Đang tải... (xem toàn văn)
Trong thời đại công nghệ thông tin phát triển mạnh mẽ, các ứng dụng web đóng vai trò quan trọng trong đời sống hàng ngày và hoạt động kinh doanh của con người. Sự phổ biến của ứng dụng web cũng đồng nghĩa với việc chúng trở thành mục tiêu lý tưởng cho các hacker để khai thác lỗ hổng bảo mật, gây ra thiệt hại cho cả người dùng và doanh nghiệp. Theo báo cáo của Verizon tập đoàn viễn thông tại mỹ,thống kê rằng các cuộc tấn công ứng dụng web chiếm 26% tổng số vi phạm, khiến nó trở thành kiểu tấn công phổ biến thứ hai sau tấn công phần mềm độc hại (malware) . Theo số liệu từ Cục An toàn thông tin, trong 11 tháng đầu năm 2022, đã có tới 11.213 cuộc tấn công mạng hướng vào Việt Nam, tăng 44,2% so với cùng kỳ năm trước. Trong đó, có 3.930 cuộc tấn công giả mạo (phishing), 1.524 cuộc tấn công thay đổi nội dung (deface), 5.759 cuộc tấn công phần mềm độc hại (malware). Do đó vấn đề đặt ra là cần có công tác kiểm thử bảo mật thật kỹ lưỡng nhằm ngăn chặn các lỗi hay hỏng hóc còn tiềm tàng bên trong ứng dụng web mà ta chưa kịp nhận ra. Việc kiểm thử bảo mật là một hoạt động giữ vai trò rất quan trọng để đảm bảo chất lượng và là hoạt động mang tính sống còn trong các dự án sản . Vì vậy, kiểm thử bảo mật đã trở thành quy trình bắt buộc trong các dự án phát triển phần mềm trên thế giới. Và đó cũng là lí do em chọn theo đuổi kiểm thử bảo mật .
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐỀ TÀI: KIỂM THỬ LỖ HỔNG BẢO MẬT WEB BẰNG CÔNG CỤ ACUNETIX Sinh viên thực : Giảng viên hướng dẫn : Ngành : CÔNG NGHỆ THÔNG TIN Chuyên ngành : AN NINH MẠNG Lớp : Khóa : Hà Nội, tháng 10 năm 2023 PHIẾU CHẤM ĐIỂM Họ tên Họ tên giảng viên Giảng viên chấm 1: Giảng viên chấm 2: Chữ Ký Chữ ký Điểm Ghi LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn đến thầy cô khoa Công nghệ thông tin đặc biệt giảng viên hướng dẫn em nhiệt tình hỗ trợ tạo điều kiện để em hồn thành tập báo cáo Trong thời gian ngắn thực tập báo cáo, tránh khỏi thiếu xót kỹ kiến thức hạn chế, em mong nhận nhận xét thầy để em cịn thể rút kinh nghiệm cho thân công việc Đặc biệt, em xin gửi lời cảm ơn tới Công Ty TNHH người dẫn quản lý thực tập tạo điều kiện cho em thời gian em tham gia thực tập dự án Chỉ thời gian ngắn, nhờ dẫn nhiệt tình anh chị đồng nghiệp, em tiếp thu kiến thức quan trọng để kiểm thử cho dự án Chân thành cảm ơn giám đốc đồng nghiệp công ty bỏ nhiều thời gian, công sức để hướng dẫn em hoàn thành đợt thực tập MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG GIỚI THIỆU TỔNG QUAN VỀ CÔNG TY 1.1 Khái quát công ty 1.2 Cơ cấu tổ chức 1.2.1 Trung tâm Công nghệ thông tin 1.2.2 Trung tâm vận hành .3 1.2.3 Khối văn phòng 1.3 Một số sản phẩm giải pháp công ty .3 1.4 Kết luận chương CHƯƠNG TỔNG QUAN VỀ KIỂM THỬ BẢO MẬT WEB 2.1 Tổng quan kiểm thử bảo mật website 2.1.1 Tầm quan trọng Bảo mật ứng dụng web 2.1.2 Nguyên tắc Bảo mật ứng dụng web 2.1.3 Quy trình Bảo mật ứng dụng web 2.2 Tổng quan lỗ hổng bảo mật cơng nghệ dị qt lỗ hổng 2.2.1 Lỗ hổng bảo mật 2.2.2 Top 10 OWASP 2.2.3 Công nghệ dò quét lỗ hổng 12 2.2.4 Các hình thức kiểm thử bảo mật 13 CHƯƠNG TÌM HIỂU VỀ LỖ HỔNG BẢO MẬT WEB 15 3.1 Cross-Site Scripting 15 3.1.1 Khái niệm 15 3.1.2 Reflected XSS 15 3.1.3 Stored XSS 16 3.2 SQL Injection 17 3.2.1 Khái niệm .17 3.2.2 Error-based SQL injection 18 3.2.3 Union-based SQL injection 18 3.2.4 Blind SQL injection 18 3.3.1 khái niệm 19 3.3.2 Lỗ hổng sử dụng ký tự đặc biệt .19 3.3.3 Lỗ hổng sử dụng hàm hệ điều hành 20 CHƯƠNG DEMO KIỂM THỬ BẢO MẬT VÀ CÁCH KHẮC PHỤC 21 4.1 Công cụ Acunetix 21 4.1.1 Khái niệm .21 4.1.2 Acunetix sử dụng kỹ thuật quét .21 4.2 Cài đặt Acunetix .21 4.3 Lỗ hổng Cross-Site Scripting Acunetix 28 4.4 Cách khắc phục lỗ hổng Cross-Site Scripting 30 4.5 Lỗ hổng SQL Injection Acunetix 32 4.6 Cách khắc phục lỗ hổng SQL Injection 35 4.7 Lỗ hổng directory traversa .36 4.8.Cách khắc phục lỗ hổng directory traversa .39 Kết luận 40 DANH MỤC HỈNH ẢNH Hình Sơ đồ mơ lỗ hổng Rejlechted xss…………………………….16 Hình 3.2 Sơ đồ mơ lỗ hổng Stored xss………… …………………… 17 Hình 4.1 Tải máy ảo VN ware.….……………………………… ………… 22 Hình 4.2 Cài đặt VM ware………………………………………………………22 Hình 4.3 tải Kaili Linux……………… ……………………………………… 23 Hình 4.4 Cài Kali máy ảo………….………………………………… ……23 Hình 4.5 Chọn file ios kali…………………………………………… … ……24 Hình 4.6 Thiết lập thơng tin cho Kali……………………………… ………… 25 Hình 4.7 Tải Acunetix kali…………………………………………… ……25 Hình 4.8 Lệnh cài đặt Acunetix ……………………………….…… ………… 26 Hình 4.9 Chọn Y để đồng ý cài đặt ………………………………… ………….26 Hình 4.10 Cài đặt thành cơng Acunetix……………………….……… ……… 27 Hình 4.11 Gắn địa Host………………………………………… … …… 27 Hình 4.12 Giao diện HOST………………………… ………… ……… 28 DANH MỤC TỪ VIẾT TẮT HMT.,JSC HA NOI MEDIA TECHNOLOGY JOINT STOCK COMPANY AI Artificial Intelligence SQL Structured Query Language XSS Cross-site Scripting CSRF Cros Site Request Forgery NVD National Vulnerability Database DNS Domain Name System DHCP Dynamic Host Configuration Protocol OWASP Open Web Application Security Project LDAP Lightweight Directory Access Protocol LỜI NĨI ĐẦU Trong thời đại cơng nghệ thơng tin phát triển mạnh mẽ, ứng dụng web đóng vai trò quan trọng đời sống hàng ngày hoạt động kinh doanh người Sự phổ biến ứng dụng web đồng nghĩa với việc chúng trở thành mục tiêu lý tưởng cho hacker để khai thác lỗ hổng bảo mật, gây thiệt hại cho người dùng doanh nghiệp Theo báo cáo Verizon- tập đồn viễn thơng mỹ,thống kê công ứng dụng web chiếm 26% tổng số vi phạm, khiến trở thành kiểu cơng phổ biến thứ hai sau công phần mềm độc hại (malware) Theo số liệu từ Cục An toàn thơng tin, 11 tháng đầu năm 2022, có tới 11.213 công mạng hướng vào Việt Nam, tăng 44,2% so với kỳ năm trước Trong đó, có 3.930 cơng giả mạo (phishing), 1.524 công thay đổi nội dung (deface), 5.759 cơng phần mềm độc hại (malware) Do vấn đề đặt cần có cơng tác kiểm thử bảo mật thật kỹ lưỡng nhằm ngăn chặn lỗi hay hỏng hóc cịn tiềm tàng bên ứng dụng web mà ta chưa kịp nhận Việc kiểm thử bảo mật hoạt động giữ vai trò quan trọng để đảm bảo chất lượng hoạt động mang tính sống cịn dự án sản Vì vậy, kiểm thử bảo mật trở thành quy trình bắt buộc dự án phát triển phần mềm giới Và lí em chọn theo đuổi kiểm thử bảo mật CHƯƠNG GIỚI THIỆU TỔNG QUAN VỀ CÔNG TY 1.1 Khái quát công ty Công ty đơn vị phát triển sản phẩm công nghệ doanh nghiệp triển khai tập đoàn - doanh nghiệp lớn trải dài lĩnh vực: network, dịch vụ doanh nghiệp, web, phần mềm Với sản phẩm phục vụ công tác quản lý nhà nước nghiệp vụ đa dạng doanh nghiệp, cơng ty ln có nguyện vọng đồng hành với nhân có đam mê cơng nghệ chun sâu mang tính đột phá giải tốn thu thập khai thác quy mơ liệu siêu lớn 1.2 Cơ cấu tổ chức Với đặc thù mơ hình doanh nghiệp loai hình cơng ty cổ phần Sơ đồ máy hoạt động công ty bao gồm : Ban giám đốc, khối văn phòng, trung tâm công nghệ, trung tâm vận hành 1.2.1 Trung tâm Công nghệ thông tin R&D (Nghiên Cứu Phát Triển): Phòng R&D thường tập trung vào việc nghiên cứu phát triển sản phẩm dịch vụ Chức đảm bảo đổi cải tiến liên tục để cạnh tranh thị trường TechCore (Trung Tâm Cơng Nghệ): TechCore có nhiệm vụ quản lý trì hệ thống cơng nghệ thơng tin cơng ty, bao gồm hạ tầng mạng, máy chủ, phần mềm Chức đảm bảo hoạt động ổn định hệ thống hỗ trợ phòng ban khác việc sử dụng công nghệ Product (Phát Triển Sản Phẩm): Phòng Product chịu trách nhiệm phát triển sản phẩm dịch vụ công ty Chức bao gồm lập kế hoạch phát triển sản phẩm, thiết kế, thử nghiệm, đưa sản phẩm thị trường 1.2.2 Trung tâm vận hành Data Analyst (Nhà Phân Tích Dữ Liệu): Phịng Data Analyst tập trung vào phân tích liệu để đưa thông tin quan trọng để hỗ trợ định Chức thu thập, xử lý phân tích liệu để đưa báo cáo dự đốn Truyền Thơng Marketing: Phịng Truyền thông Marketing quản lý chiến dịch quảng cáo tiếp thị để tạo nhận diện thương hiệu thu hút khách hàng Chức lập kế hoạch quảng cáo, quản lý mối quan hệ với khách hàng, xây dựng chiến lược tiếp thị 1.2.3 Khối văn phịng Kế Tốn: Phịng Kế tốn có nhiệm vụ quản lý tài kế tốn cơng ty Chức bao gồm theo dõi, báo cáo kiểm sốt tài chính, lập báo cáo tài chính, đảm bảo tuân thủ quy định liên quan đến thuế kế tốn HCNS (Nhân Sự): Phịng HCNS quản lý chăm sóc nguồn nhân lực cơng ty Chức bao gồm tuyển dụng, đào tạo, quản lý nhân viên, giải vấn đề liên quan đến lao động, trì mơi trường làm việc tích cực 1.3 Một số sản phẩm giải pháp công ty - Quảng cáo truyền thông : Quảng cáo trực tuyến di động Internet, xuất báo điện tử : Congnghe.vn, nghiên cứu thị trường đối thủ , hỗ trợ MKT, xử lý khủng hoảng: SocialBeat.vn - Giải pháp tảng mobile: Hệ thống quảng cáo theo ngữ cảnh điện thoại thông minh FlexDistro, Ứng dụng trò chơi di động - Giải pháp công nghệ thông tin: Hệ thống lưu trữ xử lý liệu lớn Splunk, Icata , dịch vụ VAS VOlympic, VNMStore , giải pháp quản lý giám sát trang tin điện tử mNews, giải pháp phân tích liệu MXH mSocial, hệ thống CSKH đa kênh qua internet Socialcare, giải pháp iCCRating đánh giá chất lượng CSKH qua tổng đài điện thoại sử dụng nhận dạng phân tích giọng nói, hệ thống xử lý khủng hoảng MXH , giải pháp máy tìm kiếm quy mô lớn - Giải pháp bảo mật : kiểm thử website công ty khách hàng sử dụng dịch vụ giải pháp công ty, viết báo cáo lỗ hổng đề