HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO KALI TOOL (ARACHNI) Giảng viên hướng dẫn: Sinh viên: Mã sinh viên: Lớp: Điện thoại: Nhóm học phần: Hà Nội 2021 TS Đặng Minh Tuấn Nguyễn Văn Nghĩa B18DCAT171 D18CQAT03-B 0984320850 02 LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn sâu sắc đến Học viện Cơng nghệ Bưu Viễn thơng đưa mơn học An tồn mạng vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn – TS Đặng Minh Tuấn dạy dỗ, rèn luyện truyền đạt kiến thức quý báu cho em suốt thời gian học tập kỳ vừa qua Trong thời gian tham dự lớp học thầy, em tiếp thu thêm nhiều kiến thức bổ ích, học tập tinh thần làm việc hiệu quả, nghiêm túc Đây thực điều cần thiết cho trình học tập công tác sau em Bộ mơn An tồn mạng mơn học thú vị, vơ bổ ích gắn liền với nhu cầu thực tiễn sinh viên an tồn thơng tin Mặc dù cố gắng chắn hiểu biết kỹ môn học em cịn nhiều hạn chế Do đó, Bài tiểu luận kết thúc học phần em khó tránh khỏi thiếu sót chỗ chưa chuẩn xác, kính mong thầy xem xét góp ý giúp Bài tiểu luận em hoàn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 10 tháng 12 năm 2021 Sinh viên Nghĩa Nguyễn Văn Nghĩa MỤC LỤC Trang LỜI CẢM ƠN …………………………………………………………………………………1 MỤC LỤC …………………………………………………………………………………….2 DANH SÁCH THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT ………………………………………… DANH MỤC HÌNH ẢNH …………………………………………………………………… Phần 1: Mở đầu ……………………………………………………………………………… Phần 2: Giới thiệu …………………………………………………………………………… 2.1 Giới thiệu cơng cụ …………………………………………………………………5 2.2 Lịch sử hình thành ……………………………………………………………… 10 Phần 3: Hướng dẫn cài đặt sử dụng …………………………………………………… 10 3.1 Cài đặt …………………………………………………………………………………… 10 3.2 Sử dụng …………………………………………………………………………………….10 Phần 4: Bài lab kịch demo ………………………………………………………………13 4.1 Bài lab …………………………………………………………………………………… 13 4.1.1 Cơ chế hoạt động công cụ rà quét (Scanning tools)………………….15 4.1.2 Cách sử dụng công cụ rà quét lỗ hổng ……………………………………15 4.2 Build web ………………………………………………………………………… 17 4.3 Scan tự động khơng cấu hình …………………………………………………… 21 4.3.1 Kết Scan …………………………………………………………………….22 4.3.2 Đánh giá kết ……………………………………………………………… 23 4.4 Scan có cấu hình ………………………………………………………………… 25 4.4.1 Kết scan …………………………………………………………………… 25 4.4.2 Đánh giá kết lần …………………………………………………….26 4.5 So sánh tool khác scan web …………………………………………… 28 Phần 5: Kết luận đánh giá …………………………………………………………………30 5.1 Kết luận …………………………………………………………………………………….31 5.2 Đánh giá ……………………………………………………………………………32 Phần 6: Tài liệu tham khảo ………………………………………………………………… 32 DANH SÁCH THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Thuật ngữ tiếng Anh/Giải thích Arachni Build Docker Thuật ngữ tiếng Việt/Giải thích Cơng cụ hỗ trợ rà qt lỗ hổng cảnh báo lỗ hổng Triển khai Một tảng để cung cấp cách để building, deploying running ứng dụng dễ dàng cách sử dụng containers (trên tảng ảo hóa) Ban đầu viết Python, chuyển sang Golang Scan web Qt, rà sốt trang web Tool Cơng cụ hỗ trợ DANH MỤC HÌNH ẢNH Hình 1: Giao diện Arachni ………………………………………………………………5 Hình 2: tính Arachni ………………………………………………………6 Hình 3: Arachni phát tảng ………………………………………….7 Hình 4: Khởi động Arachni …………………………………………………………… 10 Hình 5: Khởi động thành cơng Arachni …………………………………………………10 Hình 6: Giao diện Arachni ………………………………………………………….10 Hình 7: Bắt đầu quét …………………………………………………………………….11 Hình 8: Giao diện web bắt đầu scan ……………………………………………11 Hình 9: Các lỗ hổng tool scan …………………………………………………….12 Hình 10: Quy trình xây dựng web ………………………………………………………13 Hình 11:Cách sử dụng tool …………………………………………………………… 14 Hình 12: Thực rà quét …………………………………………………………… 15 Hình 13: Cấu trúc thư mục code website ………………………………………… 16 Hình 14: Một số lỗ hổng nghiêm trọng trang web ………………………………….17 Hình 15: Một số lỗ hổng nghiêm trọng trang web ………………………………….18 Hình 16: Các lỗ hổng phát ………………………………………………… 19 Hình 17: Giao diện trang web ………………………………………………………… 20 Hình 18: Bắt đầu Scan web Docker ……………………………………………… 20 Hình 19: Các lỗ hổng phát ………………………………………………… 21 Hình 20: Độ xác cảnh báo số tool ……………………………………….28 Hình 21: Độ xác lỗ hổng bảo mật số tool ……………………………………29 Hình 22: Thời gian quét số tool ……………………………………………… 30 Mở đầu Chúng ta sống “thế giới kết nối", thiết bị tính tốn truyền thơng có kết nối Internet Các hệ thống kết nối “sâu rộng” ngày phổ biến: ● Smart community (cộng đồng thông minh) ● Smart city (thành phố thông minh) ● Smart home (ngôi nhà thông minh),… Các khái niệm kết nối vật, kết nối tất trở nên “nóng”: ● IoT(Internet of Things) ● IoE(Internet of Everything), Chính sống “thế giới kết nối” nên có nhiều mối nguy hiểm đe dọa an tồn thơng tin, hệ thống, mạng Một số sử dụng hàng ngày website Riêng Việt Nam có tới 24.820 website Việt Nam bị báo cáo khơng an tồn Trong số này, có tới 12.052 trang web bị Trung tâm Giám sát an toàn khơng gian mạng quốc gia (NCSC) cảnh báo có yếu tố nguy hiểm, lừa đảo giả mạo Về trang web bị công giới vào năm 2020: ● Cứ 40 giây lại có công bắt đầu ● Các công ransomware gia tăng với tốc độ 400% năm ● Mỗi ngày tin tặc công 30.000 trang web Những mối đe dọa kề cập với trang web nên phải kiểm tra định kỳ kiểm thử thâm nhập hệ thống website nhằm đánh giá mức độ an toàn bảo mật, phát vá lỗ hổng Một công cụ giúp phát lỗ hổng website Arachni tool scan web phổ biến Kali Trong báo cáo qua lịch sử hình thành, hướng dẫn cài đặt, hướng dẫn sử dụng, số lab demo, đánh giá số kết luận tool Giới thiệu 2.1 Giới thiệu công cụ Arachni phần mềm mã nguồn mở phát triển ngôn ngữ Ruby dùng để đánh giá kiểm tra bảo mật cho ứng dụng web Arachni hỗ trợ nhiều hệ điều hành Windows, Mac OS, Linux Hình 1: Giao diện Arachni Các tính Arachni: ● Hỗ trợ Cookie-jar/cookie-string ● Cho phép tùy chỉnh header ● Hỗ trợ SSL ● Hỗ trợ chuẩn proxy SOCKS4, SOCKS4A, SOCKS5, HTTP/1.1 and HTTP/1.0 ● Hỗ trợ xác thực trang web (Dựa SSL, nội dung, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos) ● Tự động phát đăng xuất đăng nhập lại trình quét ● Phát trang 404 tùy chỉnh ● Hỗ trợ đa tảng tương tác từ giao diện console đến cung cấp giao diện website ● Hỗ trợ tạm dừng quét có chế độ ngủ đơng lưu trạng thái qt ● Hỗ trợ xuất file báo cáo định dạng html, xml, text json, marshal, yaml, afr Hình 2: tính Arachni Arachni cung cấp dạng API để tương tác tự động hóa API REST API RPC API REST hoạt động giao thức HTTP sử dụng định dạng JSON để trao đổi liệu Phần mềm tiến hành rà quét ứng dụng website bắt đầu với trình xác định cơng nghệ phía sau Trình qt tự động Arachni phát tảng sau: Hình 3: Arachni phát tảng Danh sách lỗ hổng mà phần mềm quét: ● SQL injection (sql_injection) Error based detection ● Blind SQL injection sử dụng sql_injection_differential ● Blind SQL sử dụng kỹ thuật timing attacks ● NoSQL injection (no_sql_injection) Error based vulnerability detection ● Blind NoSQL ● CSRF ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Code injection Blind code injection sử dụng timing attacks LDAP injection Path traversal File inclusion Command Injection Remote File Include RFI XPath injection XSS Source code disclosure XML External Entity (xxe) Xác định phương thức HTTP Xác định file backup Xác định thư mục backup Tìm trang admin HTTP PUT (http_put) Insufficient Transport Layer Protection for password forms (unencrypted_password_form) WebDAV detection (webdav) HTTP TRACE detection (xst) Credit Card number disclosure (credit_card) CVS/SVN user disclosure (cvs_svn_users) Private IP address disclosure (private_ip) Common backdoors (backdoors) htaccess LIMIT misconfiguration (htaccess_limit) Interesting responses (interesting_responses) HTML object grepper (html_objects) E-mail address disclosure (emails) US Social Security Number disclosure (ssn) Forceful directory listing (directory_listing) Mixed Resource/Scripting (mixed_resource) Insecure cookies (insecure_cookies) HttpOnly cookies (http_only_cookies) Auto-complete for password form fields (password_autocomplete) Origin Spoof Access Restriction Bypass (origin_spoof_access_restriction_bypass) Form-based upload (form_upload) Ưu điểm cách giả sử scanner khơng có crawl module đủ tốt để thu thập thông tin trang ứng dụng web sử dụng proxy mode truy cập đường dẫn cách thủ cơng đường dẫn lưu lại scanner Nếu rà quét ứng dụng web thêm nhiều lần đường dẫn đưa vào trình quét cách tự động để tìm kiếm lỗ hổng bảo mật Đặc điểm cách dùng là: - Truy cập trang ứng dụng web cách thủ công proxy mode - Thay đổi cấu hình đào tạo/sửa đổi công cụ quét cho phù hợp 4.2 Build web Hình 13: Cấu trúc thư mục code website ● Đây website viết ngôn ngữ PHP có nhiều lỗ hổng ● Một số lỗ hổng nghiêm trọng trang web 17 Hình 14: Một số lỗ hổng nghiêm trọng trang web 18 Hình 15: Một số lỗ hổng nghiêm trọng trang web ● Build web lên docker: ○ docker run -p 192.168.230.1:8080:80 -it adamdoupe/wackopicko 19 Hình 16: Triển khai web lên Docker ● Giao diện trang web 20 Hình 17: Giao diện trang web 4.3 Scan tự động không cấu hình ● Bắt đầu scan web: http://192.168.230.1:8080/ ● Hình 18: Bắt đầu Scan web Docker Scan (khơng cấu hình thủ cơng) 21 Hình 19: Các lỗ hổng phát Thông tin Thời gian scan Kiểu scan Requests performed Responses Pages discovered ● Thống kê cảnh báo tiếng, phút, 10 giây Automated scan (quick) 20.586 20.126 15 High Medium Low Informational Tổng 13 16 46 4.3.1 Kết Scan ● Danh sách cảnh báo lỗ hổng Lỗ hổng Cross Site Scripting (XSS) SQL Injection Cross Site Request Forgery (CSRF) Common directory Mức độ High High High Medium Số lượng 22 Unencryted password form Common administration interfer Missing ‘X-Frame-Options’ header Password field with auto-complete Private IP address díclosure Medium Low Low Low Low 4.3.2 Đánh giá kết ● Độ xác kết Scan Cross site scripting Vị trí /pictures/search.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí /users/login.php Mức độ High Cảnh báo khơng xác - Khơng tồn lỗ hổng Cross site scripting Vị trí /piccheck.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí /pictures/search.php Mức độ High Cảnh báo khơng xác - Khơng tồn lỗ hổng SQL Injection Vị trí /users/login.php /passcheck.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng 23 Cross Site Request Forgery (CSRF) Vị trí /piccheck.php /comments/preview_comment.php /comments/add_comment.php /comments/delete_preview_comment.php /cart/action.php?action=addcoupon /cart/action.php?action=delete Mức độ High Cảnh báo khơng xác - Khơng tồn lỗ hổng SessionID vulnerability Vị trí /admin/login.php Mức độ High Thiếu cảnh báo Reflected SQL Injection Vị trí /admin/login.php Mức độ High Thiếu cảnh báo Multi-Step Stored XSS Vị trí /pictures/view.php?picid=3 Mức độ High Thiếu cảnh báo File Inclusion Vị trí /padmin/index.php?page=login Mức độ High Thiếu cảnh báo 24 Thống kê độ xác kết Scan Mức độ xác cảnh báo 50% Tỉ lệ lỗ hổng qt tìm kiếm 30% thủ cơng 4.4 Scan có thêm cấu hình ● Scan có thêm cookie session Thơng tin Thời gian scan Kiểu scan Cấu hình sitemap Cấu hình Cookie Thống kê cảnh báo High Medium Low Informational Tổng 4.4.1 Kết Scan Danh sách cảnh báo lỗ hổng Lỗ hổng File inclusion Cross site scripting SQL injection Application error messages Source code disclosures Directory listings Multiple vulnerabilities fixed in PHP versions 5.5.12 and 5.4.28 Unencrypted connection User credentials are sent in clear text Clickjacking: X-Frame-Options header Cookies with missing, inconsistent or contradictory properties 4m phút, 59 giây Full Scan Sử dụng sitemap Burpsuite Thêm header cookie người dùng sau đăng nhập 26 Mức độ High High High Medium Medium Medium Medium Số lượng 1 1 Medium Medium 1 Low Low 25 Cookies without HttpOnly flag set Possible sensitive directories Possible sensitive files 4.3.2 Đánh giá kết ● Độ xác kết Scan Low Low Low 1 Cross site scripting Vị trí POST /guestbook.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí POST /piccheck.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí GET /pictures/search.php?query=1 Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí GET /test.php?title=a Mức độ High Cảnh báo xác - Có tồn lỗ hổng Cross site scripting Vị trí POST /users/login.php Mức độ High Cảnh báo khơng xác - Không tồn lỗ hổng File inclusion Vị trí GET /admin/?page=login Mức độ High Cảnh báo xác - Có tồn lỗ hổng File inclusion Vị trí POST /admin/index.php?page=h Mức độ High Cảnh báo xác - Có tồn lỗ hổng 26 SQL injection Vị trí POST /users/login.php Mức độ High Cảnh báo xác - Có tồn lỗ hổng Application error messages Vị trí /* Mức độ Medium Cảnh báo xác - Có tồn lỗ hổng 10 Directory listings Vị trí /pictures/ /users/ /comments/ /cart/ /upload/ Mức độ Medium Cảnh báo xác - Có tồn lỗ hổng 12 Multiple vulnerabilities fixed in PHP versions 5.5.12 and 5.4.28 Vị trí /* Mức độ Medium Cảnh báo xác - Có tồn lỗ hổng 13 Source code disclosures Vị trí GET /guestbook.php Mức độ Medium Cảnh báo khơng xác - Khơng tồn lỗ hổng 14 Unencrypted connection Vị trí /* Mức độ Medium Cảnh báo xác - Có tồn lỗ hổng 15 User credentials are sent in clear text Vị trí /* Mức độ Medium Cảnh báo xác - Có tồn lỗ hổng 16 Clickjacking: X-Frame-Options header Vị trí /* Mức độ Low Cảnh báo xác - Có tồn lỗ hổng 27 17 Cookies with missing, inconsistent or contradictory properties (verified) Vị trí /* Mức độ Low Cảnh báo xác - Có tồn lỗ hổng 18 Cookies without HttpOnly flag set (verified) Vị trí /* Mức độ Low Cảnh báo xác - Có tồn lỗ hổng 19 Possible sensitive directories Vị trí GET /upload Mức độ Low Cảnh báo xác - Có tồn lỗ hổng 20 Possible sensitive files Vị trí GET /test.php Mức độ Low Cảnh báo khơng xác - Khơng tồn lỗ hổng Thống kê độ xác kết Scan Mức độ xác cảnh báo 85% Tỉ lệ lỗ hổng qt tìm kiếm 53% thủ cơng 4.5 So sánh tool khác scan web 28 Hình 20: Độ xác cảnh báo số tool ● Tỉ lệ lỗ hổng tìm thấy (so với thiết kế ứng dụng web) Hình 21: Độ xác lỗ hổng bảo mật số tool ● Thời gian hồn thành rà qt 29 Hình 22: Thời gian quét số tool Kết luận đánh giá 5.1 Kết luận Bài nghiên cứu/báo cáo liên quan tới phần nội dung sau: thiết kế (xây dựng) ứng dụng web phục vụ mục đích nghiên cứu lỗ hổng bảo mật lập trình cơng cụ nhằm đánh giá, phát hiện, ngăn ngừa từ sớm lỗi bảo mật ứng dụng web Nhóm đưa vài so sánh tốt công cụ rà quét bảo mật (bao gồm phần mềm thương mại mã nguồn mở) khả phân tích cảnh báo công cụ Mặc dù vấn đề đề cập nhiều ngành An tồn thơng tin nói chung an ninh mạng nói riêng, nhóm cố gắng xây dựng thực nghiệm chứng minh cho hạn chế mặt hiệu suất công cụ ngày Hi vọng kết số liệu phần đóng góp cho việc kiểm thử bảo mật ứng dụng web, đặc biệt kiểm thử hộp đen (black-box pentesting) Qua kết nghiên cứu được, thấy mơi trường WackoPicko có lỗ hổng tiêu biểu ứng dụng web mà công cụ rà quét chưa phát Nhóm tìm cách cấu hình thủ cơng khác nhằm tối ưu khả thu thập thông tin khả cơng, phân tích công cụ thông qua 30 việc thêm policy, rule hay thêm thông tin xác thực để phát nhiều lỗ hổng bảo mật Cuối cùng, nhóm nhận thấy khơng có liên hệ chặt chẽ chi phí bỏ cho cơng cụ rà qt chức năng, hiệu mà chúng đem lại Hi vọng điều giúp tổ chức, cá nhân kiểm thử bảo mật lựa chọn cơng cụ phù hợp với khả mục đích 5.2 Đánh giá ● Ưu điểm: ○ Giao diện website trực quan, dễ sử dụng ○ Có kịch khai thác tốt, hỗ trợ phát hầu hết lỗ hổng web phổ biến ○ Báo cáo cho lỗ hổng chi tiết, cụ thể ○ Có lưu lại lịch sử, kết dị qt ○ Miễn phí ● Nhược điểm ○ Trong trình quét tốn RAM nhớ ○ Vẫn chưa phát tất lỗ hổng 6.Tài liệu tham khảo [1] NCSC, Nhiều website Việt Nam bị báo cáo khơng an tồn, 2021 [2] W Goddard, Cyber Security Statistics, 2020 [3] Ahannigan, "docker-arachni," [Online] Available: https://github.com/ahannigan/docker-arachni [4] Adamdoupe, "Github," [Online] Available: https://github.com/adamdoupe/WackoPicko 31 ... report số lỗi, request gửi đến trang web thời gian Hình 9: Các lỗ hổng tool scan Bài lab, kịch demo 4.1 Bài lab ● Build trang web lên docker ● Dùng tool để quét lỗi ● Scan lần (Cấu hình thủ cơng, thêm... dàng cách sử dụng containers (trên tảng ảo hóa) Ban đầu viết Python, chuyển sang Golang Scan web Quét, rà soát trang web Tool Cơng cụ hỗ trợ DANH MỤC HÌNH ẢNH Hình 1: Giao diện Arachni ………………………………………………………………5... sau em Bộ mơn An tồn mạng mơn học thú vị, vơ bổ ích gắn liền với nhu cầu thực tiễn sinh viên an toàn thông tin Mặc dù cố gắng chắn hiểu biết kỹ môn học em cịn nhiều hạn chế Do đó, Bài tiểu luận