Nghiên cứu phát triển hệ thống bảo mật web
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.47 MB, 71 trang )
i
L I CAM OAN
Tôi xin cam đoan đơy lƠ công trình nghiên c u c a riêng tơi. Các s li u, k t
qu nêu trong Lu n v n lƠ trung th c vƠ ch a t ng đ
c ai cơng b trong b t k cơng
trình nào khác.
Tơi xin cam đoan r ng m i s
đư đ
giúp đ cho vi c th c hi n Lu n v n nƠy
c c m n vƠ các thơng tin trích d n trong Lu n v n đư đ
c ch rõ ngu n g c.
H c viên th c hi n Lu n v n
(Ký và ghi rõ h tên)
Tr n Thanh Phong
ii
L IC M
N
Trong su t quá trình h c t p và quá trình th c hi n đ tƠi, tôi đư đ
và h c h i đ
c ch d n
c r t nhi u ki n th c quý báu c ng nh nh ng kinh nghi m v nghiên
c u khoa h c t các th y cô, anh ch , b n bè đ ng nghi p.
Tr
viên tr
c h t, tôi xin g i l i c m n sơu s c đ n th y TS. L u Thanh TrƠ, gi ng
ng đ i h c Bách Khoa TP.HCM, th y đã t n tình h
ng d n, giúp đ tơi
trong su t q trình th c hi n lu n v n.
Tôi c ng xin c m n quý th y cô c a tr
ng
i H c Cơng Ngh Thành Ph
H Chí Minh đư t n tình gi ng d y, trang b cho tơi nh ng ki n th c đáng giá trong
nh ng n m h c v a qua.
Sau cùng, tôi xin chân thành c m n gia đình, các anh ch , b n bè vƠ đ ng
nghi p đư ng h , giúp đ vƠ đ ng viên tôi trong su t quá trình h c t p và th c hi n
lu n v n nƠy.
TPHCM, ngày tháng n m 2016
Tr n Thanh Phong
iii
TĨM T T
Trong lu n v n này, chúng tơi t p trung nghiên c u và phát tri n h th ng ng
d ng t
ng l a Modsecurity trên web. T đó xơy d ng h th ng t
server cho Tr
ng Cao
ng l a trên web
ng Ngh Thành Ph H Chí Minh. V lu n đi m th
nghi m c a lu n v n, chúng tôi t p trung phơn tích, ng n ch n hai lo i t n công đ c
h i: DDos và SQL injection c a Tr
ng Cao
ng Ngh Thành Ph H Chí Minh.
iv
ABSTRACT
In this thesis, we focused on research and development system Modsecurity web
application firewall. From that building the web server firewall system for Ho Chi
Minh City vocational college. In the testbed of thesis, we go analyse, prevent two
types of malicious attacks: DDoS and SQL injection for website of Ho Chi Minh City
vocational college.
v
M CL C
L I CAM OAN ....................................................................................................... i
L I C M N ............................................................................................................ ii
TÓM T T ................................................................................................................. iii
ABSTRACT .............................................................................................................. iv
DANH M C CÁC HÌNH NH ............................................................................... ix
DANH M C CÁC B NG........................................................................................ xi
M
U ...................................................................................................................1
C S LÝ THUY T ................................................................................5
1.1 V n
B oM t
ng D ng Web ....................................................................5
1.2 Danh Sách R i Ro B o M t Cho Các
1.3 T n Công DDoS VƠ Ph
ng D ng Web OWASP Top 10 ........6
ng Pháp Phòng Ch ng ............................................8
1.3.1 Gi i Thi u ..................................................................................................8
1.3.2 Chi n L
c T n Công ...............................................................................8
1.3.3 Phân Lo i T n Cơng DDoS .......................................................................9
1.3.4 Các Ph
ng Pháp Phịng Ch ng ..............................................................14
1.4 T n Công SQL Injection VƠ Ph
ng Pháp Phòng Ch ng .............................14
1.4.1 Gi i Thi u ................................................................................................14
1.4.2 M t S Ki u T n Công SQL Injection ....................................................16
1.4.3 Ph
ng Pháp Phịng Ch ng .....................................................................19
MƠ HÌNH H TH NG B O V WEB SERVER
NGH ...............20
2.1 T ng Quan ......................................................................................................20
2.2 T
ng L a
2.3 Các Lo i T
ng D ng Web - Web Application Firewall ..............................21
ng L a
ng D ng Web
B oV
ng D ng Web ..............22
2.3.1 T
ng l a ng d ng Allplicure DotDefender .........................................22
2.3.2 T
ng l a ng d ng Imperva SecureSphere ..........................................22
2.3.3 T
ng l a ng d ng FortiWeb ................................................................22
2.3.4 T
ng l a ng d ng Barracuda ...............................................................23
2.3.5 T
ng l a ng d ng Citrix ......................................................................23
2.3.6 T
ng l a ng d ng ModSecurity ..........................................................23
2.3.7 T
ng l a ng d ng WebKnight .............................................................23
2.3.8 T
ng l a ng d ng Shadow Daemon ....................................................23
vi
2.4 T
ng L a
ng D ng Web - ModSecurity ...................................................25
2.4.1 Tính N ng C a ModSecurity ...................................................................26
2.4.2 Ph
ng Th c Ho t
ng C a ModSecurity ...........................................27
2.4.3 Các Giai o n X Lý Trong ModSecurity .............................................28
2.5 Mơ Hình
Xu t ...........................................................................................29
TRI N KHAI MƠ HÌNH H TH NG ...................................................32
3.1 CƠi
t Ch
ng Trình ....................................................................................32
3.2 T o Rule Trong ModSecurity VƠ Shell Script Ng n Ch n T n Công DDoS 37
3.2.1 T o Rule Trong ModSecurity Ng n Ch n DDoS....................................37
3.2.2 T o Shell Script system_status.sh ...........................................................38
3.2.3 T o Shell Script add_ip.sh .......................................................................38
3.3 T o Rule Cho ModSecurity Ng n Ch n T n Công SQL Injection................39
TH C NGHI M - ÁNH GIÁ H TH NG .........................................40
4.1 Th c Nghi m T n Công VƠ Ng n Ch n DDoS .............................................40
4.2 Th c Nghi m T n Công SQL Injection VƠ Ng n Ch n ................................47
K T LU N VÀ H
NG PHÁT TRI N ................................................................58
TÀI LI U THAM KH O .........................................................................................59
vii
DANH M C CÁC T
Vi t t t
VI T T T
Ti ng Anh
Ti ng Vi t
Clients
Máy tr m
Server
Máy ch
Web Server
Máy Ch Web
Signature
D u hi u t n cơng
zombie
Máy tính ma
web browser
Trình duy t web
Firewall
t
Botnet
các m ng máy tính đ
ng l a
c
t o l p t các máy tính
mà hacker
Ph
Get/post request
ng th c truy n và
nh n d li u
IDS/IPS
intrusion detection
H th ng phát hi n và
system /Intrusion
ng n ch n xâm nh p
Prevention System
OWASP
Open Web Application D án m v b o m t ng
Security Project
d ng web
DMZ
Demilitarized Zone
Khu phi quân s
HTML
HyperText
HTTP
Markup Ngôn ng
ánh d u Siêu
Language
v nb n
HyperText Transfer
Giao th c truy n t i siêu
Protocol
v nb n
viii
HTTPS
Hypertext Transfer
Giao th c truy n t i siêu
Protocol Secure
v n b n an tồn
DoS
Denial of Service
T n cơng t ch i d ch v
DDoS
Distributed
Denial
of T n công t ch i d ch v
Service
SMTP
TCP/IP
Simple
phân tán
Transfer giao th c truy n t i th tín
Protocol
đ n gi n
Transmission Control
B giao th c liên m ng
Protocol/Internet Protocol
ICMP
Internet Control Message
M t d ng giao th c m ng
Protol
UDP
User Datagram Protocol
M t d ng giao th c m ng
ix
DANH M C CÁC HÌNH NH
Hình 1.1 Top 10 k thu t t n công trong n m 2014 vƠ 2015 [9] ................................5
Hình 1.2 S đ phân lo i các ki u t n cơng DDoS ...................................................10
Hình 1.3 Mơ hình t n cơng Agent-Handler [1] .........................................................11
Hình 1.4 Mơ hình t n cơng IRC-based [1]................................................................11
Hình 1.5 Mơ hình t n cơng khu ch đ i [2] ...............................................................12
Hình 1.6 T n cơng SYN ACK trong giao th c TCP [3] ...........................................13
Hình 2.1 T
ng l a ng d ng Web (WAF) ..............................................................21
Hình 2.2 Mơ hình h th ng WAF Tr
Hình 4.1 H th ng đang
Hình 4.2 Trang web đang
ng Cao
tr ng thái bình th
tr ng thái bình th
Hình 4.3 T p tin system_status.txt
Hình 4.4 T p tin recentlist.txt
ng Ngh Tp.HCM ......................30
ng ....................................................40
ng ..................................................41
tr ng thái bình th
tr ng thái bình th
Hình 4.5 T p tin suspiciouslist.txt
Hình 4.6 T p tin whitelist.txt khi
ng ...........................................41
tr ng thái bình th
tr ng thái bình th
Hình 4.7 T p tin blacklist.txt và blocklist.txt
ng ....................................41
ng.....................................41
ng ......................................42
tr ng thái bình th
ng ....................42
Hình 4.8 Giao di n HTTP Flooder ............................................................................42
Hình 4.9 T p tin system_status.txt đang b t n cơng ................................................43
Hình 4.10 T p tin recentlist.txt đ m s l
ng k t n i khi đang b t n cơng .............43
Hình 4.11 T p tin blocklist.txt khi đang b t n cơng.................................................44
Hình 4.12 Khi b t n cơng truy c p vào web s b báo l i ........................................44
Hình 4.13 T p tin suspiciouslist.txt đ m s k t n i l n h n 50 l n đ a vƠo
blacklist.txt ................................................................................................................44
Hình 4.14 Tr ng thái h th ng khi đang b t n cơng.................................................44
Hình 4.15 T p tin blacklist.txt l u đ a ch có k t n i trên 50 l n khi b t n cơng ....45
Hình 4.16 T p tin system_status.txt khi đ a ch các máy b đ a vƠo blacklist.txt
tr ng thái h th ng tr v 0. ......................................................................................45
Hình 4.17 Các IP trong t p tin blocklist.txt b xóa khi tr ng thái h th ng tr v 0. 45
Hình 4.18 Khi b t n công IP trong t p tin whitelist.txt truy c p web bình th
ng .46
x
Hình 4.19 Giao di n ph n m m Acunetix sau khi quét l i b o m t .........................47
Hình 4.20 Thông báo l i b o m t SQL Injection ......................................................47
Hình 4.21 Gõ l nh ki m tra c s d li u .................................................................48
Hình 4.22 Tên c s d li u có trên webserver ........................................................48
Hình 4.23 L nh hi n các b ng c a c s d li u itcdn .............................................48
Hình 4.24 Các b ng c a c s d li u itcdn .............................................................49
Hình 4.25 L nh hi n các c t c a b ng d li u kcntt_users.......................................49
Hình 4.26 Các c t c a b ng d li u kcntt_users .......................................................50
Hình 4.27 L nh l y d li u các c t c a b ng d li u kcntt_users ............................50
Hình 4.28 D li u name, email, username password c a b ng d li u kcntt_users .51
Hình 4.29 Tên b ng c n l y d li u. .........................................................................51
Hình 4.30 L nh hi n th các c t c a b ng kcntt_session. .........................................52
Hình 4.31 L nh hi n th các c t c n l y d li u........................................................52
Hình 4.32 Hi n th session_id c a admin. ................................................................53
Hình 4.33 Thêm cơng c ch nh s a cookie. ..............................................................53
Hình 4.34
ng nh p quy n admin t i máy b t k . ..................................................54
Hình 4.35 Copy session-id nh hình 4-32 b vào ph n Value. ................................54
Hình 4.36 Truy c p vào trang qu n tr b ng session_id c a admin. .........................55
Hình 4.37 Khơng th truy c p c s d li u có trên web server ...............................56
Hình 4.38 Khơng cịn thơng báo l i b o m t SQL Injection ....................................56
xi
DANH M C CÁC B NG
B ng 2.1 So sánh tính n ng các lo i t
ng l a ng d ng web .................................24
1
M
1. Lý Do Ch n
U
Tài
VƠi n m g n đơy v n đ v n đ b o m t ng trong các d ng web nh n đ
cs
quan tơm đ c bi t. V i nhi u doanh nghi p website có th coi là m t h th ng quan
tr ng nh t vì h u h t t t c các d ch v , giao d ch đ u thông qua giao di n web nh :
bán hàng tr c tuy n, qu n lý khách hàng, qu n lý tƠi chính cho đ n qu ng bá doanh
nghi p. khi website b t n công có th
nh nghiêm tr ng đ n q trình kinh doanh
c ng nh hình nh, uy tính c a doanh nghi p.
c bi t là các trang web có thơng tin
cá nhân nh y c m c a khách hƠngầvì v y v n đ b o m t ng d ng web là r t quan
tr ng và có tính s ng cịn v i doanh nghi p. Do nh n th y đ
c s nguy hi m n m
các l h ng b o m t c a các ph n m m web server ho c các modules ph tr , đi u
này có th d n đ n vi c m t web server b th a hi p, th t thốt d li u. Ngồi ra khi
chi m đ
c web server (th
ng vùng DMZ), vi c sâm nh p vào bên trong h th ng
máy ch hay h th ng m ng n i b là r t d dàng. V i các h th ng ch có t
ng l a
m c truy n th ng khơng th ng n ch n hồn tồn t n cơng web server vì t
ng l a
thơng th
ng
ho t đ ng
t ng 3 và 4 trong mơ hình OSI. H u qu s r t n ng n
n u khơng có bi n pháp h p lý đ b o v web server c a các doanh nghi p, t ch c.
Vì v y đ b o v web server c n ph i có có m t t
ng l a ng d ng web chuyên
d ng (Web Application Firewall - WAF). M t WAF có th là thi t b ph n c ng ho c
ph n m m đ
T
c cƠi đ t trên máy ch đ
ng l a ng d ng web b o v
c đ t gi a t
ng l a m ng và máy ch web.
ng d ng web và máy ch
ng d ng web tránh kh i
nh ng cu c t n khác nhau nh SQL Injection, Cross-site Scripting (XSS), Code
Injection,ầ T
ng l a ng d ng web còn b o v web server ch ng l i nh ng l h ng
đư phát hi n vƠ ng n ch n nh ng k t n cơng tìm cách khai thác nh ng l h ng đó.
Kinh phí đ tri n khai m t t
ng l a ng d ng web chuyên d ng nh m đ m b o
an tồn, an ninh thơng tin khi s d ng các gi i pháp do n
c ngoài cung c p s khá
cao nh : F5 Networks, Imperva, Citrix, Cisco, Barracuda. Ví d : giá thi t b
Barracuda Web Application Firewall ch a tính đ n chi phí duy trì hƠng n m lên đ n
7,500USD/n m (ngu n ).
2
Hi n nay đa ph n các doanh nghi p, t ch c th
ng đ t ng d ng web t i các
nhà cung c p d ch v l u tr web, ngo i tr các doanh nghi p l n nh : cơng ty tài
chính, ngân hàng,ầ có đ u t h th ng máy ch riêng đ t t i công ty. Tuy nhiên, m t
s kh o sát th c t th c hi n t i các nhà cung c p d ch v l u tr web nh : VNPT,
FPT, Viettel, MatBao,ầ thì vi c thuê các d ch v b o m t cho ng d ng web c a
đ n v mình t n r t nhi u chi phí. Và th c t t i các tr
doanh nghi p thuê các d ch v tr c tuy n th
ng đ i h c, cao đ ng, các
ng ch a quan tơm đ n b o m t cho ng
d ng web c a đ n v mình vì nhi u lý do khác nhau.
Chúng tơi tìm hi u trên th tr
ng thi t b b o m t web server t i Vi t Nam, đ n
nay v n ch a có s n ph m b o m t ng d ng web do trong n
c phát tri n vƠ th
ng
m i hóa. Vì v y đ b o v cho h th ng ng d ng web, có chi phí th p và khơng c n
đ i ng nhơn viên có trình đ chun nghi p. Thì vi c nghiên c u h th ng t
ng l a
chuyên d ng đ b o v cho các ng d ng Web (WAF) là m t nhu c p thi t c a các
đ n v và doanh nghi p t i t i Vi t Nam.
Trong b i c nh đó, đ tài ắNGHIểN C U PHÁT TRI N H TH NG B O
M T WEB” đ
c ti n hành nh m góp ph n gi i quy t v n đ b o v an toàn cho
các h th ng web nói chung và h th ng web c a tr
ng Cao
ng Ngh Thành Ph
H Chí Minh nói riêng.
2. M c ích,
iT
ng Và Ph
ng Pháp Nghiên C u
2.1 M c ích Nghiên C u
- Lu n v n s nghiên c u t
ng l a ng d ng web Modsecurity vƠ d a vƠo các k
thu t t n công web server ph bi n hi n nay, t đó xơy d ng h th ng t
ng l a
ng d ng Web có kh n ng phát hi n vƠ gi m thi u các t n công vào web server.
Xơy d ng t
ng l a ng d ng web ng n ch n đ
SQL Injection cho h th ng web server tr
c hai d ng t n công DDoS và
ng Cao
ng Ngh ThƠnh Ph H
Chí Minh.
2.2
iT
ng Nghiên C u
- S d ng các thông tin, tài li u trên trang web OWASP (Open Web Application
Security Project) đ nghiên c u lý thuy t và mơ hình tri n khai h th ng.
3
- Tìm hi u m t s ph
- Tìm hi u ph
ng th c t n cơng đi n hình vƠ ph
ng pháp ng n ch n.
ng th c t n công DDoS vƠ SQL Injection vƠ cách ng n ch n.
- Tìm hi u SNMP t n n t ng ho t đ ng c a giao th c, ng d ng vƠo vi c qu n lý
các thi t b trong m ng, tìm hi u m t s công c SNMP cho phép đ
c giám sát
b ng SNMP. K t h p SNMP vƠ catti đ theo dõi h th ng.
- Tìm hi u vƠ s d ng các ph n m m quét l h ng b o m t web: SQLMAP,
Acunetix Web Vulnerability Scanner ầ
- Tìm hi u v Shell Script đ xây d ng h th ng phát hi n t n cơng.
- Tìm hi u nguyên lý ho t đ ng và cách t o rule trong ModSecurity đ ng n ch n
hai d ng t n công DDoS và SQL injection.
- S d ng k t qu th c hi n t i đ n v đánh giá ho t đ ng c a h th ng.
2.3 Ph m Vi Nghiên C u
Xơy d ng t
ng l a ng d ng web ng n ch n đ
SQL Injection cho h th ng web server tr
ng Cao
c hai d ng t n công DDoS vƠ
ng Ngh ThƠnh Ph H Chí
Minh.
3. Ý Ngh a Khoa H c Và Th c Ti n
3.1 Ý Ngh a Khoa H c:
K t qu nghiên c u có th làm tài li u tham kh o, tài li u k thu t cho vi c xây
d ng h th ng t
ng l a thông minh cho các ng d ng web
m t s đ n v v a và
nh .
3.2 ụ Ngh a Th c Ti n:
Xây d ng đ
c h th ng phát hi n t n công vƠ ng n ch n t n công DDoS và
SQL Injection. Ch y thành công h th ng phát hi n và gi m thi u các t n công vào
web server d a vào ModSecurity cho tr
Minh.
ng Cao
ng Ngh Thành Ph H Chí
4
4. C u Trúc Lu n V n
C u trúc c a lu n v n g m 4 ch
ng và ph n m đ u, ph n k t lu n:
M đ u: thông tin v đ tài, m c tiêu, ph m vi và nh ng đóng góp chính c a lu n
v n, gi i thi u c u trúc c a lu n v n.
Ch
ng 1: C S Lý Thuy t
N i dung c a ch
ng nƠy gi i thi u t ng quan v b o m t ng d ng web
và danh sách r i ro b o m t cho các ng d ng web c a OWASP. T các k thu t
t n công ph bi n và c nh báo b o m t phân tích hai d ng t n công nguy hi m là:
DDoS và SQL Injection.
Ch
ng 2: Mô Hình H Th ng B o V Web Server
N i dung c a ch
ng nƠy lƠ trình bƠy m t s khái ni m v t
d ng web (WAF), lý do ph i c n đ n t
t
ng l a ng d ng web có trên th tr
th c ho t đ ng t
d ng t
Ch
Ngh
ng l a ng
ng l a ng d ng web. Trình bày m t s
ng hi n nay. Trình bƠy tính n ng, ph
ng
ng l a ng d ng Web c a ModSecurity. T đó l a ch n đ xây
ng l a ng d ng web th c nghi m cho lu n v n.
ng 3: Tri n Khai Mơ Hình H Th ng
N i dung c a ch
ng nƠy lƠ cƠi đ t, t o các t p tin Shell Script và các rule
đ đ ng n ch n t n công cho h th ng web server tr
ng Cao
ng Ngh Thành
Ph H Chí Minh.
Ch
ng 4: Th c Nghi m - ánh Giá H Th ng
N i dung c a ch
ng nƠy th c hi n vƠ đánh giá t n công vƠ ng n ch n cho
DDoS và SQL Injection.
K t lu n: trình bƠy tóm l
v n.
c k t qu c a lu n v n vƠ h
ng phát tri n c a lu n
5
C
1.1 V n
B oM t
S
LÝ THUY T
ng D ng Web
Trong nh ng n m g n đơy các ng d ng web là m c tiêu t n công c a các tin
t c. M c dù các công ty, doanh nghi p th
ng có h th ng phát hi n, phòng ch ng
xâm nh p và theo dõi h th ng m ng c a đ n v mình.
i v i các c quan, t ch c
website là kênh cung c p thông tin hi u qu và nhanh chóng nh t. C ng chính vì đ c
đi m này, các web server th
ng xuyên là m c tiêu t n công c a tin t c đ khai thác
đánh c p các thông tin liên quan bên trong. M t trong nh ng ph
ng th c t n công
ph bi n là khai thác các l i b o m t liên quan đ n ng d ng web.
Cùng v i s phát tri n c a các công ngh m i và đ
c ng d ng r ng rãi nh
các ng d ng web hi n nay và đi cùng v i đi u này s là hàng lo t các l h ng b o
m t m i phát sinh.
a ph n nh ng t n công nghiêm tr ng vào các ng d ng web
server là làm l thông tin, d li u ho c truy c p không h n ch v i các h th ng mà
các ng d ng đang ho t đ ng.
Theo th ng kê c a trang web hackmageddon.com [9]. Trang web chuyên v
th ng kê các cu c t n công m ng trong n m 2014 vƠ 2015 (hình 1.1), các cu c t n
cơng khơng gõ ngu n g c c b n gi ng nhau trong n m 2015 vƠ n m 2014 (24,0%
so v i 23,3%). SQLI t ng t 12,8% trong n m 2014 lên 17,5% trong n m 2015, trong
khi t n công thay đ i n i dung gi m 12,4% so v i 14,8% trong báo cáo c a n m
tr
c. DDoS c b n là n đ nh (9,7% so v i 9,3%).
Hình 1.1 Top 10 k thu t t n công trong n m 2014 vƠ 2015 [9]
6
V i b ng th ng kê trên chúng ta th y r ng vi c b o m t cho ng d ng web là
r t c n thi t. Tuy nhiên các t
ng l a thông th
ng, h th ng phát hi n và phòng
ch ng xâm nh p s không th giám sát, đánh giá đ
c h t các ng d ng đ
c xây
ng n ch n đ
c các
d ng trên n n t ng web s d ng giao th c HTTP/HTTPS.
cu c t n công vào web server c n ph i s d ng t
ng l a chuyên d ng ng d ng web
- Web Application Firewall (WAF) m i đáp ng yêu c u này.
1.2 Danh Sách R i Ro B o M t Cho Các
ng D ng Web OWASP Top 10
OWASP là m t d án m v b o m t cho ng d ng Web [12]. OWASP Top 10
cung c p m t tài li u nh n th c m nh m cho các ng d ng b o m t web. OWASP
Top 10 đ i di n cho m t s đ ng thu n r ng rãi v các l h ng b o m t ng d ng
web quan tr ng nh t. Thành viên d án bao g m m t lo t các chuyên gia b o m t t
kh p n i trên th gi i đư chia s chuyên môn c a h đ đ a ra danh sách này.
D án này kêu g i t t c các công ty áp d ng tài li u nh n th c này trong t
ch c c a h và b t đ u quá trình đ m b o r ng các ng d ng web c a h không ch a
các sai sót. Thơng qua OWASP Top 10 lƠ b
c đ u đ th c hi n vi c thay đ i hi u
qu nh t v s an toàn phát tri n ng d ng web c a các t ch c.
OWASP cung c p mi n phí và tính m đ phát tri n các n i dung:
Công c và các tiêu chu n v an toàn ng d ng.
B chu n v ki m tra b o m t ng d ng, l p trình an toàn và và các bài vi t
v chu n ki m đ nh mã ngu n.
Th vi n các tiêu chu n an tồn thơng tin ng d ng.
Các nghiên c u m i nh t v b o m t ng d ng web.
Nh ng bu i h i th o toàn c u.
Danh sách đ a ch th liên l c.
Và nhi u n i dung khác.
T t c các công c , tài li u, ch
ng trình đ
c OWASP cung c p đ u là mi n
phí và m cho b t c ai có nhu c u nâng cao b o m t thông tin.
i u này giúp
OWASP không b ph thu c vào các nhà tài tr , đ a ra nh ng thơng tin chính xác,
khách quan, khơng thiên v và có giá tr
ng d ng cao. Các thành viên ch ch t c a
7
OWASP đ u là các tình nguy n viên, bao g m ban qu n tr , ban đi u hành toàn c u,
lưnh đ o các chi nhánh, lưnh đ o các d án, thành viên các d án. D án h tr nghiên
c u b o m t tiên ti n v i các kho n tài tr vƠ c s h t ng.
Theo OWASP trong n m 2013, 10 r i ro an ninh cao nh t là:
A1 ậ Injection: L i mã nhúng.
A2 ậ Broken Authentication and Session Management: L i xác th c và qu n
lý phiên làm vi c.
A3 ậ Cross-Site scripting(XSS): Th c thi mã Script x u.
A4 ậ Insecure Direct Object Reference:
it
ng tham chi u tr c ti p khơng
an tồn.
A5 ậ Security Misconfiguration : Sai sót c u hình b o m t.
A6 ậ Sensitive Data Exposure: Ph i bƠy d li u nh y c m.
A7 ậ Missing Function Level Access Control : Thi u ch c n ng đi u khi n
truy c p.
A8 ậ Cross Site Request Forgery (CSRF): Gi m o yêu c u.
A9 ậ Using Known Vulnerable Components: S d ng các thành ph n t n t i
l h ng đư bi t.
A10 ậ Unvalidated Redirects and Forwards: Chuy n h
ng và chuy n ti p
khơng ki m tra.
D a vào danh sách nhóm 10 c nh báo r i ro c a OWASP và hình 1.1 v i 10 k
thu t t n cơng ph bi n trong n m 2014 vƠ 2015 giúp các t ch c phát tri n hay đánh
giá các ng d ng web có th t đ a ra đ
web c a đ n v mình.
c các gi i pháp phù h p, nâng cao b o m t
có cách nhìn c th h n v b o m t cho m t h th ng web
server c a các t ch c, doanh nghi p, lu n v n đi vƠo phơn tích hai k thu t t n công
ph bi n là SQL Injection và t n công t ch i d ch v phân tán (DDoS) đơy lƠ hai
d ng t n công nguy hi m nh t hi n nay. Sau khi nghiên c u hai k thu t t n công và
cách ng n ch n lu n v n s xây d ng t
ng l a ng d ng web đ gi m thi u t n công
cho hai d ng này và ch n h th ng web c a tr
Chí Minh lƠ đ n v th c nghi m cho đ tài.
ng cao
ng Ngh Thành Ph H
8
1.3 T n Cơng DDoS Và Ph
ng Pháp Phịng Ch ng
1.3.1 Gi i Thi u
T n công t ch i d ch v phân tán (DDoS) là d ng t n công làm ch m d t ho c
gán đo n các d ch v t i máy n n nhân (máy b t n công) gây c n ki t tài nguyên h
th ng ho c ng p l t đ
ng truy n là m t trong nh ng m i quan tâm l n nh t c a các
chuyên gia an ninh. Nh ng k t n công th
ng truy c p vào m t s l
ng l n các
máy tính b ng cách khai thác l h ng c a h đ thành l p quơn đ i t n cơng hay cịn
g i là botnets. Khi m t đ i quân t n công đư đ
c thi t l p, m t k t n công có th
g i ph i h p, t n cơng quy mô l n đ i v i m t ho c nhi u m c tiêu. Làm ng t quãng
quá trình cung c p d ch v cho ng
i dùng h p pháp, ho c th m chí khi n c h th ng
ng ng ho t đ ng. T n cơng DDoS r t khó phát hi n và phòng ch ng hi u qu do s
l
ng các máy b đi u khi n tham gia t n công th
ng r t l n và n m r i rác
nhi u
n i. Xây d ng m t c ch b o v toàn di n ch ng l i DDoS và d đốn các cu c t n
cơng l l t là m t m c tiêu mong mu n c a các phát hi n xâm nh p. Tuy nhiên, s
phát tri n c a m t c ch nh v y đòi h i m t s hi u bi t toàn di n v các v n đ và
các k thu t đư đ
c s d ng cho đ n nay trong phòng ng a, phát hi n và ng phó
v i t n cơng DDoS là c n thi t.
1.3.2 Chi n L
c T n Công
ti n hành các cu c t n công DDoS [3] thành công, m t k t n công c n
b n y u t c b n sau đơy:
a. K t n công th c
M t trong nh ng ng
i ki m sốt tồn b cu c t n cơng
b. Ki m sốt t ng th
Ch
ng trình ki m soát t ng th ho t đ ng nh giao di n, giao ti p gi a k
t n công th c s và nh ng k t n công b đi u khi n. Ch
t ng th c ng đóng vai trị nh m t ng
khi n và nh n đ
ng trình ki m sốt
i b o v cho nh ng k t n công b đi u
c l nh t n công t k t n công th c s . Và nó ti p t c h
d n nh ng k t n công b đi u khi n t n công vào n n nhân.
c. K t n công b đi u khi n /l thu c /đ i lý
ng
9
ơy lƠ nh ng t n h i h th ng và các h th ng này có trách nhi m t o ra
l ul
ng. Nh ng h th ng này có m t s ph n m m c th đư đ
mƠ đang đ
c cƠi đ t
c đi u khi n b i k t n công th c thơng qua ki m sốt t ng th .
d. N n nhân
Máy ch m c tiêu: V i t t c b n y u t trên, t n công DDoS đ
c th c hi n
trong b n giai đo n sau đơy
-
Tuy n d ng/ ch n đ i lý: máy đ i lý khơng b gì, nh ng các máy tính b
đi u khi n t xa b t n h i ph n nƠo đó b i m t k t n công, v c b n
đ th c hi n các cu c t n công th c t trên máy n n nhân thay m t c a
k t n công. Các đ i lý đ
c ki m soát b ng cách khai thác m t s các
l i vịng l p có s n ho c các l h ng. máy đ i lý đ
c l a ch n theo cách
nh v y đ h có đ ngu n l c đ t o ra các cu c t n công m nh m .
Ch s h u c a các máy này không bi t r ng máy c a h đư b xâm nh p
-
nh h
ng/ khai thác: Trong giai đo n này, các l h ng và l h ng b o
m t c a máy đ i lý đ
-
c khai thác b i k t n công đ ki m soát chúng.
Lây nhi m: Trong giai đo n này, m t mã t n công đ
c cài trong các
máy đ i lý. K t n công giao ti p v i các đ i lý đ ki m soát các cu c
t n công.
-
T n công: Trong giai đo n này, k t n công đ a l nh b t đ u cu c t n
công.
1.3.3 Phân Lo i T n Công DDoS
M t cu c t n công DDoS [3] th
m ts l
ng đ
c tin t c th c hi n b ng cách huy đ ng
ng r t l n các máy tính có k t n i m ng internet b chi m quy n đi u khi n,
t p h p các máy nƠy đ
c g i là m ng máy tính ma hay m ng botnets. Các máy c a
botnets có kh n ng g i hàng ngàn yêu c u gi m o m i giơy đ n h th ng c a n n
nhân, gây nh h
ng nghiêm tr ng đ n ch t l
ng d ch v cung c p cho ng
M t trong các b
c c n thi t trong vi c đ ra các bi n pháp phòng ch ng t n công
i dùng.
DDoS hi u qu là phân lo i các d ng t n công DDoS và phát tri n m t c ch phịng
ch ng thích h p.
10
Có nhi u k thu t t n cơng DDoS. Tuy nhiên có th phân lo i ph
ng pháp t n
cơng DDoS nh trong hình 1.2. Có hai lo i chính các cu c t n cơng DDoS: làm c n
ki t b ng thông vƠ c n ki t tài nguyên h th ng. M t cu c t n công làm c n ki t b ng
thông đ
c thi t k làm c n ki t b ng thơng máy n n nhân có làm ng t qng ho c
ng ng cung c p d ch v cho ng
m t cu c t n công đ
i dùng. M t cu c t n công c n ki t tài nguyên là
c thi t k đ g n lên các ngu n tài nguyên c a m t h th ng
n n nhân. Ki u t n công này nh m vào m t máy ch ho c các quá trình trên h th ng
n n nhân làm cho nó khơng th x lý u c u cung c p d ch v chính đáng cho ng
i
dùng.
Hình 1.2 S đ phân lo i các ki u t n công DDoS
1.3.3.1. T n Công Làm C n Ki t B ng Thơng
Có hai lo i chính trong t n cơng DDoS c n ki t b ng thông [2,3]. M t là t n
công gây ng p l t, các máy tính b ki m sốt và b đi u khi n t xa b i tin t c
(zombies) g i kh i l
ng l n l u l
ng đ n h th ng n n nhơn, đ làm ng n b ng
thông h th ng c a n n nhân. Hai là t n công khu ch đ i liên quan đ n m t trong hai
k t n công ho c các zombies g i tin nh n đ n m t đ a ch qu ng bá IP, hay s d ng
m ng con c a các đ a ch qu ng bá đ g i m t thông đi p t i các h th ng n n nhân.
Ph
ng pháp nƠy khu ch đ i l u l
c a n n nhân.
ng nguy hi m làm gi m b ng thông h th ng
11
T n Công Gây Ng p L t (Flood Attacks):
Trong m t cu c T n công gây ng p l t [2,3], tin t c t o m t l
ng l n các gói
tin t n cơng gi ng nh các gói tin h p l và g i đ n h th ng n n nhân làm cho h
th ng không th ph c v ng
i dùng h p pháp.
it
ng c a t n công d ng này là
b ng thông m ng, tài nguyên h th ng. Hình 1.3 và 1.4 ch ra m t cu c t n công ng p
l t cho m t m ng l
i t n công Agent-Handler và m t m ng l
i t n cơng IRC-based.
Hình 1.3 Mơ hình t n cơng Agent-Handler [1]
Hình 1.4 Mơ hình t n cơng IRC-based [1]
12
Ph
ng pháp Flood Attack chia thƠnh hai lo i: UDP Flood Attack, ICMP Flood
Attack:
2 d ng d ng nƠy, các gói tin UDP vƠ ICMP đ
c s d ng đ th c hi n t n
công máy n n nhân.
T n công khu ch đ i (Amplification Attacks):
M t cu c t n công DDoS khu ch đ i [2,3] là nh m m c đích s d ng các tính n ng
đ a ch qu ng bá IP đ
c tìm th y trên h u h t các router đ khu ch đ i và ph n ánh
cu c t n cơng (hình 1.5). Ph
ng pháp nƠy lƠm gia t ng l u l
ng không c n thi t,
làm suy gi m b ng thông c a m c tiêu.
Victim Web Server
Attacker
IP Network
Hình 1.5 Mơ hình t n cơng khu ch đ i [2]
Có th chia t n cơng khu ch d i thành 2 lo i:
-
Smuft attack: Trong m t cu c t n công DDoS Smurf, k t n cơng g i gói tin
đ nm ts l
ng l n máy tính trong m t th i gian ng n, trong đó đ a ch IP
ngu n c a gói ICMP echo s đ
c thay th b i đ a ch IP c a n n nhân, Các
máy tính này s tr l i các gói ICMP reply đ n máy n n nhân. K t qu máy
t n công s ph i ch u nh n m t đ t Reply gói ICMP r t l n và làm cho m ng
b r t ho c b ch m l i, khơng có kh n ng đáp ng các d ch v khác.
-
Fraggle attack: M t cu c t n công DDoS Fraggle lƠ t
ng t nh m t cu c
t n cơng Smurf trong đó k t n cơng g i các gói tin đ n m t b khu ch đ i
m ng.
i m khác nhau gi a Smurf và Fraggle là: Fraggle s d ng các gói
UDP ECHO thay vì gói ICMP ECHO.
13
1.3.3.2. T n Công Làm C n Ki t Tài Nguyên
Cu c t n công DDoS c n ki t tài nguyên [2,3] liên quan đ n nh ng k t n cơng
g i các gói tin mà l m d ng giao th c truy n thông m ng ho c g i các gói tin b thay
đ i đ g n lên các ngu n tài nguyên m ng đ các tài nguyên này không ph c v ng
i
s d ng h p pháp.
Có 2 d ng t n công: t n công khai thác l h ng trên các giao th c (TCP SYN
Attacks), t n công có c u trúc khơng đúng chu n (Malformed Packet Attacks).
TCP SYN Attacks: Trong m t cu c t n công DDoS TCP SYN, k t n công ra
l nh các zombies đ g i yêu c u nh TCP SYN gi đ n máy ch n n nhân đ bu c
máy ch s d ng tài nguyên c a máy ch đ x lý, do đó ng n ch n các máy ch t
đáp ng yêu c u h p phát c a ng
i dùng. Cu c t n công TCP SYN b t tay ba b
gi a h th ng g i và h th ng ti p nh n b ng cách g i s l
c
ng l n các gói TCP SYN
đ n h th ng n n nhân v i các đ a ch IP ngu n gi m o, vì v y h th ng n n nhân
ph n ng v i m t h th ng không yêu c u v i SYN-ACK. Khi m t kh i l
các yêu c u SYN đang đ
l i SYN-ACK đ
kh i l
ng l n
c x lý b i m t máy ch và không ai trong s các câu tr
c tr v , và chi m h t yêu c u s lý c a máy ch . Cu i cùng, n u
ng yêu c u t n công TCP SYN là l n và ti p t c kéo dài, h th ng máy ch
không th đáp ng v i b t k yêu c u ng
i s d ng h p pháp.
SYN (Spoofed)
SYN - ACK
SYN (Spoofed)
SYN - ACK
Web Server
Attacker
SYN (Spoofed)
Hình 1.6 T n cơng SYN ACK trong giao th c TCP [3]
Malformed Packet Attacks: T n công c u trúc không đúng chu n là m t cu c
t n công mà k t n cơng ch th các zombies đ g i gói tin IP thành l p khơng chính
xác đ h th ng n n nhơn đ s p đ c a h th ng n n nhân. Có hai lo i t n công c u
trúc không đúng chu n:
14
T n cơng đ a ch Ip: các gói tin ch a đ a ch IP ngu n vƠ đích gi ng nhau, đi u
này có th gây nh m l n cho h đi u hành c a n n nhân không s lý n i d n đ n treo
h th ng.
Tùy ch n t n công IP: m t gói tin b thay đ i có th ng u nhiên và thi t l p t t
c các bit lên 1, làm cho h th ng c a n n nhân ph i t n th i gian phân tích l u l
n u s d ng s l
1.3.4 Các Ph
ng,
ng l n Agent có th làm h th ng n n nhân h t kh n ng x lý.
ng Pháp Phòng Ch ng
Cân b ng t i:
i v i các nhà cung c p d ch v m ng, có m t s k thu t s
d ng đ gi m thi u nh h
ng t n công DDoS. Nhà cung c p d ch v có th t ng hay
gi m b ng thơng k t n i đ ng n ch n m t cu c t n công. Thi t l p cân b ng t i cho
các máy ch quan tr ng s c i thi n hi u su t ch ng ch i c a h th ng v i cu c t n
công DDoS.
i u ch nh l u l
ng: Ph
ng pháp nƠy thi t l p c ch đi u ch nh đ nh tuy n
đ n m c đ an toàn cho các máy ch đ x lý đ
ng p l t đ n các máy ch . Khó kh n c a ph
l ul
c. i u này s ng n ch n thi t h i
ng pháp nƠy là nó khơng phân bi t các
ng nguy hi m. Trong quá trình đi u ti t, l u l
r t ho c b trì hỗn và l u l
ng đ c h i có th đ
H y yêu c u: Là m t ph
ng h p pháp có th đơi khi b
c phép đi đ n các máy ch .
ng th c khác dùng h y yêu c u khi đ t i t ng lên,
đi u này có th th c hi n b i các b đ nh tuy n ho c máy ch nh : th i gian tr kéo
dài, tài nguyên s lý c n ki t.
i u nƠy lƠm cho ng
i s d ng h th ng phát hi n
gi m hi u su t, và có th có th ng n ch n s tham gia c a h trong vi c g i l u
l
ng t n công DDoS.
1.4 T n Cơng SQL Injection Và Ph
ng Pháp Phịng Ch ng
1.4.1 Gi i Thi u
Khi ng
i s d ng Internet đang t ng lên t ng ngày. Nhu c u v các d ch v
web và các ng d ng web di đ ng c ng đ
c t ng lên. Xác su t c a m t h th ng b
t n công c ng t ng lên. T t c các ng d ng web duy trì thơng tin t i các c s d
li u ph tr mà t đó k t qu đ
có th đ
c tìm th y. Khi nh ng d ch v hay ng d ng web,
c truy c p t b t c n i nƠo trên th gi i và ln có s n đ ph c v cho t t
