Đang tải... (xem toàn văn)
Báo cáo đánh giá rủi ro đối với một hệ thống web sử dụng hệ thống đánh giá nist sp0030 Là một lỗ hổng cho phép kẻ tấn công đánh cắp thông tin người dùng thông qua việc sử dụng JavaScript để tải một trang web hợp pháp lên một iframe nằm trong trang web của kẻ tấn công
BÁO CÁO ĐÁNH GIÁ RỦI RO ĐỐI VỚI MỘT HỆ THỐNG WEB SỬ DỤNG HỆ THỐNG ĐÁNH GIÁ NIST SP00-30 Thành viên: Nhóm 04 Trần Mạnh Cường B14DCAT Lưu Bá Sơn B14DCAT Lê Hoàng Đức B14DCAT Nguyễn Thế Tuấn B14DCAT TỔNG QUÁT I GIỚI THIỆU II.CÁCH TIẾP CẬN ĐÁNH GIÁ RỦI RO III.QUY TRÌNH ĐÁNH GIÁ Bước 1: Mô tả đặc trưng hệ thống Bước 2: Xác định mối đe dọa Bước 3: Xác định lỗ hổng Bước 4: Phân tích kiểm sốt Bước 5: Xác định mức độ chắn Bước 6: Xác định mức độ tác động Bước 7: Xác định rủi ro Bước 8: Khuyến nghỉ biện pháp kiểm soát IV KẾT LUẬN I GIỚI THIỆU Trang web quét: http://testphp.vulnweb.com Đây trang web demo phần mềm Acunetix Web Vulnerability Scanner xây dựng để đáp ứng nhu cầu dùng demo phần mềm Mục đích báo cáo Đánh giá rủi ro hệ thống Đưa số giải pháp giảm thiểu rủi ro Phạm vi báo cáo Đánh giá web site theo góc nhìn nhân viên đánh giáo mức độ an toàn hệ thống II CÁCH TIẾP CẬN RỦI RO Phương pháp thu thập thông tin Công cụ sử dụng dụng: Tool Acunetix Web Vulnerability Scanner Với giao diện 2.Đánh giá rủi ro Sử dụng ma trận đánh giá rủi ro 3x3 III QUY TRÌNH ĐÁNH GIÁ Bước 1:Mô tả đặc trưng hệ thống - Phần cứng Máy chủ, … - Phần mềm Máy chủ web : nginx Ngơn ngữ lập trình: PHP Hệ quản trị sở liệu: MySql -Dữ liệu Thông tin nhạy cảm người dùng, nội dung trang web -Người dùng Người dùng chưa đăng nhập xem nội dung trang web Người dùng đăng nhập mua hang -Các kỹ thuật thu thập thông tin: Dùng Tool quét tự động Tool Acunetix Web Vulnerability Scanner Kết sau quét phát số lỗ hổng III QUY TRÌNH ĐÁNH GIÁ Bước 2:Xác định mối đe dọa Tự nhiên Các thảm họa thiên nhiên: lũ lụt, động đất, hạn hán, khu vực đặt máy chủ Môi trường Điện áp cung cấp khơng ổn định, hóa chất, Con người Kiểu người đe dọa Cơng việc làm Hacker Cài phần mềm độc hại, xâm nhập hệ thống, đánh cắp thông tin, Tội phạm thông tin Tiêu hủy thông tin, tiết lộ thông tin, tống tiền, Khủng bố Đánh bom, bắt cóc tổng tiền, trả thù, khai thác hệ thống, Gián điệp bên Giành lợi cạnh tranh, giao dịch thông tin thu được, Nhân viên, người dùng Nhập liệu sai gây lỗi, không phân quyền Bước 3: Xác định lỗ hổng Trần Mạnh Cường Lỗ hổng Missing function access control Mô tả Thiếu điều khoản việc phân quyền quản trị mức, dẫn đến việc kẻ cơng lợi dụng truy điểm yếu hệ thống, hay lợi dụng để leo thang đặc quyền Broken Authentication and Session Management Xác thực hay quản lý phiên thiếu xác Sơ hở cho phép kẻ cơng lợi dụng để đạt mật khẩu, khóa hay phiên làm việc, từ mạo danh phiên làm việc danh tính người dùng thơng thường Application error message Là lỗ hổng cho phép kẻ công thu thập thông tin hệ thống từ thông điệp lỗi/cảnh báo ứng dụng web trả Bước 4: Phân tích kiểm sốt Trần Mạnh Cường Lỗ hổng Các biện pháp có ngăn ngừa lỗ hổng Missing function access control Chưa có biện pháp ngăn ngừa Broken Authentication and Session Management Chưa có biện pháp ngăn ngừa Application error message Đã có mã hóa số thông tin lại show cho người dùng đường dẫn đến thư mục lỗi Warning: fopen(): Unable to access acu2796ẳs1ạƠs2s3ạuca2796 in /hj/var/www/showimage.php on line Bước 5: Xác định mức độ chắn Trần Mạnh Cường Lỗ hổng Mức độ chắn Missing function access control Cao Broken Authentication and Session Management Cao Application error message Trung bình Bước 6: Xác định mức độ tác động Trần Mạnh Cường Lỗ hổng Mức độ tác động Missing function access control Cao Broken Authentication and Session Management Trung bình Application error message Trung bình Bước 3: Xác định lỗ hổng Nguyễn Thế Tuấn Lỗ hổng Mô tả Cookie Injection tất công ty cung cấp trình duyệt web cài đặt chuẩn RFC 6265 khơng Lỗ hổng nghiêm trọng cài đặt “Browser Cookies” cho phép tin tặc từ xa bypass giao thức bảo mật HTTPS xâm nhập liệu phiên làm việc riêng tư người dùng CSRF(Crooss Site Request Forgery) với lỗ hổng CDRF, kẻ cơng dụ nạn nhân (1 thành viên đăng nhập) nhấn vào liên kết chứa URL thực truy vấn gửi thông điệp chứa lên trang cá nhân thành viên khác họ GKPlugin GKPlugin Lỗ hổng nghiêm trọng cho phép tin tặc dễ dàng đọc nội dung tệp tin nhạy cảm trang web sử dụng GKPlugin lỗ hổng giống Local File Include (LFI), nhiên kẻ cơng dễ dàng tải tệp tin mã nguồn từ trang web thay đọc trực tiếp trang thông qua hàm include LFI Lỗ hổng phát tệp plugins_player.php Nguyễn Thế Tuấn Bước 4: Phân tích kiểm sốt Lỗ hổng Các biện pháp có ngăn ngừa lỗ hổng Cookie Injection hầu hết trình duyệt chấp nhận cookie thơng qua https chí khơng thẩm định nguồn https cookie(cookie forcing) Điều cho phép tin lây nhiễm khai thác cookie giả mạo website khác để ghi đè vào https thực mà người dùng không nhận biết https cookie độc hại kiểm soát tin tặc, cho phép can thiệp thu thập thông tin phiên làm việc song có biện pháp ngăn ngừa CSRF(Crooss Site Request Forgery) -kẻ công tạo tập tin HTML chèn ifarme (ẩn) dẫn tới URL truy vấn với tham số nội dung liên kết dẫn tới tập tin HTML -kẻ công tải tập tin HTML lên máy chủ sau chép liên kết gửi lên chatbox trang chủ RapperVN.net -các thành viên khác nhấn vào liên kết đăng lại liên kết tràn cá nhân thành viên khác c ó biện pháp ngăn ngừa GKPlugin với việc sử dụng hàm header đi kèm “Content-Type: application/octet-stream” và dùng hàm readfile để đọc nội dung tệp trình duyệt hiển thị hộp thoại cho phép người dùng tải tệp tin nằm máy chủ Việc người dùng tải xuống tệp tin mã nguồn nguy hiểm để lộ thông tin nhạy cảm tài khoản đăng nhập Cơ sở liệu hay tài khoản đăng nhập vào trang quản trị viên chưa có biện pháp ngăn ngừa Bước 5: Xác định mức độ chắn Nguyễn Thế Tuấn Lỗ hổng Mức độ chắn Cookie Injection Vừa https cookie injection kiểm sốt phiên làm việc người khác có thê có biện pháp kiểm sốt thời ngăn cản việc khai thác thành cơng CSRF(Crooss Site Request Forgery) Vừa CSRF giả mạo người dùng song kiểm soát biện pháp như:otp/challengerepose kiểm tra lại mật khẫu lần thao tác quan trọng GKPlugin Cao - GKPlugin giả mạo người dùng ăn cắp file máy chủ song chưa có biện pháp khắc phục Bước 6: Xác định mức độ tác động Nguyễn Thế Tuấn Lỗ hổng Mức độ tác động Cookie Injection Cao -ảnh hưởng đến tài nguyên hệ thống -thông tin tài sản người dùng CSRF(Crooss Site Request Forgery) Cao -ảnh hưởng đến liệu -thông tin cá nhân -ảnh hưởng danh tiếng GKPlugin Cao -Ảnh hưởng mặt thông tin, liệu thơng tin cá nhân -Danh tiếng -Tin tăc sử dụng thông tin nhận dạng quyền truy nhập nạn nhân để thực thap tác không mong muốn Bước 7: Xác định rủi ro Nguyễn Thế Tuấn Lỗ hổng Mức độ rủi ro Cookie Injection Vừa(100x0.5) CSRF(Crooss Site Request Forgery) Vừa(100x0.5) GKPlugin Cao(100x1) Bước 8: Khuyến nghỉ biện pháp kiểm soát Nguyễn Thế Tuấn Biện pháp kiểm soát Lỗ hổng Cookie Injection Các nhà cung cấp trình duyệt sửa chữa lỗ hổng Người dùng khuyến cáo nâng cấp phiên trình duyệt nên triển khai HSTS(HTTP Strict Transport Security) tên miền CSRF(Crooss Site Request Forgery) Sửa dụng chuẩn đề phòng chống CSRF như: - OWASP CSRF Guard PHP CSRF Guard -.Net CSRF Guard GKPlugin Hiện nhiều trang website xem phim trực tuyến sử dụng GKPlugin nhiên GKPlugin chưa có cập nhật vá lỗi Security khuyến cáo tới quản trị viên trang web xem phim trực tuyến nên cập nhật trình phát video để đảm bảo an toàn cho website Bước 3: Xác định lỗ hổng Lê Hồng Đức Lỗ hổng Mơ tả Password type input with auto-complete enabled Khi nhập tên mật vào biểu mẫu biểu mẫu gửi, trình duyệt yêu cầu mật phải lưu lại Sau biểu mẫu hiển thị, tên mật điền tự động hoàn tất tên nhập Một kẻ cơng có quyền truy cập cục lấy mật cleartext từ nhớ cache trình duyệt Microsoft Office possible sensitive information Cross domain data hijacking Tài liệu chuyển đổi sang HTML Microsoft Office.Trong trình chuyển đổi có nhiều thơng tin nhạy cảm Trang dễ bị xâm nhập liệu qua miền. Nếu kẻ cơng tạo / tải tệp SWF (tệp SWF) độc hại kiểm soát phần trang bất kỳ. Bước 4: Phân tích kiểm sốt Lê Hồng Đức Lỗ hổng Các biện pháp có ngăn ngừa lỗ hổng Password type input with auto-complete enabled Chưa có biện pháp ngăn ngừa tích cực Microsoft Office possible sensitive information Chưa có biện pháp ngăn ngừa tích cực Cross domain data hijacking Chưa có biện pháp ngăn ngừa tích cực Bước 5: Xác định mức độ chắn Lê Hoàng Đức Lỗ hổng Mức độ chắn Password type input with auto-complete enabled Cao Microsoft Office possible sensitive information Thấp Cross domain data hijacking Trung Bình Bước 6: Xác định mức độ tác động Lê Hoàng Đức Lỗ hổng Mức độ tác động Password type input with auto-complete enabled Thấp Microsoft Office possible sensitive information Thấp Cross domain data hijacking Trung Bình Bước 7: Xác định rủi ro Lê Hồng Đức Lỗ hổng Mức độ rủi ro Password type input with auto-complete enabled Thấp (10x1) Microsoft Office possible sensitive information Thấp (0,1x10) Cross domain data hijacking Vừa (50x0,5) Bước 8: Khuyến nghỉ biện pháp kiểm soát Lê Hồng Đức Biện pháp kiểm sốt Lỗ hổng Password type input with auto-complete enabled -Tự động hoàn tất mật nên tắt ứng dụng nhạy cảm. Để vơ hiệu tự động hồn tất, bạn sử dụng mã tương tự như: Microsoft Office possible sensitive information Kiểm tra mã nguồn tài liệu xóa thơng tin nhạy cảm Cross domain data hijacking -Kiểm tra nội dung tệp để có tiêu đề định dạng lọc nội dung thích hợp để bảo vệ -Cơ lập tên miền tệp tải lên: miễn tệp crossdomain.xml trang web khơng bao gồm tên miền bị lập. số nhận xét Lê Hồng Đức -Password type input with auto-complete enabled,Microsoft Office possible sensitive information mức cảnh báo thấp chủ quan người dùng chưa gây nhiều hậu nghiêm trọng.còn lỗ hổng Cross domain data hijacking kẻ cơng kiểm sốt hệ thống làm gián đoạn truy cập bất hợp pháp liệu quan trọng tệp nguy hiểm chứa mã độc virus gây tổn hại đến hệ thống - Với gia tăng sử dụng internet, thiết bị thông minh số vụ công mạng ngày nhiều nguồn nhân lực kỹ sư chuyên viên an ninh mạng hạn chế - Việc sử dụng dịch vụ đánh giá rủi ro an ninh mạng, kiểm thử an ninh mạng giúp bảo mật liệu toàn diện IV KẾT LUẬN Từ đánh giá nhận thấy vấn đề sau: Web http://testphp.vulnweb.com gần chưa bảo vệ nhạy cảm với lỗ hổng dễ để khai thác Các biện pháp khuyến nghị bước giúp cho trang web hạn chế rủi ro với chi phí thấp ... phần mềm Mục đích báo cáo Đánh giá rủi ro hệ thống Đưa số giải pháp giảm thiểu rủi ro Phạm vi báo cáo Đánh giá web site theo góc nhìn nhân viên đánh giáo mức độ an toàn hệ thống II CÁCH TIẾP CẬN... 2 .Đánh giá rủi ro Sử dụng ma trận đánh giá rủi ro 3x3 III QUY TRÌNH ĐÁNH GIÁ Bước 1:Mơ tả đặc trưng hệ thống - Phần cứng Máy chủ, … - Phần mềm Máy chủ web : nginx Ngơn ngữ lập trình: PHP Hệ. .. hại, xâm nhập hệ thống, đánh cắp thông tin, Tội phạm thông tin Tiêu hủy thông tin, tiết lộ thông tin, tống tiền, Khủng bố Đánh bom, bắt cóc tổng tiền, trả thù, khai thác hệ thống, Gián điệp bên