Đang tải... (xem toàn văn)
sql injection và các biện pháp phòng chống
Khóa luận tốt nghiệp 2013 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ KHÓA LUẬN TỐT NGHIỆP (Hệ đại học chính quy) Đề tài: Một số phương pháp bảo vệ websites trong thương mại điện tử Giáo viên hướng dẫn: TS. Lê Phê Đô Sinh viên: Nguyễn Thế Thạo Hà Nội – 2013 Một số phương pháp bảo vệ websites trong thương mại điện tử 1 Khóa luận tốt nghiệp 2013 LỜI MỞ ĐẦU Một số phương pháp bảo vệ websites trong thương mại điện tử 2 Khóa luận tốt nghiệp 2013 TÓM TẮT NỘI DUNG Một số phương pháp bảo vệ websites trong thương mại điện tử 3 Khóa luận tốt nghiệp 2013 MỤC LỤC Một số phương pháp bảo vệ websites trong thương mại điện tử 4 Khóa luận tốt nghiệp 2013 Chương 1: Tìm hiểu thương mại điện tử và đánh giá tình hình an toàn an ninh mạng hiện nay. I. Tìm hiểu về thương mại điện tử 1. Khái niệm: Có nhiều khái niệm về thương mại điện tử (TMĐT), nhưng hiểu một cách tổng quát, TMĐT là việc tiến hành một phần hay toàn bộ hoạt động thương mại bằng những phương tiện điện tử. TMĐT vẫn mang bản chất như các hoạt động thương mại truyền thống. Tuy nhiên, thông qua các phương tiện điện tử mới, các hoạt động thương mại được thực hiện nhanh hơn, hiệu quả hơn, giúp tiết kiệm chi phí và mở rộng không gian kinh doanh. TMĐT càng được biết tới như một phương thức kinh doanh hiệu quả từ khi Internet hình thành và phát triển. Chính vì vậy, nhiều người hiểu TMĐT theo nghĩa cụ thể hơn là giao dịch thương mại, mua sắm qua Internet và mạng (ví dụ mạng Intranet của doanh nghiệp). 2. Lợi ích: Lợi ích lớn nhất mà TMĐT đem lại chính là sự tiết kiệm chi phí và tạo thuận lợi cho các bên giao dịch. Giao dịch bằng phương tiện điện tử nhanh hơn so với giao dịch truyền thống, ví dụ gửi fax hay thư điện tử thì nội dung thông tin đến tay người nhận nhanh hơn gửi thư. Các giao dịch qua Internet có chi phí rất rẻ, một doanh nghiệp có thể gửi thư tiếp thị, chào hàng đến hàng loạt khách hàng chỉ với chi phí giống như gửi cho một khách hàng. Với TMĐT, các bên có thể tiến hành giao dịch khi ở cách xa nhau, giữa thành phố với nông thôn, từ nước này sang nước kia, hay nói cách khác là không bị giới hạn bởi không gian địa lý. Điều này cho phép các doanh nghiệp tiết kiệm chi phí đi lại, thời gian gặp mặt trong khi mua bán. Với người tiêu dùng, họ có thể ngồi tại nhà để đặt hàng, mua sắm nhiều loại hàng hóa, dịch vụ thật nhanh chóng. 3. Các loại hình ứng dụng thương mại điện tử: Dựa vào chủ thể của thương mại điện tử, có thể phân chia thương mại điện tử ra các loại hình phổ biến như sau: - Giao dịch giữa doanh nghiệp với doanh nghiệp - B2B (business to business); - Giao dịch giữa doanh nghiệp với khách hàng - B2C (business to consumer); - Giao dịch giữa doanh nghiệp với cơ quan nhà nước - B2G (business to government); - Giao dịch trực tiếp giữa các cá nhân với nhau - C2C (consumer to consumer); - Giao dịch giữa cơ quan nhà nước với cá nhân - G2C (government to consumer). 4. Thanh toán điện tử: Một số phương pháp bảo vệ websites trong thương mại điện tử 5 Khóa luận tốt nghiệp 2013 Thanh toán điện tử là hình thức thanh toán tiến hành trên môi trường internet, thông qua hệ thống thanh toán điện tử người sử dụng mạng có thể tiến hành các hoạt động thanh toán, chi trả, chuyển tiền, Thanh toán điện tử được sử dụng khi chủ thể tiến hành mua hàng trên các siêu thị ảo và thanh toán qua mạng. Để thực hiện việc thanh toán, thì hệ thống máy chủ của siêu thị phải có được phầm mềm thanh toán trong website của mình. 5. Quảng cáo trên Internet: Cũng như các hình thức quảng cáo khác, quảng cáo trên mạng nhằm cung cấp thông tin đẩy nhanh tiến độ giao dịch giữa người bán và người mua. Tuy nhiên, quảng cao trên mạng khác hẳn với quảng cáo trên các phương tiện thông tin đại chúng khác vì nó giúp người tiêu dùng có thể tương tác với quảng cáo. Trên mạng mọi thứ đều có thể đưa vào quảng cáo, từ bố trí sản phẩm tới thiết kế các ảnh nền phía sau nội dung quảng cáo, làm cho logo hoặc bất cứ nhãn hiệu sản phẩm nào cũng trở nên nổi bật. Quảng cáo trên Internet cũng tạo cơ hội cho các nhà quảng cáo nhắm chính xác vào đối tượng khách hàng của mình và giúp họ quảng cáo với đúng sở thích và thị hiếu người dùng. Ngoài ra, quảng cáo trên mạng còn là sự kết hợp của quảng cáo truyền thống và tiếp thị trực tiếp. Đó là sự kết hợp giữa cung cấp nhãn hiệu, cung cấp thông tin và trao đổi buôn bán ở cùng một nơi. * Các hình thức quảng cáo trên Internet: - Quảng cáo bằng các banner, đường link qua các website khác - Quảng cáo qua E-mail - Quảng cáo trên Website II. Tình hình an toàn an ninh mạng hiện nay Tại Việt Nam, nhiều doanh nghiệp phải đối mặt với việc hình thành và lan tràn nhiều biến thể virut mới, tấn công trên mạng ngày càng nở rộ với mục đích vụ lợi cá nhân cũng như mục đích kinh tế, thậm chí ảnh hưởng đến hoạt động kinh doanh và an ninh quốc gia. Các website trong nước liên tiếp bị tấn công với mức độ phức tạp gia tăng mà điển hình là việc báo điện tử Vietnamnet bị tấn công nhiều lần (tháng 11, 12/2010, 1/2011). Hình thức lừa đảo trực tuyến các email bằng tiếng việt đã bắt đầu xuất hiện và phát tán rộng…đã đặt ra yêu cầu đối với sự nhận thức đúng đắn về mức độ cấp thiết, tối quan trọng của an ninh mạng, bảo mật thông tin. Mạng Internet Việt Nam còn tiềm ẩn rất nhiều những nguy cơ về mặt an ninh an toàn thông tin. Hàng loạt website lớn bị tấn công với mức độ phức tạp ngày càng gia tăng. Rất nhiều các website của các tổ chức, doanh nghiệp còn tồn tại các l€ hổng an toàn thông tin. Nhiều l€ hổng an toàn thông tin mới được phát hiện. Tội phạm mạng đang diễn ra với tốc độ nhanh hơn, quy mô hơn, tính chuyên nghiệp, trình độ kỹ thuật ngày càng cao hơn. Qua tìm hiểu sơ bộ, có 1 số điểm đáng lưu ý: Một số phương pháp bảo vệ websites trong thương mại điện tử 6 Khóa luận tốt nghiệp 2013 Trong năm 2009, ở nước ta có hơn 1000 (1.037) website bị hacker tấn công, tăng hơn gấp đôi so với năm 2008 (461 website) và gấp ba lần so với năm 2007 (342 website). Trong 3 tháng đầu năm 2010 đã có hơn 300 website của các cá nhân và tổ chức có tên miền .vn bị các hacker nước ngoài thăm dò, tấn công. Tính đến cuối quý I/2011, số người sử dụng Internet tại Việt Nam đạt 27.559.006 người, chiểm 31,9 % dân số; số thuê bao internet trên cả nước ước tính đạt 3,8 triệu thuê bao. Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thương hiệu (191.667 tên miền .vn và hàng triệu tên miền thương mại). Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trực tuyến vào công việc kinh doanh, giao dịch,… Tại Hội thảo về an toàn thông tin trong cơ quan nhà nước và doanh nghiệp do Sở TT-TT Hà Nội tổ chức hôm 21/9/2012, Trung tâm Ứng cứu khẩn cấp Máy tính Việt nam (VNCERT, thuộc Bộ TT-TT) công bố "Gần 80% website có thể bị tấn công thay đổi nội dung hoặc đánh sập". Đây là 1 điều đáng quan tâm lo ngại hiện nay. Các website bị tấn công chủ yếu là các website kinh doanh trực tuyến, ngân hàng, các tổ chức cung cấp dịch vụ ,…( Nguyên nhân: chủ yếu là sự yếu kém trong quản trị website và không thường xuyên kiểm soát l€ hổng, ít quan tâm đến các cảnh báo an ninh của các cơ quan, tổ chức có chức năng đảm bảo an ninh an toàn thông tin quốc gia). Trên thế giới, rất nhiều các websites thương mại nổi tiếng cũng bị tấn công không chỉ 1 mà nhiều lần, ví dụ như website của Amazon.com tại Anh, Pháp, Đức và Tây Ban Nha đã ngưng hoạt động trong khoảng nửa giờ đồng hồ vào tối 12/12/2010. Vào khoảng cuối tháng 7, đầu tháng 8/2011, có khoảng hơn 6 triệu website bị tấn công bởi loại malware có tên Willysy. Loại malware này đã khai thác một l€ hổng của hệ điều hành mã nguồn mở osCommerce đang được sử dụng khá phổ biến với các website thương mại điện tử trên thế giới. Trước đó, vụ tấn công đầu tiên của malware Willysy được phát hiện lần đầu tiên xuất hiện ở phiên bản oSComerce 2.2. Willysy đã khai thác một một l€ hổng trên phiên bản này sau đó cài mã độc chờ sẵn các “nạn nhân”. Những kẻ gian dùng các phương pháp tấn công các websites thương mại điện tử nhằm mục đích chiếm đoạt tiền và tài sản của nạn nhân: Một số phương pháp bảo vệ websites trong thương mại điện tử 7 Khóa luận tốt nghiệp 2013 Dùng thủ đoạn Phishing, trojan horse, spyware để lấy cắp địa chỉ email, thông tin thẻ tín dụng và thông tin cá nhân như tên, địa chỉ,số điện thoại, số thẻ an ninh xã hội, thông tin giấy phép lái xe… Mua bán thông tin thẻ tín dụng trên mạng internet. Trộm cắp tiền từ thẻ tín dụng và tài khoản, làm thẻ tín dụng giả rút tiền từ máy ATM. Rửa tiền: chuyển tiền từ tài khoản trộm cắp được sang tài khoản e-money tại e- gold, e-passport. Lừa đảo qua quảng cáo, bán hàng trực tuyến trên mạng internet, trong hoạt động thương mại điện tử,trong mua bán ngoại tệ,cổ phiếu qua mạng, đánh bạc và rửa tiền, thực hiện hành vi trốn thuế. Một số phương pháp bảo vệ websites trong thương mại điện tử 8 Khóa luận tốt nghiệp 2013 Chương 2: Các phương thức tấn công phổ biến và cách phòng tránh I. Phòng chống các kỹ thuật tấn công cơ bản: 1. Lập bản đồ trang: I.1. Nội dung: - Sử dụng một chương trình thu thập đi theo các liên kết trong ứng dụng và chỉ ra luồng di chuyển theo các trang của ứng dụng và cơ chế xác thực. - Đọc ghi chú trong các tài liệu gửi đến trình duyệt để có được sự gợi ý về logic trong kinh doanh hay các thuật toán. - Tìm tên người dùng, mật khẩu, và tên cơ sở dữ liệu trong các các tài liệu gửi cho khách hàng. - Tìm các truy vấn SQL để có manh mối về cấu trúc cơ sở dữ liệu và cách truy vấn được xây dựng từ dữ liệu động. - Xác định vị trí trường ẩn trong form. - Tìm ra giá trị của các tham số chuyển giữa các trang web. - Tạo ra các trường hợp l€i khác nhau để xem máy chủ trả lời. Một ví dụ là, nếu kiểm tra máy chủ khác nhau đưa ra một thông báo l€i cho một không đúng tên người dùng so với sai mật khẩu. I.2. Cách phòng tránh: - Tránh đưa ra các thông tin về các truy vấn SQL. - Không gắn kèm các ghi chú trong mã gửi đến khách hàng. - Không đặt tên người dùng, mật khẩu, cơ sở dữ liệu vào chu€i kết nối, trong mã và thông báo l€i. 2. Đoán tập tin và thư mục: II.1. Nội dung: Những kẻ tấn công sẽ đoán những tệp và thư mục chứa thông tin quan trọng và cố gắng truy cập vào đó để lấy thông tin: - Tập tin như config.inc, web.xml, và server.xml có thể chứa thông tin kết nối cơ sở dữ liệu. - Tập tin. Htpasswd có thể chứa thông tin tên người dùng và mật khẩu của họ. - Thư mục như template/ có thể chứa các tệp tin với thông tin về các ứng dụng. II.2. Các phòng tránh: - Sử dụng danh sách kiểm soát truy cập để chặn những nguời dùng truy cập vào các thư mục và tệp hệ thống không được phép. - Bảo vệ bất kỳ tệp tin không liên quan đến người dùng, bằng cách đặt chúng trong thư mục bên ngoài hệ thống file hoặc trong những nơi được bảo vệ đặc biệt như WEB-INF/. 3. Khai thác khi đã biết những luồng bảo mật: 3.1. Nội dung: Một số phương pháp bảo vệ websites trong thương mại điện tử 9 Khóa luận tốt nghiệp 2013 - Tất cả các phần mềm bao gồm cả hệ điều hành, ứng dụng máy chủ, và các công cụ h€ trợ đều có l€i. - Khi l€i đã được tìm thấy, cách bản sửa l€i thường được cung cấp để sửa chữa chúng. - Thời gian mà các quản trị viên hệ thống áp dụng bản sửa l€i bảo mật vào hệ thống của mình thì những kẻ tấn có thể khai thác những l€ hổng đã được phát hiện trong thời gian giữa bản l€i và bản được sủa của người quản trị. Ta có thể hiểu đơn giản là phương pháp này dựa trên sự “nhanh tay nhanh chân” của kẻ tấn công, nhanh chóng tấn công vào 1 l€i đã được công bố nhưng hệ thống chưa kịp update các bản vá l€i. 3.2. Cách phòng tránh: Thực hiện sửa l€i các l€ hổng đã phát hiện một cách nhanh chóng nhất có thể. 4. Vượt qua hạn chế trên các lựa chọn đầu vào: 4.1. Nội dung: Một lớp tấn công khác là vượt qua hạn chế trên lựa chọn đầu vào: - Thông tin người dùng nhập vào thường bị hạn chế theo những phạm vi để dễ kiểm soát. - Để cải thiện kinh nghiệm người sử dụng, mã của phía client sẽ thực hiện việc xác nhận dữ liệu của người dùng. - Các ứng dụng được viết một cách đơn giản tin tưởng các giá trị được gửi lên sẽ nằm trong phạm vi mong đợi. - Bởi vượt qua được giao diện người dùng, những kẻ tấn công có thể gán các giá trị tùy ý cho biến đầu vào của người dùng. 4.2. Cách phòng tránh: Để giảm thiểu rủi ro, cần xác nhận tính hợp lệ tất cả các dữ liệu đến từ client. II. Phòng chống tấn công dựa vào trạng thái của trang Giao thức HTTP không lưu trạng thái của các trang web hay người dùng khi tương tác với ứng dụng. Do yêu cầu của ứng dụng websites thương mại điện tử như đăng nhập vào hệ thống để sử dụng những tiện ích(mua bán, giao dịch, xác nhận, ) hay đơn giản chỉ là đánh dấu những nơi đã đi qua nên các ứng dụng web sẽ lưu lại trạng thái các phiên làm việc bằng cách thiết lập giá trị nào đó được lưu lại ở máy tính của người dùng hay trong mã gửi đến người dùng thông qua trình duyệt. Trạng thái của phiên làm việc sẽ được lưu theo ba cách sau: - Trường ẩn trong form - Tham số CGI (cả trong phương thức GET và POST) Một số phương pháp bảo vệ websites trong thương mại điện tử 10 [...]... hình dựa trên thời gian (timebased) Khác với phương pháp nhận biết sự khác biệt của nội dung phản hồi đã đề cập, phương pháp này không hề chú ý gì tới Một số phương pháp bảo vệ websites trong thương mại điện tử 30 Khóa luận tốt nghiệp 2013 nội dung của truy vấn trả về, do đó các cấu hình chặn và xử lý thông báo lỗi của quản trị viên không ảnh hưởng tới phương pháp này Các độ trễ thực thi của truy vấn... password=’’ or ‘1’=’1’; Một số phương pháp bảo vệ websites trong thương mại điện tử 21 Khóa luận tốt nghiệp 2013 Trường hợp này việc xác thực đã thành công do mệnh đề WHERE luôn đúng Ngoài cách trên ta có thể thực hiện chèn thêm một đoạn or ‘1’=’1 vào username, tức là admin’ or ‘1’=’1’ or ‘1’=’1 vào, kết quả thu được cũng tương tự, do toán tử AND đã được “khử” trước các toán tử OR 3 Các phương pháp tấn công... backdoor, worm,… 2 Cách phòng tránh: Một số phương pháp bảo vệ websites trong thương mại điện tử 18 Khóa luận tốt nghiệp 2013 Như đã biết, một tấn công XSS chỉ thực hiện được khi gửi một trang Web cho trình duyệt Web của nạn nhân có kèm theo mã script độc của kẻ tấn công Vì vậy những nhà phát triển có thể bảo vệ ứng dụng Web khỏi bị lợi dụng thông qua những tấn công XSS này, đảm bảo những trang phát sinh động... ứng dụng để phân biệt Có hai phương pháp để sinh độ trễ trong truy vấn: - Gọi các hàm trì hoãn thực thi được các DBMS hỗ trợ Một số phương pháp bảo vệ websites trong thương mại điện tử 31 Khóa luận tốt nghiệp 2013 Sử dụng các truy vấn “lớn” Gọi các hàm có khả năng trì hoãn thực thi được các DBMS hỗ trợ Ví dụ: Ta sử dụng trang web http://wexmax.net để minh họa cho phương pháp tấn công này Đây là trang... vấn Ở SQL Server có hàm EXEC(string query) được sử dụng để thực thi một truy vấn ở dạng chuỗi Ví dụ: EXEC(‘SELECT password FROM tbl_users’) Trong Oracle, sử dụng lệnh EXECUTE IMMEDIATE để thực thi một truy vấn chứa trong một chuỗi, ví dụ: declare l_cnt varchar2(20); begin Một số phương pháp bảo vệ websites trong thương mại điện tử 36 ... thác được như sau: SELECT * FROM tbl_products WHERE id = 4 UNION SELECT 1,2-Nếu thấy bất cứ con số nào trong số các giá trị “chỉ điểm” kia xuất hiện bất thường trong phản hồi, ta có thể biết, cột đó có thể dùng để “nhúng” thông tin khai thác được Ví dụ: Một số phương pháp bảo vệ websites trong thương mại điện tử 27 Khóa luận tốt nghiệp 2013 Hình 10 - Tìm cột “mang” dữ liệu Không thấy gì, nhưng hãy để... làm việc của họ - Hình 2 - Thông tin về session trong 1 phiên làm việc Những kẻ tấn công có thể thực hiện những cách sau: Đoán mã của một phiên làm việc hợp lệ Ăn cắp một mã phiên qua các mạng lưới giám sát: Một số phương pháp bảo vệ websites trong thương mại điện tử 14 Khóa luận tốt nghiệp 2013 Hình 3 - Ăn cắp session qua mạng lưới giám sát - Ăn cắp một mã phiên thông qua XSS Hacker sẽ sử dụng đoạn... cần chỉnh sửa câu lệnh của ta một chút: SELECT * FROM tbl_products WHERE id=4 ORDER BY 2 -Trong đó, ta thêm dấu - - để loại bỏ các câu truy vấn phía sau của mệnh đề Một số phương pháp bảo vệ websites trong thương mại điện tử 24 Khóa luận tốt nghiệp 2013 Hình 7 – trang nạn nhân với truy vấn order by 2-Không có lỗi trả về, vậy bảng hiện tại có ít nhất 2 cột, ta tiếp tục tăng số cột dự đoán lên Chiến thuật... mốc 6 cột, ta thấy trả về lỗi : Một số phương pháp bảo vệ websites trong thương mại điện tử 25 Khóa luận tốt nghiệp 2013 Hình 8 - Trang nạn nhân, order by 6-Tiếp tục tìm kiếm nhị phân giữa hai mốc 2 và 6, ta tìm được số cột là 2 Các thông tin khai thác được có thể biểu diễn thuận lợi nhất ở dạng xâu ký tự, vì thế, tiếp theo mục đích của chúng ta đó là tìm các cột trong số 2 cột trên có kiểu dữ liệu là... đó truy vấn SQL của ứng dụng đã bị chèn thêm các tham số đầu vào “không an toàn” do người dùng nhập vào, từ đó mã lệnh được gửi tới máy chủ database để phân tích cú pháp và thực thi Một số phương pháp bảo vệ websites trong thương mại điện tử 19 Khóa luận tốt nghiệp 2013 Hình thái chính của SQL Injection bao gồm việc chèn trực tiếp mã vào các tham số mà sẽ được ghép vào các câu lệnh SQL (quá trình này . tài: Một số phương pháp bảo vệ websites trong thương mại điện tử Giáo viên hướng dẫn: TS. Lê Phê Đô Sinh viên: Nguyễn Thế Thạo Hà Nội – 2013 Một số phương pháp bảo vệ websites trong thương mại điện. điện tử 1 Khóa luận tốt nghiệp 2013 LỜI MỞ ĐẦU Một số phương pháp bảo vệ websites trong thương mại điện tử 2 Khóa luận tốt nghiệp 2013 TÓM TẮT NỘI DUNG Một số phương pháp bảo vệ websites trong thương. trong thương mại điện tử 3 Khóa luận tốt nghiệp 2013 MỤC LỤC Một số phương pháp bảo vệ websites trong thương mại điện tử 4 Khóa luận tốt nghiệp 2013 Chương 1: Tìm hiểu thương mại điện tử và đánh