Tóm tắt luận văn Nghiên cứu xây dựng giải pháp phòng vệ nguy cơ trên ứng dụng Web

pdf 13 trang yendo 5370
Bạn đang xem tài liệu "Tóm tắt luận văn Nghiên cứu xây dựng giải pháp phòng vệ nguy cơ trên ứng dụng Web", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdftom_tat_luan_van_nghien_cuu_xay_dung_giai_phap_phong_ve_nguy.pdf

Nội dung text: Tóm tắt luận văn Nghiên cứu xây dựng giải pháp phòng vệ nguy cơ trên ứng dụng Web

  1. - 1 - BỘ GIÁO D ỤC VÀ ĐÀO T ẠO Cơng trình được hồn thành t ại ĐẠI H ỌC ĐÀ N ẴNG ĐẠI H ỌC ĐÀ N ẴNG PH ẠM TH Ị HÀ PH ƯƠ NG Ng ười h ướng d ẫn khoa h ọc: PGS. TS. Lê V ăn S ơn Ph ản bi ện 1: GS. TS. Nguy ễn Thanh Th ủy NGHIÊN C ỨU XÂY D ỰNG GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ TRÊN ỨNG D ỤNG WEB Ph ản bi ện 2: TS. Hu ỳnh H ữu H ưng Chuyên ngành: KHOA H ỌC MÁY TÍNH Mã s ố: 60.48.01 Lu ận v ăn được b ảo v ệ t ại H ội đồng ch ấm Lu ận v ăn t ốt nghi ệp th ạc s ĩ k ỹ thu ật h ọp t ại Đại h ọc Đà N ẵng vào ngày 10 tháng 9 n ăm 2011. TĨM T ẮT LU ẬN V ĂN TH ẠC S Ĩ K Ỹ THU ẬT ể ể ậ ă ạ * Cĩ th tìm hi u lu n v n t i: - Trung tâm Thơng tin - Học li ệu, Đại h ọc Đà N ẵng Đà N ẵng - N ăm 2011 - Trung tâm H ọc li ệu, Đại h ọc Đà N ẵng
  2. - 2 - - 3 - MỞ ĐẦU Ph ạm vi nghiên c ứu c ủa đề tài là xây d ựng gi ải pháp phịng v ệ 1. Lý do ch ọn đề tài nguy c ơ trên ứng d ụng web, bao g ồm các gi ải pháp ở m ức h ệ th ống Cùng v ới s ự phát tri ển khơng ng ừng c ủa Internet, s ố l ượng và các gi ải pháp ở m ức v ận hành ứng d ụng, ti ếp đến là đề xu ất gi ải website và các d ịch v ụ đi kèm c ũng t ăng lên nhanh chĩng. Khi kh ả pháp trong vi ệc k ết h ợp s ử d ụng các cơng c ụ ki ểm tra l ỗi b ảo m ật năng qu ản lý và truy nh ập thơng tin c ủa các website càng phát tri ển, web. thì càng cĩ nguy c ơ m ất an tồn d ữ li ệu cho các website trong quá 4. Ph ươ ng pháp nghiên c ứu trình ho ạt động. Ph ần l ớn nh ững nguy c ơ này xu ất phát t ừ các cu ộc Về lý thuy ết, tìm hi ểu ứng d ụng web, s ự v ận hành c ủa ứng tấn cơng cĩ m ục đích để truy c ập trái phép vào h ệ th ống nh ằm khai dụng web và các nguy c ơ liên quan đến ứng d ụng web. Ti ến hành thác ho ặc thay đổi thơng tin, ph ục v ụ ý đồ c ủa cá nhân ho ặc t ổ ch ức phân lo ại nguy c ơ, sau đĩ phân tích các nguy c ơ ph ổ bi ến trên ứng nh ất định (g ọi chung là tin tặc). Tuy nhiên, bên c ạnh đĩ c ũng cịn cĩ dụng web g ồm nh ững l ỗ h ổng b ảo m ật nguy h ại liên quan đến vi ệc các nguy c ơ khách quan khác nh ư h ệ th ống g ặp s ự c ố, ng ười qu ản tr ị khai thác ch ức n ăng c ủa ứng d ụng. Qua đĩ đề xu ất gi ải pháp ki ểm tra thi ếu ki ến th ức v ề b ảo m ật, Để đảm b ảo cho s ự v ận hành c ủa và phịng tránh cho m ỗi nguy c ơ. website c ũng nh ư b ảo v ệ nh ững thơng tin cá nhân c ủa ng ười dùng Về th ực ti ễn, nghiên c ứu đề xu ất gi ải pháp phịng v ệ nguy c ơ trang web, m ột v ấn đề đặt ra là c ần cĩ gi ải pháp b ảo v ệ an tồn cho trên ứng d ụng web, g ồm các gi ải pháp ở m ức h ệ th ống và các gi ải các website kh ỏi các nguy c ơ nĩi trên. pháp ở m ức v ận hành ứng d ụng. Ti ếp đến là tìm hi ểu các cơng c ụ đã Được s ự đồng ý và h ướng d ẫn c ủa PGS. TS. Lê V ăn S ơn, tơi được phát tri ển để ph ục v ụ cho vi ệc đánh giá, ki ểm tra các l ỗi b ảo ch ọn th ực hi ện đề tài “Nghiên c ứu xây d ựng gi ải pháp phịng v ệ nguy mật web. Qua vi ệc phân tích các ưu/khuy ết điểm c ủa m ỗi cơng c ụ, đề cơ trên ứng d ụng web” v ới mong mu ốn đĩng gĩp m ột gi ải pháp giúp xu ất m ột gi ải pháp t ổng th ể nh ằm phát huy t ối đa m ọi ưu điểm c ủa bảo v ệ tồn di ện cho website kh ỏi các nguy c ơ khách quan c ũng nh ư các cơng c ụ, h ạn ch ế thi ếu sĩt trong k ết qu ả đánh giá mà m ỗi cơng c ụ ch ủ quan trong quá trình v ận hành ứng d ụng web. độc l ập mang l ại. 2. Mục đích nghiên c ứu 5. Ý ngh ĩa khoa h ọc và th ực ti ễn c ủa đề tài Lu ận v ăn được th ực hi ện v ới m ục đích nghiên c ứu các nguy c ơ Các k ết qu ả nghiên c ứu s ẽ giúp ng ười l ập trình ứng d ụng web khách quan c ũng nh ư ch ủ quan trên ứng d ụng web. Qua đĩ xây d ựng và ng ười v ận hành trang web thơng qua đĩ th ực hi ện quy trình phịng gi ải pháp phịng v ệ nguy c ơ, ki ểm tra và kh ắc ph ục các nguy c ơ. vệ nguy c ơ cho ứng d ụng web m ột cách t ổng th ể, bao g ồm vi ệc ch ủ 3. Đối t ượng và ph ạm vi nghiên c ứu động phịng tránh nguy c ơ, ki ểm tra s ự xu ất hi ện c ủa các nguy c ơ và Đối t ượng nghiên c ứu c ủa đề tài là các nguy c ơ ph ổ bi ến liên gi ải pháp kh ắc ph ục n ếu đã g ặp ph ải các nguy c ơ đĩ. quan đến vi ệc khai thác ch ức n ăng c ủa ứng d ụng web.
  3. - 4 - - 5 - 6. Cấu trúc c ủa lu ận v ăn CH ƯƠ NG 1: Bố c ục c ủa lu ận v ăn được t ổ ch ức thành ba ch ươ ng, cĩ n ội KHÁI NI ỆM V Ề ỨNG D ỤNG WEB VÀ CÁC NGUY C Ơ dung nh ư sau: TRÊN ỨNG D ỤNG WEB Chươ ng 1: Khái ni ệm v ề ứng d ụng web và các nguy c ơ trên Nội dung ch ươ ng này trình bày các khái ni ệm v ề ứng d ụng ứng d ụng web. Nghiên c ứu ki ến trúc c ơ b ản và ho ạt động c ủa m ột web và các v ấn đề liên quan đến b ảo m ật ứng d ụng web. N ội dung ứng d ụng web, các v ấn đề liên quan đến ho ạt động c ủa ứng d ụng khái ni ệm v ề ứng d ụng web trình bày ki ến trúc c ơ b ản c ủa m ột ứng web. Ti ếp đến, gi ới thi ệu t ổng quan v ề b ảo m ật web: s ố li ệu th ống kê dụng web, các thành ph ần nh ư l ớp trình di ễn, l ớp ứng d ụng, l ớp c ơ s ở về tình hình b ảo m ật, các nguy c ơ ảnh h ưởng đến b ảo m ật ứng d ụng dữ li ệu, và s ự giao ti ếp c ủa các thành ph ần này trong ho ạt động c ủa web và các ph ươ ng pháp ki ểm tra l ỗi b ảo m ật web. ứng d ụng web. Các v ấn đề liên quan đến ứng d ụng web trình bày các Ch ươ ng 2: Phịng v ệ nguy c ơ trên ứng d ụng web. Trình bày khái ni ệm liên quan đến s ự v ận hành c ủa ứng d ụng web nh ư giao các nguy c ơ ph ổ bi ến liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng th ức truy ền d ữ li ệu HTTP/HTTPS, giao th ức b ảo m ật SSL/TLS, các dụng web, đề xu ất các giải pháp ki ểm tra và phịng v ệ cho t ừng nguy ph ươ ng th ức truy ền d ữ li ệu GET/POST và s ự qu ản lý phiên (session) cơ. Bên c ạnh đĩ gi ới thi ệu gi ải pháp phịng v ệ nguy c ơ theo mơ hình trong quá trình giao ti ếp gi ữa máy khách và máy ch ủ. N ội dung b ảo Defense-In-Depth, qua đĩ trình bày h ướng ti ếp c ận và phát tri ển c ủa mật ứng d ụng web trình bày s ố li ệu th ống kê v ề tình hình b ảo m ật, đề tài trong vi ệc xây d ựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng các nguy c ơ ảnh h ưởng đến b ảo m ật ứng d ụng web và các ph ươ ng web. pháp được s ử d ụng để ki ểm tra l ỗi b ảo m ật web. Ch ươ ng 3: Tri ển khai gi ải pháp phịng v ệ nguy c ơ trên ứng 1.1 KHÁI NI ỆM V Ề ỨNG D ỤNG WEB dụng web. Nội dung ch ươ ng này trình bày chi ti ết vi ệc tri ển khai xây Một ứng d ụng web th ường bao g ồm m ột t ập h ợp các k ịch b ản dựng gi ải pháp phịng v ệ nguy c ơ cho ứng d ụng web ở m ức h ệ th ống (script) c ư trú ở máy ch ủ web (webserver) và t ươ ng tác v ới c ơ s ở d ữ và m ức v ận hành ứng d ụng web. Ở m ức hệ th ống, tri ển khai xây li ệu (database) hay các ngu ồn n ội dung động khác (dynamic content). dựng mơ hình web an tồn. Ở m ức v ận hành ứng d ụng, tri ển khai quy Ứng d ụng này nhanh chĩng được s ử d ụng r ộng rãi vì nĩ cho phép trình ki ểm sốt l ỗi b ảo m ật ứng d ụng web. Cu ối cùng là minh h ọa nhà cung c ấp d ịch v ụ và khách hàng chia s ẻ thơng tin theo các n ền vi ệc áp d ụng các gi ải pháp phịng v ệ nguy c ơ trên m ột trang web c ụ độc l ập thơng qua c ơ s ở h ạ t ầng c ủa Internet. M ột vài ví d ụ v ề ứng th ể qua vi ệc ki ểm tra mơ hình web và các l ỗi b ảo m ật trên trang web, dụng web (web application) nh ư: cơng c ụ tìm ki ếm, trang mua s ắm sau đĩ đư a ra gi ải pháp phịng v ệ nguy c ơ cho trang web. và c ổng thơng tin điện t ử hay máy ch ủ th ư điện t ử (webmail).
  4. - 6 - - 7 - 1.1.1 Ki ến trúc c ơ b ản 1.3 BẢO M ẬT ỨNG D ỤNG WEB Một ứng d ụng web khi tri ển khai s ẽ cĩ ba l ớp nh ư sau: l ớp 1.3.1 Tổng quan tình hình b ảo m ật ứng d ụng web trình di ễn, l ớp ứng d ụng và l ớp c ơ s ở d ữ li ệu. Trong đĩ: 1.3.1.1 Thơng tin t ừ Zone-H.org - Lớp trình di ễn t ức là l ớp n ơi mà máy ch ủ được cài đặt cĩ tác 1.3.1.2 Thơng tin t ừ sách tr ắng WHID (Web Hacking Incident dụng ph ục v ụ các yêu c ầu v ề web, hay nĩi cách khác l ớp trình di ễn Database - C ơ s ở d ữ li ệu v ề s ự c ố t ấn cơng web) chính là máy ch ủ ph ục v ụ web. 1.3.1.3 Thơng tin t ừ VNCERT - Lớp ứng d ụng là n ơi các k ịch b ản hay mã ngu ồn (cĩ th ể là 1.3.2 Các nguy c ơ trên ứng d ụng web ASP.NET, PHP, JSP, Perl, Python, ) phát tri ển ra ứng d ụng web đĩ. 1.3.2.1 Phân lo ại nguy c ơ - Lớp c ơ s ở d ữ li ệu (cĩ th ể là MySQL, SQL Server, Oracle, ) Khi ngh ĩ đến phịng v ệ nguy c ơ cho ứng d ụng web, ng ười qu ản là n ơi mà ứng d ụng l ưu tr ữ và thao tác v ới d ữ li ệu c ủa ứng d ụng. tr ị th ường th ực hi ện các bi ện pháp ch ống l ại s ự t ấn cơng c ủa tin t ặc. 1.1.2 Ho ạt động c ủa m ột ứng d ụng web Tuy nhiên, nh ững nguy c ơ đe d ọa đến an ninh c ủa m ột ứng d ụng web Đầu tiên trình khách (hay cịn g ọi là trình duy ệt nh ư Internet đến t ừ nhi ều nguyên nhân khách quan, ch ủ quan khác nhau: Explorer, Netscap Navigator, ) s ẽ g ửi m ột yêu c ầu đến trình ch ủ - Nh ững th ảm h ọa b ất ng ờ: bao g ồm nh ững tác động đến t ừ bên web (Apache, Tomcat, IIS, ) thơng qua các l ệnh c ơ b ản GET, ngồi, ảnh h ưởng đến b ảo v ệ ở m ức v ật lý c ủa trang web nh ư h ỏa POST, c ủa giao th ức HTTP/HTTPS. Trình ch ủ lúc này cĩ th ể cho ho ạn, bão l ũ, động đất, kh ủng b ố, tai n ạn lao động, th ực thi m ột ch ươ ng trình được xây d ựng t ừ nhi ều ngơn ng ữ nh ư - Nh ững s ự c ố máy tính: bao g ồm nh ững tr ục tr ặc v ật lý ảnh Perl, C/C++, ho ặc trình ch ủ yêu c ầu b ộ di ễn d ịch th ực thi các trang hưởng đến ho ạt động c ủa trang web nh ư s ự c ố ngu ồn điện, h ỏng ph ần ASP, JSP, theo yêu c ầu c ủa trình khách và th ực hi ện các yêu c ầu cứng, thi ết b ị n ối m ạng h ỏng, mơi tr ường v ận hành thi ết b ị h ỏng, nh ư c ập nh ật, truy v ấn thơng tin trong c ơ s ở d ữ li ệu, Sau đĩ ứng - Nh ững s ự c ố vơ tình: bao g ồm nh ững ảnh h ưởng đến h ệ th ống dụng web g ửi thơng tin l ại cho ng ười dùng qua trình duy ệt. do y ếu t ố con ng ười nh ư nhân viên thi ếu hi ểu bi ết v ề b ảo m ật, nhân 1.2 CÁC V ẤN ĐỀ LIÊN QUAN ĐẾN ỨNG D ỤNG WEB viên l ơ đễnh c ẩu th ả khi qu ản lý h ệ th ống, 1.2.1 Ngu ồn g ốc phát tri ển - Nh ững s ự c ố cĩ ch ủ ý: bao g ồm nh ững ho ạt động phá ho ại, 1.2.2 Giao th ức truy ền d ữ li ệu (HTTP/HTTPS) khai thác t ấn cơng làm ảnh h ưởng đến an ninh c ủa trang web nh ư t ội 1.2.3 Giao th ức b ảo m ật (SSL/TLS) ph ạm máy tính, tình báo cơng ngh ệ cao, kh ủng b ố cơng ngh ệ cao, 1.2.4 Ph ươ ng th ức truy ền d ữ li ệu (GET/POST) nhân viên b ất mãn v ới t ổ ch ức, nhân viên gián điệp bán thơng tin để 1.2.5 Sự qu ản lý phiên (session) nh ận h ối l ộ, nhân viên b ị đánh l ừa để l ấy các tài kho ản h ệ th ống (hay 1.2.5.1 Session cịn g ọi là k ỹ thu ật xã h ội – sociable engineer), 1.2.5.2 Cookie
  5. - 8 - - 9 - Lo ại b ỏ các m ối đe d ọa này địi h ỏi ph ải t ốn nhi ều th ời gian và - Ki ểm tra h ộp tr ắng: là quá trình ki ểm tra tr ực ti ếp mã ngu ồn cơng s ức. V ấn đề tr ước tiên là c ần xây d ựng ý th ức rõ ràng và đầy đủ của ứng d ụng web để tìm ra các l ỗi b ảo m ật. về nh ững hi ểm h ọa này, và sau đĩ lên k ế ho ạch th ực hi ện qu ản lý và - Kiểm tra h ộp đen: là ph ươ ng pháp ki ểm tra ứng d ụng t ừ bên phịng tránh r ủi ro thích h ợp tr ước m ỗi lo ại nguy c ơ. ngồi, t ức là quan sát các d ữ li ệu được đệ trình đến ứng d ụng và các 1.3.2.2 Các nguy c ơ ph ổ bi ến ảnh h ưởng đến ứng d ụng web dữ li ệu t ừ ứng d ụng xu ất ra mà khơng c ần hi ểu đến ho ạt động bên Nh ư đã trình bày ở trên, các m ối đe d ọa ảnh h ưởng đến an ninh trong c ủa ứng d ụng. của ứng d ụng web đến t ừ nhi ều nguyên nhân khác nhau. M ỗi nguy c ơ Các ph ươ ng pháp ki ểm tra h ộp tr ắng và h ộp đen cĩ th ể được cần cĩ nh ững bi ện pháp phịng tránh c ụ th ể. Trong khuơn kh ổ c ủa th ực hi ện m ột cách th ủ cơng ho ặc v ới s ự h ỗ tr ợ c ủa các cơng c ụ t ự lu ận v ăn này, tơi đi sâu tìm hi ểu và đề xu ất gi ải pháp phịng v ệ cho động. Ph ươ ng pháp ki ểm tra th ủ cơng tuy địi h ỏi đầu t ư nhi ều th ời các nguy c ơ t ấn cơng cĩ chủ ý, hay nĩi cách khác chính là nh ững gian và cơng s ức nh ưng giúp ki ểm sốt ch ặt ch ẽ m ọi l ỗi b ảo m ật khi nguy c ơ t ấn cơng t ừ phía tin t ặc, t ấn cơng nh ắm m ục tiêu d ựa vào vận hành ứng d ụng. Để t ăng c ường hi ệu su ất c ủa vi ệc ki ểm tra cĩ th ể vi ệc khai thác các điểm y ếu trong s ự v ận hành c ủa ứng d ụng web. sử d ụng thêm các cơng c ụ t ự động. Tuy nhiên, c ần k ết h ợp v ới s ự Các nguy c ơ này được phân lo ại theo t ừng nhĩm ch ức n ăng c ủa ứng hi ểu bi ết c ủa ng ười ki ểm tra trong quá trình s ử d ụng để giúp các cơng dụng web nh ư sau: cụ t ự động mang l ại k ết qu ả chính xác ( đây là khái ni ệm liên quan - Lộ thơng tin nh ạy c ảm. đến ki ểm tra h ộp xám). - Qu ản lý xác th ực khơng an tồn. 1.3.3.1 Ki ểm tra th ủ cơng - Qu ản lý phiên khơng an tồn. Ki ểm tra th ủ cơng là quá trình ki ểm tra t ừng ch ức n ăng c ủa - Điều khi ển truy c ập khơng an tồn. ứng d ụng, qua đĩ xác định được các điểm y ếu b ảo m ật c ủa ứng d ụng - Chèn d ữ li ệu khơng an tồn (dẫn đến l ỗi XSS, SQLi, ). để cĩ gi ải pháp kh ắc ph ục phù h ợp. Các cơng c ụ h ỗ tr ợ cho vi ệc ki ểm - Tấn cơng t ừ ch ối d ịch v ụ (DOS). tra th ủ cơng l ỗi b ảo m ật: BURP, PAROS, WEBSCARAB, Bằng Trên đây là các nguy c ơ r ất ph ổ bi ến và ảnh h ưởng tr ực tiếp vi ệc s ử d ụng các cơng c ụ này để quan sát ho ạt động c ủa ứng d ụng đến an tồn c ủa ứng d ụng, địi h ỏi ph ải cĩ s ự nghiên c ứu, tìm ra gi ải trong vi ệc th ực hi ện các request/response, ng ười ki ểm tra cĩ th ể phát pháp để ki ểm tra và ch ủ động phịng v ệ cho ứng d ụng tr ước các nguy hi ện l ỗi c ủa ứng d ụng để qua đĩ cĩ bi ện pháp kh ắc ph ục l ỗi cho ứng cơ. dụng. 1.3.3 Các ph ươ ng pháp ki ểm tra 1.3.3.2 Ki ểm tra b ằng cơng c ụ t ự động Các ph ươ ng pháp ki ểm tra l ỗi b ảo m ật trên ứng d ụng web được Các cơng c ụ t ự động được phát tri ển để h ỗ tr ợ cho vi ệc ki ểm dùng ph ổ bi ến là ph ươ ng pháp ki ểm tra h ộp tr ắng và ph ươ ng pháp tra th ủ cơng các l ỗi b ảo m ật trên ứng d ụng web. Các cơng c ụ này r ất ki ểm tra h ộp đen. đa d ạng, cĩ th ể là mã ngu ồn m ở ho ặc tính phí v ới các ưu/khuy ết điểm
  6. - 10 - - 11 - khác nhau. Nh ững cơng c ụ này s ẽ t ự động quét ứng d ụng và phát CH ƯƠ NG 2: hi ện l ỗi, sau đĩ tr ả v ề các báo cáo l ỗi. Ng ười ki ểm tra lúc này c ần PHỊNG V Ệ NGUY C Ơ TRÊN ỨNG D ỤNG WEB ph ối h ợp s ử d ụng nhi ều cơng c ụ để ki ểm tra xác nh ận l ại nh ững v ị trí Trong ch ươ ng này, nghiên c ứu vi ệc phịng v ệ các nguy c ơ ph ổ lỗi, tránh tình tr ạng cơng c ụ c ảnh báo l ỗi sai ho ặc thi ếu. Các cơng c ụ bi ến trên ứng d ụng web, vi ệc phịng v ệ tồn di ện cho h ệ th ống, đồng ki ểm tra l ỗi tiêu bi ểu nh ư Acunetix, w3af, th ời gi ới thi ệu h ướng ti ếp c ận c ủa lu ận v ăn trong vi ệc xây d ựng gi ải 1.4 TỔNG K ẾT CH ƯƠ NG 1 pháp phịng v ệ nguy c ơ trên ứng d ụng web. N ội dung phịng v ệ các Trong tồn b ộ ch ươ ng 1, tơi đã gi ới thi ệu t ổng quan các v ấn đề nguy c ơ ph ổ bi ến trình bày về các lỗ h ổng b ảo m ật liên quan đến vi ệc liên quan đến ứng d ụng web và nguy cơ ảnh h ưởng đến ứng d ụng khai thác ch ức n ăng c ủa ứng d ụng web, nh ư nguy c ơ l ộ thơng tin web. nh ạy c ảm hay nguy c ơ b ị chèn các thơng tin khơng đúng chu ẩn để Trình bày chi ti ết v ề ki ến trúc c ơ b ản c ủa m ột ứng d ụng web khai thác ứng d ụng, qua đĩ đề xu ất các gi ải pháp ki ểm tra và nh ư l ớp trình di ễn, l ớp ứng d ụng, l ớp c ơ s ở d ữ li ệu, và s ự giao ti ếp phịng v ệ cho t ừng nguy c ơ. Nội dung phịng v ệ tồn di ện cho hệ của các thành ph ần này trong ho ạt động c ủa ứng d ụng web. Các khái th ống gi ới thi ệu gi ải pháp phịng v ệ nguy c ơ theo mơ hình Defense- ni ệm liên quan đến s ự v ận hành c ủa ứng d ụng web nh ư giao th ức In-Depth. N ội dung cu ối c ủa ch ươ ng trình bày v ề vi ệc xây d ựng gi ải truy ền d ữ li ệu HTTP/HTTPS, giao th ức b ảo m ật SSL/TLS, các pháp phịng v ệ nguy c ơ trên ứng d ụng web, các gi ải pháp này được ph ươ ng th ức truy ền d ữ li ệu GET/POST và s ự qu ản lý phiên (session) phân tích t ừ các v ấn đề liên quan đến mơ hình ứng d ụng web và các trong quá trình giao ti ếp gi ữa máy khách và máy ch ủ. lỗi b ảo m ật trên ứng d ụng web. Trình bày t ổng quan v ề tình hình b ảo m ật web qua s ố li ệu được 2.1 PHỊNG V Ệ CÁC NGUY C Ơ PH Ổ BI ẾN tổng h ợp t ừ nhi ều ngu ồn th ống kê uy tín nh ư Zone-H hay sách tr ắng 2.1.1 Lộ thơng tin nh ạy c ảm WHID (Web Hacking Incident Database) và s ố li ệu v ề các cu ộc t ấn 2.1.1.1 Lộ mã ngu ồn cơng vào các website ở địa ph ươ ng, ở các c ơ quan ban ngành t ại Vi ệt 2.1.1.2 Lộ c ấu trúc th ư m ục Nam do VNCERT cung c ấp. Bên c ạnh đĩ, trình bày các nguy c ơ ảnh 2.1.1.3 Lộ t ập tin c ũ và t ập tin sao l ưu hưởng đến ứng d ụng web và các ph ươ ng pháp được s ử d ụng để ki ểm  Bi ện pháp phịng tránh tra l ỗi b ảo m ật web. Ki ểm tra sâu vào các t ập tin nh ạy c ảm, sau đĩ cĩ bi ện pháp b ảo Vấn đề đặt ra là các nguy c ơ ph ổ bi ến trên ứng d ụng web đến vệ cho các t ập tin nh ạy c ảm này. từ s ự t ấn cơng cĩ ch ủ ý c ủa tin t ặc, t ấn cơng nh ắm m ục tiêu d ựa vào 2.1.2 Vượt qua xác th ực vi ệc khai thác các điểm y ếu trong v ận hành c ủa ứng d ụng web, c ần Một vài tr ường h ợp, ch ươ ng trình xác th ực cĩ th ể b ị b ỏ qua cĩ s ự nghiên c ứu tìm ra gi ải pháp để ki ểm tra và ch ủ động phịng v ệ bằng cách g ọi tr ực ti ếp đến m ột trang n ội b ộ, t ưởng r ằng ch ỉ được cho ứng d ụng web tr ước các nguy c ơ. truy c ập sau khi đã xác th ực thành cơng, ho ặc gi ả m ạo yêu c ầu và
  7. - 12 - - 13 - đánh l ừa ứng d ụng r ằng xác th ực đã thành cơng b ằng cách s ửa đổi  Bi ện pháp phịng tránh các tham s ố URL cho tr ước. Ki ểm tra truy c ập m ỗi đối t ượng s ử d ụng t ừ ngu ồn ch ưa tin  Bi ện pháp phịng tránh tưởng ph ải cĩ c ơ ch ế ki ểm tra điều khi ển truy c ập. Đảm b ảo r ằng Cĩ bi ện pháp xác th ực phù h ợp cho t ừng trang c ủa ứng d ụng. ng ười s ử d ụng đã ch ứng th ực đối v ới nh ững đối t ượng được yêu c ầu. 2.1.3 Tấn cơng Brute Force 2.1.6 Lộ giá tr ị phiên Các tài kho ản ng ười dùng khác nhau s ẽ cĩ nh ững quy ền truy Các giá tr ị c ủa m ột phiên làm vi ệc g ọi là các token g ồm cĩ cập vào h ệ th ống khác nhau. Tin t ặc tìm cách li ệt kê các cookie, định danh phiên (sessionID) và tr ường ẩn (hidden field). N ếu User/Password h ợp l ệ và sau đĩ th ực hi ện t ấn cơng Brute Force để các giá tr ị c ủa phiên b ị l ộ thì tin t ặc cĩ th ể đĩng gi ả là ng ười dùng và tìm c ặp User/Password h ợp l ệ. truy c ập được vào h ệ th ống v ới quy ền c ủa ng ười s ử d ụng. Do v ậy,  Bi ện pháp phịng tránh cần ph ải luơn b ảo m ật các giá tr ị token này trong su ốt quá trình liên User/Password c ần được đặt khĩ đốn và đảm b ảo yêu c ầu b ảo lạc gi ữa ng ười dùng và trình ứng d ụng web. mật nh ư độ dài trên 7 ký t ự, s ử d ụng các ký t ự đặc biêt,  Bi ện pháp phịng tránh 2.1.4 Vượt qua xác quy ền Cĩ bi ện pháp b ảo v ệ các định danh phiên nh ư s ử d ụng giao Trang web cĩ các phân quy ền truy c ập khác nhau cho các tài th ức b ảo m ật SSL/TLS. kho ản ng ười dùng khác nhau. N ếu m ột thành viên bên ngồi cĩ th ể 2.1.7 Chèn yêu c ầu gi ả m ạo (CSRF) đọc được nh ững thơng tin được b ảo v ệ khơng đúng quy ền truy c ập Tấn cơng CSRF (Cross Site Request Forgery – Chèn yêu c ầu truy c ập (v ượt qua điều khi ển truy c ập) thì trang web đã khơng đảm gi ả m ạo) là ki ểu t ấn cơng mà ng ười dùng b ị l ợi d ụng để th ực thi bảo an ninh thơng tin. nh ững hành động khơng mong mu ốn ngay trên phiên đă ng nh ập c ủa  Bi ện pháp phịng tránh họ. Khi khai thác thành cơng l ỗi CSRF, tin t ặc cĩ th ể l ấy được các Cĩ bi ện pháp bảo v ệ các đối t ượng được truy c ập b ởi ng ười thơng tin v ề tài kho ản ng ười dùng, th ực hi ện các hành động làm nguy dùng ho ặc nh ững tham chi ếu đối t ượng gián ti ếp. Điều này ng ăn ch ặn hại đến c ơ s ở d ữ li ệu trên trang web n ếu ng ười dùng đĩ là ng ười qu ản tin t ặc tr ực ti ếp truy c ập nh ững tài nguyên khơng được phép. tr ị trang web 2.1.5 Leo thang đặc quy ền  Bi ện pháp phịng tránh Leo thang đặc quy ền x ảy ra khi m ột ng ười dùng được quy ền Cĩ th ể g ộp token duy nh ất trong m ột tr ường ẩn. Nĩ s ẽ được truy c ập vào m ột ch ức n ăng ho ặc tài nguyên nhi ều h ơn m ức được cho gửi thơng qua ph ần thân c ủa yêu c ầu HTTP, tránh được vi ệc g ộp nĩ phép. Điều này th ường gây ra b ởi m ột l ỗ h ổng trong ứng d ụng. K ết trong URL s ẽ ph ơi bày cho tin t ặc bi ết. qu ả là ứng d ụng cho phép các đặc quy ền ngồi dự định c ủa nhà phát tri ển ho ặc qu ản tr ị viên h ệ th ống.
  8. - 14 - - 15 - 2.1.8 Chèn k ịch b ản th ực thi (XSS) phát tri ển ứng d ụng, và để gi ảm thi ểu nguy c ơ t ừ các cu ộc t ấn cơng Chèn k ịch b ản th ực thi (Cross Site Scripting – XSS) là ph ươ ng này, ch ỉ cĩ th ể t ăng c ường ki ến trúc m ạng. Tuy nhiên, m ột vài l ỗ pháp thao tác v ới các thơng s ố đầu vào để tìm ra l ỗ h ổng c ủa ứng hổng trong ứng d ụng cĩ th ể b ị l ợi d ụng để t ấn cơng t ừ ch ối d ịch v ụ. dụng. XSS cho phép tin t ặc th ực thi k ịch b ản trên trình duy ệt c ủa n ạn Nh ững v ấn đề này th ường n ằm trong l ỗi các trình ứng d ụng và nhân và cĩ th ể c ướp đoạt phiên ng ười s ử d ụng, thay đổi giao di ện th ường xu ất phát t ừ điểm y ếu trong vi ệc ki ểm tra các d ữ li ệu nh ạy website ho ặc chuy ển h ướng ng ười s ử d ụng đến nh ững trang độc h ại. cảm do ng ười dùng nh ập vào.  Bi ện pháp phịng tránh  Bi ện pháp phịng tránh Cĩ bi ện pháp l ọc d ữ li ệu h ợp lý để tránh tình tr ạng tin t ặc chèn Cĩ bi ện pháp ki ểm tra d ữ li ệu đầu vào tr ước khi x ử lý. mã l ệnh th ực thi. 2.2 PHỊNG V Ệ TỒN DI ỆN H Ệ TH ỐNG 2.1.9 Chèn câu truy v ấn SQL Phịng v ệ tồn di ện h ệ th ống (Defense-In-Depth) là m ột chi ến Chèn câu truy v ấn SQL (SQL Injection) là ki ểu t ấn cơng được lược đảm b ảo thơng tin (IA – Information Assurance) trong đĩ các th ực hi ện b ằng cách chèn các câu truy v ấn SQL vào d ữ li ệu t ươ ng tác lớp được phịng v ệ được đặt xuyên su ốt trong h ệ th ống thơng tin c ủa gi ữa máy khách và trình ứng d ụng. Quá trình khai thác l ỗi SQL một t ổ ch ức. Mơ hình này bao g ồm vi ệc phịng v ệ nguy c ơ cho h ệ Injection thành cơng cĩ th ể giúp tin t ặc l ấy được các d ữ li ệu nh ạy th ống ở c ả m ức con ng ười, cơng ngh ệ và v ận hành. Đây là chi ến l ược cảm trong c ở s ở d ữ li ệu, th ực thi các hành động v ới quy ền c ủa ng ười được hình thành b ởi C ơ quan An ninh qu ốc gia (M ỹ) – National qu ản tr ị và cao h ơn cĩ th ể điều khi ển được h ệ điều hành máy ch ủ. Security Agency (NSA) để đảm b ảo an ninh thơng tin.  Bi ện pháp phịng tránh Mơ hình Defense-In-Depth được trình bày nh ư sau: Ki ểm tra d ữ li ệu đầu vào tr ước khi x ử lý; Mã hĩa d ữ li ệu trong cơ s ở d ữ li ệu và khơng cho xu ất trang báo l ỗi n ội dung cú pháp SQL để tin t ặc khơng th ể thu th ập thơng tin c ơ s ở d ữ li ệu; Gi ới h ạn quy ền truy c ập c ơ s ở d ữ li ệu c ủa ng ười dùng và áp d ụng các cơng ngh ệ phịng tránh l ỗi SQL Injection, 2.1.10 Tấn cơng t ừ ch ối d ịch v ụ Tấn cơng t ừ ch ối d ịch v ụ là ki ểu t ấn cơng làm cho m ột trang web khơng th ể được truy c ập b ởi ng ười dùng bình th ường. Tin t ặc s ử dụng m ột l ượng l ớn b ăng thơng để làm l ụt h ệ th ống máy ch ủ, làm cho máy ch ủ khơng đủ kh ả n ăng gi ải quy ết t ất c ả các yêu c ầu nh ận được. Nh ững ki ểu t ấn cơng này v ượt xa t ầm ki ểm sốt c ủa các nhà Hình 2.1. Các l ớp trong mơ hình Defense-In-Depth
  9. - 16 - - 17 - Theo mơ hình Defense-In-Depth, d ữ li ệu (Data) là thành ph ần trong vi ệc phịng ch ống cho ứng d ụng tr ước các nguy c ơ t ấn cơng t ừ quan tr ọng nh ất trong m ột h ệ th ống web. Để b ảo v ệ l ớp d ữ li ệu, các tin t ặc. lớp bên ngồi được t ổ ch ức nh ư sau: 2.3.2 Vấn đề v ề l ỗi b ảo m ật trên ứng d ụng web - Policies, Procedures, Awareness: bao g ồm vi ệc xây d ựng các Theo các k ết qu ả th ống kê đã được cơng b ố, nghiên c ứu t ấn chính sách, th ủ t ục b ảo m ật, giáo d ục ý th ức v ề b ảo m ật. cơng và phịng th ủ ứng d ụng web là m ột l ĩnh v ực phát tri ển m ạnh, - Physical: b ảo v ệ m ức v ật lý (ví d ụ nh ư s ử d ụng ổ khĩa c ửa). trong đĩ các khái ni ệm m ới và ph ươ ng pháp t ấn cơng m ới được hình - Perimeter: b ảo v ệ vành đai nh ư t ường l ửa, c ấu hình router, thành v ới t ốc độ nhanh h ơn so v ới các ph ươ ng pháp c ũ đã cĩ. M ặt VPN, . khác, vi ệc phát tri ển khơng ng ừng c ủa cơng ngh ệ để áp d ụng xây - Internal Network: b ảo v ệ m ạng trong nh ư các đoạn m ạng, dựng các ứng d ụng web đã được đẩy xa h ơn n ền t ảng ban đầu r ất Network Based IDS, . nhi ều. Chính điều này đã d ẫn đến vi ệc xu ất hi ện nhi ều nguy c ơ m ới, - Host: b ảo v ệ host nh ư qu ản lý máy ch ủ, Host-Based Firewall, kể c ả nh ững l ỗ h ổng b ảo m ật khơng l ường tr ước được. các ph ần m ềm b ảo v ệ, h ệ th ống phịng th ủ t ấn cơng, qu ản lý vi ệc c ập Tuy nhiên, các ph ươ ng pháp t ấn cơng hay nguy c ơ m ới xu ất nh ật các l ỗi b ảo m ật, . hi ện xét cho cùng c ũng xu ất phát t ừ vi ệc khai thác ch ức n ăng c ủa h ệ - Application: bao g ồm vi ệc b ảo v ệ ở m ức v ận hành c ủa ứng th ống. Chính vì v ậy để gi ải quy ết v ấn đề phịng v ệ nguy c ơ trên ứng dụng nh ư t ạo m ật kh ẩu m ạnh, s ử d ụng các giao th ức b ảo m ật nh ư dụng web, vi ệc th ường xuyên ki ểm tra s ự v ận hành c ủa ứng d ụng, SSL/TLS, IPSec, quá trình x ử lý t ốt thơng tin vào/ra và qu ản lý thơng tin trên h ệ th ống 2.3 ĐỀ XU ẤT GI ẢI PHÁP sẽ đáp ứng được yêu c ầu đặt ra. Nĩi cách khác, việc xây d ựng m ột 2.3.1 Vấn đề v ề mơ hình ứng d ụng web quy trình ki ểm sốt ch ức n ăng c ủa h ệ th ống c ũng chính là để gi ải Một ứng d ụng web khi được tri ển khai trên m ạng Internet c ần quy ết v ấn đề phịng v ệ nguy c ơ cho h ệ th ống. cĩ s ự tham gia c ủa nhi ều y ếu t ố. Để đảm b ảo cho ứng d ụng đĩ ho ạt 2.3.3 Hướng ti ếp c ận và phát tri ển c ủa đề tài động an tồn thì các thành ph ần c ấu thành nh ư mã ngu ồn ứng d ụng Nh ư đã trình bày ở trên, để h ạn ch ế các nguy c ơ t ấn cơng lên web ph ải được l ập trình an tồn, các thành ph ần b ổ tr ợ nh ư máy ch ủ ứng d ụng web, c ần ph ải cĩ m ột gi ải pháp t ổng th ể và được tri ển khai ph ục web và h ệ qu ản tr ị c ơ s ở d ữ li ệu, c ũng c ần được qu ản lý t ốt. trên trên tồn b ộ các l ĩnh v ực. B ắt đầu t ừ vi ệc tuyên truy ền ý th ức, Tuy r ằng khơng cĩ m ột mơ hình nào là t ối ưu và đảm b ảo an tồn trách nhi ệm v ề b ảo m ật; vi ệc đào t ạo đội ng ũ qu ản tr ị, v ận hành h ệ tuy ệt đối cho m ột ứng d ụng web kh ỏi nh ững nguy c ơ, nh ưng vi ệc xây th ống đủ trình độ k ỹ thu ật; vi ệc đầu t ư h ệ th ống m ạng, h ệ th ống ph ần dựng m ột mơ hình web h ợp lý, c ấu hình các thành ph ần trong mơ cứng, ph ần m ềm đảm b ảo yêu c ầu an ninh; vi ệc xây d ựng mơ hình hình web phù h ợp v ới s ự v ận hành c ủa ứng d ụng là v ấn đề tr ước tiên web h ợp lý, đảm b ảo yêu c ầu an tồn cho h ệ th ống; đến vi ệc ki ếm cần quan tâm để qu ản lý t ốt h ệ th ống và giúp ng ười qu ản tr ị ch ủ động sốt t ốt l ỗi b ảo m ật trên ứng d ụng web;
  10. - 18 - - 19 - Lo ại b ỏ các y ếu t ố v ề tuyên truy ền, đào t ạo và đầu t ư cho v ấn CH ƯƠ NG 3: đề b ảo m ật, trong khuơn kh ổ c ủa lu ận v ăn, quan điểm “Xây d ựng gi ải TRI ỂN KHAI GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ pháp phịng v ệ nguy c ơ trên ứng d ụng web” được tri ển khai ở m ức độ TRÊN ỨNG D ỤNG WEB xây d ựng mơ hình ứng d ụng web an tồn và ki ểm sốt t ốt các l ỗi b ảo Qua vi ệc tìm hi ểu các nguy c ơ ph ổ bi ến liên quan đến vi ệc mật trên trang web. khai thác ch ức n ăng c ủa ứng d ụng web, gi ải pháp phịng v ệ nguy c ơ - Vấn đề xây d ựng mơ hình ứng d ụng web an tồn liên quan cho ứng d ụng web s ẽ được tri ển khai xây d ựng ở hai m ức, m ức h ệ đến vi ệc phịng v ệ nguy c ơ ở m ức h ệ th ống c ủa ứng d ụng. th ống và m ức v ận hành ứng d ụng web. Ở m ức h ệ th ống, tri ển khai - Vấn đề ki ểm sốt các l ỗi b ảo m ật trên ứng d ụng web liên xây d ựng mơ hình web an tồn qua vi ệc c ấu hình các thành ph ần web quan đến vi ệc phịng v ệ nguy c ơ ở m ức v ận hành ứng d ụng. hợp lý và vi ệc cài đặt các ứng d ụng b ảo v ệ cho trang web (nh ư Các gi ải pháp phịng v ệ nguy c ơ này được xây d ựng d ưới gĩc Firewall, Anti-vius, ). Ở m ức v ận hành ứng d ụng web, tri ển khai nhìn c ủa ng ười l ập trình ứng d ụng web trong quá trình phát tri ển ứng quy trình ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web. Cu ối cùng là dụng và ng ười qu ản tr ị (admin) trang web trong quá trình v ận hành minh h ọa vi ệc áp d ụng các gi ải pháp phịng v ệ nguy c ơ trên website ứng d ụng. Bầu c ử Qu ốc h ội khĩa 13 ( baucukhoa13.quochoi.vn ), c ụ th ể b ằng 2.4 TỔNG K ẾT CH ƯƠ NG 2 vi ệc ki ểm tra mơ hình web và các l ỗi b ảo m ật trên trang web. Trên c ơ Trong tồn b ộ ch ươ ng 2, tơi đã nghiên c ứu vi ệc phịng v ệ các sở đĩ, tơi báo cáo v ề các nguy c ơ và gi ải pháp phịng v ệ cho t ừng nguy c ơ ph ổ bi ến trên ứng d ụng web, phịng v ệ tồn di ện cho h ệ nguy c ơ. th ống, qua đĩ trình bày h ướng ti ếp c ận c ủa lu ận v ăn trong vi ệc xây 3.1 PHỊNG V Ệ NGUY C Ơ Ở M ỨC H Ệ TH ỐNG dựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web. Để phịng v ệ nguy c ơ ở m ức h ệ th ống, m ột mơ hình web đảm Để phịng v ệ các nguy c ơ ph ổ bi ến trên ứng d ụng web c ần hi ểu bảo an tồn được đề xu ất nh ư sau: rõ v ề s ự v ận hành c ủa ứng d ụng web, qua đĩ tìm hi ểu các l ỗ h ổng bảo m ật liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng d ụng, sau đĩ là nghiên c ứu v ề các gi ải pháp ki ểm tra và phịng v ệ cho t ừng nguy cơ. Bên c ạnh đĩ để ch ủ động phịng tránh cho ứng d ụng kh ỏi các nguy c ơ c ần cĩ m ột gi ải pháp đảm b ảo an tồn trên nhi ều ph ươ ng di ện. Tơi đã gi ới thi ệu mơ hình Defense-In-Depth, qua đĩ đặt v ấn đề về vi ệc xây d ựng gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web ở mức h ệ th ống và m ức v ận hành ứng d ụng web. Hình 3.1. Xây d ựng mơ hình web đảm b ảo an tồn
  11. - 20 - - 21 - 3.1.1 Cấu hình web h ợp lý 3.1.2.2 Anti-Virus Một ứng d ụng web khi tri ển khai s ẽ cĩ ba l ớp: l ớp trình di ễn, 3.1.2.3 Cơ ch ế sao l ưu lớp ứng d ụng và l ớp c ơ s ở d ữ li ệu. Vi ệc ho ạch định các l ớp trong c ấu 3.1.2.4 Cơ ch ế ph ục h ồi trúc web t ốt khơng nh ững giúp cho ng ười qu ản tr ị d ễ dàng v ận hành 3.2 PHỊNG V Ệ NGUY C Ơ Ở M ỨC V ẬN HÀNH ỨNG mà cịn ch ủ động trong vi ệc phịng ch ống các nguy c ơ t ấn cơng t ừ tin DỤNG tặc. M ột s ố cách b ố trí l ớp th ường g ặp trong th ực t ế nh ư sau: Để phịng v ệ nguy c ơ ở m ức v ận hành ứng d ụng, c ần cĩ m ột gi ải pháp ki ểm tra m ọi l ỗi b ảo m ật liên quan đến ho ạt động c ủa ứng dụng web. Quy trình ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web được ti ến hành t ừ vi ệc thu th ập thơng tin v ề ứng d ụng web và ti ến hành phân tích, đến vi ệc ki ểm tra các c ấu hình và ch ức n ăng trên ứng dụng. N ội dung c ụ th ể nh ư sau: Thu th ập thơng tin và phân tích 1. Thu th ập thơng tin 2. Phân tích ấ Hình 3.2. Các mơ hình c u trúc web Thi ết đặt Điều khi ể n Ki ể m tra d ữ Thi ết đặt máy Qua các mơ hình trên cho th ấy n ếu nh ư tri ển khai gi ữa các l ớp web truy c ập li ệu đầu vào ch ủ khơng cĩ s ự tách bi ệt rõ ràng thì m ột l ớp b ị tin t ặc t ấn cơng cĩ th ể 3. Ki ểm tra 4. Ki ểm tra 7. Ki ểm tra 8. Ki ểm tra dẫn đến các l ớp khác c ũng b ị ảnh h ưởng theo. Do v ậy, các l ớp khi các thi ết đặt xác th ực lỗi chèn d ữ thi ết đặt máy web li ệu ch ủ tri ển khai nên tách bi ệt độc l ập thành mơ hình ba l ớp, để tránh tình tr ạng m ột l ớp b ị t ấn cơng d ẫn đến các l ớp khác b ị ảnh h ưởng. Ngồi 5. Ki ểm tra 9. Ki ểm tra qu ản lý phiên lỗi phía máy ra, vi ệc phân lo ại độc l ập ba l ớp s ẽ t ạo điều ki ện thu ận l ợi cho vi ệc ch ủ vận hành, b ảo trì h ệ th ống c ũng nh ư d ễ dàng áp d ụng các bi ện pháp bảo v ệ đối v ới m ỗi l ớp chuyên bi ệt. 6. Ki ểm tra điều khi ển 3.1.2 Cài đặt ứng d ụng b ảo v ệ truy c ập 3.1.2.1 Firewall Hình 3.3. Quy trình ki ểm sốt l ỗi b ảo m ật ứng d ụng web
  12. - 22 - - 23 - 3.2.1 Thu th ập thơng tin - Các t ập tin sao l ưu và tập tin c ơ s ở d ữ li ệu c ần cĩ bi ện pháp b ảo 3.2.2 Phân tích điểm y ếu ứng d ụng vệ h ợp lý, thi ết l ập các quy ền truy c ập v ới các t ập tin này. 3.2.3 Ki ểm tra thi ết đặt web - Để đảm b ảo an tồn trong quá trình truy c ập FTP, nên s ử d ụng 3.2.4 Ki ểm tra xác th ực giao th ức SFTP ho ặc FTPS. 3.2.5 Ki ểm tra qu ản lý phiên - Nên cĩ ch ế độ khĩa tài kho ản ho ặc địa ch ỉ IP n ếu cĩ s ố l ần 3.2.6 Ki ểm tra điều khi ển truy c ập đă ng nhập sai nhi ều, ho ặc s ử d ụng captcha t ại n ơi đă ng nh ập. 3.2.7 Ki ểm tra l ỗi chèn d ữ li ệu - Nên s ử d ụng m ột b ộ l ọc để ki ểm tra tính h ợp pháp c ủa các siêu 3.2.8 Ki ểm tra thi ết đặt máy ch ủ ký t ự do ng ười dùng nh ập vào ứng d ụng web để tránh các nguy c ơ v ề 3.2.9 Ki ểm tra l ỗi phía máy ch ủ lỗi chèn d ữ li ệu nh ư SQL Injectiontion, XPath Injection hay Cross 3.3 TRI ỂN KHAI GI ẢI PHÁP PHỊNG V Ệ NGUY C Ơ TRÊN Site Scripting (XSS). WEBSITE BAUCUKHOA13.QUOCHOI.VN 3.4 TỔNG K ẾT CH ƯƠ NG 3 3.3.1 Cài đặt cơng c ụ Trong tồn b ộ ch ươ ng 3, gi ải pháp phịng v ệ nguy c ơ cho ứng 3.3.2 Báo cáo t ổng quan dụng web đã được tri ển khai xây d ựng ở hai m ức, m ức h ệ th ống và 3.3.3 Báo cáo chi ti ết l ỗi mức v ận hành ứng d ụng web. Ở m ức h ệ th ống, đã tri ển khai xây 3.3.3.1 Lộ thơng tin v ề h ệ điều hành máy ch ủ và máy ch ủ web dựng mơ hình web an tồn qua vi ệc c ấu hình các thành ph ần web h ợp 3.3.3.2 Các giao th ức được cho phép trên máy ch ủ lý và vi ệc cài đặt các ứng d ụng b ảo v ệ cho trang web (nh ư Firewall, 3.3.3.3 Tồn t ại t ập tin sao l ưu trên website Anti-vius, ). Ở m ức v ận hành ứng d ụng web, đã tri ển khai quy trình 3.3.3.4 Th ư m ục c ơ s ở d ữ li ệu t ồn t ại trên website ki ểm sốt l ỗi b ảo m ật trên ứng d ụng web. Quy trình này được xây 3.3.3.5 FTP h ỗ tr ợ truy c ập khơng mã hĩa dựng chi ti ết t ừ m ức thu th ập thơng tin, phân tích đến m ức ki ểm tra 3.3.3.6 Trang đă ng nh ập quy ền qu ản tr ị khơng gi ới h ạn s ố l ần các ho ạt động ch ức n ăng c ủa ứng d ụng web nh ư ki ểm tra các thi ết đặt đă ng nh ập web, điều khi ển truy c ập, ki ểm sốt l ỗi nh ập li ệu đầu vào và cu ối 3.3.3.7 Lỗi SQL Injection cùng là ki ểm tra các thi ết đặt c ủa máy ch ủ để đảm b ảo an tồn cho 3.3.3.8 Lỗi XPath Injection ho ạt động c ủa ứng d ụng web. Tơi c ũng đã minh h ọa vi ệc áp d ụng các 3.3.3.9 Lỗi Cross Site Scripting (XSS) gi ải pháp phịng v ệ nguy c ơ trên vào vi ệc ki ểm tra website B ầu c ử 3.3.4 Bi ện pháp phịng v ệ nguy c ơ qu ốc h ội khĩa 13 v ới s ự h ỗ tr ợ c ủa các cơng c ụ được t ập h ợp trong - Ch ỉ nên cho phép truy c ập c ổng 3389 t ừ m ạng n ội b ộ ho ặc BackTrack 5, qua đĩ đề xu ất bi ện pháp phịng v ệ nguy c ơ cho trang đĩng c ổng này n ếu khơng c ần dùng để tránh các r ủi ro l ộ thơng tin v ề web. máy ch ủ.
  13. - 24 - - 25 - KẾT LUẬN VÀ H ƯỚNG PHÁT TRI ỂN phát tri ển là c ần ph ải cĩ m ột gi ải pháp đảm b ảo an tồn cho ho ạt Từ k ết qu ả nghiên c ứu các t ư li ệu và th ực nghi ệm cho th ấy các động c ủa ứng d ụng, qua đĩ s ẽ tránh được các nguy c ơ t ừ vi ệc tin t ặc nguy c ơ trên ứng d ụng web được khai thác thành cơng d ựa trên m ột khai thác nh ững sai sĩt trong b ản thân ch ức n ăng khi ứng d ụng v ận nguyên t ắc c ơ b ản là tin t ặc c ố g ắng tìm ki ếm các sai sĩt trong ho ạt hành. Gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web đã được tri ển động c ủa ứng d ụng web và thơng qua nh ững sai sĩt này để t ấn cơng khai xây d ựng ở hai m ức: m ức h ệ th ống và m ức v ận hành ứng d ụng. ng ược vào ứng d ụng. Nh ững sai sĩt (hay l ỗ h ổng b ảo m ật) này xu ất Ở m ức h ệ th ống đã tri ển khai xây d ựng mơ hình web an tồn và ở hi ện cĩ th ể cĩ nhi ều nguyên nhân: do b ản thân ứng d ụng trong quá mức v ận hành ứng d ụng đã tri ển khai quy trình ki ểm sốt l ỗi b ảo m ật trình phát tri ển đã để l ại nhi ều l ỗ h ổng nh ưng ch ưa được ki ểm tra k ỹ trên ứng d ụng web. lưỡng tr ước khi đư a vào v ận hành, do ứng d ụng ch ạy trên các n ền Để đảm b ảo an tồn cho ứng d ụng web tr ước các hình th ức t ấn tảng cơng ngh ệ ch ưa hồn ch ỉnh được cung c ấp b ởi các nhà s ản xu ất cơng ngày càng t ăng c ả v ề s ố l ượng và ch ất l ượng, khơng th ể ch ỉ ph ụ và b ị tin t ặc thơng qua đĩ khai thác để t ấn cơng vào ứng d ụng, do thu ộc vào m ột cơng ngh ệ hay m ột quy trình c ụ th ể vì cơng ngh ệ web ng ười qu ản tr ị h ệ th ống ch ưa hi ểu rõ các nguyên t ắc đảm b ảo an tồn đang phát tri ển nhanh chĩng, kéo theo đĩ là nhi ều khuy ết điểm m ới cho ứng d ụng ho ặc vơ tình t ạo ra các c ơ ch ế qu ản lý l ỏng l ẻo, t ạo phát sinh. S ự t ấn cơng khơng n ằm trong khuơn kh ổ vài k ỹ thu ật đã điều ki ện cho tin t ặc t ấn cơng, phát hi ện, mà linh động và t ăng lên tùy vào nh ững sai sĩt c ủa nhà s ản Kết qu ả th ực hi ện lu ận v ăn “Nghiên c ứu xây d ựng gi ải pháp xu ất, c ủa ng ười qu ản tr ị h ệ th ống c ũng nh ư c ủa ng ười l ập trình ứng phịng v ệ nguy c ơ trên ứng d ụng web” tơi đã nghiên c ứu v ề b ảo m ật dụng web. V ấn đề thi ết y ếu c ần quan tâm là b ản thân ng ười l ập trình ứng d ụng web, các nguy c ơ trên ứng d ụng web và xây d ựng hồn ứng d ụng web hay ng ười qu ản tr ị trang web c ần cĩ s ự hi ểu bi ết n ền thi ện gi ải pháp phịng v ệ nguy c ơ trên ứng d ụng web. Các nghiên c ứu tảng v ề ho ạt động c ủa ứng d ụng web, qua đĩ s ẽ cĩ nh ững bi ện pháp tổng quan v ề b ảo m ật ứng d ụng web đã trình bày v ề ho ạt động c ủa thích h ợp để c ải ti ến quy trình hay cơng ngh ệ ki ểm sốt l ỗi b ảo m ật ứng d ụng web, các nguy c ơ trên ứng d ụng web c ũng nh ư các ph ươ ng web m ột cách phù h ợp. Các h ướng phát tri ển nghiên c ứu c ủa lu ận pháp th ường được s ử d ụng để ki ểm tra nguy c ơ nh ư ki ểm tra th ủ văn nh ư sau: cơng hay ki ểm tra b ằng cơng c ụ t ự động. N ội dung phịng v ệ nguy c ơ - Ti ếp t ục nghiên c ứu nh ững nguy c ơ m ới xu ất hi ện trên ứng trên ứng d ụng web đã t ập trung trình bày vi ệc phịng v ệ cho nh ững dụng web và cách phịng v ệ cho các nguy c ơ trên nh ằm nâng cao hi ệu nguy c ơ ph ổ bi ến liên quan đến vi ệc khai thác ch ức n ăng c ủa ứng qu ả trong vi ệc đảm b ảo an tồn cho s ự v ận hành c ủa ứng d ụng web. dụng web, m ỗi nguy c ơ đều trình bày t ừng gi ải pháp phịng v ệ riêng - Tìm hi ểu thêm v ề các cơng c ụ ki ểm tra l ỗi b ảo m ật m ới được và cu ối cùng là trình bày v ề vi ệc phịng v ệ tồn di ện cho h ệ th ống phát tri ển ho ặc t ự xây d ựng m ột vài cơng c ụ đặc thù h ỗ tr ợ cho vi ệc theo mơ hình Defense-In-Depth. T ừ vi ệc nghiên c ứu phịng tránh dị tìm l ỗi b ảo m ật để phát huy t ối đa hi ệu qu ả c ủa vi ệc phịng v ệ cho t ừng nguy c ơ ảnh h ưởng đến ứng d ụng web, tơi đã đề xu ất h ướng nguy c ơ trên ứng d ụng web.