Tóm tắt luận văn Nghiên cứu xây dựng giải pháp phòng vệ nguy cơ trên ứng dụng Web

Nội dung text: Tóm tắt luận văn Nghiên cứu xây dựng giải pháp phòng vệ nguy cơ trên ứng dụng Web

1. - 1 - BỘ GIÁO D ỤC VÀ ĐÀO T ẠO Cơng trình được hồn thành t ại ĐẠI H ỌC ĐÀ N ẴNG ĐẠI H ỌC ĐÀ N ẴNG PH ẠM TH Ị HÀ PH ƯƠ NG Ng ười h ướng d ẫn khoa h ọc: PGS. TS. Lê V ăn S ơn Ph ản bi ện 1: GS. TS. Nguy ễn Thanh Th ủy NGHIÊN C ỨU XÂY D ỰNG GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ TRÊN ỨNG D ỤNG WEB Ph ản bi ện 2: TS. Hu ỳnh H ữu H ưng Chuyên ngành: KHOA H ỌC MÁY TÍNH Mã s ố: 60.48.01 Lu ận v ăn được b ảo v ệ t ại H ội đồng ch ấm Lu ận v ăn t ốt nghi ệp th ạc s ĩ k ỹ thu ật h ọp t ại Đại h ọc Đà N ẵng vào ngày 10 tháng 9 n ăm 2011. TĨM T ẮT LU ẬN V ĂN TH ẠC S Ĩ K Ỹ THU ẬT ể ể ậ ă ạ * Cĩ th tìm hi u lu n v n t i: - Trung tâm Thơng tin - Học li ệu, Đại h ọc Đà N ẵng Đà N ẵng - N ăm 2011 - Trung tâm H ọc li ệu, Đại h ọc Đà N ẵng
2. - 2 - - 3 - MỞ ĐẦU Ph ạm vi nghiên c ứu c ủa đề tài là xây d ựng gi ải pháp phịng v ệ 1. Lý do ch ọn đề tài nguy c ơ trên ứng d ụng web, bao g ồm các gi ải pháp ở m ức h ệ th ống Cùng v ới s ự phát tri ển khơng ng ừng c ủa Internet, s ố l ượng và các gi ải pháp ở m ức v ận hành ứng d ụng, ti ếp đến là đề xu ất gi ải website và các d ịch v ụ đi kèm c ũng t ăng lên nhanh chĩng. Khi kh ả pháp trong vi ệc k ết h ợp s ử d ụng các cơng c ụ ki ểm tra l ỗi b ảo m ật năng qu ản lý và truy nh ập thơng tin c ủa các website càng phát tri ển, web. thì càng cĩ nguy c ơ m ất an tồn d ữ li ệu cho các website trong quá 4. Ph ươ ng pháp nghiên c ứu trình ho ạt động. Ph ần l ớn nh ững nguy c ơ này xu ất phát t ừ các cu ộc Về lý thuy ết, tìm hi ểu ứng d ụng web, s ự v ận hành c ủa ứng tấn cơng cĩ m ục đích để truy c ập trái phép vào h ệ th ống nh ằm khai dụng web và các nguy c ơ liên quan đến ứng d ụng web. Ti ến hành thác ho ặc thay đổi thơng tin, ph ục v ụ ý đồ c ủa cá nhân ho ặc t ổ ch ức phân lo ại nguy c ơ, sau đĩ phân tích các nguy c ơ ph ổ bi ến trên ứng nh ất định (g ọi chung là tin tặc). Tuy nhiên, bên c ạnh đĩ c ũng cịn cĩ dụng web g ồm nh ững l ỗ h ổng b ảo m ật nguy h ại liên quan đến vi ệc các nguy c ơ khách quan khác nh ư h ệ th ống g ặp s ự c ố, ng ười qu ản tr ị khai thác ch ức n ăng c ủa ứng d ụng. Qua đĩ đề xu ất gi ải pháp ki ểm tra thi ếu ki ến th ức v ề b ảo m ật, Để đảm b ảo cho s ự v ận hành c ủa và phịng tránh cho m ỗi nguy c ơ. website c ũng nh ư b ảo v ệ nh ững thơng tin cá nhân c ủa ng ười dùng Về th ực ti ễn, nghiên c ứu đề xu ất gi ải pháp phịng v ệ nguy c ơ trang web, m ột v ấn đề đặt ra là c ần cĩ gi ải pháp b ảo v ệ an tồn cho trên ứng d ụng web, g ồm các gi ải pháp ở m ức h ệ th ống và các gi ải các website kh ỏi các nguy c ơ nĩi trên. pháp ở m ức v ận hành ứng d ụng. Ti ếp đến là tìm hi ểu các cơng c ụ đã Được s ự đồng ý và h ướng d ẫn c ủa PGS. TS. Lê V ăn S ơn, tơi được phát tri ển để ph ục v ụ cho vi ệc đánh giá, ki ểm tra các l ỗi b ảo ch ọn th ực hi ện đề tài “Nghiên c ứu xây d ựng gi ải pháp phịng v ệ nguy mật web. Qua vi ệc phân tích các ưu/khuy ết điểm c ủa m ỗi cơng c ụ, đề cơ trên ứng d ụng web” v ới mong mu ốn đĩng gĩp m ột gi ải pháp giúp xu ất m ột gi ải pháp t ổng th ể nh ằm phát huy t ối đa m ọi ưu điểm c ủa bảo v ệ tồn di ện cho website kh ỏi các nguy c ơ khách quan c ũng nh ư các cơng c ụ, h ạn ch ế thi ếu sĩt trong k ết qu ả đánh giá mà m ỗi cơng c ụ ch ủ quan trong quá trình v ận hành ứng d ụng web. độc l ập mang l ại. 2. Mục đích nghiên c ứu 5. Ý ngh ĩa khoa h ọc và th ực ti ễn c ủa đề tài Lu ận v ăn được th ực hi ện v ới m ục đích nghiên c ứu các nguy c ơ Các k ết qu ả nghiên c ứu s ẽ giúp ng ười l ập trình ứng d ụng web khách quan c ũng nh ư ch ủ quan trên ứng d ụng web. Qua đĩ xây d ựng và ng ười v ận hành trang web thơng qua đĩ th ực hi ện quy trình phịng gi ải pháp phịng v ệ nguy c ơ, ki ểm tra và kh ắc ph ục các nguy c ơ. vệ nguy c ơ cho ứng d ụng web m ột cách t ổng th ể, bao g ồm vi ệc ch ủ 3. Đối t ượng và ph ạm vi nghiên c ứu động phịng tránh nguy c ơ, ki ểm tra s ự xu ất hi ện c ủa các nguy c ơ và Đối t ượng nghiên c ứu c ủa đề tài là các nguy c ơ ph ổ bi ến liên gi ải pháp kh ắc ph ục n ếu đã g ặp ph ải các nguy c ơ đĩ. quan đến vi ệc khai thác ch ức n ăng c ủa ứng d ụng web.
3. - 4 - - 5 - 6. Cấu trúc c ủa lu ận v ăn CH ƯƠ NG 1: Bố c ục c ủa lu ận v ăn được t ổ ch ức thành ba ch ươ ng, cĩ n ội KHÁI NI ỆM V Ề ỨNG D ỤNG WEB VÀ CÁC NGUY C Ơ dung nh ư sau: TRÊN ỨNG D ỤNG WEB Chươ ng 1: Khái ni ệm v ề ứng d ụng web và các nguy c ơ trên Nội dung ch ươ ng này trình bày các khái ni ệm v ề ứng d ụng ứng d ụng web. Nghiên c ứu ki ến trúc c ơ b ản và ho ạt động c ủa m ột web và các v ấn đề liên quan đến b ảo m ật ứng d ụng web. N ội dung ứng d ụng web, các v ấn đề liên quan đến ho ạt động c ủa ứng d ụng khái ni ệm v ề ứng d ụng web trình bày ki ến trúc c ơ b ản c ủa m ột ứng web. Ti ếp đến, gi ới thi ệu t ổng quan v ề b ảo m ật web: s ố li ệu th ống kê dụng web, các thành ph ần nh ư l ớp trình di ễn, l ớp ứng d ụng, l ớp c ơ s ở về tình hình b ảo m ật, các nguy c ơ ảnh h ưởng đến b ảo m ật ứng d ụng dữ li ệu, và s ự giao ti ếp c ủa các thành ph ần này trong ho ạt động c ủa web và các ph ươ ng pháp ki ểm tra l ỗi b ảo m ật web. ứng d ụng web. Các v ấn đề liên quan đến ứng d ụng web trình bày các Ch ươ ng 2: Phịng v ệ nguy c ơ trên ứng d ụng web. Trình bày khái ni ệm liên quan đến s ự v ận hành c ủa ứng d ụng web nh ư giao các nguy c ơ ph ổ bi ến liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng th ức truy ền d ữ li ệu HTTP/HTTPS, giao th ức b ảo m ật SSL/TLS, các dụng web, đề xu ất các giải pháp ki ểm tra và phịng v ệ cho t ừng nguy ph ươ ng th ức truy ền d ữ li ệu GET/POST và s ự qu ản lý phiên (session) cơ. Bên c ạnh đĩ gi ới thi ệu gi ải pháp phịng v ệ nguy c ơ theo mơ hình trong quá trình giao ti ếp gi ữa máy khách và máy ch ủ. N ội dung b ảo Defense-In-Depth, qua đĩ trình bày h ướng ti ếp c ận và phát tri ển c ủa mật ứng d ụng web trình bày s ố li ệu th ống kê v ề tình hình b ảo m ật, đề tài trong vi ệc xây d ựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng các nguy c ơ ảnh h ưởng đến b ảo m ật ứng d ụng web và các ph ươ ng web. pháp được s ử d ụng để ki ểm tra l ỗi b ảo m ật web. Ch ươ ng 3: Tri ển khai gi ải pháp phịng v ệ nguy c ơ trên ứng 1.1 KHÁI NI ỆM V Ề ỨNG D ỤNG WEB dụng web. Nội dung ch ươ ng này trình bày chi ti ết vi ệc tri ển khai xây Một ứng d ụng web th ường bao g ồm m ột t ập h ợp các k ịch b ản dựng gi ải pháp phịng v ệ nguy c ơ cho ứng d ụng web ở m ức h ệ th ống (script) c ư trú ở máy ch ủ web (webserver) và t ươ ng tác v ới c ơ s ở d ữ và m ức v ận hành ứng d ụng web. Ở m ức hệ th ống, tri ển khai xây li ệu (database) hay các ngu ồn n ội dung động khác (dynamic content). dựng mơ hình web an tồn. Ở m ức v ận hành ứng d ụng, tri ển khai quy Ứng d ụng này nhanh chĩng được s ử d ụng r ộng rãi vì nĩ cho phép trình ki ểm sốt l ỗi b ảo m ật ứng d ụng web. Cu ối cùng là minh h ọa nhà cung c ấp d ịch v ụ và khách hàng chia s ẻ thơng tin theo các n ền vi ệc áp d ụng các gi ải pháp phịng v ệ nguy c ơ trên m ột trang web c ụ độc l ập thơng qua c ơ s ở h ạ t ầng c ủa Internet. M ột vài ví d ụ v ề ứng th ể qua vi ệc ki ểm tra mơ hình web và các l ỗi b ảo m ật trên trang web, dụng web (web application) nh ư: cơng c ụ tìm ki ếm, trang mua s ắm sau đĩ đư a ra gi ải pháp phịng v ệ nguy c ơ cho trang web. và c ổng thơng tin điện t ử hay máy ch ủ th ư điện t ử (webmail).
4. - 6 - - 7 - 1.1.1 Ki ến trúc c ơ b ản 1.3 BẢO M ẬT ỨNG D ỤNG WEB Một ứng d ụng web khi tri ển khai s ẽ cĩ ba l ớp nh ư sau: l ớp 1.3.1 Tổng quan tình hình b ảo m ật ứng d ụng web trình di ễn, l ớp ứng d ụng và l ớp c ơ s ở d ữ li ệu. Trong đĩ: 1.3.1.1 Thơng tin t ừ Zone-H.org - Lớp trình di ễn t ức là l ớp n ơi mà máy ch ủ được cài đặt cĩ tác 1.3.1.2 Thơng tin t ừ sách tr ắng WHID (Web Hacking Incident dụng ph ục v ụ các yêu c ầu v ề web, hay nĩi cách khác l ớp trình di ễn Database - C ơ s ở d ữ li ệu v ề s ự c ố t ấn cơng web) chính là máy ch ủ ph ục v ụ web. 1.3.1.3 Thơng tin t ừ VNCERT - Lớp ứng d ụng là n ơi các k ịch b ản hay mã ngu ồn (cĩ th ể là 1.3.2 Các nguy c ơ trên ứng d ụng web ASP.NET, PHP, JSP, Perl, Python, ) phát tri ển ra ứng d ụng web đĩ. 1.3.2.1 Phân lo ại nguy c ơ - Lớp c ơ s ở d ữ li ệu (cĩ th ể là MySQL, SQL Server, Oracle, ) Khi ngh ĩ đến phịng v ệ nguy c ơ cho ứng d ụng web, ng ười qu ản là n ơi mà ứng d ụng l ưu tr ữ và thao tác v ới d ữ li ệu c ủa ứng d ụng. tr ị th ường th ực hi ện các bi ện pháp ch ống l ại s ự t ấn cơng c ủa tin t ặc. 1.1.2 Ho ạt động c ủa m ột ứng d ụng web Tuy nhiên, nh ững nguy c ơ đe d ọa đến an ninh c ủa m ột ứng d ụng web Đầu tiên trình khách (hay cịn g ọi là trình duy ệt nh ư Internet đến t ừ nhi ều nguyên nhân khách quan, ch ủ quan khác nhau: Explorer, Netscap Navigator, ) s ẽ g ửi m ột yêu c ầu đến trình ch ủ - Nh ững th ảm h ọa b ất ng ờ: bao g ồm nh ững tác động đến t ừ bên web (Apache, Tomcat, IIS, ) thơng qua các l ệnh c ơ b ản GET, ngồi, ảnh h ưởng đến b ảo v ệ ở m ức v ật lý c ủa trang web nh ư h ỏa POST, c ủa giao th ức HTTP/HTTPS. Trình ch ủ lúc này cĩ th ể cho ho ạn, bão l ũ, động đất, kh ủng b ố, tai n ạn lao động, th ực thi m ột ch ươ ng trình được xây d ựng t ừ nhi ều ngơn ng ữ nh ư - Nh ững s ự c ố máy tính: bao g ồm nh ững tr ục tr ặc v ật lý ảnh Perl, C/C++, ho ặc trình ch ủ yêu c ầu b ộ di ễn d ịch th ực thi các trang hưởng đến ho ạt động c ủa trang web nh ư s ự c ố ngu ồn điện, h ỏng ph ần ASP, JSP, theo yêu c ầu c ủa trình khách và th ực hi ện các yêu c ầu cứng, thi ết b ị n ối m ạng h ỏng, mơi tr ường v ận hành thi ết b ị h ỏng, nh ư c ập nh ật, truy v ấn thơng tin trong c ơ s ở d ữ li ệu, Sau đĩ ứng - Nh ững s ự c ố vơ tình: bao g ồm nh ững ảnh h ưởng đến h ệ th ống dụng web g ửi thơng tin l ại cho ng ười dùng qua trình duy ệt. do y ếu t ố con ng ười nh ư nhân viên thi ếu hi ểu bi ết v ề b ảo m ật, nhân 1.2 CÁC V ẤN ĐỀ LIÊN QUAN ĐẾN ỨNG D ỤNG WEB viên l ơ đễnh c ẩu th ả khi qu ản lý h ệ th ống, 1.2.1 Ngu ồn g ốc phát tri ển - Nh ững s ự c ố cĩ ch ủ ý: bao g ồm nh ững ho ạt động phá ho ại, 1.2.2 Giao th ức truy ền d ữ li ệu (HTTP/HTTPS) khai thác t ấn cơng làm ảnh h ưởng đến an ninh c ủa trang web nh ư t ội 1.2.3 Giao th ức b ảo m ật (SSL/TLS) ph ạm máy tính, tình báo cơng ngh ệ cao, kh ủng b ố cơng ngh ệ cao, 1.2.4 Ph ươ ng th ức truy ền d ữ li ệu (GET/POST) nhân viên b ất mãn v ới t ổ ch ức, nhân viên gián điệp bán thơng tin để 1.2.5 Sự qu ản lý phiên (session) nh ận h ối l ộ, nhân viên b ị đánh l ừa để l ấy các tài kho ản h ệ th ống (hay 1.2.5.1 Session cịn g ọi là k ỹ thu ật xã h ội – sociable engineer), 1.2.5.2 Cookie
5. - 8 - - 9 - Lo ại b ỏ các m ối đe d ọa này địi h ỏi ph ải t ốn nhi ều th ời gian và - Ki ểm tra h ộp tr ắng: là quá trình ki ểm tra tr ực ti ếp mã ngu ồn cơng s ức. V ấn đề tr ước tiên là c ần xây d ựng ý th ức rõ ràng và đầy đủ của ứng d ụng web để tìm ra các l ỗi b ảo m ật. về nh ững hi ểm h ọa này, và sau đĩ lên k ế ho ạch th ực hi ện qu ản lý và - Kiểm tra h ộp đen: là ph ươ ng pháp ki ểm tra ứng d ụng t ừ bên phịng tránh r ủi ro thích h ợp tr ước m ỗi lo ại nguy c ơ. ngồi, t ức là quan sát các d ữ li ệu được đệ trình đến ứng d ụng và các 1.3.2.2 Các nguy c ơ ph ổ bi ến ảnh h ưởng đến ứng d ụng web dữ li ệu t ừ ứng d ụng xu ất ra mà khơng c ần hi ểu đến ho ạt động bên Nh ư đã trình bày ở trên, các m ối đe d ọa ảnh h ưởng đến an ninh trong c ủa ứng d ụng. của ứng d ụng web đến t ừ nhi ều nguyên nhân khác nhau. M ỗi nguy c ơ Các ph ươ ng pháp ki ểm tra h ộp tr ắng và h ộp đen cĩ th ể được cần cĩ nh ững bi ện pháp phịng tránh c ụ th ể. Trong khuơn kh ổ c ủa th ực hi ện m ột cách th ủ cơng ho ặc v ới s ự h ỗ tr ợ c ủa các cơng c ụ t ự lu ận v ăn này, tơi đi sâu tìm hi ểu và đề xu ất gi ải pháp phịng v ệ cho động. Ph ươ ng pháp ki ểm tra th ủ cơng tuy địi h ỏi đầu t ư nhi ều th ời các nguy c ơ t ấn cơng cĩ chủ ý, hay nĩi cách khác chính là nh ững gian và cơng s ức nh ưng giúp ki ểm sốt ch ặt ch ẽ m ọi l ỗi b ảo m ật khi nguy c ơ t ấn cơng t ừ phía tin t ặc, t ấn cơng nh ắm m ục tiêu d ựa vào vận hành ứng d ụng. Để t ăng c ường hi ệu su ất c ủa vi ệc ki ểm tra cĩ th ể vi ệc khai thác các điểm y ếu trong s ự v ận hành c ủa ứng d ụng web. sử d ụng thêm các cơng c ụ t ự động. Tuy nhiên, c ần k ết h ợp v ới s ự Các nguy c ơ này được phân lo ại theo t ừng nhĩm ch ức n ăng c ủa ứng hi ểu bi ết c ủa ng ười ki ểm tra trong quá trình s ử d ụng để giúp các cơng dụng web nh ư sau: cụ t ự động mang l ại k ết qu ả chính xác ( đây là khái ni ệm liên quan - Lộ thơng tin nh ạy c ảm. đến ki ểm tra h ộp xám). - Qu ản lý xác th ực khơng an tồn. 1.3.3.1 Ki ểm tra th ủ cơng - Qu ản lý phiên khơng an tồn. Ki ểm tra th ủ cơng là quá trình ki ểm tra t ừng ch ức n ăng c ủa - Điều khi ển truy c ập khơng an tồn. ứng d ụng, qua đĩ xác định được các điểm y ếu b ảo m ật c ủa ứng d ụng - Chèn d ữ li ệu khơng an tồn (dẫn đến l ỗi XSS, SQLi, ). để cĩ gi ải pháp kh ắc ph ục phù h ợp. Các cơng c ụ h ỗ tr ợ cho vi ệc ki ểm - Tấn cơng t ừ ch ối d ịch v ụ (DOS). tra th ủ cơng l ỗi b ảo m ật: BURP, PAROS, WEBSCARAB, Bằng Trên đây là các nguy c ơ r ất ph ổ bi ến và ảnh h ưởng tr ực tiếp vi ệc s ử d ụng các cơng c ụ này để quan sát ho ạt động c ủa ứng d ụng đến an tồn c ủa ứng d ụng, địi h ỏi ph ải cĩ s ự nghiên c ứu, tìm ra gi ải trong vi ệc th ực hi ện các request/response, ng ười ki ểm tra cĩ th ể phát pháp để ki ểm tra và ch ủ động phịng v ệ cho ứng d ụng tr ước các nguy hi ện l ỗi c ủa ứng d ụng để qua đĩ cĩ bi ện pháp kh ắc ph ục l ỗi cho ứng cơ. dụng. 1.3.3 Các ph ươ ng pháp ki ểm tra 1.3.3.2 Ki ểm tra b ằng cơng c ụ t ự động Các ph ươ ng pháp ki ểm tra l ỗi b ảo m ật trên ứng d ụng web được Các cơng c ụ t ự động được phát tri ển để h ỗ tr ợ cho vi ệc ki ểm dùng ph ổ bi ến là ph ươ ng pháp ki ểm tra h ộp tr ắng và ph ươ ng pháp tra th ủ cơng các l ỗi b ảo m ật trên ứng d ụng web. Các cơng c ụ này r ất ki ểm tra h ộp đen. đa d ạng, cĩ th ể là mã ngu ồn m ở ho ặc tính phí v ới các ưu/khuy ết điểm
6. - 10 - - 11 - khác nhau. Nh ững cơng c ụ này s ẽ t ự động quét ứng d ụng và phát CH ƯƠ NG 2: hi ện l ỗi, sau đĩ tr ả v ề các báo cáo l ỗi. Ng ười ki ểm tra lúc này c ần PHỊNG V Ệ NGUY C Ơ TRÊN ỨNG D ỤNG WEB ph ối h ợp s ử d ụng nhi ều cơng c ụ để ki ểm tra xác nh ận l ại nh ững v ị trí Trong ch ươ ng này, nghiên c ứu vi ệc phịng v ệ các nguy c ơ ph ổ lỗi, tránh tình tr ạng cơng c ụ c ảnh báo l ỗi sai ho ặc thi ếu. Các cơng c ụ bi ến trên ứng d ụng web, vi ệc phịng v ệ tồn di ện cho h ệ th ống, đồng ki ểm tra l ỗi tiêu bi ểu nh ư Acunetix, w3af, th ời gi ới thi ệu h ướng ti ếp c ận c ủa lu ận v ăn trong vi ệc xây d ựng gi ải 1.4 TỔNG K ẾT CH ƯƠ NG 1 pháp phịng v ệ nguy c ơ trên ứng d ụng web. N ội dung phịng v ệ các Trong tồn b ộ ch ươ ng 1, tơi đã gi ới thi ệu t ổng quan các v ấn đề nguy c ơ ph ổ bi ến trình bày về các lỗ h ổng b ảo m ật liên quan đến vi ệc liên quan đến ứng d ụng web và nguy cơ ảnh h ưởng đến ứng d ụng khai thác ch ức n ăng c ủa ứng d ụng web, nh ư nguy c ơ l ộ thơng tin web. nh ạy c ảm hay nguy c ơ b ị chèn các thơng tin khơng đúng chu ẩn để Trình bày chi ti ết v ề ki ến trúc c ơ b ản c ủa m ột ứng d ụng web khai thác ứng d ụng, qua đĩ đề xu ất các gi ải pháp ki ểm tra và nh ư l ớp trình di ễn, l ớp ứng d ụng, l ớp c ơ s ở d ữ li ệu, và s ự giao ti ếp phịng v ệ cho t ừng nguy c ơ. Nội dung phịng v ệ tồn di ện cho hệ của các thành ph ần này trong ho ạt động c ủa ứng d ụng web. Các khái th ống gi ới thi ệu gi ải pháp phịng v ệ nguy c ơ theo mơ hình Defense- ni ệm liên quan đến s ự v ận hành c ủa ứng d ụng web nh ư giao th ức In-Depth. N ội dung cu ối c ủa ch ươ ng trình bày v ề vi ệc xây d ựng gi ải truy ền d ữ li ệu HTTP/HTTPS, giao th ức b ảo m ật SSL/TLS, các pháp phịng v ệ nguy c ơ trên ứng d ụng web, các gi ải pháp này được ph ươ ng th ức truy ền d ữ li ệu GET/POST và s ự qu ản lý phiên (session) phân tích t ừ các v ấn đề liên quan đến mơ hình ứng d ụng web và các trong quá trình giao ti ếp gi ữa máy khách và máy ch ủ. lỗi b ảo m ật trên ứng d ụng web. Trình bày t ổng quan v ề tình hình b ảo m ật web qua s ố li ệu được 2.1 PHỊNG V Ệ CÁC NGUY C Ơ PH Ổ BI ẾN tổng h ợp t ừ nhi ều ngu ồn th ống kê uy tín nh ư Zone-H hay sách tr ắng 2.1.1 Lộ thơng tin nh ạy c ảm WHID (Web Hacking Incident Database) và s ố li ệu v ề các cu ộc t ấn 2.1.1.1 Lộ mã ngu ồn cơng vào các website ở địa ph ươ ng, ở các c ơ quan ban ngành t ại Vi ệt 2.1.1.2 Lộ c ấu trúc th ư m ục Nam do VNCERT cung c ấp. Bên c ạnh đĩ, trình bày các nguy c ơ ảnh 2.1.1.3 Lộ t ập tin c ũ và t ập tin sao l ưu hưởng đến ứng d ụng web và các ph ươ ng pháp được s ử d ụng để ki ểm
   Bi ện pháp phịng tránh tra l ỗi b ảo m ật web. Ki ểm tra sâu vào các t ập tin nh ạy c ảm, sau đĩ cĩ bi ện pháp b ảo Vấn đề đặt ra là các nguy c ơ ph ổ bi ến trên ứng d ụng web đến vệ cho các t ập tin nh ạy c ảm này. từ s ự t ấn cơng cĩ ch ủ ý c ủa tin t ặc, t ấn cơng nh ắm m ục tiêu d ựa vào 2.1.2 Vượt qua xác th ực vi ệc khai thác các điểm y ếu trong v ận hành c ủa ứng d ụng web, c ần Một vài tr ường h ợp, ch ươ ng trình xác th ực cĩ th ể b ị b ỏ qua cĩ s ự nghiên c ứu tìm ra gi ải pháp để ki ểm tra và ch ủ động phịng v ệ bằng cách g ọi tr ực ti ếp đến m ột trang n ội b ộ, t ưởng r ằng ch ỉ được cho ứng d ụng web tr ước các nguy c ơ. truy c ập sau khi đã xác th ực thành cơng, ho ặc gi ả m ạo yêu c ầu và
7. - 12 - - 13 - đánh l ừa ứng d ụng r ằng xác th ực đã thành cơng b ằng cách s ửa đổi
   Bi ện pháp phịng tránh các tham s ố URL cho tr ước. Ki ểm tra truy c ập m ỗi đối t ượng s ử d ụng t ừ ngu ồn ch ưa tin
   Bi ện pháp phịng tránh tưởng ph ải cĩ c ơ ch ế ki ểm tra điều khi ển truy c ập. Đảm b ảo r ằng Cĩ bi ện pháp xác th ực phù h ợp cho t ừng trang c ủa ứng d ụng. ng ười s ử d ụng đã ch ứng th ực đối v ới nh ững đối t ượng được yêu c ầu. 2.1.3 Tấn cơng Brute Force 2.1.6 Lộ giá tr ị phiên Các tài kho ản ng ười dùng khác nhau s ẽ cĩ nh ững quy ền truy Các giá tr ị c ủa m ột phiên làm vi ệc g ọi là các token g ồm cĩ cập vào h ệ th ống khác nhau. Tin t ặc tìm cách li ệt kê các cookie, định danh phiên (sessionID) và tr ường ẩn (hidden field). N ếu User/Password h ợp l ệ và sau đĩ th ực hi ện t ấn cơng Brute Force để các giá tr ị c ủa phiên b ị l ộ thì tin t ặc cĩ th ể đĩng gi ả là ng ười dùng và tìm c ặp User/Password h ợp l ệ. truy c ập được vào h ệ th ống v ới quy ền c ủa ng ười s ử d ụng. Do v ậy,
   Bi ện pháp phịng tránh cần ph ải luơn b ảo m ật các giá tr ị token này trong su ốt quá trình liên User/Password c ần được đặt khĩ đốn và đảm b ảo yêu c ầu b ảo lạc gi ữa ng ười dùng và trình ứng d ụng web. mật nh ư độ dài trên 7 ký t ự, s ử d ụng các ký t ự đặc biêt,
   Bi ện pháp phịng tránh 2.1.4 Vượt qua xác quy ền Cĩ bi ện pháp b ảo v ệ các định danh phiên nh ư s ử d ụng giao Trang web cĩ các phân quy ền truy c ập khác nhau cho các tài th ức b ảo m ật SSL/TLS. kho ản ng ười dùng khác nhau. N ếu m ột thành viên bên ngồi cĩ th ể 2.1.7 Chèn yêu c ầu gi ả m ạo (CSRF) đọc được nh ững thơng tin được b ảo v ệ khơng đúng quy ền truy c ập Tấn cơng CSRF (Cross Site Request Forgery – Chèn yêu c ầu truy c ập (v ượt qua điều khi ển truy c ập) thì trang web đã khơng đảm gi ả m ạo) là ki ểu t ấn cơng mà ng ười dùng b ị l ợi d ụng để th ực thi bảo an ninh thơng tin. nh ững hành động khơng mong mu ốn ngay trên phiên đă ng nh ập c ủa
   Bi ện pháp phịng tránh họ. Khi khai thác thành cơng l ỗi CSRF, tin t ặc cĩ th ể l ấy được các Cĩ bi ện pháp bảo v ệ các đối t ượng được truy c ập b ởi ng ười thơng tin v ề tài kho ản ng ười dùng, th ực hi ện các hành động làm nguy dùng ho ặc nh ững tham chi ếu đối t ượng gián ti ếp. Điều này ng ăn ch ặn hại đến c ơ s ở d ữ li ệu trên trang web n ếu ng ười dùng đĩ là ng ười qu ản tin t ặc tr ực ti ếp truy c ập nh ững tài nguyên khơng được phép. tr ị trang web 2.1.5 Leo thang đặc quy ền
   Bi ện pháp phịng tránh Leo thang đặc quy ền x ảy ra khi m ột ng ười dùng được quy ền Cĩ th ể g ộp token duy nh ất trong m ột tr ường ẩn. Nĩ s ẽ được truy c ập vào m ột ch ức n ăng ho ặc tài nguyên nhi ều h ơn m ức được cho gửi thơng qua ph ần thân c ủa yêu c ầu HTTP, tránh được vi ệc g ộp nĩ phép. Điều này th ường gây ra b ởi m ột l ỗ h ổng trong ứng d ụng. K ết trong URL s ẽ ph ơi bày cho tin t ặc bi ết. qu ả là ứng d ụng cho phép các đặc quy ền ngồi dự định c ủa nhà phát tri ển ho ặc qu ản tr ị viên h ệ th ống.
8. - 14 - - 15 - 2.1.8 Chèn k ịch b ản th ực thi (XSS) phát tri ển ứng d ụng, và để gi ảm thi ểu nguy c ơ t ừ các cu ộc t ấn cơng Chèn k ịch b ản th ực thi (Cross Site Scripting – XSS) là ph ươ ng này, ch ỉ cĩ th ể t ăng c ường ki ến trúc m ạng. Tuy nhiên, m ột vài l ỗ pháp thao tác v ới các thơng s ố đầu vào để tìm ra l ỗ h ổng c ủa ứng hổng trong ứng d ụng cĩ th ể b ị l ợi d ụng để t ấn cơng t ừ ch ối d ịch v ụ. dụng. XSS cho phép tin t ặc th ực thi k ịch b ản trên trình duy ệt c ủa n ạn Nh ững v ấn đề này th ường n ằm trong l ỗi các trình ứng d ụng và nhân và cĩ th ể c ướp đoạt phiên ng ười s ử d ụng, thay đổi giao di ện th ường xu ất phát t ừ điểm y ếu trong vi ệc ki ểm tra các d ữ li ệu nh ạy website ho ặc chuy ển h ướng ng ười s ử d ụng đến nh ững trang độc h ại. cảm do ng ười dùng nh ập vào.
   Bi ện pháp phịng tránh
   Bi ện pháp phịng tránh Cĩ bi ện pháp l ọc d ữ li ệu h ợp lý để tránh tình tr ạng tin t ặc chèn Cĩ bi ện pháp ki ểm tra d ữ li ệu đầu vào tr ước khi x ử lý. mã l ệnh th ực thi. 2.2 PHỊNG V Ệ TỒN DI ỆN H Ệ TH ỐNG 2.1.9 Chèn câu truy v ấn SQL Phịng v ệ tồn di ện h ệ th ống (Defense-In-Depth) là m ột chi ến Chèn câu truy v ấn SQL (SQL Injection) là ki ểu t ấn cơng được lược đảm b ảo thơng tin (IA – Information Assurance) trong đĩ các th ực hi ện b ằng cách chèn các câu truy v ấn SQL vào d ữ li ệu t ươ ng tác lớp được phịng v ệ được đặt xuyên su ốt trong h ệ th ống thơng tin c ủa gi ữa máy khách và trình ứng d ụng. Quá trình khai thác l ỗi SQL một t ổ ch ức. Mơ hình này bao g ồm vi ệc phịng v ệ nguy c ơ cho h ệ Injection thành cơng cĩ th ể giúp tin t ặc l ấy được các d ữ li ệu nh ạy th ống ở c ả m ức con ng ười, cơng ngh ệ và v ận hành. Đây là chi ến l ược cảm trong c ở s ở d ữ li ệu, th ực thi các hành động v ới quy ền c ủa ng ười được hình thành b ởi C ơ quan An ninh qu ốc gia (M ỹ) – National qu ản tr ị và cao h ơn cĩ th ể điều khi ển được h ệ điều hành máy ch ủ. Security Agency (NSA) để đảm b ảo an ninh thơng tin.
   Bi ện pháp phịng tránh Mơ hình Defense-In-Depth được trình bày nh ư sau: Ki ểm tra d ữ li ệu đầu vào tr ước khi x ử lý; Mã hĩa d ữ li ệu trong cơ s ở d ữ li ệu và khơng cho xu ất trang báo l ỗi n ội dung cú pháp SQL để tin t ặc khơng th ể thu th ập thơng tin c ơ s ở d ữ li ệu; Gi ới h ạn quy ền truy c ập c ơ s ở d ữ li ệu c ủa ng ười dùng và áp d ụng các cơng ngh ệ phịng tránh l ỗi SQL Injection, 2.1.10 Tấn cơng t ừ ch ối d ịch v ụ Tấn cơng t ừ ch ối d ịch v ụ là ki ểu t ấn cơng làm cho m ột trang web khơng th ể được truy c ập b ởi ng ười dùng bình th ường. Tin t ặc s ử dụng m ột l ượng l ớn b ăng thơng để làm l ụt h ệ th ống máy ch ủ, làm cho máy ch ủ khơng đủ kh ả n ăng gi ải quy ết t ất c ả các yêu c ầu nh ận được. Nh ững ki ểu t ấn cơng này v ượt xa t ầm ki ểm sốt c ủa các nhà Hình 2.1. Các l ớp trong mơ hình Defense-In-Depth
9. - 16 - - 17 - Theo mơ hình Defense-In-Depth, d ữ li ệu (Data) là thành ph ần trong vi ệc phịng ch ống cho ứng d ụng tr ước các nguy c ơ t ấn cơng t ừ quan tr ọng nh ất trong m ột h ệ th ống web. Để b ảo v ệ l ớp d ữ li ệu, các tin t ặc. lớp bên ngồi được t ổ ch ức nh ư sau: 2.3.2 Vấn đề v ề l ỗi b ảo m ật trên ứng d ụng web - Policies, Procedures, Awareness: bao g ồm vi ệc xây d ựng các Theo các k ết qu ả th ống kê đã được cơng b ố, nghiên c ứu t ấn chính sách, th ủ t ục b ảo m ật, giáo d ục ý th ức v ề b ảo m ật. cơng và phịng th ủ ứng d ụng web là m ột l ĩnh v ực phát tri ển m ạnh, - Physical: b ảo v ệ m ức v ật lý (ví d ụ nh ư s ử d ụng ổ khĩa c ửa). trong đĩ các khái ni ệm m ới và ph ươ ng pháp t ấn cơng m ới được hình - Perimeter: b ảo v ệ vành đai nh ư t ường l ửa, c ấu hình router, thành v ới t ốc độ nhanh h ơn so v ới các ph ươ ng pháp c ũ đã cĩ. M ặt VPN, . khác, vi ệc phát tri ển khơng ng ừng c ủa cơng ngh ệ để áp d ụng xây - Internal Network: b ảo v ệ m ạng trong nh ư các đoạn m ạng, dựng các ứng d ụng web đã được đẩy xa h ơn n ền t ảng ban đầu r ất Network Based IDS, . nhi ều. Chính điều này đã d ẫn đến vi ệc xu ất hi ện nhi ều nguy c ơ m ới, - Host: b ảo v ệ host nh ư qu ản lý máy ch ủ, Host-Based Firewall, kể c ả nh ững l ỗ h ổng b ảo m ật khơng l ường tr ước được. các ph ần m ềm b ảo v ệ, h ệ th ống phịng th ủ t ấn cơng, qu ản lý vi ệc c ập Tuy nhiên, các ph ươ ng pháp t ấn cơng hay nguy c ơ m ới xu ất nh ật các l ỗi b ảo m ật, . hi ện xét cho cùng c ũng xu ất phát t ừ vi ệc khai thác ch ức n ăng c ủa h ệ - Application: bao g ồm vi ệc b ảo v ệ ở m ức v ận hành c ủa ứng th ống. Chính vì v ậy để gi ải quy ết v ấn đề phịng v ệ nguy c ơ trên ứng dụng nh ư t ạo m ật kh ẩu m ạnh, s ử d ụng các giao th ức b ảo m ật nh ư dụng web, vi ệc th ường xuyên ki ểm tra s ự v ận hành c ủa ứng d ụng, SSL/TLS, IPSec, quá trình x ử lý t ốt thơng tin vào/ra và qu ản lý thơng tin trên h ệ th ống 2.3 ĐỀ XU ẤT GI ẢI PHÁP sẽ đáp ứng được yêu c ầu đặt ra. Nĩi cách khác, việc xây d ựng m ột 2.3.1 Vấn đề v ề mơ hình ứng d ụng web quy trình ki ểm sốt ch ức n ăng c ủa h ệ th ống c ũng chính là để gi ải Một ứng d ụng web khi được tri ển khai trên m ạng Internet c ần quy ết v ấn đề phịng v ệ nguy c ơ cho h ệ th ống. cĩ s ự tham gia c ủa nhi ều y ếu t ố. Để đảm b ảo cho ứng d ụng đĩ ho ạt 2.3.3 Hướng ti ếp c ận và phát tri ển c ủa đề tài động an tồn thì các thành ph ần c ấu thành nh ư mã ngu ồn ứng d ụng Nh ư đã trình bày ở trên, để h ạn ch ế các nguy c ơ t ấn cơng lên web ph ải được l ập trình an tồn, các thành ph ần b ổ tr ợ nh ư máy ch ủ ứng d ụng web, c ần ph ải cĩ m ột gi ải pháp t ổng th ể và được tri ển khai ph ục web và h ệ qu ản tr ị c ơ s ở d ữ li ệu, c ũng c ần được qu ản lý t ốt. trên trên tồn b ộ các l ĩnh v ực. B ắt đầu t ừ vi ệc tuyên truy ền ý th ức, Tuy r ằng khơng cĩ m ột mơ hình nào là t ối ưu và đảm b ảo an tồn trách nhi ệm v ề b ảo m ật; vi ệc đào t ạo đội ng ũ qu ản tr ị, v ận hành h ệ tuy ệt đối cho m ột ứng d ụng web kh ỏi nh ững nguy c ơ, nh ưng vi ệc xây th ống đủ trình độ k ỹ thu ật; vi ệc đầu t ư h ệ th ống m ạng, h ệ th ống ph ần dựng m ột mơ hình web h ợp lý, c ấu hình các thành ph ần trong mơ cứng, ph ần m ềm đảm b ảo yêu c ầu an ninh; vi ệc xây d ựng mơ hình hình web phù h ợp v ới s ự v ận hành c ủa ứng d ụng là v ấn đề tr ước tiên web h ợp lý, đảm b ảo yêu c ầu an tồn cho h ệ th ống; đến vi ệc ki ếm cần quan tâm để qu ản lý t ốt h ệ th ống và giúp ng ười qu ản tr ị ch ủ động sốt t ốt l ỗi b ảo m ật trên ứng d ụng web;
10. - 18 - - 19 - Lo ại b ỏ các y ếu t ố v ề tuyên truy ền, đào t ạo và đầu t ư cho v ấn CH ƯƠ NG 3: đề b ảo m ật, trong khuơn kh ổ c ủa lu ận v ăn, quan điểm “Xây d ựng gi ải TRI ỂN KHAI GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ pháp phịng v ệ nguy c ơ trên ứng d ụng web” được tri ển khai ở m ức độ TRÊN ỨNG D ỤNG WEB xây d ựng mơ hình ứng d ụng web an tồn và ki ểm sốt t ốt các l ỗi b ảo Qua vi ệc tìm hi ểu các nguy c ơ ph ổ bi ến liên quan đến vi ệc mật trên trang web. khai thác ch ức n ăng c ủa ứng d ụng web, gi ải pháp phịng v ệ nguy c ơ - Vấn đề xây d ựng mơ hình ứng d ụng web an tồn liên quan cho ứng d ụng web s ẽ được tri ển khai xây d ựng ở hai m ức, m ức h ệ đến vi ệc phịng v ệ nguy c ơ ở m ức h ệ th ống c ủa ứng d ụng. th ống và m ức v ận hành ứng d ụng web. Ở m ức h ệ th ống, tri ển khai - Vấn đề ki ểm sốt các l ỗi b ảo m ật trên ứng d ụng web liên xây d ựng mơ hình web an tồn qua vi ệc c ấu hình các thành ph ần web quan đến vi ệc phịng v ệ nguy c ơ ở m ức v ận hành ứng d ụng. hợp lý và vi ệc cài đặt các ứng d ụng b ảo v ệ cho trang web (nh ư Các gi ải pháp phịng v ệ nguy c ơ này được xây d ựng d ưới gĩc Firewall, Anti-vius, ). Ở m ức v ận hành ứng d ụng web, tri ển khai nhìn c ủa ng ười l ập trình ứng d ụng web trong quá trình phát tri ển ứng quy trình ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web. Cu ối cùng là dụng và ng ười qu ản tr ị (admin) trang web trong quá trình v ận hành minh h ọa vi ệc áp d ụng các gi ải pháp phịng v ệ nguy c ơ trên website ứng d ụng. Bầu c ử Qu ốc h ội khĩa 13 ( baucukhoa13.quochoi.vn ), c ụ th ể b ằng 2.4 TỔNG K ẾT CH ƯƠ NG 2 vi ệc ki ểm tra mơ hình web và các l ỗi b ảo m ật trên trang web. Trên c ơ Trong tồn b ộ ch ươ ng 2, tơi đã nghiên c ứu vi ệc phịng v ệ các sở đĩ, tơi báo cáo v ề các nguy c ơ và gi ải pháp phịng v ệ cho t ừng nguy c ơ ph ổ bi ến trên ứng d ụng web, phịng v ệ tồn di ện cho h ệ nguy c ơ. th ống, qua đĩ trình bày h ướng ti ếp c ận c ủa lu ận v ăn trong vi ệc xây 3.1 PHỊNG V Ệ NGUY C Ơ Ở M ỨC H Ệ TH ỐNG dựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web. Để phịng v ệ nguy c ơ ở m ức h ệ th ống, m ột mơ hình web đảm Để phịng v ệ các nguy c ơ ph ổ bi ến trên ứng d ụng web c ần hi ểu bảo an tồn được đề xu ất nh ư sau: rõ v ề s ự v ận hành c ủa ứng d ụng web, qua đĩ tìm hi ểu các l ỗ h ổng bảo m ật liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng d ụng, sau đĩ là nghiên c ứu v ề các gi ải pháp ki ểm tra và phịng v ệ cho t ừng nguy cơ. Bên c ạnh đĩ để ch ủ động phịng tránh cho ứng d ụng kh ỏi các nguy c ơ c ần cĩ m ột gi ải pháp đảm b ảo an tồn trên nhi ều ph ươ ng di ện. Tơi đã gi ới thi ệu mơ hình Defense-In-Depth, qua đĩ đặt v ấn đề về vi ệc xây d ựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web ở mức h ệ th ống và m ức v ận hành ứng d ụng web. Hình 3.1. Xây d ựng mơ hình web đảm b ảo an tồn
11. - 20 - - 21 - 3.1.1 Cấu hình web h ợp lý 3.1.2.2 Anti-Virus Một ứng d ụng web khi tri ển khai s ẽ cĩ ba l ớp: l ớp trình di ễn, 3.1.2.3 Cơ ch ế sao l ưu lớp ứng d ụng và l ớp c ơ s ở d ữ li ệu. Vi ệc ho ạch định các l ớp trong c ấu 3.1.2.4 Cơ ch ế ph ục h ồi trúc web t ốt khơng nh ững giúp cho ng ười qu ản tr ị d ễ dàng v ận hành 3.2 PHỊNG V Ệ NGUY C Ơ Ở M ỨC V ẬN HÀNH ỨNG mà cịn ch ủ động trong vi ệc phịng ch ống các nguy c ơ t ấn cơng t ừ tin DỤNG tặc. M ột s ố cách b ố trí l ớp th ường g ặp trong th ực t ế nh ư sau: Để phịng v ệ nguy c ơ ở m ức v ận hành ứng d ụng, c ần cĩ m ột gi ải pháp ki ểm tra m ọi l ỗi b ảo m ật liên quan đến ho ạt động c ủa ứng dụng web. Quy trình ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web được ti ến hành t ừ vi ệc thu th ập thơng tin v ề ứng d ụng web và ti ến hành phân tích, đến vi ệc ki ểm tra các c ấu hình và ch ức n ăng trên ứng dụng. N ội dung c ụ th ể nh ư sau: Thu th ập thơng tin và phân tích 1. Thu th ập thơng tin 2. Phân tích ấ Hình 3.2. Các mơ hình c u trúc web Thi ết đặt Điều khi ể n Ki ể m tra d ữ Thi ết đặt máy Qua các mơ hình trên cho th ấy n ếu nh ư tri ển khai gi ữa các l ớp web truy c ập li ệu đầu vào ch ủ khơng cĩ s ự tách bi ệt rõ ràng thì m ột l ớp b ị tin t ặc t ấn cơng cĩ th ể 3. Ki ểm tra 4. Ki ểm tra 7. Ki ểm tra 8. Ki ểm tra dẫn đến các l ớp khác c ũng b ị ảnh h ưởng theo. Do v ậy, các l ớp khi các thi ết đặt xác th ực lỗi chèn d ữ thi ết đặt máy web li ệu ch ủ tri ển khai nên tách bi ệt độc l ập thành mơ hình ba l ớp, để tránh tình tr ạng m ột l ớp b ị t ấn cơng d ẫn đến các l ớp khác b ị ảnh h ưởng. Ngồi 5. Ki ểm tra 9. Ki ểm tra qu ản lý phiên lỗi phía máy ra, vi ệc phân lo ại độc l ập ba l ớp s ẽ t ạo điều ki ện thu ận l ợi cho vi ệc ch ủ vận hành, b ảo trì h ệ th ống c ũng nh ư d ễ dàng áp d ụng các bi ện pháp bảo v ệ đối v ới m ỗi l ớp chuyên bi ệt. 6. Ki ểm tra điều khi ển 3.1.2 Cài đặt ứng d ụng b ảo v ệ truy c ập 3.1.2.1 Firewall Hình 3.3. Quy trình ki ểm sốt l ỗi b ảo m ật ứng d ụng web
12. - 22 - - 23 - 3.2.1 Thu th ập thơng tin - Các t ập tin sao l ưu và tập tin c ơ s ở d ữ li ệu c ần cĩ bi ện pháp b ảo 3.2.2 Phân tích điểm y ếu ứng d ụng vệ h ợp lý, thi ết l ập các quy ền truy c ập v ới các t ập tin này. 3.2.3 Ki ểm tra thi ết đặt web - Để đảm b ảo an tồn trong quá trình truy c ập FTP, nên s ử d ụng 3.2.4 Ki ểm tra xác th ực giao th ức SFTP ho ặc FTPS. 3.2.5 Ki ểm tra qu ản lý phiên - Nên cĩ ch ế độ khĩa tài kho ản ho ặc địa ch ỉ IP n ếu cĩ s ố l ần 3.2.6 Ki ểm tra điều khi ển truy c ập đă ng nhập sai nhi ều, ho ặc s ử d ụng captcha t ại n ơi đă ng nh ập. 3.2.7 Ki ểm tra l ỗi chèn d ữ li ệu - Nên s ử d ụng m ột b ộ l ọc để ki ểm tra tính h ợp pháp c ủa các siêu 3.2.8 Ki ểm tra thi ết đặt máy ch ủ ký t ự do ng ười dùng nh ập vào ứng d ụng web để tránh các nguy c ơ v ề 3.2.9 Ki ểm tra l ỗi phía máy ch ủ lỗi chèn d ữ li ệu nh ư SQL Injectiontion, XPath Injection hay Cross 3.3 TRI ỂN KHAI GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ TRÊN Site Scripting (XSS). WEBSITE BAUCUKHOA13.QUOCHOI.VN 3.4 TỔNG K ẾT CH ƯƠ NG 3 3.3.1 Cài đặt cơng c ụ Trong tồn b ộ ch ươ ng 3, gi ải pháp phịng v ệ nguy c ơ cho ứng 3.3.2 Báo cáo t ổng quan dụng web đã được tri ển khai xây d ựng ở hai m ức, m ức h ệ th ống và 3.3.3 Báo cáo chi ti ết l ỗi mức v ận hành ứng d ụng web. Ở m ức h ệ th ống, đã tri ển khai xây 3.3.3.1 Lộ thơng tin v ề h ệ điều hành máy ch ủ và máy ch ủ web dựng mơ hình web an tồn qua vi ệc c ấu hình các thành ph ần web h ợp 3.3.3.2 Các giao th ức được cho phép trên máy ch ủ lý và vi ệc cài đặt các ứng d ụng b ảo v ệ cho trang web (nh ư Firewall, 3.3.3.3 Tồn t ại t ập tin sao l ưu trên website Anti-vius, ). Ở m ức v ận hành ứng d ụng web, đã tri ển khai quy trình 3.3.3.4 Th ư m ục c ơ s ở d ữ li ệu t ồn t ại trên website ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web. Quy trình này được xây 3.3.3.5 FTP h ỗ tr ợ truy c ập khơng mã hĩa dựng chi ti ết t ừ m ức thu th ập thơng tin, phân tích đến m ức ki ểm tra 3.3.3.6 Trang đă ng nh ập quy ền qu ản tr ị khơng gi ới h ạn s ố l ần các ho ạt động ch ức n ăng c ủa ứng d ụng web nh ư ki ểm tra các thi ết đặt đă ng nh ập web, điều khi ển truy c ập, ki ểm sốt l ỗi nh ập li ệu đầu vào và cu ối 3.3.3.7 Lỗi SQL Injection cùng là ki ểm tra các thi ết đặt c ủa máy ch ủ để đảm b ảo an tồn cho 3.3.3.8 Lỗi XPath Injection ho ạt động c ủa ứng d ụng web. Tơi c ũng đã minh h ọa vi ệc áp d ụng các 3.3.3.9 Lỗi Cross Site Scripting (XSS) gi ải pháp phịng v ệ nguy c ơ trên vào vi ệc ki ểm tra website B ầu c ử 3.3.4 Bi ện pháp phịng v ệ nguy c ơ qu ốc h ội khĩa 13 v ới s ự h ỗ tr ợ c ủa các cơng c ụ được t ập h ợp trong - Ch ỉ nên cho phép truy c ập c ổng 3389 t ừ m ạng n ội b ộ ho ặc BackTrack 5, qua đĩ đề xu ất bi ện pháp phịng v ệ nguy c ơ cho trang đĩng c ổng này n ếu khơng c ần dùng để tránh các r ủi ro l ộ thơng tin v ề web. máy ch ủ.
13. - 24 - - 25 - KẾT LUẬN VÀ H ƯỚNG PHÁT TRI ỂN phát tri ển là c ần ph ải cĩ m ột gi ải pháp đảm b ảo an tồn cho ho ạt Từ k ết qu ả nghiên c ứu các t ư li ệu và th ực nghi ệm cho th ấy các động c ủa ứng d ụng, qua đĩ s ẽ tránh được các nguy c ơ t ừ vi ệc tin t ặc nguy c ơ trên ứng d ụng web được khai thác thành cơng d ựa trên m ột khai thác nh ững sai sĩt trong b ản thân ch ức n ăng khi ứng d ụng v ận nguyên t ắc c ơ b ản là tin t ặc c ố g ắng tìm ki ếm các sai sĩt trong ho ạt hành. Gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web đã được tri ển động c ủa ứng d ụng web và thơng qua nh ững sai sĩt này để t ấn cơng khai xây d ựng ở hai m ức: m ức h ệ th ống và m ức v ận hành ứng d ụng. ng ược vào ứng d ụng. Nh ững sai sĩt (hay l ỗ h ổng b ảo m ật) này xu ất Ở m ức h ệ th ống đã tri ển khai xây d ựng mơ hình web an tồn và ở hi ện cĩ th ể cĩ nhi ều nguyên nhân: do b ản thân ứng d ụng trong quá mức v ận hành ứng d ụng đã tri ển khai quy trình ki ểm sốt l ỗi b ảo m ật trình phát tri ển đã để l ại nhi ều l ỗ h ổng nh ưng ch ưa được ki ểm tra k ỹ trên ứng d ụng web. lưỡng tr ước khi đư a vào v ận hành, do ứng d ụng ch ạy trên các n ền Để đảm b ảo an tồn cho ứng d ụng web tr ước các hình th ức t ấn tảng cơng ngh ệ ch ưa hồn ch ỉnh được cung c ấp b ởi các nhà s ản xu ất cơng ngày càng t ăng c ả v ề s ố l ượng và ch ất l ượng, khơng th ể ch ỉ ph ụ và b ị tin t ặc thơng qua đĩ khai thác để t ấn cơng vào ứng d ụng, do thu ộc vào m ột cơng ngh ệ hay m ột quy trình c ụ th ể vì cơng ngh ệ web ng ười qu ản tr ị h ệ th ống ch ưa hi ểu rõ các nguyên t ắc đảm b ảo an tồn đang phát tri ển nhanh chĩng, kéo theo đĩ là nhi ều khuy ết điểm m ới cho ứng d ụng ho ặc vơ tình t ạo ra các c ơ ch ế qu ản lý l ỏng l ẻo, t ạo phát sinh. S ự t ấn cơng khơng n ằm trong khuơn kh ổ vài k ỹ thu ật đã điều ki ện cho tin t ặc t ấn cơng, phát hi ện, mà linh động và t ăng lên tùy vào nh ững sai sĩt c ủa nhà s ản Kết qu ả th ực hi ện lu ận v ăn “Nghiên c ứu xây d ựng gi ải pháp xu ất, c ủa ng ười qu ản tr ị h ệ th ống c ũng nh ư c ủa ng ười l ập trình ứng phịng v ệ nguy c ơ trên ứng d ụng web” tơi đã nghiên c ứu v ề b ảo m ật dụng web. V ấn đề thi ết y ếu c ần quan tâm là b ản thân ng ười l ập trình ứng d ụng web, các nguy c ơ trên ứng d ụng web và xây d ựng hồn ứng d ụng web hay ng ười qu ản tr ị trang web c ần cĩ s ự hi ểu bi ết n ền thi ện gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web. Các nghiên c ứu tảng v ề ho ạt động c ủa ứng d ụng web, qua đĩ s ẽ cĩ nh ững bi ện pháp tổng quan v ề b ảo m ật ứng d ụng web đã trình bày v ề ho ạt động c ủa thích h ợp để c ải ti ến quy trình hay cơng ngh ệ ki ểm sốt l ỗi b ảo m ật ứng d ụng web, các nguy c ơ trên ứng d ụng web c ũng nh ư các ph ươ ng web m ột cách phù h ợp. Các h ướng phát tri ển nghiên c ứu c ủa lu ận pháp th ường được s ử d ụng để ki ểm tra nguy c ơ nh ư ki ểm tra th ủ văn nh ư sau: cơng hay ki ểm tra b ằng cơng c ụ t ự động. N ội dung phịng v ệ nguy c ơ - Ti ếp t ục nghiên c ứu nh ững nguy c ơ m ới xu ất hi ện trên ứng trên ứng d ụng web đã t ập trung trình bày vi ệc phịng v ệ cho nh ững dụng web và cách phịng v ệ cho các nguy c ơ trên nh ằm nâng cao hi ệu nguy c ơ ph ổ bi ến liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng qu ả trong vi ệc đảm b ảo an tồn cho s ự v ận hành c ủa ứng d ụng web. dụng web, m ỗi nguy c ơ đều trình bày t ừng gi ải pháp phịng v ệ riêng - Tìm hi ểu thêm v ề các cơng c ụ ki ểm tra l ỗi b ảo m ật m ới được và cu ối cùng là trình bày v ề vi ệc phịng v ệ tồn di ện cho h ệ th ống phát tri ển ho ặc t ự xây d ựng m ột vài cơng c ụ đặc thù h ỗ tr ợ cho vi ệc theo mơ hình Defense-In-Depth. T ừ vi ệc nghiên c ứu phịng tránh dị tìm l ỗi b ảo m ật để phát huy t ối đa hi ệu qu ả c ủa vi ệc phịng v ệ cho t ừng nguy c ơ ảnh h ưởng đến ứng d ụng web, tơi đã đề xu ất h ướng nguy c ơ trên ứng d ụng web.