Module 12 Hacking web server Những Nội Dung Chính Trong Chương Này Cách Tấn Công Thông Dụng Vào Máy Chủ Web IIS Unicode Exploit Tấn Công Web Server Qua Lỗi Của Hệ Thống Tấn Công Từ Chối Dịch Vụ Patch Management Công Cụ Tấn Công Kiện Toàn Bảo Mật Cho Máy Chủ Web Sự tiếng hacker phần lớn công vào trang web hay máy chủ web để đánh cắp thông tin thẻ tín dụng, tài khoản ngân hàng hay lấy liệu mật công bố website Wikileak Bởi web server hay máy chủ web thành phần “online 24/7” tổ chức doanh nghiệp nên chúng thường mục tiêu để hacker nhắm tới, xâm nhập vào hệ thống máy chủ web hacker tiếp tục dò tìm thâm nhập đến hệ thống khác mạng nội hay tiến hành deface trang web, khái niệm tìm hiểu sau Trong vai trò CEH hay hacker mũ trắng cần hiểu rõ cách thức công mà hacker sử dụng để khai thác thông tin hay điểm yếu thông dụng máy chủ web gồm : - - Lỗi cấu hình phần mềm máy chủ web Lỗi bảo mật hệ điều hành hay ứng dụng chạy máy chủ web Thiếu vá lỗi hay hệ thống không cập nhật đầy đủ, việc sử dụng thông tin sau cài đặt nguyên nhân làm cho máy chủ web bị công Thiếu sách an toàn thông tin thủ tục vận hành hợp lý Thông qua khe hỡ hacker khai thác để chiếm quyền điều khiển hay thâm nhập vào máy chủ web, từ họ leo thang công sang thành phần quan trọng khác hệ thống thâm nhập mạng nội bộ, công vào máy chủ sở liệu hay dịch vụ mạng quan trọng khác tổ chức Cách Tấn Công Thông Dụng Vào Máy Chủ Web Các tình công mà hacker thường thực web server deface web site, thuật ngữ nói đến hành động hacker đột nhập vào web server thay đổi trang chủ website nội dung khác Ví dụ để lại lời nhắn mang tính chất trị, hay thay đổi hình ảnh nhăm bôi xấu đơn vị chủ quản website Đối với hacker thích khoe thành tích thông điệp để lại thông tin họ giới mạng Sau phương pháp mà hacker dùng để công : - Tìm cách bắt giữ tài khoản quản trị web server hay web site thông qua nghe hay công man in the middle Một ví dụ điển hình hacker nghe quản trị viên bất cẩn sử dụng telnet để điều khiển máy chủ từ xa, hay chí web master sử dụng giao thức an toàn SSH để truy cập từ xa có khả bị hacker đánh cắp thông tin tài khoản qua hình thức giả mạo chứng điện tử (fake certificate) - Bẽ khóa mật quản trị công cụ brute-force - Tấn công DNS để điều hướng người dùng sang trang web khác - Tác động lên dịch vụ FTP hay Email server - Khai thác bug (lỗi bảo mật) ứng dụng web hay web server - Lợi dụng tài nguyên chia máy chủ web cấu hình không hợp lý, hay việc gán quyền bị sai cho phép người dùng phép upload thực thi chương trình - Sử dụng lỗi lập trình sở liệu để tiêm thị nguy hiểm vào hệ thống mà thường nghe đến với thuật ngữ SQL Injection - Điều hướng người dùng đến trang web khác thông qua phương pháp spoofing DHCP, DNS hay đánh cắp cookie nhằm tiến hành công vào phiên làm việc client web server (còn gọi session hijacking) IIS Unicode Exploit IIS Unicode Exploit lỗi bảo mật hệ thống máy chủ web chạy IIS chưa patch (vá lỗi) Lỗi ảnh hưởng đến thành phần mở rộng ISAPI ASP hay kịch CGI cho phép hacker có khả thao tác hệ thống thư mục máy chủ Điểm đặc biệt nguy hiểm hệ thống IIS cài đặt mặc định Windows 2000 Server nên hay bị hacker khai thác, nhiều tổ chức triển khai máy chủ Windows 2000 Server không hay biết dịch vụ IIS cài kèm theo với điểm yếu chết người mà hacker công để làm gãy đổ toàn hệ thống Theo thông kê lỗi bảo mật IIS version nguyên nhân làm cho website nhiều tổ chức Việt Nam bị deface Hình 12.1 - Giao diện trang web bị deface Về bản, Unicode chuyển đổi kí tự ngôn ngữ sang định dạng chung sử dụng toàn cầu, mang lại thuận tiện cho người dùng việc phải suy nghĩ lựa chọn bảng mã để tương thích với đa số người xem Các hacker tận dụng diễn dịch sai thiếu kiểm soát tính hợp lệ liệu đầu vào IIS để chép, upload hay chí thực thi chương trình trái phép máy chủ web Nếu bạn cần truy cập vào trang web http://www.netpro.etc yêu cầu xử lý cách tìm kiếm tập tin index.html hay defaul.html thư mục gốc đặt C:\inetpub\wwwroot\index.html , đường dẫn đến thư mục local web server, đường dẫn khác web master tùy biến trình cài đặt Khi truy cập đến nội dung có tên bao gồm khoảng trắng trình duyệt chuyển kí tự khoảng trắng thành %20, mã Unicode kí tự khoảng trắng mã ASCII Như hacker dùng Unicode để diễn dịch thị mà chúng muốn web server hiểu thực thi Ví dụ hacker muốn thực việc hiển thị nội dung ổ đĩa C:\ trình duyệt họ cần chạy dòng lệnh cmd.exe trình duyệt, lệnh nội trú thư mục /winnt/system32/ ổ đĩa hệ thống cần phải chuyển ngược lên thư mục bên với lệnh DIRUP mà hay dùng thông qua cú pháp “CD / /” Vậy kẻ công thử thực dòng lệnh sau trình duyệt : http://www.netpro.etc/scripts/ %255C %255C/winnt/system32/cmd.exe?/c+dir+c:\ Để hiểu câu lệnh cần xem qua tùy chọn lệnh cmd.exe (các gía trị sau dấu ? xem đối số để thực lệnh mã unicode kí tự ASCII, / / chuyển thành %5C sau chuyển đổi kí tự thêm lần máy chủ web hiểu thực thi Dưới số kí tự ASCII mã unicode tương ứng : ASCII % C UNICODE %25 %35 %43 Nếu web server www.netpro.etc dùng phiên IIS chưa vá lỗi trình duyệt web hiển thị toàn nội dung đĩa C:\ máy chủ Tương tự, hacker sử dụng lệnh khác để tiến hành khai thác sau hơn, cần chuyển đổi lệnh thành mã unicode hợp lệ Hình 12.2 – Attacker khai thác lỗi unicode web server Mặc dù lỗi thuộc dạng hết hạn sử dụng, dùng để minh họa nhiều web site chạy máy chủ Windows 2000 Server gặp phải Website Việt Nam bị ảnh hưởng lỗi www.cantho.gov.vn bị hacker thâm nhập Tấn Công Web Server Qua Lỗi Của Hệ Thống Ngoài lỗi máy chủ web hacker công vào hệ điều hành phát khiếm khuyết bảo mật Trong thời gian 2010 – 2011 có nhiều máy chủ web Việt Nam cài đặt Windows Server 2003, tích hợp hệ thống phân giải tên miền DNS bị hacker công chiếm quyền điều khiển từ xa với công cụ Metasploit Framework Các bạn tham khảo hướng dẫn thực hành đào tạo an ninh mạng cho Tổng Cụ Hải Quan vào năm 2012 http://youtu.be/oImK2NaTnXI Tấn Công Từ Chối Dịch Vụ Trong trường hợp hệ thống bảo vệ chặt chẽ điểm yếu hacker công từ chối dịch vụ cách dùng mạng botnet để gởi số lượng cự lớn yêu cầu kết nối, dạng công biết qua thuật ngữ DDoS Ngoài ra, phần mềm máy chủ web có lỗi bị hacker sử dụng công cụ công từ chối dịch vụ OWASP HTTP Post Tool (http://www.youtube.com/watch?v=lYQFF4Ki8_s) Patch Management Patch Management thuật ngữ tiến trình cập nhật vá lỗi gồm patch (các vá lỗi tổng quát) hotfix (những xử lý lỗi cho tình khẩn cấp đó) hệ thống để bít lại lổ hỗng bảo mật ngăn không cho hacker lợi dụng để xâm nhập trái phép Việc cập nhật vá hay hotfix cần thực đầy đủ bao gồm xác định phiên thích hợp, kịp thời cần phải kiểm tra máy thử nghiệm nhằm bảo đảm cố xảy ứng dụng cập nhật Trong số tình lổ hỗng phát nhà sản xuất chưa có vá lỗi tương ứng cần tìm hiểu phương pháp xử lý thủ công thiết lập chế kiểm soát riêng hay tạm tắt dịch vụ thấy cần thiết Các lỗi dạng hay đề cập thuật ngữ Zero Day (0-Day) Công Cụ Tấn Công N-Stalker Web Application Security Scanner cho phép kiểm tra ứng dụng web có khả bị khai thác thông qua điểm yếu XSS, SQL injection, buffer overflow hay không Metasploit Framework ứng dụng miễn phí tích hợp sẳn nhiều mã khai thác payload nguy hiểm chuyên dùng để công web server Phiên Metasploit Version 4.2 chạy hệ thống Windows hay Linux 32 / 64 bit Ngoài ra, bạn chạy Metasploit trực tiếp mà không cần cài đặt đĩa Live DVD BackTrack R1 (phiên vào thời điểm tại) Core Impact SAINT Vulnerability Scanner công cụ khai thác thương mại chuyên dùng cho mục đích kiểm tra công phần mềm máy chủ web OWASP HTTP Post Tool công cụ công kiểm định bảo mật cho máy chủ web phát triển OWASP, công từ chối dịch vụ máy chủ web sử dụng Apache bị lỗi Phương Pháp Kiện Toàn Bảo Mật Cho Máy Chủ Web Để phòng chống bị công administrator máy chủ web hay web master cần tiến hành thao tác kiện toàn bảo mật thường gọi tiến trình hardening, sau số bước mà CEH cần thực để tăng độ vững cho máy chủ : - Thay đổi tên tài khoản quản trị, không dùng tên mặc dịnh administrator dùng mật mạnh, thay đổi thường xuyên - Tắt trang web trang FTP mặc định - Gỡ bỏ ứng dụng không cần thiết máy chủ dịch vụ WebDAV Cần lưu ý WebDAV tác nhân làm cho website Việt Nam bị hacker công Các lổ hỗng WebDAV xuất IIS phiên chưa vá - Cấu hình máy chủ web ngăn không cho duyệt thư mục - Đặt thông báo nhằm cảnh báo hacker không thâm nhập trái phép phá hoại với hình phạt tương ứng mà pháp luật quy định - Áp dụng vá lỗi cập nhật cho hệ điều hành cho ứng dụng chạy hệ điều hành - Tiến hành kiểm ta khu vực tiếp nhận liệu đầu vào nhằm loại bỏ khả bị khai thác thông qua hình thức chèn mã độc hay thị nguy hiểm - Tắt chức quản trị từ xa không thật cần thiết - Bật chức auditing logging để ghi lại chứng dấu vế mà hacker để lại - Sử dụng firewall web server internet để kiểm tra chặt chẽ yêu cầu truy cập luồng liệu Chỉ mở cổng cần thiết 80, 443, 22 … - Thay phương pháp gởi liệu với hàm GET hàm POST để không thị thông tin truyền từ client đến server Tổng Kết Đề phòng chống bảo vệ cho máy chủ web tương tự hệ thống máy chủ khác cần tiền hành hardening máy tính dùng để cài phần mềm web server, thông thường máy áp dụng chế độ bảo mật cao gọi Bastion Host Thường xuyên kiểm tra lỗi bảo mật hệ thống ứng dụng với chương trình quét lỗi mạnh mẽ Retina, GFI NSS hay NESSUS Lọc thay kí tự đặc biệt mà hacker hay dùng để công phòng tránh cross site scripting ta thay kí tự “” với “<” “>”