-Tiếp đến cần thêm các dòng lệnh trong /etc/environment để có thể thực hiện chuyển sang mơi trường jdk8
- Thực hiện lệnh :
sudo nano /etc/environment
- Thêm các dòng vào /etc/environment, thêm cuối dịng PATH=/…/…/games
::/usr/lib/jvm/jdk1.8.0_333/bin:/usr/lib/jvm/jdk1.8.0_333/db/bin:/usr/lib/jvm/jdk 1.8.0_333/jre/bin
J2SDKDIR="/usr/lib/jvm/jdk1.8.0_333" J2REDIR="/usr/lib/jvm/jdk1.8.0_333/jre" JAVA_HOME="/usr/lib/jvm/jdk1.8.0_333" DERBY_HOME="/usr/lib/jvm/jdk1.8.0_333/db"
Hình 3. 7 : Thực hiện thêm các dịng lệnh vào etc/environment
- Sau đó ấn ctrl O + Enter + ctrl X để lưu và thốt. - Thực hiện các lệnh để hồn tất việc cài JDK 8 :
sudo update-alternatives --install "/usr/bin/java" "java" "/usr/lib/jvm/jdk1.8.0_333/bin/java" 0
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/lib/jvm/jdk1.8.0_333/bin/javac" 0
sudo update-alternatives --set java /usr/lib/jvm/jdk1.8.0_333/bin/java sudo update-alternatives --set javac /usr/lib/jvm/jdk1.8.0_333/bin/javac update-alternatives --list java
Hình 3. 8: Thực hiện việc cập nhật JDK 8 cho Kali
-Khi đã cài xong JDK 8 ta cần chuyển đổi từ JDK 11 sang JDK 8 để có thể chạy được Vega. Ta thực hiện lệnh:
sudo update-alternatives --config java
- Và chọn mode 2 để chuyển sang JDK 8
3.1.2.2. Cài đặt libwebkitgtk
- Trước khi có thể cài libwebkitgtk ta cần cài file sources.list - Thực hiện tạo file deb9.list
Bước 1 : Thực hiện các lệnh :
sudo nano /etc/apt/sources.list.d/deb9.list
Bước 2 : Sau đó lưu các dữ liệu vào file :
deb http://deb.debian.org/debian/ stretch main contrib non-free deb-src http://deb.debian.org/debian/ stretch main contrib non-free deb
http://security.debian.org/ stretch/updates main contrib non-free deb-src http://security.debian.org/ stretch/updates main contrib non-free
Hình 3. 10: Thêm dữ liệu vào /etc/apt/sources.list.d/deb9.list
Bước 3 : Nhấn tổ hợp Ctrl S + Ctrl X để lưu và thốt Sau đó cần update lại và thực hiện cài libwwebkitgtk :
sudo apt-get update
sudo apt-get install libwebkitgtk-1.0
3.1.2.3. Cài đặt vega
Bước 1: Tạo và mở thư mục Respon để lưu
file VegaBuild-
Bước 2 : Mở link https://subgraph.com/vega/download.html chọn dowload để
lấy copy link download phiên bản Linux GTK 64-bit Intel(sig)
Hình 3. 12: Sao chép link download file Vega
Bước 3 : Dùng Wget để tải vega từ https://subgraph.com/
wget https://support.subgraph.com/downloads/VegaBuild-linux.gtk.x86_64.zip
Bước 4 : Thực hiện unzip file VegaBuild-linux.gtk.x86_64.zip :
unzip VegaBuild-linux.gtk.x86_64.zip
Hình 3. 14 : Thực hiện unzip file Vega để cài đặt
Để mở vega ta thực hiện :
Hình 3. 15 : Mở thƣ mục chứa Vega và chạy ứng dụng 3.2. Thực nghiệm :
3.2.1 Đối tượng thực nghiêm :
Chúng ta sẽ tiến hành dò quét trên một số trang Web hiện hành xem sẽ thu được kết quả như thế nào.
- Thực hiện dò quét các trang web bằng vega:
1. Trang web của ngân hàng quân https://mbbank.com.vn
đội MBBANK
2. Trang web của sàn thương mai https://tiki.vn
điện tử TIKI
3. Trang chủ của Học Viện Kỹ https://www.actvn.edu.vn
Thuật Mật Mã
4. Trang web quản lý sinh viên của http://qldt.actvn.edu.vn
trường Học Viện Kỹ Thuật Mật Mã
5. Trang web của Công ty TNHH https://bitis.com.vn/
sản xuất hàng tiêu dùng Bình Tiên (Biti’s)
Thợ Rừng trên youtube
7. Trang web của salon tóc nổi https://30shine.com/
tiếng ở Việt Nam
8. Trang web bán tài khoản game https://rikaki.net/
của 1 game thủ
9. Trang web của cổng thông tin https://www.tiemchungcovid19.
tiêm chủng Covid-19 gov.vn
10. Trang web của ví điện tử https://momo.vn/
MOMO
11. Một số trang web dùng để thực http://testphp.vulnweb.com
hành khai thác lỗi http://demo.testfire.net
Bảng I : Danh sách các trang web dùng để dò quét
3.2.2. Kết quả thực nghiệm
- Kết quả khi dò quét các trang web
1. Trang web của ngân hàng quân đội MBBANK
https://mbbank.com.vn
2. Trang web của sàn thương mai điện tử TIKI
https://tiki.vn
Hình 3. 17 : Kết quả dị qt trang web của TIKI
3. Trang chủ của Học Viện Kỹ Thuật Mật Mã
https://www.actvn.edu.vn
4. Trang web quản lý sinh viên của trường Học Viện Kỹ Thuật Mật Mã
http://qldt.actvn.edu.vn
Hình 3. 19 : Kết quả dị qt trang web quan lý sinh viên HVKT Mật Mã
5. Trang web của Công ty TNHH sản xuất hàng tiêu dùng Bình Tiên (Biti’s)
https://bitis.com.vn/
6. Trang web bán hàng của kênh Thợ Rừng trên youtube
https://thorung.vn/
Hình 3. 21 : Kết quả dị quét trang web bán hàng của kênh Thợ Rừng
7. Trang web của salon tóc nổi tiếng ở Việt Nam
https://30shine.com/
8. Trang web bán tài khoản game của 1 youtuber
https://rikaki.net/
Hình 3. 23 : Kết quả dò quét trang web bán tài khoản game của 1 youtuber
9. Trang web của cổng thơng tin tiêm chủng Covid-19
https://www.tiemchungcovid19.gov.vn
10. Trang web của ví điện tử MoMo
https://momo.vn/
Hình 3. 25 : Kết quả dị qt trang web của ví điện tử MOMO
11. Một số trang web dùng để thực hành khai thác lỗi : - http://testphp.vulnweb.com
- http://demo.testfire.net
Hình 3. 27 : Kết quả dị qt trang web demo.testfire.net
3.2.3 : Bảng tổng kết kết quả :
Trang web thực nghiệm Thời gian Kết quả thực nghiệm thu Số thực nghiệm được lỗi
https://mbbank.com.vn 4 giờ 35 phút Cross-Site Script Include 115 Local Filesystem Paths Found 1
https://tiki.vn 4 giờ 10 phút Cross-Site Script Include 115
https://actvn.edu.vn/ 26 phút none
http://qldt.actvn.edu.vn 55 phút Cross-Site Scripting 33
SQL Injection 1
Page Fingerprint Differential 3 Detected - Possible Local File
Include
URL Injecttion 43
https://bitis.com.vn/ 15 phút SQL Injection 7
Shell Injection 2
Shell Injection 8 Possible XML Injection 7
URL Injecttion 1
Possible HTTP PUT File 2 Uplpad https://30shine.com/ 4 phút SQL Injection 4 Cross-Site Scripting 2 https://rikaki.net/ 31 phút SQL Injection 9 Shell Injection 4 Possible XML Injection 1
https://www.tiemchung 50 giây Certificate signed using SHA-1 1
covid19.gov.vn/
https://momo.vn 1 phút Forward Secrecy Not 1 Prioritized
http://testphp.vulnweb.com 7 phút Cross Site Scripting 11
SQL Injection 8
MySQL Error Detected – 3 Possible SQL Injection
http://demo.testfire.net 3 phút session cookie Without Secure 1 Flag
Cleartext Password over HTTP 1 Cross-Site Scripting 2 Local File Include 1 Possible Source Code
Disclosure 1
3.3. Kết luận và đánh giá
3.3.1. Kết luận:
Qua việc thực hiện dò quét các trang web ngẫu nhiên ta có thể nhận thấy đa phần các trang web sẽ có các lỗ hổng sau :
+ SQL Injection
+ Cross-Site Scripting
. + Shell Injection
3.3.2. Đánh giá
Trong chương 3 này , nhóm em đã nghiệm thu thử nghiệm các lỗ hổng thường gặp trên một số Website thông dụng hiện nay, thời gian thực quét chúng bằng phần mềm Vega . Từ đó sẽ xây dựng ra các giải pháp kịp thời, nhằm đảm bảo an toàn thơng tin cho cá nhân nói riêng và cho tồn hệ thống nói chung.
KẾT LUẬN Các kết quả đạt đƣợc của bài luân văn :
Với mục tiêu nghiên cứu các vấn đề xoay quanh việc đảm bảo an toàn cho website và thử nghiệm, luận văn đã đạt được một số kết quả sau đây:
- Nghiên cứu tổng quan về công nghệ Web và các vấn đề liên quan. - Nghiên cứu tổng quan về tấn công các lỗ hổng bảo mật WEB.
- Nghiên cứu đề xuất mơ hình tổng qt phát hiện lỗ hổng bảo mật WEB. - Nghiên cứu hai giải pháp phát hiện lỗ hổng bảo mật WEB và các vấn đề liên quan.
-Cài đặt và tiến hành dò quét thử nghiêm phát hiện lỗ hổng bảo mật trên 1 số trang web phổ biến.
Hƣớng phát triển tiếp theo:
-Thực hiện và đưa ra các giải pháp tối ưu hơn nữa để hạn chế tối đa sự xuất hiện của các lỗ hổng trên website .
-Xây dựng và nghiên cứu thêm các hệ thống có thể dị qt các lỗ hổng bảo mật và phân tích các lỗ hổng chi tiết hơn nhằm hỗ trợ cho bảo đảm an toàn các hệ thống Website
TÀI LIỆU THAM KHẢO [1] http://bkav.com.vn/ [2] https://github.com/subgraph/Vega/wiki/Vega-Scanner [3] https://subgraph.com/vega/ [4] https://www.mi2.com.vn/cac-cong-cu-quet-lo-hong-bao-mat-website-tot-nhat-hien- nay/
[5] “Phân loại và phát hiện lỗ hổng của hệ thống thơng tin”, Tạp chí An tồn thơng tin 2014
[6] Jason Weir (2014) - “Building a Debian\Snort based IDS”, McGraw-Hill. [7] http://vncert.gov.vn