Bài tập lớn môn an toàn mang, học viện bưu chính viễn thông (27)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.5 MB, 238 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
HỌC PHẦN: AN TỒN MẠNG
CHỦ ĐỀ : RÀ SỐT LỖ HỔNG WEB VỚI NIKTO
SINH VIÊN : LÊ VĂN ĐỒN
MÃ SV: B18DCAT054
NHĨM :02
GIẢNG VIÊN : TS. Đặng Minh Tuấn
MỤC LỤC
DANH MỤC HÌNH ẢNH
LỜI NĨI ĐẦU
Ngày nay, ứng dụng Web đã có mặt trong hầu hết mọi lĩnh vực của cuộc sống hiện đại.
Cùng với sự phát triển nhanh chóng của ứng dụng Web thì vấn đề bảo mật ứng dụng Web
đang là lĩnh vực vơ cùng nóng hổi nhằm đảm bảo an tồn cho tất cả người dùng ứng
dụng. Vậy nếu có một lỗi bảo mật xảy ra trong ứng dụng Web thì điều này có thể ảnh
hưởng tới tất cảngười dùng, ảnh hưởng tới uy tín của cơng ty, tổ chức đó, gây mất mát về
mặt tài chính và các ràng buộc về pháp lý. Vì vậy đề tài này sẽ đáp ứng phần nào nhu cầu
cấp thiết về bảo mật hiện nay. Xây dựng nên quy trình phục vụ cho việc kiểm tra và phát
hiện các điểm yếu an toàn thơng tin trong ứng dụng Web, từ đó đưa ra báo cáo đánh giá
về an tồn thơng tin cho Website.Số lượng các trang web có xu hướng phát triển theo cấp
số nhân từ năm này qua năm khác. Theo như Internet Live Stats, số lượng trang web
trong năm 2017 gần như gấp đơi so với năm 2016. Hiện tại, có khoảng 2 tỉ trang web
đang hoạt động trên Internet. Điều này có nghĩa là có đến 2 tỉ mục tiêu xâm nhập tiềm
tàng cho tội phạm mạng.
Chính vì nhu cầu của con người ngày càng được nâng cao, đòi hỏi các ứng dụng phục vụ
ngày càng được cải tiến ở mức cao hơn. Nên nguy cơ các hệ thống bảo mật bị tấn công
ngày càng cao hơn và nhiều hơn ở mức độ nghiêm trọng hơn. Đòi hỏi chúng ta cần phải
nhanh chóng xây dựng các biện pháp đề phịng hiệu quả hơn. Có nhiều cơng cụ để bạn có
thể kiểm tra trang Web bất kì nào đó có những lỗi hệ thống nào hay mức độ an toàn của
nó là bao nhiêu. Nikto đã giành được một security-database.com "Bảo mật CNTT tốt nhất
Công cụ cho năm 2009" giải thưởng trong hạng mục mã nguồn mở cho máy quét ứng
dụng . Giải thưởng là minh chứng cho công việc tuyệt vời mà Dave đã làm trong năm
2009 để giữ cho Nikto ln cập nhật, chính xác và phù hợp ngay cả khi web đang thay
đổi với tốc độ cực nhanh. Bài báo cáo gồm 3 chương là:
CHƯƠNG 1: KHÁI QUÁT VỀ NIKTO
CHƯƠNG 2: CÀI ĐẶT VÀ TRIỂN KHAI NIKTO TOOL
CHƯƠNG 3 THỰC HIỆN RÀ QUÉT LỖI TRÊN WEBSITE
CHƯƠNG 1: KHÁI QUÁT VỀ NIKTO
I.
Sự cần thiết của công cụ rà quét lỗ hổng
-
Việc rà quét lỗ hổng bảo mật thủ công rất phức tạo và tốn thời gian vì nó thường
u cầu xử lý lượng dữ liệu lớn và yêu cầu trình độ chun mơn cao. Ngồi ra, tin
tặc cũng liên tục tìm ra những cách mới để khai thác lỗ hổng trong ứng dụng web
của người dùng, điều đó có nghĩa là người dùng sẽ phải liên tục theo dõi các cộng
đồng bảo mật và tìm ra các lỗ hổng mới trong ứng dụng web trước khi tin tặc phát
hiện ra chúng.
-
Trái lại với đó, các cơng cụ rà qt lỗ hổng bảo mật tự động giúp người dùng tiết
kiệm thời gian và công sức rất nhiều. Người dùng chỉ cần tập trung vào công việc
xây dựng và phát triển ứng dụng web, còn hầu hết các vấn đề về bảo mật có thể để
cơng cụ rà qt tự động chịu trách nhiệm. Các công cụ này liên tục theo dõi và cập
nhật các hình thức tấn cơng mới nhất. Chúng có thể rà quét mã nguồn ứng dụng và
phát hiện các lỗ hổng tồn tại trong đó. Và tất nhiên những tác vụ này hoàn toàn tự
động và chỉ trong một khoảng thời gian rất ngắn, giúp cho người dùng có thể dồn
hết thời gian vào việc phát triển ứng dụng.
II.
Giới thiệu về Nikto
-
Nikto là máy quét máy chủ web Mã nguồn mở ( GPL ) thực hiện các bài kiểm tra
toàn diện đối với các máy chủ web cho nhiều mục, bao gồm hơn 6700 tệp /
chương trình nguy hiểm tiềm ẩn, kiểm tra các phiên bản lỗi thời của hơn 1250 máy
chủ và các sự cố phiên bản cụ thể trên hơn 270 máy chủ. Nó cũng kiểm tra các
mục cấu hình máy chủ như sự hiện diện của nhiều tệp chỉ mục, tùy chọn máy chủ
HTTP và sẽ cố gắng xác định các máy chủ web và phần mềm đã cài đặt. Các mục
quét và plugin được cập nhật thường xuyên và có thể được cập nhật tự động.
Hình 1. Logo NIKTO
-
Nikto không được thiết kế như một công cụ tàng hình. Nó sẽ kiểm tra máy chủ
web trong thời gian nhanh nhất có thể và hiển nhiên trong các tệp nhật ký hoặc
IPS / IDS. Tuy nhiên, có hỗ trợ cho các phương pháp chống IDS của LibWhisker
trong trường hợp bạn muốn dùng thử (hoặc kiểm tra hệ thống IDS của mình).
-
Không phải mọi séc đều là vấn đề bảo mật, mặc dù hầu hết đều là như vậy. Có một
số mục là kiểm tra kiểu "chỉ thơng tin" nhằm tìm kiếm những thứ có thể khơng có
lỗ hổng bảo mật, nhưng quản trị viên web hoặc kỹ sư bảo mật có thể khơng biết là
có trên máy chủ. Những mục này thường được đánh dấu thích hợp trong thơng tin
được in. Ngồi ra cịn có một số kiểm tra cho các mục không xác định đã được
quét trong các tệp nhật ký.
III.
Lịch sử ra đời
-
Nikto 1.00 Beta được phát hành vào ngày 27 tháng 12 năm 2001, (sau đó vài ngày
là bản sửa lỗi 1.01!).
-
Trong vòng hai năm, mã của Nikto đã phát triển thành công cụ quét lỗ hổng bảo
mật trên web miễn phí phổ biến nhất. Bản phát hành 2.0, vào tháng 11 năm 2007
thể hiện nhiều năm cải tiến. Kể từ năm 2007, phiên bản chính khơng thay đổi tuy
nhiên sự phát triển vẫn tiếp tục trên Github.
-
Năm 2008, David Lodge chính thức gia nhập nhóm phát triển và đảm nhận vai trò
lãnh đạo Nikto trong khi Chris Sullo theo đuổi một cam kết khác. Năm 2009,
Sullo tham gia lại dự án.
Hình 2. Logo ý tưởng
-
Cái tên "Nikto" được lấy từ bộ phim "The Day the Earth Stood Still," và tất nhiên
là sự lạm dụng sau đó của Bruce Campbell trong "Đội quân bóng tối" xuất sắc
nhất. Từ này xuất hiện ở nhiều nơi, bao gồm Chiến tranh giữa các vì sao, một
album giấu kín có thể có của Beatles
-
Nikto hoạt động được trên cả 3 nền tảng os quen thuộc là:
o
Mac OS
o
WinDows
o
Kali Linux
CHƯƠNG 2: CÀI ĐẶT VÀ TRIỂN KHAI NIKTO TOOL
