Đang tải... (xem toàn văn)
Tóm tắt luận văn Thạc sỹ ngành Khoa học máy tính: Nghiên cứu về quy trình kiểm tra bảo mật ứng dụng web
1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÙI VIỆT THẮNG NGHIÊN CỨU VỀ QUY TRÌNH KIỂM TRA BẢO MẬT ỨNG DỤNG WEB Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TS Lê Mỹ Tú Phản biện 1: TS Phạm Thanh Giang Phản biện 2: TS Hoàng Xuân Dậu Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 13 30 ngày 15 tháng 02 năm 2014 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng LỜI NĨI ĐẦU Ngày nay, ứng dụng Web có mặt hầu hết lĩnh vực sống đại Cùng với phát triển nhanh chóng ứng dụng Web vấn đề bảo mật ứng dụng Web lĩnh vực vơ nóng hổi nhằm đảm bảo an tồn cho tất người dùng ứng dụng Vậy có lỗi bảo mật xảy ứng dụng Web điều ảnh hưởng tới tất người dùng, ảnh hưởng tới uy tín cơng ty, tổ chức đó, gây mát mặt tài ràng buộc pháp lý,… Luận văn “Nghiên cứu tìm hiểu quy trình kiểm tra bảo mật ứng dụng Web” đáp ứng phần nhu cầu cấp thiết an ninh bảo mật Xây dựng nên quy trình phục vụ cho việc kiểm tra phát điểm yếu an tồn thơng tin ứng dụng Web, từ đưa báo cáo đánh giá an tồn thơng tin cho Website Chương – TỔNG QUAN VỀ AN NINH AN TOÀN ỨNG DỤNG WEB 1.1 Khái niệm ứng dụng Web Ứng dụng Web chương trình máy tính cho phép người dùng Website đăng nhập, truy vấn vào liệu qua mạng Internet/Intranet trình duyệt Web người dùng Dữ liệu gửi tới người dùng trình duyệt theo kiểu thơng tin động từ ứng dụng Web qua Web Server 1.2 Các công nghệ dùng ứng dụng Web 1.2.1 Giao thức HTTP 1.2.2 Công nghệ sử dụng chức ứng dụng Web 1.2.3 Các lược đồ mã hóa (Encoding Schemes) 1.3 Cơ chế phòng thủ ứng dụng Web + Xử lý truy cập người dùng + Xử lý đầu vào người dùng + Xử lý kẻ công + Quản lý ứng dụng 1.4 Các rủi ro thường gặp ứng dụng Web Lỗi nhúng mã Hư hỏng chế chứng thực quản lý phiên làm việc Thực thi mã script xấu Đối tượng tham chiếu thiếu an tồn Sai sót cấu hình bảo mật Phơi bày liệu nhạy cảm Thiếu chức điều khiển mức truy cập Giả mạo yêu cầu (Cross Site Request Forgery) Sử dụng thành phần dễ bị tổn thương biết Chuyển hướng chuyển tiếp thiếu thẩm tra Chương – QUY TRÌNH KIỂM TRA BẢO MẬT ỨNG DỤNG WEB 2.1 Quy trình kiểm tra việc thu thập thông tin từ ứng dụng Web 2.1.1 Spiders, Robots, Crawlers Trên URL, gõ thêm “/robots.txt” sau địa site thu nội dung tập tin robots.txt 2.1.2 Sử dụng cơng cụ tìm kiếm Sử dụng tốn tử tìm kiếm (site, cache…) hạn chế kết tìm kiếm Google cho tên miền cụ thể 2.1.3 Fingerprint ứng dụng Web Sử dụng Httprecon để fingerprint ứng dụng web 2.1.4 Khám phá ứng dụng Ba yếu tố ảnh hưởng đến việc có ứng dụng liên quan đến DNS định (hoặc địa IP): Sự khác dựa URL Các cổng không tiêu chuẩn Máy chủ ảo 2.1.5 Phân tích thơng báo lỗi Thơng báo lỗi tạo cách yêu cầu URL khơng tồn Thơng báo lỗi cho thấy thông tin phiên máy chủ Web, hệ điều hành, môđun sản phẩm khác sử dụng Thông báo lỗi này cung cấp thơng tin hữu ích ứng dụng 2.2 Quy trình kiểm tra việc quản lý cấu hình ứng dụng Web 2.2.1 Kiểm tra SSL/TLS a/ Kiểm tra giá trị chứng SSL Bằng cách nhấp vào ổ khóa xuất cửa sổ trình duyệt truy cập vào trang Web https, xem thơng tin liên quan đến chứng nhận Nếu ứng dụng yêu cầu chứng client, cài đặt để truy cập Thơng tin chứng có sẵn trình duyệt cách kiểm tra chứng liên quan danh sách chứng cài đặt b/ Kiểm tra thông số kỹ thuật thủ tục mật mã SSL/TLS site Sử dụng nmap để xác định dịch vụ SSL Sử dụng SSLDigger để kiểm tra giao thức mật mã hỗ trợ 2.2.2 Kiểm tra quản lý cấu hình sở hạ tầng Để kiểm tra sở hạ tầng quản lý cấu hình, bước sau cần thực hiện: Các thành phần khác tạo nên sở hạ tầng cần xác định để hiểu cách chúng tương tác với ứng dụng Web cách chúng ảnh hưởng đến an ninh Các thành phần sở hạ tầng cần phải xem xét để đảm bảo khơng có lỗ hổng Cần đánh giá lại công cụ quản trị để trì, bảo dưỡng thành phần khác Các hệ thống xác thực, có, cần phải xem xét để đảm bảo phục vụ nhu cầu ứng dụng không bị thao tác người dùng bên để leo thang truy cập Danh sách cổng xác định cho ứng dụng cần trì tn thủ kiểm sốt 2.2.3 Kiểm tra quản lý cấu hình ứng dụng Kiểm tra file thư mục mẫu Xem xét lời thích 2.2.4 Kiểm tra việc xử lý phần mở rộng tập tin Để xác định tập tin có phần mở rộng định, kỹ thuật kết hợp sử dụng máy quét lỗ hổng (Nesuss, Nikto), công cụ mirroring (wget, curl, httrack) để tải cấu trúc trang Web nhằm xác định thư mục Web cách phần mở rộng tập tin riêng lẻ phục vụ 2.2.5 Kiểm tra tập tin cũ, lưu, không tham chiếu Kiểm tra tập tin không tham chiếu sử dụng kỹ thuật tự động thủ công, thường liên quan đến kết hợp sau đây: (i) Suy luận từ sơ đồ đặt tên sử dụng cho nội dung xuất (ii) Các đầu mối khác nội dung xuất (iii) Phán đốn (iv) Thơng tin thu thông qua lỗ hổng máy chủ cấu hình sai 2.2.3 Kiểm tra quản lý cấu hình ứng dụng 2.2.6 Kiểm tra giao diện quản trị Liệt kê tập tin thư mục Các ghi liên kết Source Xem xét lại tài liệu máy chủ ứng dụng Lựa chọn cổng máy chủ khác 2.2.7 Kiểm tra phương thức HTTP Phương pháp kiểm tra đơn giản sử dụng netcat (hoặc telnet) 2.3 Quy trình kiểm tra tính xác thực ứng dụng Web 2.3.1 Kiểm tra thông tin xác thực truyền qua kênh mã hóa Sử dụng WebScarab để bắt giữ header gói tin kiểm tra chúng Gửi liệu với phương thức POST qua HTTP Gửi liệu với phương thức POST qua HTTPS Gửi liệu với phương thức POST qua HTTPS trang HTTP 10 Trực tiếp yêu cầu trang bảo vệ thông qua address bar trình duyệt Dự đốn Session ID SQL Injection 2.3.6 Kiểm tra điểm yếu việc xác lập lại lưu giữ lại mật 2.3.7 Kiểm tra việc đăng xuất quản lý nhớ cache trình duyệt 2.4 Quy trình kiểm tra quản lý phiên ứng dụng Web 2.4.1 Kiểm tra lược đồ quản lý phiên Sưu tập Cookie Kỹ thuật đảo ngược Cookie Thao tác sửa đổi Cookie 2.4.2 Kiểm tra thuộc tính cookies Sử dụng WebScarab chặn tất responses mà cookie thiết lập ứng dụng kiểm tra thuộc tính cookie bị tổn thương sau: Thuộc tính secure 11 Thuộc tính HttpOnly Thuộc tính domain Thuộc tính path Thuộc tính expires 2.4.3 Kiểm tra lỗ hổng ấn định phiên Gửi yêu cầu tới site kiểm tra xem xét response trả lời (WebScarab) Nhận thấy ứng dụng thiết đặt định danh phiên cho client Tiếp theo, xác thực thành cơng tới ứng dụng mà khơng có cookie ban hành vào lúc xác thực thành công, điều dẫn tới việc cướp phiên 2.4.4 Kiểm tra khả để lộ biến phiên Kiểm tra khả mã hóa tái sử dụng session token Kiểm tra khả lưu trữ nhớ cache Kiểm tra phương thức gửi liệu 2.5 Quy trình kiểm tra tính ủy quyền ứng dụng Web 2.5.1 Kiểm tra khả công Path Traversal 12 Tấn công Path Traversal nhằm mục đích truy cập tập tin thư mục lưu trữ bên thư mục Web root Bằng cách duyệt ứng dụng, kẻ cơng tìm kiếm liên kết tới tập tin lưu trữ máy chủ Web Do cần phải liệt kê tất phần ứng dụng mà chấp nhận nội dung từ người sử dụng 2.5.2 Kiểm tra khả vượt qua lược đồ ủy quyền Sử dụng proxy (WebScarab) sửa đổi tham số (userID, groupID,…) để truy cập vào chức không phép 2.6 Quy trình kiểm tra tính logic giao dịch Phát lỗ hổng bảo mật logic nghệ thuật Ở đưa phương pháp tiếp cận bao gồm: Tìm hiểu ứng dụng Thu thập liệu để tạo thử nghiệm logic Thiết kế thử nghiệm logic Điều kiện tiên tiêu chuẩn Thực thử nghiệm logic 2.7 Quy trình kiểm tra tính hợp lệ liệu 13 2.7.1 Kiểm tra lỗ hổng XSS (Cross site scripting) 2.7.1.1 Kiểm tra lỗ hổng Reflected Cross Site Scripting Công cụ khuyến nghị dùng cho việc là: CAL 9000 OWASP Xenotix XSS Exploit Framework 2.7.1.2 Kiểm tra lỗ hổng Stored Cross Site Scripting Stored XSS bị khai thác framework khai thác trình duyệt BeEF, XSS Proxy, … 2.7.1.3 Kiểm tra lỗ hổng DOM based XSS Kiểm tra hộp đen DOM based XSS thường không thực truy cập vào mã nguồn ln dùng 2.7.2 Kiểm tra lỗi SQL Injection Phát SQL Injection Việc kiểm tra SQL injection cần lượng lớn truy vấn Tester cần cơng cụ tự động để khai thác lỗ hổng SQLDumper, CAL 9000, đồng thời kết hợp với số thao tác thủ công thông qua testcase 2.7.3 Kiểm thử OS Commanding 14 Cung cấp lệnh hệ thống hoạt động thông qua đầu vào giao diện web 2.7.4 Kiểm thử Code Injection Chèn mã chương trình vào đầu vào máy chủ web xử lí tập tin 2.8 Quy trình kiểm tra việc từ chối dịch vụ ứng dụng Web 2.8.1 Kiểm tra khả công SQL Wildcard Gửi chuỗi liệu gồm số kí tự đại diện qua tính tìm kiếm ứng dụng 2.8.2 Kiểm tra khả khóa tài khoản người dùng Kiểm tra tài khoản khơng thực khóa sau số lần định đăng nhập thất bại 2.9 Quy trình kiểm tra Web services 2.9.1 Thu thập thông tin Web services Sử dụng cơng cụ online để tìm kiếm WS cơng cộng seekda Web Services Search Engine hay WSindex 2.9.2 Kiểm tra WSDL 15 Sử dụng công cụ WSDigger để tự động hóa kiểm tra an tồn WS 2.9.3 Kiểm tra cấu trúc XML Sử dụng công cụ WSDigger để chèn liệu độc hại vào phương thức WS xem kết đầu giao diện 2.9.4 Kiểm tra lỗ hổng Replay Sử dụng Wireshark hay WebScarab để nắm bắt lưu lượng http Sử dụng TCPReplay để bắt đầu công replay 2.10 Giới thiệu số mẫu biểu báo cáo Báo cáo khuyến nghị gồm ba phần sau: Báo cáo tóm tắt Tổng quan quản lý kỹ thuật Kết đánh giá 16 Chương – TRIỂN KHAI THỬ NGHIỆM 3.1 Đặt vấn đề Để hạn chế trách nhiệm pháp lý, việc triển khai thử nghiệm áp dụng với site nước ngoài, cụ thể http://radarexpress.eu/ 3.2 Áp dụng quy trình kiểm tra 3.2.1 Thu thập thông tin ứng dụng Web Kiểm tra tập tin robots.txt site: Hình 3.1: Truy cập tập tin robots.txt Fingerprint ứng dụng web với httprecon: Server: Apache Version: 2.2.3 17 Khám phá ứng dụng web: Hình 3.3: Xác định cổng dịch vụ với nmap Hình 3.4: Xác định hostname IP site 18 Phân tích thơng báo lỗi: Hình 3.5: Thông báo lỗi để lộ thông tin site 3.2.2 Kiểm tra quản lý cấu hình ứng dụng Web Giao diện quản trị truy cập qua URL: http://radarexpress.eu/admin/ Lập cấu trúc ứng dụng site: Hình 3.7: Cấu trúc site với cơng cụ Httptrack 19 3.2.3 Kiểm tra tính xác thực ứng dụng web Thông tin xác thực khơng truyền qua kênh mã hóa Liệt kê người dùng: Hình 3.9: Kiểm thử với username mật hợp lệ Hình 3.10: Kiểm thử với username hợp lệ mật sai 20 Hình 3.11: Kiểm thử với username không tồn Tấn công từ điển tài khoản người dùng: Hình 3.12: Tấn cơng từ điển với Burp Suit 21 Bỏ qua lược đồ xác thực: Hình 3.13: Vượt qua lược đồ xác thực Ứng dụng hoàn toàn tin tưởng vào địa email việc xác lập lại lưu giữ lại mật 3.2.4 Kiểm tra quản lý phiên ứng dụng Đăng nhập với tài khoản khác sau, thu hai PHPSESSID hồn tồn trùng khớp 3.2.5 Kiểm tra tính ủy quyền ứng dụng web Vượt qua lược đồ ủy quyền 22 Hình 3.16: Người dùng upload file 3.2.6 Kiểm tra tính hợp lệ liệu Kiểm tra lỗ hổng XSS: Hình 3.17: Site có lỗi XSS 23 Kiểm tra lỗi SQL injection: Hình 3.18: Site có lỗi SQL Injection 3.3 Đánh giá kết Thông qua việc kiểm thử thủ công kết hợp với tool tự động, kết luận trang web có lỗi XSS, SQL Injection nên mã hóa thơng tin nhạy cảm để đảm bảo an toàn cho người truy cập trang web 24 KẾT LUẬN Việc nghiên cứu tìm hiểu quy trình kiểm tra bảo mật ứng dụng Web đóng góp phần vào việc đánh giá bảo đảm an tồn thơng tin cho Website, đáp ứng nhu cầu cấp thiết an ninh bảo mật Kết thu luận văn: Giúp người đọc nhận thức tầm quan trọng bảo mật ứng dụng Web Giới thiệu quy trình phục vụ cho việc kiểm tra phát điểm yếu an tồn thơng tin ứng dụng Web Đưa báo cáo đánh giá an tồn thơng tin cho Website Hướng nghiên cứu luận văn: Nghiên cứu, tìm hiểu lỗ hổng bảo mật ứng dụng Web Xây dựng chương trình đánh giá mức độ bảo mật Website ... Sử dụng thành phần dễ bị tổn thương biết Chuyển hướng chuyển tiếp thiếu thẩm tra Chương – QUY TRÌNH KIỂM TRA BẢO MẬT ỨNG DỤNG WEB 2.1 Quy trình kiểm tra việc thu thập thơng tin từ ứng dụng Web. .. nghiên cứu tìm hiểu quy trình kiểm tra bảo mật ứng dụng Web đóng góp phần vào việc đánh giá bảo đảm an tồn thơng tin cho Website, đáp ứng nhu cầu cấp thiết an ninh bảo mật Kết thu luận văn: ... trọng bảo mật ứng dụng Web Giới thiệu quy trình phục vụ cho việc kiểm tra phát điểm yếu an tồn thơng tin ứng dụng Web Đưa báo cáo đánh giá an tồn thơng tin cho Website Hướng nghiên cứu luận văn: