Xem mẫu
- Trường Cao Đẳng CNTT Hữu Nghị Việt Hàn
Khoa Khoa Học Máy Tính
Hacking Web Application
GHVD: Ths. Lê Tự Thanh
Học Phần: An Ninh Mạng
Lớp: CCMM03A
Nhóm: 4
Thực hiện: Đặng Hữu Quốc Nhân
www.viethanit.edu.vn
- Chính Sách Bảo Mật Mới
Google chi nhiều tiền cho các lỗi ứng dụng web của mình.
• Google đã tung ra một chương trình táo bạo, chương trình thử nghiệm tìm
ra các lỗ hỏng nghiêm trọng, những người nghiên cứu tìm ra lỗ hỏng sẽ
được google trả tiền ngày hôm đó, trong các ứng dụng web của mình như
là google.com, bogger.com, orkut.com và youtube.com.
• Chương trình mới của google khuyến khích những người nghiên cứu tìm
hiểu sâu về lỗ hổng bảo mật trong dịch vụ web của mình và trả tiền bất cứ
nơi nào từ $500 đến $3,133.70 cho một lỗ hổng nghiêm trọng hoặc "thông
minh", dễ bị tấn công.
• Google là công ty lớn đầu tiên mời gọi các cuộc tấn công trực tiếp chống
lại các ứng dụng trực tuyến, ông HD Moore, tác giả của Metasploit và là
giám đốc an ninh tại Rapid7. Trong khi các nhà nghiên cứu bảo mật đã
dành nhiều năm thử nghiệm các ứng dụng phần mềm và báo cáo những
phát hiện, những quyết định cách tiếp cận trực tuyến này đã phải đối mặt
với những thách thức pháp lý và hy vọng sẽ khuyến khích các nhà cung cấp
các dịch vụ khác để có một cách tiếp cận tương đương.
www.viethanit.edu.vn Trang 2
- Các Mục Tiêu
• Giới thiệu ứng dụng web • Tấn công dịch vụ web
• Các thành phần ứng dụng web • Phương pháp tấn công
• Hoạt động ứng dụng web như • Bộ công cụ tấn công ứng dụng
thế nào ? web
• Kiến trúc ứng dụng web • Làm thế nào bảo vệ chống lại
• Dữ liệu đưa vào không hợp lệ các cuộc tấn công ứng dụng
• Tham số/ hình thức giả mạo web ?
• Các lỗ hổng dễ bị xâm nhập • Bộ công cụ bảo mật ứng dụng
web
• Tấn công biến ẩn trong form
• Ứng dụng web với tường lửa
• Tấn công Cross site scripting
• Kiểm thử ứng dụng web
www.viethanit.edu.vn Trang 3
- Nội Dung Chính
Kiểm thử ứng dụng WEB Khái niệm về ứng dụng WEB
Bộ công cụ bảo mật Mối đe dọa ứng dụng WEB
Các biện pháp đối phó Các phương pháp tấn công
Bộ công cụ tấn công ứng dụng WEB
www.viethanit.edu.vn Trang 4
- Thống Kê Bảo Mật Ứng Dụng Web
80% Cross-Site Scripting
62%
SQL Injection
Lỗ hổng của
60% Parameter Tampering
các ứng dụng 37% Cookie Poisoning
web
23.6% Database Server
23% Web Server
19% Buffer Overflow
0% 20% 40% 60% 80% 100%
www.viethanit.edu.vn Trang 5
- Giới Thiệu Về Ứng Dụng WEB
• Các ứng dụng web cung cấp một giao diện giữa người dùng
đầu cuối và máy chủ web thông qua một trang web được tạo ra
ở máy chủ web hoặc chứa các mã kịch bản tự động trong trình
duyệt của người dùng.
• Các tổ chức dựa trên các ứng dụng web và công nghệ web 2.0
để hỗ trợ việc kinh doanh và cải thiện hiệu suất công việc.
• Mặc dù các ứng dụng web thực thi các chính sách bảo mật
nhất định nhưng dễ bị ảnh hướng bởi các cuộc tấn công khác
nhau như: SQL injection, cross-site scripting, session
hijacking,…
• Công nghệ web mới như là web 2.0 cung cấp, cho phép khai
thác nhiều ứng dụng web hơn và các tấn công cũng đa dạng
hơn.
www.viethanit.edu.vn Trang 6
- Các Thành Phần Ứng Dụng WEB
Cơ chế
Máy theo dõi
Đăng nhập
chủ web phiên làm
việc
Quyền của Nội dung Truy xuất Lưu trữ
người sử ứng dụng dữ liệu dữ liệu
dụng
Vai trò của Chương
hệ thống trình ứng Đăng xuất
bảo mật dụng
www.viethanit.edu.vn Trang 7
- Hoạt Động Ứng Dụng WEB ?
www.viethanit.edu.vn Trang 8
- Kiến Trúc Ứng Dụng WEB
www.viethanit.edu.vn Trang 9
- Ứng Dụng WEB 2.0
Blogs
Công nghệ mới như AJAX(gmail, youtube) Nâng cao chơi games
Hỗ trợ WEB động
Ứng dụng điện thoại di động (Iphone)
Giao diện WEB phong phú Dịch vụ cung cấp thông tin
Framework (Library, jQuery) Trang WEB mạng xã hội
(Facebook, Zing,…)
Điện toán đám mây trang WEB như Mash-up
(amazon.com) (electronic payment systems)
Bách khoa toàn thư và từ điển Tương tác với ứng dụng khác
Phần mềm văn phòng trực tuyến Nền tảng Google và các dịch vụ miễn phí
(Google Docs and Microsoft light) (Google maps)
Dễ dàng tạo, sử đổi, xóa dữ liệu bởi người dùng cá nhân
www.viethanit.edu.vn Trang 10
- Các Đối Tượng Dễ Bị Tấn Công
Các ứng dụng WEB Lỗ hổng trong kinh doanh-logic
Thành phần bên thứ ba Nguồn mở/thương mại
Cơ sở dữ liệu Oracle/MySQL/MS SQL
Máy chủ WEB Apache/Microsoft IIS
Hệ điều hành Windows/Linux
HT mạng Router/Switch
Bảo mật IPS/IDS
www.viethanit.edu.vn Trang 11
- Các Hướng Tấn Công WEB
1 2 3
Một hướng tấn công là Hướng tấn công bao Không có phương
một con đường hoặc là gồm XML poisoning, pháp bảo vệ nào là
phương tiện mà kẻ tấn client validation, hoàn toàn chống lại
công có thể truy cập server các cuộc tấn công, khi
vào máy tính hoặc là misconfiguration, Web bị tấn công thì tiếp tục
tài nguyên mạng để service routing Issues, thay đổi và phát triển
mang lại những cuộc and cross-site scripting với sự tiến hóa của
tấn công hoặc là gây công nghệ.
những hậu quả nghiêm
trọng.
www.viethanit.edu.vn Trang 12
- Nội Dung Chính
Kiểm thử ứng dụng WEB Khái niệm về ứng dụng WEB
Bộ công cụ bảo mật Mối đe dọa ứng dụng WEB
Các biện pháp đối phó Các phương pháp tấn công
Bộ công cụ tấn công ứng dụng WEB
www.viethanit.edu.vn Trang 13
- Các Mối Đe Dọa Ứng Dụng WEB
Bẻ khóa
Thông tin
tài khoản
bị rò rỉ
quản lý
Tập tin chứa
thông tin Lưu trữ Việc sử lý
người dùng không bảo lỗi không
nhiễm độc mật đúng cách
Thông Đăng
số/hình nhập giả
thức giả mạo
mạo
Vượt rào Từ chối Tràn bộ
thư mục dịch vụ đệm
Dữ liệu Kiểm soát Quản lý
đưa vào truy cập phiên bị
không hợp bị hổng phá vỡ
lệ Lỗi cấu
hình bảo
mật
Bảng 1
www.viethanit.edu.vn Trang 14
- Các Mối Đe Dọa Ứng Dụng WEB
Khai thác Bẻ khóa
Thông tin
nền tảng Tham tài khoản
bị rò rỉ
chiếu đối
lỗ hổng Tập tin chứa quản lý
tượng trực
thông tin Bảo vệ lớp
Lưu trữ Việc sử lý Không giới
tiếp không
người dùng khôngvận
giao bảo lỗi không hạn truy cập
nhiễmmật
bảo độc không đầy đủ
mật đúng cách URL
Lưu trữ Các ứng
Thông Đăng
không mã dụng đen
số/hình nhập giả
hóa an toàn thức giả mạo
Rình mò mạo Giao thức
Vượt rào tập tin chứa Từ chối
tấn công Tràn bộ
Khai thác lỗi
thư mục thông tin dịch vụ
DMZ đệm
quản lý bảo mật
người dùng
Xácliệu
Dữ thực Các cuộc tấn Chuyển soát
Kiểm hướng Quản lý
chiếmvào
đưa quyền công vào và truy cậptiếp
chuyển phiên bị
không hợp
điều khiển dịch vụ web không hợp lệ
bị hổng phá vỡ
lệ Lỗi cấu
Các cuộc tấn Giả mạo hình bảo
công truy thành viên Tấn công ngưng Tập tin thực
mật
phiên làm việc thi độc hại
cập mạng
Bảng 2
www.viethanit.edu.vn Trang 15
- Dữ Liệu Nhập Vào Không Hợp Lệ
Dữ liệu không hợp lệ có nhiều sai sót được đưa Kẻ tấn công lợi dụng dữ liệu đưa vào không hợp
đến các ứng dụng web, mà dữ liệu nhập từ các lệ có nhiều sai sót thực hiện Cross Site Cripting,
máy khách không được hợp lệ trước khi xử lý Buffer Overflow,… . Kết quả đó là dữ liệu bị
bởi ứng dụng web và máy chủ phụ. lấy cắp và hệ thống hoạt động sai lệch.
Dữ liệu đầu vào
không được xác định
bởi ứng dụng WEB
Trình duyệt gởi yêu cầu Sửa đổi truy vấn
www.viethanit.edu.vn Trang 16
- Tham Số/Giả Mạo Biểu Mẫu
• Một trang WEB tấn công với các thông số giả mạo liên quan đến các thao tác của
các tham số trao đổi giữa máy chủ và máy khách để sửa đổi dữ liệu ứng dụng như
thông tin người dùng và quyền hạn, giá cả và số lượng sản phẩm.
• Một thông số giả mạo tấn công khai thác lỗ hổng trong cơ chế xác nhận tính toàn
vẹn và logic có thể dẫn đến như XSS, SQL injection,…
Giả mạo URL
Các tham số
Các tham số khác có
thể thay đổi được bao
gồm cả thuộc tính.
Các tham số
www.viethanit.edu.vn Trang 17
- Directory Traversal
• Directory Traversal cho phép kẻ tấn công truy cập các thư mục bị hạn chế bao
gồm mã nguồn ứng dụng, cấu hình và các tập tin quan trọng, và thực hiện các
lệnh bên ngoài thư mục gốc của máy chủ.
• Những kẻ tấn công có thể thao tác các biến tham chiếu tập tin với 'dot-dot
slash (../)" cắt giảm và các biến thể của nó.
Truy cập các tập tin nằm bên ngoài thư mục web publishing bằng cách sử dụng directory traversal
Mã lệnh ảnh hưởng đến máy chủ
www.viethanit.edu.vn Trang 18
- Lỗi Cấu Hình Bảo Mật
Lỗ hổng Dễ dàng khai thác
phần mềm
Sử dụng lỗ hổng cấu hình sai, kẻ tấn công truy
máy chủ
cập trái phép vào tài khoản mặc định, khai
thác lỗ hổng chưa được vá và đọc hoặc viết
các tập tin thư mục không được bảo vệ,...
Kích hoạt Phổ biến chung
Lỗ hổng bảo Vấn đề cấu các dịch vụ Cấu hình không đúng bảo mật có thể xảy ra
mật chưa đc hình máy
không cần bất kỳ cấp độ nào của một chồng ứng dụng
vá chủ thiết bao gồm cả nền tảng, máy chủ web, máy chủ
ứng dụng, framework và mã tùy chỉnh.
Ví dụ
• Tài khoản mặc định không được thay đổi
Chứng thực
không phù • Kẻ tấn công phát hiện ra trang quản trị
hợp trên máy chủ, đăng nhập với tài khoản
mặc định và có được quyền
www.viethanit.edu.vn Trang 19
- Injection Flaws
1. Injection Flaws là lỗ hổng ứng dụng web cho phép dữ liệu không tin cậy được phiên dịch
và thực hiện như là một phần của một lệnh hoặc truy vấn.
2. Những kẻ tấn công khai thác Injection Flaw bằng cách xây dựng các lệnh độc hại hoặc truy
vấn mà dẫn đến mất dữ liệu hay sai lạc hoặc từ chối dịch vụ.
3. Injection Flaw phổ biến trong mã thừa kế, thường được tìm thấy trong SQL, LDAP và truy
vấn XPath,... và có thể dễ dàng phát hiện bởi máy quét lỗ hổng ứng dụng và fuzzers.
Liên quan đến Injection Liên quan đến việc Nó liên quan đến việc
các truy vấn SQL độc hại Injection mã độc hại thông Injection mã độc hại đến
vào biểu mẫu người sử qua một trang web ứng LDAP.
dụng. dụng.
www.viethanit.edu.vn Trang 20
nguon tai.lieu . vn
