trung tâm đào tạo
TRANSCRIPT
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG & AN NINH
MẠNG QUỐC TẾ ATHENA
BÁO CÁO THỰC TẬP HÀNG TUẦN
ĐỀ TÀI: TẤN CÔNG WEB APPLICATION
GIÁO VIÊN HƯỚNG DẪN: VÕ ĐỖ THẮNG
SINH VIÊN THỰC HIỆN: CAO VĂN LỰC
1
Khái quát web application
Web application là những ứng dụng phần mềm chạy được trên trình duyệt web, nói cách khác bạn có
thể truy xuất vào phần mềm của mình mọi lúc mọi nơi chỉ cần có kết nối internet.
Ưu thế đặc biệt của việc xây dựng ứng dụng Web để hỗ trợ những tính năng chuẩn của trình duyệt đó
là chúng sẽ hoạt động như mong muốn bất kể hệ điều hành hay phiên bản hệ điều hành nào được cài
trên máy khách cho trước, ứng dụng có thể được viết chỉ một lần và triển khai mọi nơi.
Nhược điểm: sự hiện thị không được ổn định của HTML, CSS, DOM và những đặc tính trình duyệt
khác có thể gây ra rắc rối trong việc phát triển và hỗ trợ ứng dụng web. Thêm vào đó, khả năng cho
người dùng điều chỉnh nhiều cài đặt hiển thị cho trình duyệt của họ (như chọn kích thước font, màu
sắc, và kiểu chữ, hoặc tắt tính năng script) có thể can thiệp vào sự ổn định của ứng dụng web.
2
Cấu trúc Web application 3
Cấu trúc Web application
1. Ba lớp của ứng dụng web.
Một trình duyệt Web là lớp thứ nhất
Lớp thứ hai: một bộ máy sử dụng một vài công nghệ nội dung Web động (như ASP,
ASP.NET, CGI, ColdFusion, JSP/Java, PHP, Python, hoặc Ruby On Rails) là lớp giữa,
Lớp thứ ba : một cơ sở dữ liệu
4
Các rủi ro trong web application
Kẻ tấn công có thể lợi dụng nhiều con đường khác nhau thông qua ứng dụng của bạn và
làm tổn hại doanh nghiệp hay tổ chức của bạn. Mỗi con đường thể hiện một rủi ro khác
nhau mà có thể có hoặc không gây ra sự chú ý.
Thường thì những con đường này khá dễ để tìm ra và tận dụng để phá hoại, tuy nhiên cũng
có những trường hợp rất phức tạp. Hiện nay có khá nhiều kĩ thuật đã được khai thác trong
các ứng dụng liên quan đến web.
92% lỗ hỗng nằm ở lớp ứng dụng, không nằm trong lớp hạ tầng mạng. 90% ngân sách tập
trung vào hạ tầng mạng. 75% cuộc tấn công nhằm vào lớp ứng dụng
5
Các rủi ro trong web application
Kẻ tấn công có thể lợi dụng nhiều con đường khác nhau thông qua ứng dụng của bạn và
làm tổn hại doanh nghiệp hay tổ chức của bạn. Mỗi con đường thể hiện một rủi ro khác
nhau mà có thể có hoặc không gây ra sự chú ý.
Thường thì những con đường này khá dễ để tìm ra và tận dụng để phá hoại, tuy nhiên cũng
có những trường hợp rất phức tạp. Hiện nay có khá nhiều kĩ thuật đã được khai thác trong
các ứng dụng liên quan đến web.
92% lỗ hỗng nằm ở lớp ứng dụng, không nằm trong lớp hạ tầng mạng. 90% ngân sách tập
trung vào hạ tầng mạng. 75% cuộc tấn công nhằm vào lớp ứng dụng
6
Các rủi ro trong web application 7
Báo cáo rủi ro ứng dụng web
Các chuẩn bảo mật web OWASP
Các công cụ và các tiêu chuẩn về an toàn thông tin.
Tài liệu và kiểm tra bảo mật ứng dụng, lập trình an toàn và kiểm định mã nguồn.
Thư viện và các tiêu chuẩn điều khiển an ninh thông tin.
Các chi nhánh của OWASP khắp thế giới.
Các nghiên cứu, hội nghị,..
8
Các chuẩn bảo mật web OWASP
OWASP TOP 10 2013
9
Các chuẩn bảo mật web OWASP
1. Injection (nhúng mã)
Nguyên nhân: Các truy vấn đầu vào tại ứng dụng bị chèn các dữ liệu không an toàn rồi gửi đến server.
SQL ijection, XML injection, command injection,….
Nguy cơ:
Truy cập dữ liệu bất hợp pháp
Thêm, xóa, sửa dữ liệu nguy hiểm vào Database.
Thực hiện một số tấn công từ chối dịch vụ.
10
Các chuẩn bảo mật web OWASP
2. Broken Authentication and Session Management (Sai lầm trongkiểm tra định danh)
Cho phép hacker từ bên ngoài có thẻ truy cập trái phép vào những tài nguyên nội bộ, thực
hiện các hành vi nâng quyền quản trị hoặc tấn công dựa vào các dạng như session,…
Những đoạn chương trình kiểm tra danh tính và quản lí phiên làm việc của người sử dụng
thường hay được làm qua loa không đúng cách. Điều này giúp kẻ thâm nhập có thể ăn cắp
mật mã, khóa, mã của các phiên làm việc (session token) hoặc tận dụng những lỗi khác để
giả mạo danh tính các người dùng khác.
11
Các chuẩn bảo mật web OWASP
3. Cross-Site Scripting(XSS)
Cho phép hacker thực thi mã độ tại máy nạn nhân
Nguy cơ đánh cắp cookie/session
Thực hiện các truy vấn hại cho người dung.
Phát tán mã độc
12
Các chuẩn bảo mật web OWASP
4. Insecure Direct Object References (Đối tượng tham chiếu không an
toàn)
Xảy ra khi người phát triển để lộ một tham chiếu đến những đối tượng trong hệ thống như các
tập tin, thư mục hay chìa khóa dữ liệu. Nếu chúng ta không có một hệ thống kiểm tra truy cập, kẻ
tấn công có thể lợi dụng những tham chiếu này để truy cập dữ liệu một cách trái phép..
Việc phân quyền yếu cho phép người dùng có thể truy cập dữ liệu của người khác. Và hacker có
thể xác định được cấu trúc truy vấn gửi đến server và có thể nhanh chóng thu nhập dữ liệu như
Credit Card, mã khách hang, thông tin cá nhân.
13
Tấn công web application
5. Security Misconfiguration (sai sót trong cấu hình)
Một cơ chế an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai nó
cho các ứng dụng, khuôn mẫu, máy chủ ứng dụng, máy chủ web, máy chủ dữ liệu và các
ứng dụng nền tảng. Tất cả những thiệt lập nên được định nghĩa, thực hiện và bảo trì bởi vì
rất nhiều thứ không được triển khai với thiết lập an toàn mặc định. Các hiệu chỉnh cũng bao
gồm cập nhật phần mềm và những thư viện được sử dụng bởi ứng dụng.
14
Các chuẩn bảo mật web OWASP
6. Sensitive Data Exposure (Lưu trữ dữ liệu thiếu an toàn)
Các dữ liệu nhạy cảm được lưu trữ khôn an toàn ảnh hưởng đến hệ thống máy chủ cũng
như khách hang
Thẻ tín dụng/ Tài khoản đăng nhập được lưu trữ dưới dạng không mã hóa (clear-text).
Kênh truyền HTTPS bị hacker nghe lén và dữ liệu được giải mã thông qua lỗ hổng CRIME
15
Các chuẩn bảo mật web OWASP
7. Missing Function Level Access Control (Sai sót trong hạn chế
truy cập)
Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL) trước khi dựng các
liên kết và nút nhấn được bảo vệ. Tuy nhiên ứng dụng cũng phải thực hiện những kiểm tra
tương tự mỗi khi những trang thông tin được truy cập trực tiếẩn này.p nếu không kẻ tấn
công có thể giả mạo URL để truy cập vào những trang thông tin ẩn này.
16
Các chuẩn bảo mật web OWASP
8. Cross-Site Request Forgery (Giả mạo yêu cầu)
là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website.
CSRF là kỹ thuật tấn công vào người dùng, dựa vào đó hacker có thể thực thi những thao tác
phải yêu cầu sự chứng thực hay cho phép kẻ tấn công buộc trình duyệt của nạn nhân để tạo ra các
yêu cầu ứng dụng vi phạm dưới dạng yêu cầu hợp pháp của nạn nhân.
Với những hệ thống thanh toán không kiểm tra tính hợp lệ của token/Session/Domain,… thì
nguy cơ người dùng bị mất tiền do bị lừa thực hiện các mã kịch bản do hacker cài vào.
17
Các chuẩn bảo mật web OWASP
9. Using Components with Known Vulnerabilities (Sử dụng các
thành phần có lỗ hỏng)
Việc sử dụng các lỗ hổng bảo mật trong các thư viện, plugin, module, ứng dụng,.. Được
công khai trong cộng đồng giúp hacker nhanh chóng khai thác các lỗ hổng bão mật
Các ứng dụng sử dụng các thành phần có lỗ hổng đã biết sẽ dẫn đến làm suy yếu bảo mật
ứng dụng và cho phép một loạt các cuộc tấn công có thể và tác động.
18
Các chuẩn bảo mật web OWASP
10. Unvalidated Redirects and Forwards (Chuyển hướng và
chuyển tiếp thiếu thẩm tra)
Việc chuyển hướng không an toàn người dùng đến một đường dẫn bên ngoài trang có nguy
cơ đưa người dung truy cập đến những trang chứa mã độc nhằm tấn công vào chính người
dung và hệ thống.
19
Giải pháp bảo mật cho web applcations
1. Đáp ứng yêu cầu về bảo mật cho ứng dụng
2. Đảm bảo kiến trúc cho bảo mật cho ứng dụng, hệ thống.
3. Quản lí an ninh tiêu chuẩn
4. Kiểm tra, vá lỗi trong các ứng dụng
5. Giáo dục về an toàn bảo mật mạng
20