Luận văn tốt nghiệp bảo đảm an toàn thông tin bằng kiếm soát lỗ hổng trong dịch vụ web

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG

-----oo0oo-----

NGHIÊN CỨU BẢO ĐẢM AN TOÀN THÔNG TIN BẰNG

KIẾM SOÁT “LỖ HỔNG” TRONG DỊCH VỤ WEB

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Nghành: Công Nghệ Thông Tin

Giáo viên hướng dẫn: PGS.TS Trịnh Nhật Tiến.

Sinh viên thực hiện: Hoàng Thị Thu Trang.

Mã số sinh viên: 10312

HẢI PHÒNG-2007

1

MỤC LỤC

Bảng chú giải từ viết tắt………………………………………………………..3

Lời mở đầu……………………………………………………………………..4

Chương 1: KHÁI NIỆM CƠ SỞ……………………………………………....7

1.1. KHÁI NIỆM VỀ BẢO VỆ WEB...……………………………………..7

1.2. ỨNG DỤNG WEB…………………………………………………….12

1.2.1. Khái niệm ứng dụng web…………………………………………...…12

1.2.2. Hoạt động của ứng dụng web………………………………………….13

1.3. MỘT SỐ CÔNG CỤ BẢO VỆ WEB.………………………………...15

Tường lửa……………………………………………………………...15

Mạng riêng ảo...……………………………………………………….17

Chương 2: CÁC KỸ THUẬT TẤN CÔNG LỢI DỤNG LỖ HỔNG………..18

2.1. CHÈN THAM SỐ……………………………………………………..18

2.1.1. Chỉnh sửa HTTP Header………………………………………………18

2.1.2. Chỉnh sửa địa chỉ URL………………………………………………...21

2.1.3. Chỉnh sửa trường ẩn Form……………………………………………..22

2.1.4. Thao tác trên cookie………………………………………………...…24

2.2. CHÈN MÃ LỆNH TRÊN TRÌNH DUYỆT …………….…………….27

2.2.1. Phương pháp tấn công XSS……………………………………………27

2.2.2. Biện pháp phòng tránh……………………………………………...…31

2.3. CHÈN CÂU LỆNH TRUY VẤN ………………………………….....32

2.3.1. Tấn công vượt qua kiểm tra đăng nhập……………………………......32

2.3.2. Tấn công dựa vào câu lệnh SELECT………………………………....34

2.3.3. Tấn công dựa vào câu lệnh INSERT…………………………………..36

2.3.4. Tấn công dựa vào Store-Procedure…………………………………....37

2.3.5. Biện pháp phòng tránh…………………………………………...……38

2.4. TẤN CÔNG DỰA VÀO “KIỂU QUẢN LÝ PHIÊN LÀM VIỆC…..40

2.4.1. Tấn công kiểu “ấn định phiên làm việc”……………………………...41

2.4.2. Tấn công kiểu “đánh cắp phiên làm việc”…………………………….45

2.4.3. Biện pháp phòng tránh………………………………………………...46

2

2.5. TẤN CÔNG “TỪ CHỐI DỊCH VỤ”………………………………….47

2.5.1. Khái niệm DoS………………………………………………………...47

a/ Lợi dụng TCP thưc hiện Synflood………………………………….49

b/ Tấn công vào băng thông…………………………………………...50

c/ DdoS………………………………………………………………...52

2.5.2. Biện pháp phòng tránh…………………………………………………

53

2.6. NGÔN NGỮ PHÍA TRÌNH CHỦ……………………………………..54

2.7. TẤN CÔNG “TRÀN BỘ ĐỆM”………………………………………56

Chương 3: TỔNG KẾT KỸ THUẬT TẤN CÔNG CỦA HACKER………...58

3.1. THU THẬP THÔNG TIN Ở MỨC HẠ TẦNG CỦA MỤC TIÊU…...58

3.2. KHẢO SÁT ỨNG DỤNG WEB………………………………………61

Ví dụ thử nghiệm……………………………………………………………..63

3

Bảng chú giải từ viết tắt

DNS Domain Name System Hệ thống tên miền

ACK Acknowlegment Xác nhận

CSDL Cơ sở dữ liệu

SYN Synchronize Đồng bộ

TTL Time TO Live Thời gian tồn tại

FIN Fully Intergrated Netword Mạng tích hợp đầy đủ

HTTP Hyper Text Transfer protocol Giao thức truyền siêu văn bản

SSL Secure Socket Layer Khe cắm an toàn

HTTPS HTTP + SSL

Hacker Tin tặc

CGI Common Gateway Interface Giao diện cổng thông thường

IP Internet Protocol Giao thức mạng

TCP Transfer Control Protocol Giao thức điều khiển truyền thông

SSI Server Side Include Ngôn ngữ phía trình chủ

URI Uniform Resour Identifies Con trỏ đến tài nguyên web

URL Uniform Resour Locator Định vị tài nguyên web

CSV Client Side Validator Kiểm tra ngôn ngữ phía trình duyệt

dbo Data base owner Người sở hữu cơ sở dữ liệu

Sa System Administrator Người quản trị hệ thống

IIS Internet Information Server Dịch vụ thông tin mạng

OWASP The open web Appllication

standard project

Dự án ứng dụng web

HTML Hyper Text Markup Language Ngôn ngữ đánh dấu siêu văn bản

IIS Internet Infomation Server

4

LỜI MỞ ĐẦU

Ngày nay, khi Internet được phổ biến rộng rãi, các tổ chức, cá nhân đều có

nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin cũng như thực hiện

các phiên giao dịch trực tuyến. Vấn đề nảy sinh là khi phạm vi ứng dụng của

các ứng dụng Web ngày càng mở rộng thì khả năng xuất hiện lỗi

(lỗ hổng) và bị tấn công càng cao, trở thành đối tượng cho nhiều người tấn công

với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa

bỡn với người khác.

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên đó,

số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi

các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến những khả năng

truy nhập thông tin của Internet, thì các tài liệu chuyên môn bắt đầu đề cập

nhiều đến vấn đề bảo đảm an toàn dữ liệu cho các máy tính được kết nối vào

mạng Internet.

Theo số liệu của CERT (Computer Emegency Response Team -

"Đội cấp cứu máy tính"): “số lượng các vụ tấn công trên Internet được

thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm

1991, 1400 vào năm 1993, và 2241 vào năm 1994, và năm 2001 là 5315 vụ.”

Nguyên nhân chủ yếu làm cho các vụ tấn công tăng nhanh là do có rất

nhiều “lỗ hổng” được tìm thấy trên các ứng dụng web. Theo thống kê của

Symantec “năm 2004 có 49% số lượng lỗ hổng được tìm thấy trong các ứng

dụng web. Từ tháng 7 đến tháng 11 năm 2006, xác định lỗ hổng bảo mật nằm

trong ứng dụng web chiếm tới 75%, tăng 15% so với đầu năm”

5

Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet,

máy tính của các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan

nhà nước, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy

mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số

này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được

thông báo, vì nhiều lý do như: nỗi lo bị mất uy tín, hoặc đơn giản những người

quản trị hệ thống không hay biết những cuộc tấn công đang nhằm vào hệ thống

của họ. (Một ví dụ điển hình là cuộc tấn công vào phần mềm thương mại

của IBM tháng 3/2001, hai hacker đã tìm thấy lỗ hổng trên ứng dụng mà bất

cứ ai với một trình duyệt Web cũng có thể lấy tài khoản của người dùng, thậm

chí cả người quản trị).

Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các

phương pháp tấn công ngày càng tinh vi và có tổ chức. Mặt khác, việc quản trị

các hệ thống mạng đòi hỏi nhà quản trị hệ thống có kiến thức và kinh nghiệm

về hệ thống mạng chắc chắn, do đó sự yếu kém trong quản lý sẽ tạo nhiều điều

kiện cho các hacker khai thác.

Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu là

đoán “tên người sử dụng/mật khẩu” (UserID/password) hoặc sử dụng lỗi của

các chương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ,

tuy nhiên các cuộc tấn công vào thời gian gần đây còn bao gồm cả các thao tác

như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các

phiên làm việc từ xa (telnet hoặc rlogin), cài trojan hay worm để kiểm soát

hay điều khiển máy tính…vì thế, nhu cầu bảo vệ thông tin trên Internet là cần

thiết nhằm mục đích bảo vệ dữ liệu, bảo vệ thông tin người dùng và bảo vệ hệ

thống.

6

Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng

đến sự an toàn của hệ thống mạng và hệ điều hành. Để bảo vệ hệ thống, phương

pháp thường được chọn là sử dụng firewall. Tuy nhiên, theo tuyên bố của

CSI/FBI : 78% nơi bị hại có sử dụng firewall và 59% thì bị tấn công thông qua

Internet, cụ thể hơn là theo báo cáo của CSI/FBI Computer Crime và Security

Survey thì tổng số thiệt hại do những ứng dụng Web bị tấn công từ năm 1997

đến năm 2006 là hơn 800 triệu đôla Mỹ.

Với những công cụ tự động tìm lỗ hổng tuy giúp rất nhiều cho những

nhà lập trình Web nhưng vẫn không thể ngăn chặn toàn bộ vì công nghệ Web

đang phát triển nhanh chóng (chủ yếu chú trọng đến yếu tố thẩm mĩ, yếu

tố tốc độ…) nên dẫn đến nhiều khuyết điểm mới phát sinh. Sự tấn công

không nằm trong khuôn khổ vài kĩ thuật đã phát hiện, mà linh động và tăng lên

tùy vào những sai sót của nhà quản trị hệ thống cũng như của những người lập

trình ứng dụng.

7