ĐỀ TÀI Khoa CNTT – ĐH Công nghiệp thành phố Hồ Chí Minh Tìm hiểu Modsecurity demo tính năng ĐỀ TÀI TÌM HIỂU MOD SECURITY VÀ DEMO TÍNH NĂNG MSSV Họ Tên Lớp 10348551 Nguyễn Đức Lợi DHTH4ATLT 10321271 Dương Hiễn Lãm DHTH4BTLT 10356381 Nguyễn Phạm Hoàng Duy DHTH4BTLT 10244481 Trịnh Minh Tiến DHTH6C 09076271 Trần Công Chính DHTH5C 11234421
Trang 1M c L c ụ ụ
Chương 1: Hoạt động của ứng dụng web và cá kiểu tấn công web 3
I HTTP và Web Server 3
1 HTTP là gì ? 3
2 Web Server 4
Các tiến trình cơ bản 4
Internet 5
Máy chủ và máy khách 6
Địa chỉ IP (IPaddress) 7
Các máy chủ tên miền (Name servers) 8
Cổng (Ports) 9
Giaothức (Protocols) 11
II Các phương pháp tấn công webiste 13
1 Tấn công từ chối dịch vụ 13
2 Tấn công Phishing: 16
3 Tấn công CROSS-SITE SCRIPTING 17
4 Tấn công SQL-injection 18
5 Tấn công Session Hijacking 19
6 Tấn công Social Engineering 20
7 Tấn công dựa trên các lỗ hổng của website 21
Chương 2: Modsecurity 22
I Các khả năng của mod_security 22
II Cài đặt 24
1 Download mod_security: 24
2 Trước khi cài đặt 24
3 Giải nén 25
4 Biên dịch 25
Trang 25 Tích hợp modsecurity vào apache 25
6 Khởi động lại apache 25
III Cấu hình cơ bản 25
1 File cấu hình 25
2 Turning Rule on and of 25
3 SecDefaultAction 26
IV Rules 26
1 Xây dựng rules như thế nào? 26
2 Cấu trúc của rules 27
2.1 Variables 28
2.2 Collections 30
2.3 Operators 30
2.4 Actions 31
V Logging 32
1 Debug Log 32
2 Audit logging 33
3 Tuỳ biến thông tin log 34
VI Xây dựng chính sách trên Modsecurity chống lại một số tấn công 34
1 SQL Injection 34
2 XSS Attack 35
3 Website defacement 35
4 Brute force attacks 36
5 Directory indexing 36
6 Detecting the real IP address of an attacker 37
7 Một số tấn công khác 37
VII Tài liệu tham khảo 39
Trang 3Chương 1: Hoạt động của ứng dụng web và cá kiểu tấn công web
I HTTP và Web Server
1 HTTP là gì ?
HTTP là chữ viết tắt từ HyperText Transfer Protocol (giao thức truyền tải siêuvăn bản) Nó là giao thức cơ bản mà World Wide Web sử dụng HTTP xác địnhcách các thông điệp (các file văn bản, hình ảnh đồ hoạ, âm thanh, video, và cácfile multimedia khác) được định dạng và truyền tải ra sao, và những hành độngnào mà các Web server (máy chủ Web) và các trình duyệt Web (browser) phảilàm để đáp ứng các lệnh rất đa dạng Chẳng hạn, khi bạn gõ một địa chỉ WebURL vào trình duyệt Web, một lệnh HTTP sẽ được gửi tới Web server để ra lệnh
và hướng dẫn nó tìm đúng trang Web được yêu cầu và kéo về mở trên trìnhduyệt Web Nói nôm na hơn, HTTP là giao thức truyền tải các file từ một Webserver vào một trình duyệt Web để người dùng có thể xem một trang Webđang hiện diện trên Internet.HTTP là một giao thức ứng dụng của bộ giao thứcTCP/IP (các giao thức nền tảng cho Internet)
Có một tiêu chuẩn chính khác cũng điều khiển cách thức World Wide Weblàm việc là HTML (HyperText Markup Language, ngôn ngữ đánh dấu siêu vănbản), có chức năng quản lý cách thức mà các trang Web được định dạng vàhiển thị
người ta gọi HTTP là một giao thức “phi trạng thái” (stateless) bởi vì mỗilệnh đều được thực thi một cách độc lập, lệnh sau không biết bất cứ điều gì vềcác lệnh đã đến trước mình Đây chính là một hạn chế, khiếm khuyết của HTTP
Nó là nguyên nhân chính của tình trạng rất khó thực thi các trang Web có khảnăng phản ứng thông minh đối với lệnh mà người dùng nạp vào Và sự hạn chếnày đang được các nhà phát triển khắc phục trong các công nghệ mới nhưActiveX, Java, JavaScript và cookies
Trang 4Phiên bản mới nhất của HTTP là 1.1 So với phiên bản nguyên thủy (HTTP1.0), phiên bản mới này truyền tải các trang Web nhanh hơn và giảm tình trạngtắc nghẽn giao thông Web.
2 Web Server
Các tiến trình cơ bản
Khi bạn ngồi trước máy tính và đang duyệt web trên Internet Có mộtngười bạn của bạn gọi điện thoại cho bạn và nói “Tôi vừa đọc một bài viết rấthay! Bạn hãy đánh vào địa chỉ sau và xem thử nhé, địa chỉ trang web đó làhttp://computer.howstuffworks.com/web-server.htm “ Khi bạn gõ vào địa chỉtrang web đó trên trình duyệt web và ấn Enter, và thật là kỳ diệu, trang web đó
đã hiển thị trên màn hình của bạn
Vậy, làm thế nào mà trang web có thể hiện thị được trên màn hình củabạn, cơ chế hoạt động của máy chủ Web như thế nào? Chúng tôi sẽ giúp bạnhiểu rõ hơn bằng bài viết dưới đây
Các bước cơ bản trong tiến trình truyền tải trang web đến màn hình củabạn được thể hiện theo mô hình sau:
Theo mô hình trên, trình duyệt web thực hiện một kết nối tới máy chủweb, yêu cầu một trang web và nhận lại nó Sau đây, là thứ tự từng bước cơbản xảy đến đằng sau màn hình của bạn:
Trình duyệt web tách địa chỉ website làm 3 phần:
1 Phần giao thức: (“http”)
2 Máy chủ tên miền: (www.howstuffworks.com)
Trang 53 Tên tệp: (“web-server.htm”)
Trình duyệt liên hệ với máy chủ tên miền để chuyển đổi tên miền
"www.howstuffworks.com" ra địa chỉ IP (Internet Protcol)
Sau đó, trình duyệt sẽ gửi tiếp một kết nối tới máy chủ có địa chỉ IPtương ứng qua cổng 80
Dựa trên giao thức HTTP, trình duyệt gửi yêu cầu GET đến máy chủ, yêucầu tệp "http://computer.howstuffworks.com/web-server.htm." (Bạn chú ý,cookies cũng sẽ được gửi kèm theo từ trình duyệt web đến máy chủ)
Tiếp đến, máy chủ sẽ gửi đoạn text dạng HTML đến trình duyệt web củabạn (cookies cũng được gửi kèm theo từ máy chủ tới trình duyệt web, cookiesđược ghi trên đầu trang của mỗi trang web)
Trình duyệt web đọc các thẻ HTML, định dạng trang web và kết xuất ramàn hình của bạn
Nếu bạn chưa từng bao giờ khám phá tiến trình trên, bạn sẽ gặp phải rấtnhiều thuật ngữ mới Để hiểu hiểu một cách chi tiết, bạn cần biết thêm về cáckhái niệm như địa chỉ internet (địa chỉ IP), các cổng (ports), các giao thức(protocol)… Đoạn viết sau sẽ giúp bạn hiểu rõ hơn
Internet
Internet là gì? Internet là tập hợp khổng lồ của hàng triệu máy tính, đượcnối với nhau trên một mạng máy tính Mạng máy tính này cho phép tất cả cácmáy tính trao đổi thông tin cho nhau Một máy tính đặt ở nhà có thể tham giavào mạng Internet thông qua đường điện thoại, đường thuê bao số hoặc cápmodem kết nối đến nhà cung cấp dịch vụ Internet (Internet service provider -ISP) Máy tính trong các công ty, trường học thường có 01 card mạng (Networkinterface Card - NIC) để kết nối trực tiếp vào mạng nội bộ (Local Area Network)của công ty hoặc trường học Mạng nội bộ của công ty, trường học sẽ được nốitới nhà cung cấp dịch vụ Internet ISP bằng một đường điện thoại có tốc độ cao,
Trang 6ví dụ như đường T1 Mỗi đường T1 có thể đạt tốc độ 1.5 triệu bit trên 1 giây,trong khi một kết nối điện thoại thông thường chỉ đạt 30.000 đến 50.000 bíttrên giây.Những nhà cung cấp dịch vụ ISP sẽ nối tới nhà cung cấp dịch vụInternet lớn hơn…Đối với các đường kết nối chính trong một quốc gia hay khuvực, nhà cung cấp dịch vụ Internet thường sử dụng sợi cáp quang Hệ thốngđường cáp chính trên toàn thế giới được kết nối bằng các loại đường sợi cápquang, cáp đi ngầm dưới biển hoặc bằng hệ thống vệ tinh (satellite) Bằng cáchnhư vậy, thì mỗi một máy tính trên Internet đều được kết nối với nhau trênInternet
Nhìn chung, máy tính trên Internet có thể được chia làm loại: Máy chủ vàmáy khách Máy chủ là loại máy tính cung cấp dịch vụ (máy chủ dịch vụ web,máy chủ dịch vụ thư điện tử) đến các máy khác Máy khách là những máy tínhđược sử dụng để kết nối tới các dịch vụ trên các máy chủ Khi bạn kết nối tới
Trang 7Yahoo! đang sử dụng một máy tính, được gọi là máy chủ (cũng có thể là mộtnhóm các máy chủ có cấu hình lớn) được kết nối trên Internet, nhằm cung cấpdịch vụ cho bạn Ngược lại, máy tính của bạn có thể không cung cấp dịch vụnào trên Internet để người khác truy cập, do đó nó chỉ được coi là máy tính sửdụng thông thường, hay còn gọi là máy khách.
Một máy chủ có thể cung cấp một hay nhiều dịch vụ trên Internet Ví dụ,một máy chủ thì có thể có nhiều phần mềm chạy trên nó, cho phép nó hoạtđộng như là máy chủ web, máy chủ email hoặc máy chủ FTP Các máy trạm kếtnối tới máy chủ thường với “mục đĩch” cụ thể, nó hướng yêu cầu của mình tớimột máy chủ có ứng dụng phù hợp với “mục đích” đó, ví dụ nếu bạn đang chạychương trình duyệt web trên máy tính của bạn, có nghĩa máy tính của bạn đãkết nối tới máy chủ dịch vụ web Tương tự, chạy ứng dụng Telnet trên máy tínhcủa bạn sẽ kết nối tới máy chủ dịch vụ Telnet, chạy ứng dụng email sẽ kết nốitới máy chủ dịch vụ email…
Để tất cả máy tính trên Internet có thể liên hệ với nhau, mỗi máy tínhđược cung cấp một địa chỉ duy nhất trên Internet, gọi là IP Địa chỉ IP là viết tắtcủa từ Internet Protocol IP là một số 32 bít và được thể hiện dưới dạng con sốthập phân gồm có 4 “octet”, ví dụ 216.27.61.137.4 con số trong một địa chỉ IP được gọi là các “octet”, vì mỗi số có thể có giá trị từ 0 đến 255, có nghĩa mỗi
“octet” có đến 28 giá trị khác nhau
Địa chỉ IP là duy nhất đối với mỗi máy tính khi tham gia Internet Đối vớimáy chủ, địa chỉ IP là cố định Một máy tính, khi được kết nối Internet bằngđường line điện thoại thông qua modem, thì được cung cấp địa chỉ IP bởi nhàcung cấp dịch vụ Internet (ISP) Địa chỉ IP này là duy nhất cho mỗi lần kết nối,cũng đồng nghĩa nó sẽ thay đổi địa chỉ IP khác khi kết nối lần tiếp theo Theo
Trang 8cách này, thay vi phải cung cấp địa chỉ IP cho từng khách hàng truy cập, nhàcung cấp dịch vụ Internet ISP chỉ cần một địa chỉ IP cho một modem.
Nếu bạn làm việc trên hệ điều hành windows, bạn có thể xem rất nhiềuthông tin liên quan Internet được ghi vào cấu hình máy tính của bạn, bao gồmđịa chỉ IP hiện tại, tên máy bằng cách sử dụng lệnh WINIPCFG.EXE(IPCONFIG.EXE trên Windows 2000/XP) Trên máy Unix,để hiển thị địa chỉ IP,tên của máy tính, bạn chỉ gõ dòng lệnh nslookup tại dấu nhắc.Khi máy tính được kết nối Internet, thông số địa chỉ IP là quan trọng nhất giúpbạn kết nối tới máy chủ Ví dụ, trên trình duyệt web, bạn có thể gõ địa chỉ kếtnối http://209.116.69.66, lúc này, bạn đang kết nối kết máy chủ có địa chỉ IP là209.116.69.66 và máy chủ đó có dịch vụ Web server cho websiteHowStuffWorks
Thông thường, người dùng Internet không thể nhớ hết các con số trênđịa chỉ IP, và một lý do nào đó địa chỉ IP cũng có thể thay đổi Vì vậy, tất cả cácmáy chủ trên Internet đều phải có một tên sao cho dễ đọc, thường được gọi là
“tên miền” – Domain names Ví dụ, tên miền www.howstuffworks.com là tên
cố định, dễ đọc hơn so với việc phải nhớ địa chỉ IP 209.116.69.66.Tên miền www.howstuffworks.com gồm có 3 phần:
1 Tên máy ("www")
2 Tên miền ("howstuffworks")
3 Tên miền cấp một ("com")
Tên miền được quản lý bởi một công ty, tên là VeriSign VeriSign tạo ra các tênmiền “cấp một” và đảm bảo tất cả tên miền khác trong tên miền cấp một làduy nhất VeriSign cũng duy trì các thông tin liên quan đến mỗi địa chỉ tên miềntrên cơ sở dữ liệu “whois”
Trang 9Tên máy được tạo bởi công ty cung cấp dịch vụ lưu trữ tên miền “www” làtên máy phổ biến, nhưng nhiều nơi nó có thể được thay thế bởi tên khác, ví dụtên máy thể hiện một khu vực địa lý, ví dụ như “encarta.msn.com”, tên miềncủa Microsoft's Encarta encyclopedia, tên máy "encarta" được thay thế chowww
Tập hợp các máy chủ tên miền (domain name servers - DNS) ánh xạ các tênmiền dễ đọc tới các địa chỉ IP tương ứng Những máy chủ này lưu trữ cơ sở dữliệu tên miền ánh xạ đến địa chỉ IP, và chúng được bố trí nhiều nơi trên mạngInternet Các công ty, các nhà cung cấp dịch vụ Internet hoặc các trường đạihọc đều duy trì máy chủ tên miền cỡ nhỏ để ánh xạ các tên máy tới các địa chỉ
IP tương ứng Tại VeriSign, cũng có các máy chủ tên miền trung tâm sử dụng dữliệu được cung cấp bởi VeriSign để ánh xạ các tên miền đến địa chỉ IP
Nếu bạn gõ địa chỉ http://computer.howstuffworks.com/web-server.htmvào trình duyệt web, trình duyệt sẽ tách tên miền www.howstuffworks.com vàgửi nó tới máy chủ tên miền, sau đó máy chủ tên miền sẽ gửi ngược lại địa chỉ
IP đúng với tên miền www.howstuffworks.com
Trên máy chủ UNIX, bạn có thể biết các thông tin tương tự bằng cách sửdụng lệnh nslookup và đơn giản chỉ cần gõ vào một cái tênwww.howstuffworks.com trên dòng lệnh, câu lệnh sẽ tìm kiếm tên máy chủ vàchuyển địa chỉ IP tương ứng cho bạn
Như vậy, Internet được tạo thành bởi hàng triệu máy tính, mỗi máy sẽ cóđịa chỉ IP duy nhất Trong số đó, rất nhiều các máy tính là các máy chủ cungcấp dịch vụ cho các máy khác trên Internet, ví dụ như máy chủ e-mail, máy chủweb, máy chủ FTP, máy chủ Gopher, máy chủ Telnet…
Bất kỳ máy chủ khi cung cấp các dịch vụ trên Internet, đều sử dụng cổngđược đánh số Ví dụ, máy chủ chạy dịch vụ web và dịch vụ FTP, dịch vụ WEB
Trang 10thường dùng cổng 80, dịch vụ FTP dùng cổng 21 Các máy khách khi kết nối tớimột dịch vụ, thường chỉ rõ địa chỉ IP và kết nối qua một cổng cụ thể Trên Internet, mỗi dịch vụ đều có sẵn cổng tương ứng dưới đây là danh sáchcác dịch cụ và các cổng tương ứng:
Sau đó, nếu máy chủ của bạn được đặt tên là xxx.yyy.com, một người duyệtweb nào đó trên Internet sẽ kết nối tới máy chủ của bạn với địa chỉ là http://xxx.yyy.com:918 “:918” thể hiện số cổng, và luôn đi kèm với địa chỉ kết
Trang 11nối tới máy chủ của bạn Nếu không có số cổng, trình duyệt web sẽ hiểu máychủ cung cấp dịch vụ web qua cổng 80.
Khi máy khách kết nối tới một dịch vụ trên một cổng nào đó, nó thường truycập dịch vụ thông qua một giao thức cụ thể Giao thức là sự định nghĩa sẵncách thức mà đối tượng như phần mềm máy tính, trình duyệt web dùng để
“giao tiếp” với các dịch vụ mà chúng muốn sử dụng Giao thức thường là cácđoạn text và đơn giản là mô tả cách thức máy khách và máy chủ “đàm thoại vớinhau”
Giao thức đơn giản nhất là daytime protocol Nếu bạn kết nối tới cổng 13trên máy chủ có dịch vụ daytime, máy chủ sẽ gửi tới máy tính của bạn thông tinngày tháng và sau đó tự động ngắt kết nối
Trên hệ thống UNIX hỗ trợ dịch vụ trên, nếu bạn muốn thử, bạn có thể kếtnối bằng ứng dụng Telnet Ví dụ
Connection closed by foreign host
Trên hệ thống máy chủ Windows, bạn có thể truy cập dịch vụ trên bằng cách
gõ "telnet web67.ntx.net 13" tại dấu nhắc của MSDOS
Trong ví dụ này, “web67.ntx.net” là tên máy chủ UNIX, và số 13 là số cổngcho dịch vụ daytime Ứng dụng Telnet kết nối tới cổng 13, sau đó máy chủ gửitrả lại thông tin ngày tháng và ngắt kết nối
Trang 12Hầu hết các giao thức khác đều phức tạp hơn so với giao thức Daytime.Danh mục các giao thức được nêu trong tài liệu Request for Comment (RFC) tạiwebsite http://sunsite.auc.dk/RFC/.
Mỗi máy chủ Web trên Internet đều phải hỗ trợ giao thức HTTP Hình thức
cơ bản nhất của giao thức này được biểu diễn qua câu lệnh: GET Nếu bạn kếtnối tới máy chủ hỗ trợ giao thức HTTP và yêu cầu “GET tên tệp”, máy chủ sẽ trảlời bạn bằng việc gửi nội dung của tệp và sau đó ngắt kết nối Ví dụ như sau:
Connection closed by foreign host
Trong giao thức HTTP nguyên bản, bạn sẽ cung cấp đầy đủ đường dẫn củatên tệp, ví dụ như “/” hoặc “/tên tệp.htm” Sau đó, giao thức sẽ tự điều chỉnh
để có thể đưa ra một địa chỉ URL đầy đủ Điều này cho phép các công ty kinhdoanh dịch vụ lưu trữ có thể lưu trữ nhiều virtual domains (tên miền ảo), cónghĩa nhiều tên miền cùng tồn tại trên một máy chủ và sử dụng cùng một địachỉ IP duy nhất Ví dụ, trên máy chủ của HowStuffWorks, địa chỉ IP là209.116.69.66, nhưng nó có hàng trăm tên miền khác nhau cùng tồn tại
Trang 13II Các ph ươ ng pháp t n công webiste ấ
1 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là gì? : Tấn công bằng từ chối dịch vụ DoS (Denial
of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp
khả năng truy cập và sử dụng vào một dịch vụ nào đó Nó bao gồm làm trànngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ
(Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client).
DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậmchí cả một hệ thống mạng rất lớn Về bản chất thực sự của DoS, kẻ tấn công sẽchiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làmmất khả năng xử lý các yêu cầu dịch vụ từ các client khác
Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khácnhau Khởi thủy là lợi dụng sự yếu kém của giao thức TCP (Transmision ControlProtocol) để thực hiện tấn công từ chối dịch vụ cổ điển DoS (Denial of Service),sau đó là tấn công từ chối dịch vụ phân tán DdoS (Distributed Denial of Service)
và mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS(Distributed Reflection Denial of Service) Theo thời gian, xuất hiện nhiều biếnthể tấn công DoS như: Broadcast Storms, SYN, Finger, Ping, Flooding,… với mụctiêu nhằm chiếm dụng các tài nguyên của hệ thống (máy chủ) như: Bandwidth,Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,… làm hoạt động của hệthống bị quá tải dẫn đến không thể đáp ứng được các yêu cầu (request) hợp lệnữa Tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác ởchỗ nó không cho phép kẻ tấn công chiếm quyền truy cập hệ thống hay cóquyền thay đổi hệ thống Tuy nhiên, nếu một máy chủ tồn tại mà không thểcung cấp thông tin, dịch vụ cho người sử dụng, sự tồn tại là không có ý nghĩanên thiệt hại do các cuộc tấn công DoS do máy chủ bị đinh trệ hoạt động là vôcùng lớn, đặc biệt là các hệ thống phụ vụ các giao dịch điện tử Đối với các hệ
Trang 14thống máy chủ được bảo mật tốt, rất khó để thâm nhập vào thì tấn công từchối dịch vụ được các hacker sử dụng như là “cú chót” để triệt hạ hệ thống
đó
a Các cách thức tấn công từ chối dịch vụ:
Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service):
Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chốidịch vụ
Tấn công từ chối dịch vụ kiểu phân tán – DdoS:
Xuất hiện vào mùa thu 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS
cao hơn gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếmdụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thốngngưng hoạt động Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điềukhiển nhiều máy tính/mạng máy tính trung gian (đóng vai trò zombie) từ nhiềunơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếmdụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nàođó
Trang 15 Tấn công từ chối dịch vụ phản xạ nhiều vùng RDDoS:
Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS Nó có kiểu tấncông SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính đểchiếm dụng băng thông như kiểu DDoS Kẻ tấn công thực hiện bằng cách giảmạo địa chỉ của server mục tiêu rồi gửi yêu cầu SYN đến các server lớn nhưYahoo, Micorosoft,… chẳng hạn để các server này gửi các gói tin SYN/ACK đếnserver mục tiêu Các server lớn, đường truyền mạnh đó đa vô tình đóng vai tròzoombies cho kẻ tấn công như trong DdoS
Trang 16Hacker thường đánh cắp thông tin người dùng bằng cách giả danh đểgiao tiếp với họ Ví dụ như email giả danh một mạng xã hội ảo ,giả danh yêucầu thanh toán trực tuyến hay như trong trường hợp xảy ra trong tuần rồi: giảdanh nhà cung cấp dịch vụ mail.
Các email này thường chuyển nạn nhân đến một trang web giả mạogiống hệt với trang web thật,làm cho họ nhầm lẫn và điền các thông tin nhạycảm vào, kết quả là các thông tin đó rơi vào tay các hacker
Do cách tấn công đơn giản nhưng lại hiệu quả cao nên phising nhanh
chóng trở thành một trong những kiểu tấn công phổ biến nhất trên mạng.Cáccuộc lừa đảo được tạo ra hàng ngày bởi với mục đích chung là đánh cắp thôngtin nhạy cảm của người dùng Internet
Trang 17Tấn công XSS là gì?
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS đểtránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấncông bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ) những thẻHTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho nhữngngười sử dụng khác Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầuhết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng
có thể là cả các thẻ HTML Kĩ thuật tấn công XSS đã nhanh chóng trở thành mộttrong những lỗi phổ biến nhất của Web Applications và mối đe doạ của chúngđối với người sử dụng ngày càng lớn Người chiến thắng trong cuộc thi eWeekOpenHack 2002 là người đã tìm ra 2 XSS mới Phải chăng mối nguy hiểm từ XSS
đã ngày càng được mọi người chú ý hơn
Tấn công XSS như nào?
Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng làcác yêu cầu (request) được gửi từ các máy client tới server nhằm chèn vào đócác thông tin vượt quá tầm kiểm soát của server Nó có thể là một requestđược gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL như là
Code:
http://www.example.com/search.cgi?query=<script>alert('XSS was found !');</script>
Và rất có thể trình duyệt của bạn sẽ hiện lên một thông báo "XSS wasfound !" Các đoạn mã trong thẻ <script> không hề bị giới hạn bởi chúng hoàntoàn có thể thay thế bằng một file nguồn trên một server khác thông qua thuộctính src của thẻ <script> Cũng chính vì lẽ đó mà chúng ta chưa thể lường hếtđược độ nguy hiểm của các lỗi XSS Nhưng nếu như các kĩ thuật tấn công khác
có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc,
cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân
Trang 18trực tiếp là những người khách duyệt site đó Tất nhiên đôi khi các hacker cũng
sử dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bềmặt của website Thật vậy, XSS là những Client-Side Script, những đoạn mã này
sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệthống website nằm trên server Mục tiêu tấn công của XSS không ai khác chính
là những người sử dụng khác của website, khi họ vô tình vào các trang có chứacác đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới cácwebsite khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookiethậm chí máy tính bạn có thể sẽ bị cài các loại virus, backdoor, worm
Trang 19và password, remote execution, dump data và lấy root của SQL server Công cụdùng để tấn công là một trình duyệt web bất kì, chẳng hạn như InternetExplorer, Netscape, Lynx,
Tấn công SQL-injection như nào?
1 Dựa trên lỗi của cơ dở dữ liệu, qua đó Attacker tiếnhành khai thác lỗi trên website Thông thường, các cơ sở dữ liệu bị truy vấnqua đó, attacker có thể lấy được tài khoản của người dung
2 Thi hành lệnh bằng SQL injection Đây là một ví dụ:
‘; exec master xp_cmdshell ‘ping 10.10.1.2 –′
5 Tấn công Session Hijacking
Tấn công Session Hijacking là gì?
Session Hijacking là quá trình chiếm lấy một session đang hoạt động, nhằmmục đích vượt quaquá trình chứng thực truy cập bất hợp lệ vào thông tin hoặcdịch vụ của một hệ thống máy tính Khi một user thực hiện kết nối tới serverqua quá trình xác thực, bằng cách cung cấp ID người dùng và mật khẩu của