Đang tải... (xem toàn văn)
Nghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng web
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC SƠN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN ỨNG DỤNG WEB Chuyên ngành: Hệ thống thông tin Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI, NĂM 2018 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập Phản biện 1: TS Hoàng Xuân Dậu Phản biện 2: PGS.TS Đặng Văn Chuyết Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 20 ngày tháng năm 2018 Có thể tìm hiểu luận văn tại: Thư viện Trường Học viện Cơng nghệ Bưu Viễn thơng HÀ NỘI, NĂM 2018 MỞ ĐẦU Việc thiếu quan tâm đầu tư mức đến đảm an toàn hệ thống liệu phận chuyên trách dẫn đến vụ công vào website phổ biến Điều đồng nghĩa với việc liệu có nguy bị đánh cắp, hệ thống bị ngưng trệ bị khai thác trái phép lớn an ninh hệ thống khơng đảm bảo Vì cần phải tăng cường khả phòng, chống nguy công vào ứng dụng web biện pháp ngăn chặn, khắc phục kịp thời cố Việc sâu tìm hiểu dạng công vào website giúp cho hiểu lổ hổng công tác quản lý website, qua đưa giải pháp giúp nhà quản lý có biện pháp khắc phục, ngăn chặn thâm nhập từ bên ngoài, vai trò quan trọng việc triển khai ứng dụng cơng nghệ an tồn bảo mật Mục tiêu luận văn tìm hiểu số cách thức công vào ứng dụng web số giải pháp phòng chống cơng, từ đề xuất giải pháp đảm bảo an toàn an ninh mạng cho website trường Đại học Công nghệ Giao thơng vận tải Ngồi phần Mở đầu Kết luận, cấu trúc luận văn gồm chương với mô tả sơ lược nội dung chương sau: Chương - Tổng quan an toàn ứng dụng web: Chương luận văn nêu tổng quan thực trạng lỗ hổng an ninh web, kỹ thuật công, ảnh hưởng bị công Chương - Nghiên cứu giải pháp phòng chống cơng web: Chương luận văn tập trung nghiên cứu cách phòng chống số dạng công phổ biến Chương - Đề xuất giải pháp an toàn an ninh mạng trường Đại học Công nghệ Giao thông vận tải: Chương khảo sát, đánh giá, đề xuất giải pháp nâng cao độ an tồn an mạng trường Đại học Cơng nghệ Giao thơng vận tải 2 Chương TỔNG QUAN AN TỒN ỨNG DỤNG WEB 1.1 Thực trạng an toàn ứng dụng web Trong chạy đua số hóa, bùng nổ cơng nghệ thông tin đẩy mạnh ứng dụng web để nâng cao khả quản lý, phục vụ công việc Do mong muốn đưa ứng dụng vào thực tế nhanh tốt nên việc chuẩn bị đầy đủ quy trình kiểm sốt bảo mật thường xảy thiếu sót Các ứng dụng web đưa vào sử dụng nhanh chóng nên chưa đầu tư kiểm tra an toàn an ninh đầy đủ, thường khơng kiểm tra Nếu có tự dùng số công cụ/phần mềm để kiểm tra lỗ hổng bảo mật, chưa thuê công ty bảo mật chun nghiệp để thực hiện, chi phí cao đội ngũ bảo mật không trọng rõ yêu cầu[12] Người sử dụng cuối không đào tạo không cảnh báo nguy bảo mật nên họ dễ mắc sai lầm giao dịch Internet nên họ lỗ hổng bảo mật lớn vấn đề an ninh mạng ứng dụng web Đa số thiết bị bảo mật cũ, khơng phù hợp với tình hình an ninh mạng tại, trừ vừa đầu tư mua thiết bị Chẳng hạn thiết bị tường lửa truyền thống sử dụng, khơng thể đảm bảo an tồn cho hệ thống thiết bị tường lửa hệ Việc trang bị thiết bị tường lửa cho ứng dụng web chưa trọng đầy đủ Hoặc tự tin vào hệ thống tường lửa hệ vừa trang bị nên không ý khơng đủ chức để bảo vệ ứng dụng Internet Hơn việc đầu tư thiết bị tường lửa đắt nên sẵn sàng đầu tư để mua thiết bị Đội ngũ công nghệ thông tin thường thiếu người chuyên trách bảo mật thường nhân viên quản trị mạng quản trị hệ thống kiêm nhiệm công việc thiếu ngân sách cho nhân lực Do việc có nhân viên chuyên trách bảo mật cho ứng dụng web điều xa xỉ Ngoài ra, đội ngũ chuyên trách kiến trúc thiết kế hệ thống bị thiếu, thường kiêm nhiệm 3 Chính sách quy trình bảo mật chưa xây dựng đầy đủ nên không ngăn chặn nguy an ninh mạng nhân viên thực thi sai quy trình bảo mật đội ngũ giám sát bảo mật không đủ mạnh để kiểm soát vấn đề an ninh mạng Những khiếm khuyết kể kẻ công khai thác triệt để để tạo công gây nhiều tổn thất nặng nề Có nhiều giải pháp đưa tổ chức, cá nhân chưa thực có hiệu vấn đề phòng chống cơng Nguy hiểm hơn, công vào ứng dụng web diễn phức tạp, tinh vi, khó đốn trước gây hậu lớn 1.2 Các kỹ thuật công ứng dụng web 1.2.1 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (DoS - Denial of Service) kiện bảo mật xảy kẻ cơng có hành động ngăn cản người dùng hợp pháp truy cập hệ thống máy tính, thiết bị tài nguyên mạng khác Trong công từ chối dịch vụ, kẻ công nhằm vào máy tính sử dụng mạng máy tính dùng để ngăn cản truy cập email, website, tài khoản trực tuyến dịch vụ khác Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) nỗ lực làm sập dịch vụ trực tuyến cách làm tràn ngập với traffic từ nhiều nguồn Trong công từ chối dịch vụ phân tán (DDoS), kẻ cơng sử dụng máy tính cá nhân để cơng vào máy tính khác Bằng cách lợi dụng lỗ hổng bảo mật không hiểu biết, kẻ giành quyền điều khiển máy tính Sau chúng sử dụng máy tính bị chiếm quyền điều khiển để gửi số lượng lớn liệu đến website gửi thư rác đến địa hòm thư Tấn cơng được gọi phân tán kẻ cơng sử dụng nhiều máy tính để thực cơng Dos Mặc dù DDoS cung cấp chế độ cơng phức tạp dạng công mạng khác, chúng ngày mạnh mẽ tinh vi Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service):Để thực hiện, kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn, mục đích chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định DRDoS xuất gần lại loại nguy hiểm Nếu thực kẻ công chuyên nghiệp, không hệ thống đứng vững trước Đáng nói hơn, xuất nhiều loại virus, worm, trojan có chức tự động thực cơng DoS Đây có lẽ kiểu cơng lợi hại làm boot máy tính đối phương nhanh gọn 1.2.2 Tấn công SQL Inejection SQL Injection (chèn mã độc SQL) kỹ thuật cho phép kẻ công chèn mã SQL vào liệu gửi đến máy chủ thực máy chủ sở liệu[1]. Nguyên nhân: liệu đầu vào từ người dùng từ nguồn khác không kiểm tra kiểm tra không kỹ lưỡng Tùy mức độ tinh vi, SQL Injection cho phép kẻ cơng: • Vượt qua khâu xác thực người dùng • Chèn, xóa sửa đổi liệu • Đánh cắp thơng tin CSDL • Chiếm quyền điều khiển hệ thống Có nhiều cơng cụ phát khai thác lỗ hổng Hình 1.6 ví dụ ứng dụng web lỗi SQL Injection bị tool công 1.2.3 Tấn công SSL SSL (Secure Sockets Layer) tiêu chuẩn công nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt (browser) Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư tồn vẹn[14] Lợi dụng q trình chuyển gói tin qua nhiều trạm (hop) thuộc mạng khác nhau, kẻ công chặn bắt thông điệp bên tham gia truyền thông chuyển thông điệp lại cho bên Kiểu công giới chuyên môn gọi man-in-themiddle (người đứng giữa), nhiều kỹ thuật cơng mạng, cho phép kẻ can thiệp vào kết nối Internet người khác thu thập thơng tin truyền hệ thống mạng Loại công thường sử dụng để đánh cắp thơng tin 5 Có hai bước để thực công kiểu man-in-the-middle Đầu tiên, kẻ công phải xâm nhập vào hệ thống mạng Thứ hai, kẻ cơng phải giải mã liệu • Xâm nhập vào hệ thống mạng: Có cách thơng dụng - Giả điểm truy cập Wi-Fi - Giả ARP: Kẻ cơng thiết lập địa MAC chúng gateway thiết bị nạn nhân, kẻ cơng can thiệp chỉnh sửa luồng liệu - Chiếm proxy/SSL Bump: Kẻ công lừa người dùng cài ứng dụng độc hại profile cấu hình đó, sử dụng phương thức bảo mật khác Luồng liệu thiết bị bị định hướng đến kiến trúc mạng dựng sẵn kẻ công - VPN giả: Một người dùng bị lừa để tải ứng dụng hay profile cấu hình để u cầu kích hoạt VPN Luồng liệu thiết bị bị định hướng trỏ vào VPN kẻ cơng • Giải mã liệu: Có vài cách sau để giải mã liệu liệu di chuyển hệ thống mạng Trong đó, ba cách sau thường gặp nhất: - Tấn công chứng thực host: Kết nối thông qua man-in-the-middle, kẻ công thiết lập session SSL với host nhắm trước, Host hồi đáp với chứng thực SSL, chứng thực giả tới người dùng cuối người dùng chấp nhận Nếu người dùng bị lừa cài đặt chứng thực root chí hệ thống vơ hiệu hố cảnh báo chứng thực sau - SSL Strip: Kết nối thông qua kẻ công, kẻ công viết lại nội dung không gồm link HTTPS, thông tin vào ra, tài khoản đăng nhập, hiển thị dạng văn thuần, không mã hố - Hạ cấp giao thức TLS: Kẻ cơng chiếm kết nối để hạ cấp giao thức Những giao thức lỗi thời TLS lại dễ giải mã kẻ công am tường công nghệ 1.2.4 Tấn công XSS Cross Site Scripting (XSS) kĩ thuật công phổ biến hiên nay, đồng thời vấn đề bảo mật quan trọng nhà phát triển web người sử dụng web Bất kì website cho phép người sử dụng đăng thông tin mà khơng có kiểm tra chặt chẽ đoạn mã nguy hiểm tiềm ẩn lỗi XSS Đây kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP …) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho nạn nhân sử dụng Lỗi xảy ứng dụng web thu nhận liệu nguy hiểm nhập từ kẻ công Một website thường chứa link, thơng qua link kẻ cơng chèn đoạn code vào người dùng sử dụng link coi 99% sập bẫy, kẻ cơng thơng qua lỗi để chèn code vào site hay link để lấy thông tin quan trọng từ nạn nhân Hầu hết ứng dụng web dùng cookie để kết hợp tài khoản cho người dùng đó, nghĩa cookie người người dùng Các webmail, web bán hàng, nhà băng , … đa số dùng cookie với mục đích chứng thực ngừơi dùng, mà kẻ công cần Các đoạn mã thẻ script không bị giới hạn chúng hồn tồn thay file nguồn server khác thông qua thuộc tính src thẻ script Cũng lẽ mà chưa thể lường hết độ nguy hiểm lỗi XSS Nhưng kĩ thuật cơng khác làm thay đổi liệu nguồn web server (mã nguồn, cấu trúc, sở liệu) XSS gây tổn hại website phía client mà nạn nhân trực tiếp người khách duyệt site Tất nhiên hacker sử dụng kĩ thuật đề deface website công vào bề mặt website Thật vậy, XSS Client-Side Script, đoạn mã chạy trình duyệt phía client XSS khơng làm ảnh hưởng đến hệ thống website nằm server Mục tiêu cơng XSS khơng khác người sử dụng khác website, họ vô tình vào trang có chứa đoạn mã nguy hiểm hacker để lại họ bị chuyển tới website khác, đặt lại homepage, hay nặng mật khẩu, cookie chí máy tính họ bị cài loại virus, backdoor, worm 1.2.5 Một số loại công khác CSRF (Cross Site Request Forgery): kiểu công cách sử dụng quyền chứng thực người sử dụng website khác (mượn quyền ceritification ), ứng dụng web hoạt động theo nguyên tắc nhận lệnh http từ người dùng sau thực thi CSRF lừa trình duyệt người dùng để gửi lệnh http đến ứng dụng web trường hợp session (phiên làm việc) người dùng chưa hết hiệu lực lệnh http thực với quyền chứng thực người dùng trước Path traversal: khai thác HTTP cho phép hacker truy cập đến mục bị giới hạn, thực thi lệnh bên mục gốc máy chủ web Nếu truy cập thành cơng hacker xem file, thư mục bị giới hạn thực thi câu lệnh server mắc lỗi không kiểm tra đầu vào liệu gửi từ client Path Traversal hay biết với số tên khác “dot-dot-slash”, “directory traversal”,”directory clumbing” “backtracking” OS Comanding: kẻ cơng thực câu lệnh, dòng code OS để thực hành vi không tốt hệ thống Việc chèn thêm (injection) vào ứng dụng để thực thi hành vi không tốt lỗi vô nguy hiểm Có thể gây lỗi cho host, lấy cắp thơng tin, chí chiếm quyền quản lý server 1.3 Ảnh hưởng công Các cơng mạng nói chung, đặc biệt cơng vào ứng dụng web gây hậu kinh tế, trị tổ chức, cá nhân Tấn công ứng dụng web xảy với mật độ dày đặc với nhiều quy mô giới, Việt Nam ngoại lệ không muốn nói nơi xảy nhiều vụ điển hình 1.4 Kết chương Chương I giới thiệu tổng quan thực trạng lỗ hổng an ninh web, số kỹ thuật công phổ biến, ảnh hưởng bị cơng Từ trình bày khái qt kỹ thuật công làm tảng làm sở xây dựng phương án phù hợp để giải toán ngăn chặn công chương 8 Chương NGHIÊN CỨU GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG WEB 2.1 Phòng chống cơng từ chối dịch vụ 2.1.1 Phòng chống cơng từ chối dịch vụ tổng qt Nhìn chung, cơng từ chối dịch vụ khơng q khó thực hiện, khó phòng chống tính bất ngờ thường phòng chống bị động việc Việc đối phó cách tăng cường “phần cứng” giải pháp tốt, thường xuyên theo dõi để phát ngăn chặn kịp thời gói tin IP từ nguồn khơng tin cậy hữu hiệu nhất[13] 2.1.2 Biện pháp phòng chống cơng DDoS Tấn cơng DDoS phân loại dựa tiêu chí chính[2]: - Dựa phương pháp công - Dựa mức độ tự động - Dựa giao thức mạng - Dựa phương thức giao tiếp - Dựa cường độ công - Dựa việc khai thác lỗ hổng an ninh Có thể chia biện pháp phòng chống công DDoS thành dạng theo tiêu chí chính: Dựa vị trí triển khai, dựa giao thức mạng dựa thời điểm hành động Phần tiết theo mơ tả biện pháp phòng chống công DDoS thuộc dạng - Dựa vị trí triển khai - Dựa giao thức mạng - Dựa thời điểm hành động Nhìn chung, việc phòng chống cơng DDoS phức tạp, chí thực tất phương án chống lại công Tùy thuộc vào đặc thù ứng dụng web mà cân nhắc lựa chọn giải pháp cho phù hợp Cũng nên có phương án backup, dự phòng trường hợp bị tất cơng, tính đến phương án khơng thể khắc phục hậu 2.2 Phòng chống cơng SQL Inejection 2.2.1 Các biện pháp phòng chống mức lập trình - Các biện pháp phòng chống dựa kiểm tra lọc liệu đầu vào: • Kiểm tra tất liệu đầu vào, đặc biệt liệu nhập từ người dùng từ nguồn không tin cậy; • Kiểm tra định dạng kích thước liệu đầu vào; • Tạo lọc để lọc bỏ ký tự đặc biệt từ khóa ngôn ngữ trường hợp cần thiết mà kẻ cơng sử dụng Đưa tất câu truy vấn (SELECT) cập nhật, sửa xóa liệu (INSERT, UPDATE, DELETE) vào thủ tục; liệu truyền vào thủ tục thông qua tham số -> tách liệu khỏi mã, giúp hạn ngăn chặn hiệu cơng chèn mã SQL • Hạn chế thực câu lệnh SQL động thủ tục 2.2.2 Các biện pháp phòng chống mức tảng - Các biện pháp phòng chống dựa thiết lập quyền truy nhập người dùng cho phù hợp[1]: • Khơng sử dụng người dùng có quyền system admin database owner làm người dùng truy cập liệu; • Chia nhóm người dùng, cấp quyền vừa đủ để truy cập bảng biểu, thực câu truy vấn chạy thủ tục • Tốt nhất, khơng cấp quyền thực câu truy vấn, cập nhật, sửa, xóa trực tiếp liệu; Thủ tục hóa tất câu lệnh cấp quyền thực thủ tục - Sử dụng ứng dụng tường lửa web WAF (Web Application Firewall): Giải pháp WAF giải pháp toàn diện so với giải pháp bảo vệ thời gian chạy - Sử dụng hệ thống phát xâm nhập (IDS): Là hệ thống phát xâm nhập dựa lưu lượng mạng để phát công chèn mã SQL Tuy nhiên, IDS thường không tối ưu riêng cho ứng dụng web Nó giúp phát công từ 10 bên ngồi mạng nội bộ, nhiên sử dụng phòng tuyến bổ sung chống lại công - Tường lửa sở liệu: Có thể xem biện pháp cuối để bảo vệ sở liệu mơ hình bảo vệ nhiều lớp Chính xác hơn, tường lửa sở liệu hoạt động proxy đứng ứng dụng web sở liệu 2.3 Phòng chống công SSL Việc chiếm quyền điều khiển SSL theo cách phát từ phía trình chủ máy chủ tưởng truyền thơng bình thường với máy khách Nó khơng có ý tưởng truyền thơng với client proxy 2.3.1 Sử dụng kết nối an toàn HTTPS Khi thực cơng, làm tính an tồn kết nối, thứ xác định trình duyệt Điều có nghĩa đăng nhập vào tài khoản ngân hàng trực tuyến thấy kết nối chuẩn HTTP chắn có thứ sai Bất sử dụng trình duyệt cần bảo đảm biết cách phân biệt kết nối an tồn với kết nối khơng an tồn 2.3.2 Sử dụng tài khoản trực tuyến an toàn Người dùng có thói quen lưu tài khoản trực tuyến (tên đăng nhập, mật khẩu) trình duyệt, việc tiện dụng khơng đảm bảo an tồn thơng tin Trong mạng nội việc nghe thông tin dễ xảy (nhất dùng wifi cơng cộng), thiết bị có nguy bị chiếm quyền điều khiển bị khai thác trái phép Một mục tiêu lớn cho công chiếm quyền điều khiển session giao dịch trực tuyến, nhiên thủ phạm áp dụng cho thứ Để hạn chế nguy trên, người dùng nên sử dụng kết nối mạng cá nhân (mạng gia đình, mạng 3G/4G), khơng lưu cookie tài khoản quan trọng trình duyệt, kiểm tra kỹ thông tin trước xác nhận thực giao dịch 2.3.3 Bảo mật thiết bị mạng Sử dụng biện pháp tăng cường bảo mật, bảo vệ thiết bị hệ thống mạng để giảm thiểu nguy bị công Nếu thiết bị mạng an tồn nguy bị 11 thỏa hiệp host để sau sử dụng để khởi chạy công chiếm quyền điều khiển session giảm 2.3.4 Sử dụng chứng số tin cậy Một Certificate Authority (CA) tổ chức bên thứ ba hoạt động trung gian đáng tin cậy, cấp phát thẩm định chứng thực số SSL/TLS Có hàng trăm tổ chức tin cậy có quyền cấp phát chứng thực SSL hợp lệ cho domain người dùng, dù domain cấp chứng thực CA khác Đây điểm yếu của hệ thống CA gây lỗ hổng Các tổ chức nên chỉnh sửa trang web để phát ngừng dịch vụ trình duyệt cũ, yêu cầu người dùng nâng cấp lên phiên 2.4 Phòng chống cơng XSS 2.4.1 Lọc Có hai khái niệm vềquá trình lọc (filter) XSS: lọc đầu vào (input filtering) lọc đầu (output filtering) Cách sử dụng phổ biến lọc đầu vào Input Filteringđược xem xác so với Output Filtering, đặc biệt trường hợp XSS Reflected Tuy nhiên có khác biệt nhỏ, trình lọc đầuvào áp dụng cho tất loại liệu, loại bỏnhững nội dung không hợp lệ lọc đầu mang tính áp dụng lại, mục đích trừ loại mã độc xót lại Có hai loại lọc liệu đầu vào đẩu ra: White List Filtering Black List Filtering Các bước để lọc liệu: - Từ chối nhận liệu hỏng; - Liên tục kiểm tra lọc liệu; - Tạo danh sách thẻ HTML phép sử dụng, xóa bỏ thẻ đóng thẻ script thẻ coi đoạn script đoạn trích dẫn; - Lọc đoạn mã JavaScript/Java/VBScript/ActiveX/Flash Related; - Lọc dấu nháy đơn hay kép; - Lọc kí tự Null; 12 - Xóa kí tự “>”, ” > ( ( ) ) # # & & - Kiểm tra xem thực thể có thuộc White-List hay Black-List khơng 2.4.2 Mã hóa đầu vào Một nhược điểm mã hóa đầu vào (Input Encoding) phải làm việc quy mô lớn Website, mặt khác dùng cố định bảng mã Có thể thấy tùy thuộc vào hồn cảnh mà sử dụng mã hóa đầu vào cho hợp lí nhất, Input Encoding thật có ý nghĩa biết xác liệu đầu vào, điều tương đối khó khăn mơi trường có quy mơ lớn Mã hóa đầu vào trở thành vị trí trung tâm cho tất lọc, đảm bảo có điểm cho tất lọc Lỗi XSS tránh máy chủ Web đảm bảo trang phát sinh mã hóa (encoding) thích hợp để ngăn chặn chạy cript không mong muốn Mã hóa phía máy chủ tiến trình mà tất nội dung phát sinh động qua hàm mã hóa nơi mà thẻ script thay thể mã Nói chung, việc mã hóa (encoding) khuyến khích sử dụng khơng yêu cầu phải đưa định kí tự hợp lệ không hợp lệ Tuy hiên việc mã hóa tất liệu khơng đáng tin cậy tốn tài nguyên ảnh hưởng đến khả thực thi số máy chủ Một cách hay sử dụng mã hoá kí tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Trong trường hợp thẻ script đổi thành script Như in hình mà khơng gây nguy hiểm cho người sử dụng 2.4.3 Mã hóa đầu Mục đích việc mã hóa đầu (vì liên quan Cross Site Scripting) chuyển đổi đầu vào không tin cậy vào hình thức an tồn, nơi đầu vào hiển thị liệu cho người sử dụng mà khơng thực trình duyệt Một số phương pháp mã hóa đầu quan trọng: 13 Loại mã hóa HTML Entity Encoding HTML AttributeEncoding URL Encoding JavaScript Encoding Cơ chế mã hóa Convert&to& Convertto>Convert"to" Convert'to' Convert / to / Ngoại trừ cho ký tự chữ số, lại loại bỏ định dạng HTML &#xHH, khoảng trắng Mã hóa theo tiêu chuẩn % Ngoại trừ ký tự chữ số, lại loại bỏ định dạng \uxxx mã uniode CSS (Cascading Style CSS hỗ trợ loại bỏ ký tự có dạng \XX Sheets) Hex Encoding và\XXXXXX 2.4.4 Bảo mật trình duyệt Lựa chọn trình duyệt: Lựa chọn trình duyệt có lẽ điều quan trọng để bảo vệ trực tuyến, người dùng thường quan tâm đến loại trình duyệt có tốc độ xử lý nhanh, giao diện thân thiện lại khơng để ý tới tính bảo mật chúng Khi sử dụng trình duyệt để lướt web cần phải quan tâm đến yếu tố bảo mật bảo vệ đượ c người dùng tránh cơng mạng Thêm nhiều tính bảo mật vào trình duyệt: Có nhiều chương trình cơng cụ có sẵn để giúp trình duyệt tự bảo vệ mình, tránh trang web lừa đảo, vơ hiệu hóa số tính khơng tốt, bảo vệ mật rơi vào tay kẻ xấu Vơ hiệu hóa số tính khơng cần thiết: Đơn giản cần bỏ số tính khơng cần thiết làm cho trình duyệt bạn an tồn JavaScript, Java, Active, Script, VBScript, Flash QuickTime tất chúng có khả gây nguy hiểm Không nên nhấn vào liên kết không rõ ràng E-mail: Khi vào rang web cần phải cân nhắc click vào link, với email cần phải kiểm tra link hay hình ảnh quảng cáo thật kĩ Sẽ an tồn có cảnh giác cao 2.4.5 Sử dụng máy ảo 14 Một giải pháp đưa chạy trình duyệt mơi rường ảo hóa, an tồn Hiện có số cơng nghệ ảo hóa MWare Microsoft giúp có mơi trường chạy thử nghiệm thật an toàn 2.4.6 Bảo vệ Web Mail Hàng trăm triệu người sử dụng Web Mail với nhiều cách khác hau, quan trọng phải bảo mật tài khoản riêng Nhiều người có tài hoản trực tuyến quan trọng gắn với địa Web mail Nếu chẳng may quyền truy cập vào tài khoản e-mail bạn, tất tài khoản liên quan khác bị tổn hại Nên thay đổi mật theo khoảng thời gian không sử dụng mật đơn giản 2.4.7 Cẩn thận với độ dài chuỗi URL Khi duyệt web hay sử dụng dịch vụ liên quan đên web, để ý nhận liên kết URL có độ dài bất thường bên có chứa ký tự đặc biệt như: % , ‘, @, #, $, &, (, … lúc cần thật cẩn trọng nhấn vào liên kết đó, khả nhiễm mã độc từ liên kết cao 2.5 Phân tích, đánh giá giải pháp phòng chống cơng web Mỗi ứng dụng web có đặc thù khác nhau, nguy bị cơng giải pháp phòng chống khác Những website phủ, tập đồn lớn thường có nguy bị cơng cao Chính mà website triền khai biện pháp phòng chống cơng mạng tồn diện Chúng chuyên gia hàng đầu triển khai biện pháp phòng chống công cách chuyên nghiệp, thường xuyên cập nhật cơng nghệ Những website có độ mật cực cao, để khai thác lỗ hổng cần tốn nhiều thời gian, công sức, tiền bạc phải người có kiến thức sâu rộng làm Việc phối hợp giải pháp đảm bảo an toàn an ninh tối ưu hóa, cải tiến phương pháp để vừa nâng cao hiệu vừa giảm thiểu chi phí Với website quan hành nghiệp, doanh nghiệp vừa sở giáo dục chun nghiệp thường có mức độ an tồn an ninh mạng thấp Tùy vào mục đích tính chất website mà có giải pháp phòng chống cơng mạng tương ứng, áp dụng giải pháp phòng chống cơng phù hợp 15 Với website doanh nghiệp nhỏ cá nhân thường khơng có khả phòng vệ trước công từ chối dịch vụ, dễ bị khai thác lỗ hổng để công SSL, XSS Các website thường sử dụng mã nguồn mở khả lập trình hạn chế, sử dụng thiết bị phần cứng khơng có chức hỗ trợ phòng chống cơng Kết uận chương 2: Để có giải pháp tồn diện chống cơng ứng dụng web cần nghiên cứu kỹ đặc thù hệ thống, tuân thủ quy trình đảm bảo an tồn an ninh phần cứng phần mềm Cần có kiểm tra, giám sát thường xuyên có tư vấn chuyên gia Bên cạnh cần có hướng dẫn, khuyến cáo đến người sử dụng để tránh rủi ro 16 Chương ĐỀ XUẤT GIẢI PHÁP AN TỒN AN NINH MẠNG CỦA TRƯỜNG ĐẠI HỌC CƠNG NGHỆ GIAO THÔNG VẬN TẢI 3.1 Khảo sát số ứng dụng web Trường Đại học Công nghệ Giao thông vận tải Là đơn vị giáo dục, hoạt động trường hỗ trợ số website: Cổng thông tin điện tử utt.edu.vn: cổng thông tin điện tử thức Trường Đại học Cơng nghệ Giao thơng vận tải Chức hệ thống đăng tải thông tin, thông báo liên quan đến hoạt động Nhà trường Hình 3.1 Cổng thơng tin điện tử utt.edu.vn Cổng thông tin đào tạo qldt.utt.edu.vn: cổng thông tin thông báo hoạt động liên quan đến người học (đăng ký học, tra cứu điểm, thời khóa biểu, lịch thi, học phí…) Hình 3.2 Chức tra cứu trình đăng ký học 17 Hệ thống thi trắc nghiệm utt.test.vn: hệ thống phục vụ cho trình kiểm tra kỳ, thi kết thúc học phần Hình 3.3 Hệ thống thi trắc nghiệm Các hệ thống chức năng, cấu trúc, đặc thù khác Chính việc quản trị, đảm bảo an ninh an tồn cho hệ thống gặp khơng khó khăn Dưới số đánh giá hệ thống đề xuất số giải pháp nâng cao tính an tồn an ninh cho ứng dụng web 3.2 Đề xuất giải pháp nâng cao độ an toàn an ninh cho số ứng dụng web trường Đại học Công nghệ Giao thông vận tải 3.2.1 Đề xuất giải pháp chung Sử dụng công cụ để phát lỗ hổng Nessus vulnerability scanner, xây dựng phương án khắc phục phù hợp Nếu xuất lỗ hổng lớn cần có tư vấn chuyên gia Công cụ phát triển kiểm nghiệm thời gian dài, đánh gía tốt, ổn định dễ sử dụng Nâng cấp phiên phần mềm mà hệ thống sử dụng để cập nhật vá lỗi, tối ưu hóa ứng dụng: Windows Server Update Services 3.0 gói dịch vụ (thay cho Services 2.0 dùng), cập nhật chứng máy chủ Web VeriSign cho IIS: chứng trung gian VeriSign hết hạn dẫn đến kết nối không xác thực với trang web SSL (Chứng thẩm quyền xác thực International (Global) Server Intermediate VeriSign 128 bit hết hạn) Sử dụng tường lửa web ModSecurity: Đây phần mềm nguồn mở hoạt động module máy chủ Apache thành phần độc lập ModSecurity sử dụng biểu thức quy việc bảo vệ máy chủ web từ công xác 18 định trước dựa theo dấu hiệu cơng bất thường khác Bên cạnh đó, ModSecurity có khả lọc siêu ký tự người dùng chèn vào ứng dụng web, phù hợp với hệ thống web Nhà trường Nâng cao lực quản trị viên, cập nhật thông tin để nắm bắt tình hình thực tiễn, đưa nhận định đắn, nâng cáo hiệu công việc Hướng dẫn chi tiết, khuyến cáo người dùng phòng chống nguy an tồn thơng tin 3.2.2 Đề xuất số giải pháp cụ thể Đối với cổng thơng tin điện tử utt.edu.vn Đóng số cổng không cần thiết, tránh trường hợp bị lợi dụng để tạo kết nối ngầm nhận gói tin khơng mong muốn Hiện có nhiều cổng mở Sử dụng tường lửa để nâng cao tính bảo mật, nâng cao khả phòng thủ trước cơng nguy an tồn thông tin Hiện hệ thống không sử dụng tưởng lửa, điểm yếu bị khai thác lúc nào, chí bị khai thác mà không phát Sử dụng công cụ miễn phí (cần lưu ý nguồn cung cấp tránh bị cài tệp tin không mong muốn) để kiểm tra, giám sát, phát hiện, hạn chế mối nguy hại: Nmap, Cain, Wireshark, SQLmap, Damn Vulnerable Web Application (DVWA) Sử dụng dịch vụ Project Shield Google để tăng khả chống công từ chối dịch vụ Mặc dù khả bị công từ chối dịch vụ không cao, nhiên với việc sử dụng Project Shield mang lại khả phòng chống tăng hiệu suất ứng dụng Đối với cổng thông tin đào tạo qldt.utt.edu.vn Máy chủ phục vụ không sử dụng tưởng lửa chuyên dụng, điều nguy hiểm Cần cài đặt tưởng để giảm thiểu rủi ro 19 Hình 3.9 Máy chủ qldt.utt.edu.vn khơng tường lửa bảo vệ Sử dụng giải pháp tương tự với cổng thông tin điện tử utt.edu.vn Tuy nhiên, đặc thù máy chủ đặt trường có sử dụng thiết bị mạng nội nên cần ý đến việc bị công từ mạng nội Giảm thiểu kết nối vật lý không cần thiết để hạn chế việc bắt gói tin qua thiết bị trung gian Gán địa MAC tĩnh để hạn chế bị bắt gói tin nhạy cảm (hình 3.9) Hình 3.10 Thiết lập địa MAC tĩnh Thiếu biện pháp bảo vệ, phòng chống nên dễ dàng bắt thơng tin nhạy cảm lợi dụng để gây hành động xấu Khi sử dụng Cain bắt thơng tin tài khoản sinh viên (tên đăng nhập mật – hình 3.10) Nếu mật khơng đủ mạnh dễ dàng giải mã, tài khoản bị đánh cắp kẻ đánh cắp hoàn toàn thực ý đồ 20 Hình 3.11 Công cụ Cain bắt thông tin nhạy cảm gửi tới máy chủ Ngoài ra, hệ thống nên có số thay đổi để người dùng kiểm tra, giám sát tài khoản trực tuyến tốt hơn: Hiện thị thời gian đăng nhập lần gần nhất: có người khác đăng nhập dễ dàng phát hiện; Trong thời gian thực cho phép tài khoản login: online mà có người khác đăng nhập hệ thống thơng báo u cầu đăng nhập lại, chí tạm khóa tài khoản khoảng thời gian để yêu cầu xác mình; Với thao tác đăng ký/hủy học phần đăng ký yêu cầu mã xác thực qua số điện thoại người dùng để đảm bảo chủ thực thao tác Trong thời điểm có lưu lượng người truy cập lớn (trong thời gian đăng ký học) xảy trình trạng nghẽn mạng, khơng thể đăng nhập hay thực thao tác đăng ký Vì vậy, cần nâng cấp hạ tầng để nâng cao khả phục vụ: tăng tốc độ đường truyền, nâng cao cấu hình máy chủ, sử dụng biện pháp cân tải để đáp ứng tính liên tục dịch vụ Sử dụng thiết bị cân tải internet server Cisco RV042G Cisco để: • Làm tăng khả đáp ứng tránh tình trạng tải hệ thống máy chủ, hệ thống đường truyền internet đồng thời đảm bảo tính linh hoạt khả mở rộng hệ thống 21 • Tăng khả dự phòng cho hệ thống: Nhờ trang bị tính đại, thiết bị cân tải giúp làm tăng tính High Availability ngăn chặn cố gây gián đoạn dịch vụ điểm cung cấp • Tăng tính bảo mật: thiết bị cân tải tiếp nhận xử lí thơng tin gửi đến sau chuyển chúng tới hệ thống máy chủ • Ngăn chặn người dùng giao tiếp trực tiếp với máy chủ, nhằm ngăn chặn xâm nhập trái phép hacker để đánh cắp thông tin nội quan trọng Kết luận chương 3: Chương trình bày khảo sát số ứng dụng web trường Đại học Cơng nghệ Giao thơng vận tải Từ đề xuất số giải pháp phòng chống cơng, khai thác lỗ hổng để nâng cao độ an toàn an ninh cho website trường Do đặc thù hệ thống nên chưa thể thử nghiệm hết giải pháp đưa ra, mà đề xuất giải pháp từ tìm hiểu chương Các giải pháp đưa phù hợp tính chất website khảo sát có tính khả thi 22 KẾT LUẬN Kết đạt Luận văn trình bày khái quát số dạng công phổ biến vào ứng dụng web Phân tích chế, mục đích, đối tượng công tác hại mà công gây Luận văn đưa biện pháp phát hiện, ngăn chặn số phương thức công phổ biến: công từ chối dịch vụ, công SQL Inejection, công XSS, công SSL Khảo sát website trường Đại học Cơng nghệ Giao thơng vận tải, từ dề xuất số giải pháp nhằm nâng cao độ an toàn an ninh mạng Giải pháp đưa có tính khả thi, có kết tốt thi thực nghiệm Hướng phát triển Đề tài luận văn phát triển theo hướng: Tiếp tục tìm hiểu, cập nhật dạng công các, đưa giải pháp hữu dụng với dạng cơng Việc có ý nghĩa quan trọng việc phòng chống cơng Nghiên cứu kết hợp giải pháp cho ứng dụng web khác ngồi trường Đại học cơng nghệ Giao thông vận tải Xây dựng phương pháp đánh giá toàn diện, chuyên sâu khắc phục lỗ hổng ứng dụng web, nâng cao khả phòng thủ giúp ứng dụng web hoạt động tốt ... đảm bảo an ninh an tồn cho hệ thống gặp khơng khó khăn Dưới số đánh giá hệ thống đề xuất số giải pháp nâng cao tính an tồn an ninh cho ứng dụng web 3.2 Đề xuất giải pháp nâng cao độ an toàn an. .. cấp quyền thực thủ tục - Sử dụng ứng dụng tường lửa web WAF (Web Application Firewall): Giải pháp WAF giải pháp toàn diện so với giải pháp bảo vệ thời gian chạy - Sử dụng hệ thống phát xâm nhập... Chương - Tổng quan an toàn ứng dụng web: Chương luận văn nêu tổng quan thực trạng lỗ hổng an ninh web, kỹ thuật công, ảnh hưởng bị công Chương - Nghiên cứu giải pháp phòng chống cơng web: Chương