HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Thu Hương NGHIÊN CỨU CÁC DẠNG TẤN CÔNG ỨNG DỤNG WEB VÀ GIẢI PHÁP PHÒNG CHỐNG Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS TRẦN VIỆT HƯNG Phản biện 1: ………………………………………………… Phản biện 2: ………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng LỜI MỞ ĐẦU Việc thiếu quan tâm đầu tư định đến hệ thống an ninh, phận chuyên trách dẫn đến vụ công vào website dễ xảy Điều đồng nghĩa với việc nội dung liệu đơn vị có nguy bị lớn an ninh mạng không đảm bảo Vậy cần phải làm để tăng cường khả phịng, chống nguy cơng vào website biện pháp ngăn chặn, khắc phục kịp thời cố Việc sâu tìm hiểu dạng công vào website giúp cho hiểu lổ hổng cơng tác quản lý website, qua đưa giải pháp giúp nhà quản lý có biện pháp khắc phục, ngăn chặn thâm nhập từ bên ngồi, vai trị quan trọng việc triển khai ứng dụng cơng nghệ an tồn bảo mật Chính vây, tơi chọn đề tài “Nghiên cứu dạng công ứng dụng web giải pháp phòng chống” làm đề tài luận văn 2 Chương - TỔNG QUAN VỀ WEB VÀ CÁC DẠNG TẤN CÔNG ỨNG DỤNG WEB 1.1 Tổng quan web an ninh web 1.1.1 Tìm hiểu website cách hoạt động Website tập hợp trang web (web pages) bao gồm văn bản, hình ảnh, video, flashv.v thường nằm tên miền (domain name) tên miền phụ (subdomain) Trang web lưu trữ ( web hosting) máy chủ web (web server) truy cập thơng qua Internet 1.1.2 Tìm hiểu ứng dụng web 1.1.2.1 Khái niệm ứng dụng web Ứng dụng Web ứng dụng chủ/khách sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác Trình khách dành cho người sử dụng thường trình duyệt Web Internet Explorer hay Firefox Cũng chương trình đóng vai trị đại lý người dùng hoạt động trình duyệt tự động Người dùng gửi nhận thơng tin từ trình chủ thơng qua việc tác động vào trang Web Các chương trình trang trao đổi mua bán, diễn đàn, gửi nhận e-mail… Một ứng dụng web thường có kiến trúc gồm: Hình 1.1: Kiến trúc số ứng dụng web thơng thường  Lớp trình bày: Lớp có nhiệm vụ hiển thị liệu cho người dùng, ngồi cịn có thêm ứng dụng tạo bố cục cho trang web  Lớp ứng dụng: Là nơi xử lý ứng dụng web Nó xử lý thông tin người dùng yêu cầu, đưa định, gửi kết đến “lớp trình bày” lớp thường cài đặt kỹ thuật lập trình CGI, Java, NET, PHP hay ColdFusion, triển khai trình chủ IBM WebSphere, WebLogic, Apache, IIS…  Lớp liệu : thường hệ quản trị liệu (DBMS) chịu trách nhiệm quản lý file liệu quyền sử dụng 4 Quá trình hoạt động bắt đầu với yêu cầu tạo từ người dùng trình duyệt, gửi qua Internet tới trình chủ Web ứng dụng (Web application Server) Web ứng dụng truy cập máy chủ chứa sở liệu để thực nhiệm vụ yêu cầu: cập nhật, truy vấn thông tin nằm sở liệu Sau ứng dụng Web gửi thơng tin lại cho người dùng qua trình duyệt 1.1.2.2 Mơ hình hoạt động ứng dụng web Hình 1.3: Mơ hình hoạt động ứng dụng web  Trình khách ( hay cịn gọi trình duyệt): Internet Explorer, Firefox  Trình chủ: Apache, IIS, …  Hệ quản trị sở liệu: SQL Server, MySQL, DB2, Access… 5 Hoạt động ứng dụng web:  Trình duyệt : gửi yêu cầu (request) đến trình chủ thông qua lệnh GET, POST giao thức HTTP  Trình chủ :  Thực thi chương trình xây dựng từ nhiều ngơn ngữ Perl, C/C++…  Yêu cầu diễn dịch thực thi trang ASP, JSP…  Trình chủ trả cho trình khách luồng liệu có định dạng theo giao thức HTTP gồm phần:  Header: Header mơ tả thơng tin gói liệu thuộc tính, trạng thái trao đổi trình duyệt WebServer  Body phần nội dung liệu mà Server gửi Client, file HTML, hình ảnh, đoạn phim hay văn 1.1.2.3 Một số ứng dụng web Ứng dụng dựa web chương trình thiết kế để sử dụng hồn tồn trình duyệt Sử dụng ứng dụng, làm việc tạo tài liệu, chỉnh sửa ảnh nghe nhạc… mà cài đặt phần mềm phức tạp  Calendar (lịch trình) Ưu điểm ứng dụng web Ứng dụng web có ưu điểm sau so với ứng dụng dành cho máy tính để bàn:  Cài đặt ứng dụng dễ dàng, nhanh chóng: Nhiều ứng dụng sẵn có mạng cú nhấp chuột, chí khơng phải khởi động lại trình duyệt máy tính  Ứng dụng ln có sẵn: Dù sử dụng máy tính nào, ln truy cập vào ứng dụng mình… 1.1.3 Tìm hiểu an ninh web Theo thống kê phương thức cơng (hình) thấy kiểu công truyền thống SQL Injection, Cross-Site Script, Brute Force gây thiệt hại cho hệ thống mạng dù cảnh báo từ lâu Các công chủ yếu tập trung vào ứng dụng web phát triển dịch vụ thương mại điện tử với tảng ứng dụng web 2.0 Vấn đề bảo mật cho ứng dụng nói chung ứng dụng web nói riêng cịn “mới mẻ” doanh nghiệp Việt Nam Các vấn đề bảo mật Web Một nghiên cứu gần 75% công mạng thực mức ứng dụng Web 1.1.4 Một số thuật ngữ liên quan 1.1.4.1 Hacker 1.1.4.2 Session ID 1.1.4.3 COOKIE 1.1.4.4 IP TCP/IP 1.1.4.5 DNS 1.2 Các dạng công ứng dụng web 1.2.1 Tấn công từ chối dịch vụ 1.2.1.1 DoS (Denial of Service) DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ Nó bao gồm việc làm tràn ngập mạng, làm kết nối với dịch vụ… mà mục đích cuối làm cho server khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ client DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Thực chất DoS kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ đến từ client khác 1.2.1.2 DDoS (Distributed Denial Of Service) Distributed Denial Of Service (DDoS) kỹ thuật cơng làm ISP lo âu, giới hacker thống khơng cơng nhận DDoS kỹ thuật cơng thống Thế Black hat có nhiều ưu triển khai công kỹ thuật DDoS 9 Việc phòng ngừa ngăn chặn DDoS thực mức độ khắc phục hậu truy tìm thủ phạm 1.2.1.3 DRDoS (Distributed Reflection Denial of Service) Mục tiêu DRDoS chiếm đoạt tồn băng thơng máy chủ, tức làm tắc ngẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Trong suốt trình máy chủ bị cơng DRDoS, khơng máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3, bị vơ hiệu hóa 1.2.2 Chiếm hữu phiên làm việc (Session Management) 1.2.2.1 Ấn định phiên làm việc Là kỹ thuật công cho phép Hacker mạo danh người dùng hợp lệ cách gửi SessionID hợp lệ đến người dùng, sau người dùng đăng nhập vào hệ thống thành công, hacker dùng lại SessionID trở thành người dùng hợp Trong kiểu công ấn định phiên làm việc, hacker ấn định sẵn session ID cho nạn nhân trước họ 10 đăng nhập vào hệ thống Sau đó, hacker sử dụng session ID để buớc vào phiên làm việc nạn nhân 1.2.2.2 Đánh cắp phiên làm việc Là kỹ thuật công cho phép Hacker mạo danh người dùng hợp lệ sau nạn nhân đăng nhập vào hệ thống cách giải mã SessionID họ lưu trữ Cookie hay tham số URL, biến ẩn Form 1.2.3 Tấn công chèn câu truy vấn SQL Injection SQL injection kĩ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để ”tiêm vào” (inject) thi hành câu lệnh SQL bất hợp pháp (không người phát triển ứng dụng lường trước) Hậu tai hại cho phép kẻ cơng thực thao tác xóa, hiệu chỉnh…do có tồn quyền sỡ liệu ứng dụng, chí server mà ứng dụng chạy Lỗi thường xảy ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase 11 Khi Hacker gửi liệu (thông qua webform), ứng dụng web thực trả cho trình duyệt kết câu truy vấn hay thông báo lỗi có liên quan đến sở liệu Và nhờ thông tin mà haker biết nội dung sở liệu điều khiển tồn hệ thống ứng dụng Các dạng cơng SQL Injection: - Có bốn dạng thơng thường bao gồm: vượt qua kiểm tra lúc đăng nhập (authorization bypass), sử dụng câu lệnh SELECT, sử dụng câu lệnh INSERT, sử dụng storedprocedures 1.2.4 Chèn mã lệnh thực thi trình duyệt Cross-Site Scripting Khái niệm XSS thao tác kịch phía máy khách ứng dụng web để thực theo cách mong muốn kẻ xấu Những kịch nhúng vào trang web thực người dùng tải trang có tác vụ liên quan Cross-site Scripting (XSS) lỗ hổng cho phép hacker chèn đoạn mã clientscript (thường Javascript HTML) vào trang web, 12 người dùng vào web này, mã độc thực thi máy người dùng Hiện tồn hình thức:  Stored-XSS:  Reflected-XSS: 13 Chương 2: GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG ỨNG DỤNG WEB 2.1 Phương thức công ứng dụng web 2.1.1 Tấn công từ chối dịch vụ 2.1.1.1 DoS (Denial of Service)  Phá hoại dựa tính giới hạn phục hồi tài nguyên mạng 2.1.1.2 DDoS (Distributed Denial Of Service) Bao gồm giai đoạn: Giai đoạn chuẩn bị Giai đoạn xác định mục tiêu thời điểm Phát động cơng xóa dấu vết Kiểm tra xem server có bị DDOS hay khơng Hình 2.1 Mơ hình cơng DDoS 14 2.1.1.3 DRDoS (Distributed Reflection Denial of Service) Về bản, DrDoS phối hợp hai kiểu DoS DDoS Nó có kiểu cơng SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa server mục tiêu gửi yêu cầu SYN đến server lớn Yahoo, Micorosoft…,để server gửi gói tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền mạnh vơ tình đóng vai trị zoombies cho kẻ cơng DdoS Hình 2.2 Sơ đồ mô tả kiểu công DRDOS 15 2.1.2 Chiếm hữu phiên làm việc (Session Management) 2.1.2.1 Ấn định phiên làm việc Bước 1: Thiết lập session ID Bước 2: Gởi session ID đến trình duyệt nạn nhân Bước 3: Đột nhập vào phiên làm việc nạn nhân 2.1.2.2 Đánh cắp phiên làm việc  Tấn công kiểu dự đốn phiên làm việc  Tấn cơng kiểu vét cạn phiên làm việc  Tấn công kiểu dùng đoạn mã để đánh cắp phiên làm việc 2.1.3 Tấn công chèn câu truy vấn SQL Injection 2.1.3.1 Dạng công vượt qua kiểm tra đăng nhập - Với dạng công này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web Xét ví dụ điển hình, thơng thường phép người dùng truy cập vào trang web bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin tên đăng nhập mật Sau người dùng nhập thông tin vào, hệ thống kiểm tra tên đăng nhập mật có hợp lệ hay không để định cho phép hay từ chối thực tiếp 2.1.3.2 Dạng công sử dụng câu lệnh SELECT 16 Để thực kiểu công này, kẻ cơng phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dị tìm điểm yếu khởi đầu cho việc công 2.1.3.3 Dạng công sử dụng câu lệnh INSERT - Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng kí thành cơng, người dùng xem hiệu chỉnh thơng tin SQL injection dùng hệ thống khơng kiểm tra tính hợp lệ thông tin nhập vào 2.1.3.4 Dạng công sử dụng stored-procedures - Việc công stored-procedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' 2.1.3.5 Tấn công SQL Injection nâng cao 2.1.4 Chèn mã lệnh thực thi trình duyệt Cross-Site Scripting XSS lỗi phổ biến, có nhiều trang web bị mắc phải lỗi này, ngày có nhiều người quan tâm đến lỗi Các bước thực công theo phương pháp sau: 17 Truy tìm lỗ hổng XSS web Tấn cơng 2.2 Giải pháp phịng chống cơng ứng dụng web 2.2.1 Tấn công từ chối dịch vụ 2.2.1.1 DoS (Denial of Service) - Mơ hình hệ thống phải xây dựng hợp lý, tránh phụ thuộc lẫn mức dễ dẫn đến phận gặp cố làm hệ thống bị trục trặc - Thiết lập password bảo vệ thiết bị hay nguồn tài nguyên quan trọng - Thiết lập mức xác thực người dùng nguồn tin mạng (các thông tin cập nhật định tuyến router nên thiết lập chế độ xác thực)… 2.2.1.2 DDoS (Distributed Denial Of Service) Cách 1: Chống iframe Cách 2: Chống tải lại trang web có ác ý Cách 3: Giới hạn số kết nối website thời điểm 2.2.1.3 DRDoS (Distributed Reflection Denial of Service) Tấn công từ chối dịch vụ DRDoS khó phịng chống tính bất ngờ thường phòng chống bị động việc diễn Các phương án phịng ngừa có thể: 18  Thiết lập, cài đặt mật mạnh (strong password) để bảo vệ thiết bị mạng máy chủ dịch vụ, router,… nguồn tài nguyên quan trọng khác Phòng ngừa điểm yếu ứng dụng Web, Webserver, DNS, SQL Database… Thường xuyên cập nhật vá yêu cầu quan trọng… 2.2.2 Chiếm hữu phiên làm việc Chống việc đăng nhập với session ID có sẵn, ứng dụng phải hủy bỏ session ID cung cấp trình duyệt người dùng đăng nhập tạo session ID người dùng đăng nhập thành công khiến cho hacker người dùng hợp lệ hệ thống Giới hạn phạm vi ứng dụng session ID kết hợp session ID với địa trình duyệt, kết hợp session ID với chứng thực mã hoá SSL người dùng, xóa bỏ session người dùng khỏi hệ thống hay hết hiệu lực, thiết lập thời gian hết hiệu lực cho session để tránh trường hợp hacker trì session sử dụng lâu dài… 19 2.2.3 Cách Phòng Tránh SQL Injection 2.2.3.1 Kiểm tra liệu 2.2.3.2 Khoá chặt SQL Server (SQL Server Lockdown) 2.2.3.3 Thiết lập cấu hình an tồn cho hệ quản trị sở liệu 2.2.4 Chèn mã lệnh thực thi trình duyệt Cross-Site Scripting Người ta không lường hết mức độ nguy hiểm XSS khơng q khó khăn để ngăn ngừa XSS: Lọc Ln ln lọc liệu nhập từ phía người dùng cách lọc kí tự meta (kí tự đặc biệt) định nghĩa đặc tả HTML Mã hóa Lỗi XSS tránh máy chủ Web đảm bảo trang phát sinh mã hóa (encoding) thích hợp để ngăn chạy chạy script không mong muốn 2.3 Các giải pháp bảo mật ứng dụng web 20 Chương 3: THỬ NGHIỆM VÀ ĐÁNH GIÁ 3.1 Kịch 3.2 Cài đặt Các bước cài đặt phần mềm tìm kiếm phát lỗi Acunetix Web Vulnerability Scanner phiên 3.3 Thử nghiệm Chạy phần mềm Acunetix Web Vulnerability Scanner 3.4 Đánh giá kết luận  Đánh giá quy trình thử nghiệm  Kết luận  Những mặt hạn chế KẾT LUẬN Luận văn đưa nghiên cứu dạng công, đột nhập cách thức cơng dựa tìm hiểu, phân tích, đánh giá thơng tin, khảo sát thực tế để từ tìm tịi, đưa giải pháp cụ thể cho việc phịng chống cơng ứng dụng web Đã tiến hành thử nghiệm việc công ứng dụng web phát công ứng dụng web phần mềm phát công ứng dụng web Để từ đưa giải pháp phịng tránh khắc phục lỗi Tuy nhiên, luận văn hạn chế mức tìm hiểu, nghiên cứu đưa giải pháp mức độ Tôi xin đề xuất nghiên cứu, tìm hiểu sâu để ứng dụng rộng rãi thực tế  ... khai ứng dụng công nghệ an tồn bảo mật Chính vây, tơi chọn đề tài ? ?Nghiên cứu dạng công ứng dụng web giải pháp phòng chống? ?? làm đề tài luận văn 2 Chương - TỔNG QUAN VỀ WEB VÀ CÁC DẠNG TẤN CÔNG ỨNG. .. tịi, đưa giải pháp cụ thể cho việc phịng chống cơng ứng dụng web Đã tiến hành thử nghiệm việc công ứng dụng web phát công ứng dụng web phần mềm phát công ứng dụng web Để từ đưa giải pháp phòng tránh... (subdomain) Trang web lưu trữ ( web hosting) máy chủ web (web server) truy cập thơng qua Internet 1.1.2 Tìm hiểu ứng dụng web 1.1.2.1 Khái niệm ứng dụng web Ứng dụng Web ứng dụng chủ/khách sử dụng giao