Tài liệu Tìm hiểu một số phương pháp tấn công website và đề xuất một số giải pháp hạn chế

Header Page 1 of 128. LỜI CẢM ƠN Lời đầu tiên em xin chân thành cảm ơn sự hướng dẫn tận tình của thầy Trần Tuấn Vinh, khoa Công nghệ Thông tin, trường Đại học Sư phạm Hà Nội 2. Trong suốt thời gian thực hiện khóa luận, mặc dù rất bận rộn trong công việc nhưng thầy vẫn giành nhiều thời gian và tâm huyết trong việc hướng dẫn em. Thầy cung cấp cho em rất nhiều hiểu biết về một lĩnh vực mới khi em mới bắt đầu bước vào thực hiện khóa luận. Em cũng xin chân thành cảm ơn các thầy, cô giáo trong khoa Công nghệ Thông tin, cũng như các thầy cô trong trường đã giảng dạy và giúp đỡ em trong 4 năm học vừa qua. Chính các thầy cô đã xây dựng cho chúng em những kiến thức nền tảng và kiến thức chuyên môn để em có thể hoàn thành khóa luận tốt nghiệp và chuẩn bị cho những công việc của mình sau này. Em gửi lời cảm ơn đến tất cả bạn bè, những người đã luôn bên em, động viên và khuyến khích em trong quá trình thực hiện khóa luận tốt nghiệp. Và cuối cùng, em xin bày tỏ lòng biết ơn sâu sắc đến gia đình đã nuôi nấng và luôn là chỗ dựa vững chắc cho em. Hà Nội, ngày 05 tháng 05 năm 2013 Sinh viên thực hiện Nguyễn Thị Thanh Vân 1 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 1 of 128. Header Page 2 of 128. LỜI CAM ĐOAN Tôi xin cam đoan kết quả đạt được trong khóa luận là kết quả tìm hiểu của bản thân. Trong toàn bộ nội dung của khóa luận, những điều được trình bày hoặc là của cá nhân tôi hoặc là được tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp. Tôi xin chịu trách nhiệm về khóa luận của mình! Hà Nội, tháng 05 năm 2013 Sinh viên Nguyễn Thị Thanh Vân 2 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 2 of 128. Header Page 3 of 128. MỤC LỤC LỜI CẢM ƠN ........................................................................................................ 1 LỜI CAM ĐOAN .................................................................................................. 2 CÁC KÝ HIỆU VIẾT TẮT ................................................................................... 6 MỞ ĐẦU ............................................................................................................... 6 CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE ....................................................... 10 1.1. Tổng quan .................................................................................................. 10 1.2. Các dịch vụ và ứng dụng trên nền web ...................................................... 12 CHƯƠNG 2: KHẢO SÁT HIỆN TRẠNG .......................................................... 13 2.1. Tình hình an ninh mạng thế giới ................................................................ 13 2.2. Tình hình bảo mật ở Việt Nam .................................................................. 15 CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT............................................................................................................ 18 3.1. Giới thiệu chung về các phương pháp tấn công website ........................... 18 3.2. Broken Authentication and Session Management ..................................... 20 3.2.1. Giới thiệu ............................................................................................. 20 3.2.2. Hoạt động............................................................................................. 21 3.2.3. Cách phát hiện lỗi ................................................................................ 22 3.2.4. Phòng chống ........................................................................................ 22 3.3. Insecure Direct Object References............................................................. 22 3.3.1. Giới thiệu ............................................................................................. 22 3.3.2. Hoạt động............................................................................................. 23 3.3.3. Cách phát hiện lỗi ................................................................................ 24 3.3.4. Phòng chống ........................................................................................ 24 3.4. Cross Site Request Forgery........................................................................ 25 3.5. Security Misconfiguration ......................................................................... 25 3.6. Insecure Cryptographic Storage................................................................. 25 3 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 3 of 128. Header Page 4 of 128. 3.7. Failure to Restrict URL Access ................................................................. 26 3.8. Insufficient Transport Layer Protection ..................................................... 27 3.8.1. Giới thiệu ............................................................................................. 27 3.8.2. Hoạt động............................................................................................. 27 3.8.3. Phòng chống ........................................................................................ 28 3.9. Unvalidated Redirects and Forwards ......................................................... 28 3.9.1. Giới thiệu ............................................................................................. 28 3.9.2. Hoạt động............................................................................................. 29 3.9.3. Phòng chống ........................................................................................ 30 3.10. Local Attack ............................................................................................. 30 3.10.1. Tìm hiểu về Local Attack ................................................................... 30 3.10.2. Các bước thực hiện trong Local Attack ............................................. 31 3.10.4. Các kỹ thuật Local Attack .................................................................. 32 3.10.5. Cách phòng chống ............................................................................. 35 3.10.6. Các công cụ hỗ trợ............................................................................. 36 3.11. Tấn công từ chối dịch vụ (Denial of Sever)............................................. 37 3.11.1. DOS .................................................................................................... 37 3.11.2. DDOS (Distributed Denial of Service) .............................................. 43 3.12. SQL Injection ........................................................................................... 47 3.12.1. Định nghĩa ......................................................................................... 47 3.12.2. Các dạng tấn công SQL Injection ...................................................... 47 3.12.3. Tránh sự kiểm soát ............................................................................. 52 3.12.4. Các phòng tránh SQL Injeciton ......................................................... 52 3.13. Cross Site Scripting (XSS)....................................................................... 53 3.13.1. Tấn công XSS ..................................................................................... 53 3.13.2. Hoạt động của XSS ............................................................................ 53 3.13.3. Cách tấn công .................................................................................... 53 4 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 4 of 128. Header Page 5 of 128. 3.13.4. Phân loại ............................................................................................ 54 3.14. Phishing .................................................................................................... 58 3.14.1. Giới thiệu về Phishing ....................................................................... 58 3.14.2. Những yếu tố để một cuộc tấn công Phishing thành công ............... 58 3.14.3. Những phương thức hoạt động của Phishing .................................... 59 3.14.4. Quá trình hoạt động........................................................................... 61 3.14.5. Các kiểu lừa đảo ................................................................................ 62 3.14.6. Phòng chống ...................................................................................... 63 3.15. AutoComplete .......................................................................................... 64 3.16. Xây dựng chương trình ứng dụng ............................................................ 66 3.16.1. Đặc tả, yêu cầu ..................................................................................... 66 3.16.2. Chức năng hệ thống .............................................................................. 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................... 69 TÀI LIỆU THAM KHẢO ............................................................................................. 71 5 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 5 of 128. Header Page 6 of 128. CÁC KÝ HIỆU VIẾT TẮT Ký hiệu ACK CPU DDOS DOS DNS IMCP Viết đầy đủ Acknowledgement Center Processing Unit Distributed Denial Of Server Denial Of Server Domain Name System Internet Control Message Protocol ID IP HTTP Identification Internet Protocol HyperText Transfer Protocol HTML PHP Hypertext Markup Language Hypertext Preprocessor SMTP Simple Mail Transfer Protocol SQL Structured Query Language SSL Secure Socket Layer SSN SYN TCP TLS UDP Social Security Number The Synchronous Idle Character Transmission Control Protoco Transport Layer Security User Datagram Protocol URL XSS Uniform Resource Locator Cross Site Scripting Ý nghĩa Gói tin báo nhận Bộ xử lý trung tâm Từ chối dịch vụ Từ chối dịch vụ Hệ thống tên miền Giao thức xử lý các thông báo trạng thái cho IP Nhận dạng cá nhân Giao thức internet Giao thức truyền tải siêu văn bản Ngôn ngữ liên kết siêu văn bản Ngôn ngữ tiền xử lý các siêu văn bản Giao thức truyền tải thư tín đơn giản Ngôn ngữ truy vấn mang tính cấu trúc Giao thức an ninh giao thông mạng Số an sinh xã hội Ký tự đồng bộ hóa Giao thức điều khiển Giao thức bảo mật Các gói tin biết điểm xuất phát và đích Tài nguyên trên internet Tấn công website 6 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 6 of 128. Header Page 7 of 128. MỞ ĐẦU Lý do chọn đề tài Trong thời đại ngày nay internet trở nên quen thuộc và là một công cụ hữu ích để một đất nước giới thiệu hình ảnh hay đơn giản chỉ là một trang web cá nhân của một ai đó giới thiệu về mình. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Khi mà sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú thì các cuộc tấn công website cũng phát triển hết sức phức tạp. Điều này đặt ra vấn đề cấp thiết là làm thế nào để đảm bảo an toàn thông tin cho ứng dụng web, thông tin của người sử dụng. Xuất phát từ thực tế đó, khóa luận này em sẽ tìm hiểu về các cách tấn công Website và cách phòng chống các loại tấn công này. Thông qua việc tìm hiểu, em mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu. Mục đích và nhiệm vụ nghiên cứu - Tìm hiểu các vấn đề liên quan đến hoạt động của một ứng dụng web. - Tìm hiểu các kỹ thuật tấn công website như: Cross Site Scripting, SQL Injection, Broken Authentication and Session Management, Insecure Direct Object References, Insecure Cryptographic Storage, Failfure to Restrict URL Access, Insufficient Transport Layer Protection, Unvalidates Redirects and Forwards, Phishing, Local Attack, Autocomplete, DOS. - Xây dựng website tìm kiếm và phát hiện các kỹ thuật tấn công website như Reflected Cross Site Scripting, Stored Cross Site Scripting, SQL Injection, Broken Authentication using SQL Injection, Autocomplete enabled on sentisive input fields, Direct Object References, Unvalidated Redirects. 7 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 7 of 128. Header Page 8 of 128. - Kết quả thực hiện: nắm rõ bản chất và cách thức tấn công website, áp dụng vào thực tế để hạn chế thấp nhất khả năng bị tấn công website. Đối tượng và phạm vi nghiên cứu - Cơ sở lý thuyết liên quan của hoạt động website. - Các kỹ thuật tấn công website. - Các giải pháp phòng ngừa ở mức quản trị và người lập trình ứng dụng. - Ngôn ngữ PHP, My SQL. Ý nghĩa khoa học và thực tiễn của đề tài - Về mặt lý thuyết, đề tài thể hiện rõ các phương pháp tấn công cơ bản mà kẻ tấn công thường sử dụng để tấn công website từ trước đến nay và có thể sử dụng tiếp trong thời gian dài trong tương lai. - Về mặt thực tiễn, với các kĩ thuật tấn công được tìm hiểu, nghiên cứu trong bản báo cáo này, nếu áp dụng tốt các biện pháp phòng ngừa trong khóa luận nêu ra sẽ góp phần nâng cao khả năng bảo vệ website trước những nguy cơ tấn công của kẻ xấu. Phương pháp nghiên cứu - Tổng hợp tìm hiểu và nghiên cứu từ các tư liệu liên quan. - Phân tích, đánh giá các kỹ thuật tấn công. Đưa ra các giải pháp phòng chống ở các mức. - Thiết kế bảng cơ sở dữ liệu, xây dựng Web demo để tìm kiếm và phát hiện các lỗi bảo mật, từ đó ngăn ngừa kẻ tấn công lợi dụng các lỗi bảo mật để tấn công website. Cấu trúc khóa luận 8 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 8 of 128. Header Page 9 of 128. Khóa luận tốt nghiệp được chia làm 3 chương: Chương 1: Tổng quan về website Chương 2: Khảo sát hiện trạng Chương 3: Các phương pháp tấn công website và cách phòng chống 9 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 9 of 128. Header Page 10 of 128. CHƯƠNG 1: TỔNG QUAN VỀ WEBSITE 1.1. Tổng quan World Wide Web đã được tạo ra vào năm 1990 của CERN bởi kỹ sư Tim Berners - Lee. Ngày 30 tháng 4 năm 1993, CERN thông báo rằng World Wide Web sẽ được miễn phí để sử dụng cho bất cứ ai. Website là một tập hợp các trang web (web pages) bao gồm văn bản, hình ảnh, video, flash,… thường chỉ nằm trong một tên miền (domain name) hoặc tên miền phụ (subdomain). Website được lưu trữ (web hosting) trên webserver có thể truy cập thông tin. Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng internet – nơi giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung cấp… Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giao dịch với các khách hàng, đối tác trên internet. Website động (Dynamic website) là website có cơ sở dữ liệu, được cung cấp công cụ quản lý website (admin tool). Đặc điểm của website động là tính linh hoạt và có thể cập nhật thông tin thường xuyên, quản lý các thành phần trên website dễ dàng. Loại website này thường được viết bằng các ngôn ngữ lập trình như PHP, ASP.NET, JSP, Perl,…, quản trị cơ sở dữ liệu bằng SQL hoặc MYSQL… Website tĩnh do lập trình bằng ngôn ngữ HTML theo từng trang, không có cơ sở dữ liệu và không có các công cụ quản lý thông tin website. Thông thường website tĩnh được thiết kế bằng các phần mềm như FrontPage, Dreamwaver… 10 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 10 of 128. Header Page 11 of 128. Đặc điểm của website tĩnh là ít thay đổi nội dung, sự thay đổi nội dung này thường liên quan đến sự thay đổi các văn bản đi kèm thể hiện nội dung trên đó. Hiện nay, hầu hết các doanh nghiệp đều sử dụng website động, thế hệ công nghệ website được mọi người biết đến là web 2.0, web 3.0 và công nghệ mới nhất hiện nay là web office. Tên miền (domain): tên miền chính là địa chỉ website, trên internet chỉ tồn tại duy nhất một địa chỉ (tức là tồn tại duy nhất một tên miền). Có hai loại tên miền:  Tên miền Quốc tế: do Trung tâm quản lý tên miền quốc tế cấp: thường có đuôi .com, .net, .biz, .info,…Tên miền loại này dễ mua, giá rẻ nhưng cũng dễ bị kẻ tấn công ăn cắp tên miền.  Tên miền của các quốc gia: do Trung tâm quản lý tên miền của mỗi quốc gia quản lý. Tên miền Việt Nam có đuôi vn, com.vn, edu.vn, gov.vn,… do VNNIC quản lý. Muốn sử dụng tên miền này cần làm hồ sơ đăng ký và thanh toán phí khá cao gồm phí đăng kí đóng 1 lần và phí duy trì hàng năm. Tuy nhiên tên miền này được cho là thể hiện sự nghiêm túc và chuyên nghiệp cho doanh nghiệp và không bị ăn cắp tên miền. Lưu trữ website: dữ liệu thông tin của website phải được lưu trữ trên một máy tính luôn hoạt động và kết nối với mạng Internet. Một máy chủ có thể lưu trữ nhiều website, nếu máy chủ này bị sự cố chẳng hạn tắt trong một thời điểm nào đó thì không ai có khả năng truy cập được những website lưu trữ trên máy chủ tại thời điểm bị sự cố. Tùy theo nhu cầu lưu trữ thông tin mà doanh nghiệp có thể thuê dung lượng thích hợp cho website. 11 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 11 of 128. Header Page 12 of 128. Dung lượng host: là nơi để lưu trữ cơ sở dữ liệu của website (hình ảnh, thông tin,…), đơn vị dung lượng là MB hoặc GB. Băng thông hay dung lượng đường truyền là tổng số MB dữ liệu tải lên máy chủ hoặc tải về từ máy chủ nơi đặt website, đơn vị đo thông thường là MB/tháng. 1.2. Các dịch vụ và ứng dụng trên nền web - Với công nghệ hiện nay, website không chỉ đơn giản là một trang tin cung cấp các tin bài đơn giản. Những ứng dụng viết trên nền web không chỉ được gọi là một phần của website nữa, giờ đây chúng được gọi là phần mềm viết trên nền web. - Có rất nhiều phần mềm chạy trên nền web như google documents, email,… - Một số ưu điểm của phần mềm hay ứng dụng chạy trên nền web:  Mọi người đều có trình duyệt và bạn chỉ cần trình duyệt để chạy phần mềm.  Phần mềm luôn luôn được cập nhật vì chúng chạy trên máy chủ.  Luôn sẵn sàng 24/7.  Dễ dàng sao lưu dữ liệu thường xuyên.  Có thể truy cập mọi lúc, mọi nơi, miễn là bạn có mạng.  Chi phí triển khai cực rẻ so với phần mềm chạy trên desktop. Hãy hình dung bạn có một phần mềm quản lý bán hàng hay quản lý công việc ở công ty. Không phải lúc nào bạn cũng ở công ty, với phần mềm viết trên nền web, bạn có thể vào kiểm tra, điều hành ở bất cứ đâu, thậm chí bạn chỉ cần một chiếc điện thoại chạy được trình duyệt mà không phải cần đến một chiếc máy tính. 12 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 12 of 128. Header Page 13 of 128. CHƯƠNG 2: KHẢO SÁT HIỆN TRẠNG 2.1. Tình hình an ninh mạng thế giới Năm 2012, Kaspersky đã làm cuộc khảo sát về tình hình an ninh mạng 2012 với giám đốc điều hành của 3.300 công ty thuộc 22 quốc gia trên thế giới: trong đó có 30% là doanh nghiệp nhỏ, 41% doanh nghiệp vừa và 29% là doanh nghiệp lớn. Kết quả cho thấy 50% rủi ro kinh doanh của các doanh nghiệp là từ các mối đe dọa qua mạng, 26% là các vấn đề liên quan đến an ninh mạng. Những báo cáo trên chỉ ra rằng, các đợt tấn công của kẻ tấn công nhằm vào các doanh nghiệp hiện đang ngày càng gia tăng. Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới. Năm 2012, một cuộc tấn công nhằm vào các ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn. Theo Prolexic, một công ty về hạn chế các cuộc tấn công từ chối dịch vụ phân tán (DDOS), đã đưa ra ý kiến về các cuộc tấn công này. Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng. Bằng việc lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ. Từ những nỗ lực của mình, Mỹ đã tìm ra những kẻ đứng sau những cuộc tấn công này là từ Iran nhằm trả thù vì những hình phạt kinh tế và các cuộc tấn công trực tuyến của Mỹ. 13 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 13 of 128. Header Page 14 of 128. Ông Lewis đã nói lưu lượng mạng làm nghẽn băng thông các site ngân hàng Mỹ nhiều gấp nhiều lần so với lưu lượng mà Nga đã nhằm vào Estonia trong cuộc tấn công trực tuyến dài cả tháng vào năm 2007, gần như đánh sập hệ thống mạng tại quốc gia Baltic này. Hình thức tấn công này làm tăng sự lo ngại về làn sóng các cuộc tấn công trực tuyến vào các ngân hàng Mỹ trong các tuần gần đây. Các nhà nghiên cứu an ninh nói rằng thay vì việc khai thác các máy tính riêng lẻ, những kẻ tấn công đã chiếm quyền điều khiển các mạng máy tính tại các trung tâm dữ liệu. “Phạm vi, mức độ và hiệu quả của các cuộc tấn công đó là chưa từng có từ trước đến nay”, Carl Herberger, phó chủ tịch các giải pháp an ninh tại Radware, một hãng an ninh từng nghiên cứu các cuộc tấn công vào các ngân hàng và các nhà cung cấp dịch vụ đám mây. Kể từ tháng 9 năm 2012, những kẻ xâm nhập trái phép đã gây ra những vụ phá hoại chính cho các site ngân hàng trực tuyến của Bank of America, Citigroup, Wells Fargp, U.S.Bancrop, PNC, Captital One,… Họ đã sử dụng các trung tâm dữ liệu cho công việc kinh doanh của các công ty hiện nay, nhưng kẻ tấn công có thể tận dụng các hệ thống hàng trăm, hàng ngàn máy chủ từ những hệ thống này cho các cuộc tấn công của mình. John Kindervag, một nhà phân tích tại Forrester Research nói: “Các tin tặc tấn công bằng việc tạo ra các mạng máy tính cá nhân hoặc bằng việc ăn cắp toàn bộ các tài nguyên từ các hệ thống đám mây quản lý kém”. Các nhà nghiên cứu tại Radware đã nghiên cứu các cuộc tấn công vào vài ngân hàng và đã thấy rằng cuộc tấn công này tới từ các trung tâm dữ liệu thế giới. Họ đã phát hiện nhiều dịch vụ đám mây và dịch vụ thuê đặt chỗ web 14 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 14 of 128. Header Page 15 of 128. (hosting) khác nhau bị lây nhiễm bởi một dạng phần mềm độc hại đặc biệt phức tạp, gọi là Itsoknoproblembro, đã được thiết kế để tránh bị dò tìm ra từ những chương trình diệt virus. Các botnet, hoặc các mạng máy tính cá nhân bị lây nhiễm với Itsoknoproblembro: họ gọi chúng là các bRobots. Ông Herberger đã từ chối nêu tên các nhà cung cấp dịch vụ đám mây nào đã khai thác, nhưng ông đã nói rằng mỗi cuộc tấn công vào một ngân hàng mới đã cung cấp bằng chứng ngày càng nhiều hơn các trung tâm dữ liệu đã bị lây nhiễm và khai thác. 2.2. Tình hình bảo mật ở Việt Nam Theo khảo sát mới nhất của Chi hội an toàn thông tin phía Nam (VNISA), tình hình an toàn thông tin năm 2012 vẫn ghi nhận xu hướng gia tăng của các cuộc tấn công, nhất là tấn công có chủ đích đối với các tổ chức, doanh nghiệp trong nước. Và mặc dù ý thức bảo mật của các đơn vị có phần tiến triển nhưng vẫn còn chưa đủ. Năm 2012, ghi nhận của Microsoft cho biết, có hơn 2.500 website của Việt Nam bị tin tặc tấn công, so với 300 website của năm 2011. Khảo sát của Chi hội an toàn thông tin phía Nam công bố: tấn công theo hình thức quấy phá, dò tìm và tấn công DOS đang gia tăng mạnh và gây thiệt hại tài chính nhất. Ông Trịnh Ngọc Minh – Phó chủ tịch an toàn thông tin VNISA phía Nam nhận định, tình hình an ninh mạng trong năm 2012 diễn biến theo xu hướng không có những vụ tấn công nổi cộm nhưng tấn công nhỏ lẻ dưới nhiều hình thức vẫn tăng. 15 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 15 of 128. Header Page 16 of 128. Bên cạnh đó sự bùng nổ của mã độc (malware) đang là điều đáng ngai nhất. Theo thống kê của PandaLab, có 80 ngàn mã độc mới xuất hiện mỗi ngày. Buôn bán mã độc trở thành một thị trưởng ngầm nguy hiểm. Vòng đời của mã độc từ khi được phát triển đến khi thành thương phẩm và hết tác dụng khoảng 2 năm. Sau một năm được rao bán, giá một mã độc có thể hạ từ 1.000 USD xuống còn 25 USD. Với mức giá này, bất cứ doanh nghiệp ở quy mô nào cũng có thể bị đe dọa. VNISA cho biết, trong các hình thức tấn công bằng mã độc đã phát hiện, có 30% tấn công do Trojan hay Rootkit, 30% là do virut và worm. Tỷ lệ các hình thức tấn công này trong năm 2012 đều tăng so với năm 2011. Ở Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro. Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, Chính phủ, mà cả những website của các công ty bảo mật hàng đầu của Việt Nam cũng bị tấn công. Tình trạng tấn công các website của doanh nghiệp bằng hình thức sử dụng nhiều máy tính truy cập gây tắc nghẽn hệ thống – DDOS hay thay đổi toàn bộ nội dung website. Các kiểu tấn công này làm tê liệt mọi giao dịch, thông tin tương tác với khách hàng, ảnh hưởng lớn đến hoạt động kinh doanh và uy tín của chủ website. Đây là hiện tượng báo động mà Doanh nghiệp cần lưu ý và có giải pháp phòng vệ. Đầu tháng 7 năm 2012, trang web của Trung tâm Đào tạo lập trình viên Aprotrain Aptech (AA) bị nhiều phụ huynh và học sinh phàn nàn vì truy cập khó khăn và hầu như không được vào trang web. Bộ phận kỹ thuật kiểm tra hồ sơ nhật ký thấy số lượng kết nối vào máy chủ tăng bất thường (chỉ trong thời gian 16 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 16 of 128. Header Page 17 of 128. ngắn, số kết nối tăng thêm 2.000 lượt), hiệu năng sử dụng RAM, CPU đều trên 90%... Giữa tháng 7 năm 2012, trang tin tức dành cho giới trẻ kenh14.vn cũng bị tấn công tương tự. Suốt từ 19 đến 22 giờ, người dùng rất khó truy cập vào trang web. Truy cập được thì giao diện bị thay đổi, các bài viết bị chèn vào những câu nói có ý đe dọa ban biên tập. Vụ tấn công cũng để lại những thắc mắc trong lòng độc giả kenh14.vn về độ tin cậy của các bài viết trên trang web này. Theo thống kê của Công Ty An ninh mạng Bkav, trung bình một tháng có đến 2.000 trang web của Việt Nam bị tấn công như trang web của Liên đoàn Bóng Đá Việt Nam, báo điện tử Vietnamnet, Unikey… 17 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 17 of 128. Header Page 18 of 128. CHƯƠNG 3: CÁC PHƯƠNG PHÁP TẤN CÔNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT 3.1. Giới thiệu chung về các phương pháp tấn công website Diện mạo những mối nguy về ứng dụng internet thay đổi một cách liên tục. Nguyên nhân chính về sự phát triển này là sự tiến bộ của kẻ tấn công, sự ra đời của những công nghệ mới và sự thiết lập của những hệ thống ngày càng phức tạp. Để theo kịp tiến độ này buộc người dùng web phải cập nhật thông tin hằng ngày. Các cuộc tấn công được thực hiện một cách tự động với nguyên nhân đa số là các lỗ hổng bảo mật. Đặc trưng của các cuộc tấn công là lưu lượng truy cập dữ liệu thay đổi nhanh chóng rồi tiếp theo là khoảng thời gian hoạt động nhẹ hơn. Con số thống kê dưới đây từ kết quả kiểm tra các ứng dụng web trong suốt từ năm 2007 đến năm 2011 cho thấy phần trăm các ứng dụng được tìm thấy bị ảnh hưởng bởi những nhóm lỗ hổng bảo mật thông dụng:  Broken Authentication (62%): nhóm lỗ hổng này gồm nhiều khuyết điểm khác nhau trong cơ chế đăng nhập của ứng dụng có thể cho phép kẻ tấn công đoán biết những mật khẩu kém, thực hiện tấn công brute-force (kiểu tấn công dùng cho tất cả các loại mã hóa) hoặc vượt qua phần đăng nhập.  Broken Access Control (71%): lỗ hổng này liên quan đến những trường hợp ứng dụng mắc lỗi bảo vệ quyền truy cập vào dữ liệu và tính năng của nó, nghiêm trọng hơn là cho phép kẻ tấn công thấy dữ liệu nhạy cảm của người dùng khác được lưu trữ trên máy chủ.  SQL Injection (32%): lỗ hổng này cho phép kẻ tấn công gửi mã độc để can thiệp vào phần tương tác của ứng dụng với cơ sở dữ liệu. Kẻ tấn công có thể lấy dữ liệu tùy ý từ ứng dụng, can thiệp vào phần logic của nó, hoặc thực thi lệnh trên máy chủ cơ sở dữ liệu. 18 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 18 of 128. Header Page 19 of 128.  Cross Site Scripting cripting (94%): lỗ hổng này cho phép kẻẻ tấn công nhằm vvào những người dùng ùng khác của c ứng dụng, nghiêm trọng làà có th thể tăng quyền truy cập vào dữ ữ liệu của họ, thực hiện các hành h động ộng không đđược chứng thực, ực, hoặc thực hiện các tấn công khác với họ.  Information Leakage eakage (78%): lỗ hổng này liên quan đến ến các tr trường hợp ứng dụng làm àm lộ lộ thông tin nhạy cảm giúp cho kẻ tấn công có thể phát triển ển một đợt tấn công vào v ứng dụng thông qua việc xử lý lỗi không triệt để hoặc các hành ành vi khác.  Cross Site Request Requ Forgery (92%): người dùng của ủa ứng dụng có thể bị thực ực thi những hành h động không được định hướng trên ên ứng dụng trong ngữ cảnh và mức ức độ quyền hạn của họ. Lỗ hổng hổng cho phép m một trang web độc hại được ợc ghé thăm bởi nạn nhân nhằm tương ương tác vvới ứng dụng để thực ực hiện những hành h động mà người dùng không có định ịnh hhướng. Hình 1: Các lỗi l bảo mật thông dụng nhất Tuy nhiên, các lỗi ỗi bảo mật này n đã được sửa chữa và có nhi hiều công cụ, phần mềm phòng chống vàà ngăn chặn. ch Do đó, đến năm 2012 đã xuất ất hiện th thêm nhiều kĩ thuật tấn công mới. 19 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 19 of 128. Header Page 20 of 128. Hội đồng các chuyên gia bảo mật đã xếp hạng những kĩ thuật tấn công trên web trong năm 2012 và các chuyên gia cũng đã liệt kê danh sách 10 kĩ thuật tấn công web hàng đầu sau quá trình đánh giá và ghi nhận. Dưới đây là 10 kĩ thuật tấn công web được các chuyên gia về bảo mật bầu chọn: - SQL Injection - Cross Site Scripting - Broken Authentication and Session Management - Cross Site Resquest Forquery (CSRF) - Security Misconfiguration - Insecure Direct Object References - Insecure Cryptographic Storage - Failfure to Restrict URL Access. - Insufficient Transport Layer Protection. - Unvalidated Redirects and Forwards. 3.2. Broken Authentication and Session Management 3.2.1. Giới thiệu Broken Authentication and Session Management bao gồm tất cả các khía cạnh xử lý xác thực và quản lý phiên làm việc. Xác thực là một khía cạnh quan trọng của quá trình này nhưng ngay cả các cơ chế xác thực vững chắc cũng có thể bị suy yếu do chức năng quản lý có khe hở, bao gồm thay đổi mật khẩu, ghi nhớ mật khẩu, thay đổi tài khoản và nhiều chức năng khác. Vì các cuộc tấn công có thể xảy ra với nhiều ứng dụng web nên chức năng quản lý tài khoản phải yêu cầu xác thực lại ngay cả khi người sử dụng có phiên làm việc hợp lệ. Các ứng dụng web thường phải thiết lập phiên để theo dõi luồng các yêu cầu từ người dùng, giao thức HTTP không hỗ trợ khả năng này vì vậy các ứng 20 luan van thac si - luan van kinh te - khoa luan - tai lieu -Footer Page 20 of 128.