Đạt
12. Broken links Không bị lỗi Đạt
13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde Đạt 14. Error page Web Server version
disclosure Không bị lỗi Không đạt
15. URL redirection Không tự động redirect sang các trang web khác Đạt
16. CSRF Không bị lỗi CSRF Không
đạt
17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống
Đạt
18. GHDB Không bị lỗi google hacking Đạt
19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp
Đạt
20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên
Cookie Đạt
21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file Đạt Để xuất các báo cáo và khắc phục các sự cố của cổng thông tin điện tử Đại học Công nghệ ta cũng khắc phục tƣơng tự nhƣ các lỗ hổng của cổng thông tin điện tử công ty NEO. Về cơ bản cách khắc phục vẫn là sử dụng các bộ thƣ viện hoặc class có sẵn nhƣ Hdiv. Đồng thời nâng cấp Webserver lên phiên bản mới hơn.
3.5. Kết quả thực tiễn áp dụng
Hình 3.23: Thống kê lỗ hổng phát hiện theo từng loại
3.5.2. Thống kê số lƣợng lỗ hổng phát hiện theo mức độ nghiêm trọng
3.5.3. Thống kê các lỗi phổ biến
Hình 3.25: Thống kê các lỗi thƣờng gặp
Kết chƣơng: Nhƣ vậy, trong chƣơng này, tác giả đã đề xuất đƣợc công cụ và xây dựng đƣợc quy trình để đánh giá cổng thông tin điện tử. Trên cơ sở đó, đã đánh giá đƣợc quy trình đề xuất về mặt ƣu nhƣợc điểm. Từ đó cũng đã triển khai và áp dụng đƣợc trong thực tiễn, và cũng đã thống kê, báo cáo đƣợc kết quả áp dụng này.
KẾT LUẬN
1. Nghiên cƣ́u
Trong quá trình tìm hiể u, em đã nghiên cƣ́u đƣợc cơ bản về lý t huyết an toàn bảo mật thông tin. Trong luận văn, em cũng đã nghiên cứu, đánh giá đƣợc thƣ̣c tra ̣ng vấn đề mất an ninh an toàn tại việt nam cũng nhƣ trên thế giới . Do đó thấy đƣợc tính bức thiết của việc thẩm định, đánh giá sản phẩm an toàn bảo mật thông tin, cụ thể là cổng thông tin điện tử đang là vấn đề nóng và cần đƣợc quan tâm. Qua đó, tìm hiểu về các văn bản pháp lý, các tiêu chuẩn đánh giá sản phẩm an toàn thông tin cũng nhƣ hệ thống các công cụ đánh giá an ninh an toàn cổng thông tin điện tử.
Ngoài ra, luận văn cũng tìm hiểu đƣợc các lỗ hổng cơ bản trong các wesbite, cụ thể là nguyên nhân, cách nhận biết và cách phòng tránh các lỗ hổng này. Đặc biệt, em đã nghiên cứu về các kỹ thuật, công cụ phân tích, dò quét để phát hiện lỗ hổng trong cổng thông tin điện tử.
2. Đóng góp
Dựa trên các công cụ và tiêu chuẩn đã nghiên cứu, luận văn có đóng góp các nội dung sau
Đã so sánh đƣợc các công cụ đánh giá cổng thông tin điện tử. Trên cơ sở đó đề xuất sử dụng công cụ Acunetix để đánh giá an ninh an toàn cổng thông tin điện tử
Xây dựng, đề xuất Quy trình triển khai, thẩm định, đánh giá cổng thông tin điện tử. Đồng thời chỉ rõ đƣợc mục đích, quy trình thực hiện cũng nhƣ đánh giá đƣợc ƣu điểm của quy trình đề xuất
Áp dụng thực tiễn
- Dựa trên công cụ và quy trình đề xuất em đã áp dụng vào trong thực tiễn để đánh giá cổng thông tin điện tử của Đại học công nghệ, cổng thông tin điện tử của công ty đang làm việc.
- Đặc biệt, quy trình và công cụ này đã đƣợc áp dụng để test bảo mật các website là dự án của công ty em trƣớc khi triển khai.
- Hỗ trợ và giúp ích rất nhiều cho công việc của tác giả với vai trò là nhân viên tester của một công ty chuyên cung cấp phần mềm trên nên web vì lĩnh vực test