Nội dung

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG -----oo0oo----- NGHIÊN CỨU BẢO ĐẢM AN TOÀN THÔNG TIN BẰNG KIẾM SOÁT “LỖ HỔNG” TRONG DỊCH VỤ WEB ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Nghành: Công Nghệ Thông Tin HẢI PHÒNG-2007 MỤC LỤC Bảng chú giải từ viết tắt………………………………………………………..3 Lời mở đầu……………………………………………………………………..4 1 Chương 1: KHÁI NIỆM CƠ SỞ……………………………………………....7 1.1. KHÁI NIỆM VỀ BẢO VỆ WEB...……………………………………..7 1.2. ỨNG DỤNG WEB…………………………………………………….12 1.2.1. Khái niệm ứng dụng web…………………………………………...…12 1.2.2. Hoạt động của ứng dụng web………………………………………….13 1.3. MỘT SỐ CÔNG CỤ BẢO VỆ WEB.………………………………...15 Tường lửa……………………………………………………………...15 Mạng riêng ảo...……………………………………………………….17 Chương 2: CÁC KỸ THUẬT TẤN CÔNG LỢI DỤNG LỖ HỔNG………..18 2.1. CHÈN THAM SỐ……………………………………………………..18 2.1.1. Chỉnh sửa HTTP Header………………………………………………18 2.1.2. Chỉnh sửa địa chỉ URL………………………………………………...21 2.1.3. Chỉnh sửa trường ẩn Form……………………………………………..22 2.1.4. Thao tác trên cookie………………………………………………...…24 2.2. CHÈN Mà LỆNH TRÊN TRÌNH DUYỆT …………….…………….27 2.2.1. Phương pháp tấn công XSS……………………………………………27 2.2.2. Biện pháp phòng tránh……………………………………………...…31 2.3. CHÈN CÂU LỆNH TRUY VẤN ………………………………….....32 2.3.1. Tấn công vượt qua kiểm tra đăng nhập……………………………......32 2.3.2. Tấn công dựa vào câu lệnh SELECT………………………………....34 2.3.3. Tấn công dựa vào câu lệnh INSERT…………………………………..36 2.3.4. Tấn công dựa vào Store-Procedure…………………………………....37 2.3.5. Biện pháp phòng tránh…………………………………………...……38 2.4. 2.4.1. 2.4.2. 2.4.3. TẤN CÔNG DỰA VÀO “KIỂU QUẢN LÝ PHIÊN LÀM VIỆC…..40 Tấn công kiểu “ấn định phiên làm việc”……………………………...41 Tấn công kiểu “đánh cắp phiên làm việc”…………………………….45 Biện pháp phòng tránh………………………………………………...46 2.5. TẤN CÔNG “TỪ CHỐI DỊCH VỤ”………………………………….47 2.5.1. Khái niệm DoS………………………………………………………...47 a/ Lợi dụng TCP thưc hiện Synflood………………………………….49 2 b/ Tấn công vào băng thông…………………………………………...50 c/ DdoS………………………………………………………………...52 2.5.2. Biện pháp phòng tránh…………………………………………………53 2.6. NGÔN NGỮ PHÍA TRÌNH CHỦ……………………………………..54 2.7. TẤN CÔNG “TRÀN BỘ ĐỆM”………………………………………56 Chương 3: TỔNG KẾT KỸ THUẬT TẤN CÔNG CỦA HACKER………...58 3.1. THU THẬP THÔNG TIN Ở MỨC HẠ TẦNG CỦA MỤC TIÊU…...58 3.2. KHẢO SÁT ỨNG DỤNG WEB………………………………………61 Ví dụ thử nghiệm……………………………………………………………..63 Bảng chú giải từ viết tắt 3 DNS ACK CSDL SYN TTL FIN HTTP SSL HTTPS Hacker CGI IP TCP SSI URI URL CSV dbo Sa IIS OWASP HTML IIS Domain Name System Acknowlegment Synchronize Time TO Live Fully Intergrated Netword Hyper Text Transfer protocol Secure Socket Layer HTTP + SSL Common Gateway Interface Internet Protocol Transfer Control Protocol Server Side Include Uniform Resour Identifies Uniform Resour Locator Client Side Validator Data base owner System Administrator Internet Information Server The open web Appllication standard project Hyper Text Markup Language Internet Infomation Server Hệ thống tên miền Xác nhận Cơ sở dữ liệu Đồng bộ Thời gian tồn tại Mạng tích hợp đầy đủ Giao thức truyền siêu văn bản Khe cắm an toàn Tin tặc Giao diện cổng thông thường Giao thức mạng Giao thức điều khiển truyền thông Ngôn ngữ phía trình chủ Con trỏ đến tài nguyên web Định vị tài nguyên web Kiểm tra ngôn ngữ phía trình duyệt Người sở hữu cơ sở dữ liệu Người quản trị hệ thống Dịch vụ thông tin mạng Dự án ứng dụng web Ngôn ngữ đánh dấu siêu văn bản LỜI MỞ ĐẦU Ngày nay, khi Internet được phổ biến rộng rãi, các tổ chức, cá nhân đều có 4 nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện các phiên giao dịch trực tuyến. Vấn đề nảy sinh là khi phạm vi ứng dụng của các ứng dụng Web ngày càng mở rộng thì khả năng xuất hiện lỗi (lỗ hổng) và bị tấn công càng cao, trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa bỡn với người khác. Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên đó, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khả năng truy nhập thông tin của Internet, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Theo số liệu của CERT (Computer Emegency Response Team "Đội cấp cứu máy tính"): “số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994, và năm 2001 là 5315 vụ.” Nguyên nhân chủ yếu làm cho các vụ tấn công tăng nhanh là do có rất nhiều “lỗ hổng” được tìm thấy trên các ứng dụng web. Theo thống kê của Symantec “năm 2004 có 49% số lượng lỗ hổng được tìm thấy trong các ứng dụng web. Từ tháng 7 đến tháng 11 năm 2006, xác định lỗ hổng bảo mật nằm trong ứng dụng web chiếm tới 75%, tăng 15% so với đầu năm” Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, máy tính của các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan 5 nhà nước, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do như: nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hay biết những cuộc tấn công đang nhằm vào hệ thống của họ. (Một ví dụ điển hình là cuộc tấn công vào phần mềm thương mại của IBM tháng 3/2001, hai hacker đã tìm thấy lỗ hổng trên ứng dụng mà bất cứ ai với một trình duyệt Web cũng có thể lấy tài khoản của người dùng, thậm chí cả người quản trị). Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công ngày càng tinh vi và có tổ chức. Mặt khác, việc quản trị các hệ thống mạng đòi hỏi nhà quản trị hệ thống có kiến thức và kinh nghiệm về hệ thống mạng chắc chắn, do đó sự yếu kém trong quản lý sẽ tạo nhiều điều kiện cho các hacker khai thác. Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu là đoán “tên người sử dụng/mật khẩu” (UserID/password) hoặc sử dụng lỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây còn bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin), cài trojan hay worm để kiểm soát hay điều khiển máy tính…vì thế, nhu cầu bảo vệ thông tin trên Internet là cần thiết nhằm mục đích bảo vệ dữ liệu, bảo vệ thông tin người dùng và bảo vệ hệ thống. Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành. Để bảo vệ hệ thống, phương pháp thường được chọn là sử dụng firewall. Tuy nhiên, theo tuyên bố của 6 CSI/FBI : 78% nơi bị hại có sử dụng firewall và 59% thì bị tấn công thông qua Internet, cụ thể hơn là theo báo cáo của CSI/FBI Computer Crime và Security Survey thì tổng số thiệt hại do những ứng dụng Web bị tấn công từ năm 1997 đến năm 2006 là hơn 800 triệu đôla Mỹ. Với những công cụ tự động tìm lỗ hổng tuy giúp rất nhiều cho những nhà lập trình Web nhưng vẫn không thể ngăn chặn toàn bộ vì công nghệ Web đang phát triển nhanh chóng (chủ yếu chú trọng đến yếu tố thẩm mĩ, yếu tố tốc độ…) nên dẫn đến nhiều khuyết điểm mới phát sinh. Sự tấn công không nằm trong khuôn khổ vài kĩ thuật đã phát hiện, mà linh động và tăng lên tùy vào những sai sót của nhà quản trị hệ thống cũng như của những người lập trình ứng dụng. Chương 1: KHÁI NIỆM CƠ SỞ 1.1. KHÁI NIỆM VỀ BẢO VỆ WEB 7 Bảo vệ web không còn là khái niệm xa lạ đối với những người lập trình web, những nhà quản trị mạng,… Mục tiêu bảo vệ web gồm có: Bảo mật: Thông tin không được đọc trái phép. Bảo toàn: Thông tin không bị sửa đổi một cách trái phép. Bảo đảm tính sẵn sàng: Người dùng hợp pháp có quyền truy cập hay sử dụng thông tin. Hai đối tượng chính trong sử dụng dịch vụ web là người dùng và người quản trị hệ thống. Phía người dùng dịch vụ web, an toàn trên mạng trước hết là yêu cầu đặt ra với server. Thứ nhất, những yêu cầu gửi đến server phải được thưc thi và phản hồi trong thời gian nhất định (tính sẵn sàng). Thứ hai, thông tin gửi tới phải được đảm bảo không bị virut hay bị sửa đổi bởi tác nhân khác (tính toàn vẹn). Thứ ba, server không phổ biến thông tin cá nhân trên mạng (tính bí mật). Phía nhà quản trị hệ thống, họ có những yêu cầu cũng khá giống với người dùng nhưng nhìn dưới một góc độ khác. Thứ nhất, họ phải đảm bảo rằng người dùng không thể xâm nhập vào server để thay đổi nội dung của website (tính toàn vẹn). Thứ hai, người dùng không thể truy cập vào các thông tin không thuộc quyền của họ (tính bí mật và bắt buộc). Thứ ba, người dùng không thể tấn công server làm nó không thể phục vụ người dùng khác (tính sẵn sàng). Thứ tư, người dùng đã được nhận dạng phải chịu trách nhiệm và không thể chối bỏ hành động của mình (tính xác thực). ™ Đối tượng tấn công mạng (Intruder): 8 là cá nhân hoặc tổ chức sử dụng các công cụ phá hoại như phần mềm hoặc phần cứng để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép. Một số đối tượng tấn công mạng: Tin tặc (Hacker): là kẻ xâm nhập mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác điểm yếu của các thành phần truy nhập trên hệ thống. Kẻ giả mạo (Masquerader): là kẻ giả mạo thông tin trên mạng. Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng… Kẻ nghe trộm (Evesdropping): là đối tượng nghe trộm thông tin trên mạng sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Mục đích: ăn cắp thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc cũng vó thể chỉ là những hành động vô ý thức nhằm thử nghiệm các chương trình không kiểm tra cẩn thận,… ™ Lỗ hổng bảo mật: là những yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ nào đó, mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp. Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: do lỗi bản thân hệ thống, do phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp,… Mức độ ảnh hưởng của các lỗ hổng là khác nhau: có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ, có lỗ hổng ảnh hưởng sâu sắc tới toàn bộ hệ thống,…. ™ Một số hình thức tấn công mạng 9 Dựa vào lỗ hổng bảo mật trên mạng: lỗ hổng này thường là những điểm yếu của dịch vụ mà hệ thống cung cấp. Sử dụng các công cụ để phá hoại: ví dụ các chương trình phá khóa mật khẩu để truy cập bất hợp pháp vào chương trình. Kẻ tấn công có thể kết hợp cả hai hình thức trên để đạt được mục đích. Tùy thuộc vào cách tấn công mà mức nguy hại tới hệ thống là khác nhau. Các mức tấn công hệ thống: Mức 1: Tấn công vào một số dịch vụ mạng: web, email,… dẫn đến Nguy cơ lộ thông tin về cấu hình mạng. Mức 2: Kẻ phá hoại dùng tài khoản của người dùng hợp pháp để chiếm đoạt tài nguyên hệ thống. Kẻ phá hoại có thể thay đổi quyền truy nhập qua các lỗ hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến truy nhập hệ thống như: /etc/passwd (Linux) và SAM file (windows). Mức 3,4,5: Kẻ phá hoại không sử dụng quyền của người dung thông thường, mà có thêm một quyền cao hơn với hệ thống như quyền kích hoạt một số dịch vụ, xem các thông tin khác trên hệ thống. Mức 6: Kẻ tấn công chiếm được quyền root hoặc admin trên hệ thống. ™ Các mức bảo vệ an toàn mạng 10