Luận văn tìm hiểu bài toán web an toàn và Đề xuất giải pháp firewall cho các Ứng dụng web

[1] Tìm hiểu các lễ hồng báo mật trong img dung web La: tim hiểu về 10 lỗ hỗng tiêu biểu theo tổ chức OW ASP đánh giá vào năm 2017 OWASP Top 10 [2] Giải pháp WAF được dé xuất cần đạt đư

Trang 1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG DẠI HỌC BÁCH KHOA HẢ NỘI

Đỗ Dức Nguyên

TÌM HIỂU BÀI TOÁN WEB AN TOÁN VÀ

Bh XUAT GTAI PHAP FIREWALL CHO CAC UNG DUNG WEB

Chuyên ngành: Mang máy tính và truyền thông dữ liệu

UẬN VĂN THẠC SĨ KỸ THUẬT _

MẠNG MÁY TÍNH VẢ TRUYỂN THÔNG DỠ LIỆU

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS Pham [uy Iloang

là Nội Nam 2018

Trang 2

Mue Ine

DANH MỤC CÁC KỶ HIỆU, CAC TU VIET TAT LẠHHHHH Ung 5

CHUONG 2: UNG DUNG WER VA CACL.G HONG BAO MAT PHOR BIÊN TRƠNG

2 Cée 16 héng bảo mật phổ biến trong ứng dụng web 11

21 Gidi thiguvé Open Web Application Security Project (OWASP) ul

2A, A2— Phá vỡ tỉnh xác thực — Broken Authentication 15

25 A3— Dễ lộ cáo dữ liệu nhạy cảm — Sensitive Data Exposure el

26 - A⁄4— Thực thể bên ngoài XML - XML External Entties (XXE) ¬—- 2.7 A5 — Thả vỡ kiếm soát truy cập — Broken access control - - TẾ 2⁄8 A6— Sai sói trong cầu hình an nứnh — Securily Misconfiguralion 16 2.9 AT - Thue thi md script — Cross-Site Scripting (XSS) - col 2.10 A8~— Giải tuần tự hóa không an loin - Insecure Deserializalion 17

211 A9 Sử dụng các thành phản có lỗ bóng dibiét Using Components with

2.12 Al0—Khéng di nhat ky giam sat — Insufficiont Logging & Monitoring 18

CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP TƯỜNG LỬA ỨNG DỤNG WHB 18

Trang 1

Trang 3

1 Tại sao cần tường lứa ứng dụng web? Hee, TU

2 Dễ xuất giải pháp tường lửa mã nguồn mở ModSecurity eecce.ss LỠ

31 Môhinhtriển khai ăn einieereieoeeoe 28

3.2 Hướng dân cải dật c2, tre reirieeoeeo TÓI

5 Thử nghiệm một số kịnh bán ấn công khai tác lễ hỗng 28

5.2 Thử nghiệm khai thác lỗ hỗng nhúng ma — Injection 29 5.3 Thữ nghiệm khai thác lỗ hồng phá vỡ tính xác thực - Broken Authentication34

5.4 Thữ nghiệm khi thác lỗ hồng thực thí mã seript XS 40

5.5 Đánh giá mức độ an toàn của một số website cụ thể, - - 43

CHƯƠNG 4: KẾT LUẬN sec — _

Trang 2

Trang 5

DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT

WAF Web Application Firewall: Tường lửa ứng dụng web

FIREWALL Tường lửa

HTTP (S) Hypertext Transfer Protocol (Secure): Giao thtre truyén tai

siéu van ban (bao mat)

OWASP Open Web Application Security Project: Du an vé bao mat

ứng dụng web

OWASP TOP 10 Open Web Application Security Project top 10: 10 lỗ hỏng

pho bién nhat theo OWASP

DATABASE Cơ sở đữ liệu

SQL Structured Query Language: ngén ngữ truy vân mang tỉnh

cau tric

PROXY May chủ trung gian giữa người dùng và máy chủ web

URL Uniform Resource Locator: Định vị Tài nguyên thông nhat

ID Identification: Dinh danh

XML eXtensible Markup Language: Ng6n ngit danh dau mo réng

BRUTE FORCE Một kiêu tân công bảo mật

CRS Core Rule Set: Bộ quy tắc cốt lõi

Trang 5

Trang 6

LOI CAM DOAN

Tôi xin cam đoàn đề tài nghiên cửu cổa tôi hoàn toàn do tôi tự làm đưới sự hưởng dẫn của thầy giáo TS.Phạm Huy Hoàng Những kết quả tìm hiểu và nghiên cứu lrình bảy trong luận văn lả hoán toàn trung thực và chưa tùng được công bố trong bãi cứ công Irình nào Tếu xây ra bắt cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện vả Nhà trường

Ngày 15 tháng 0Ð năm 2018

Tiọc viên

Để Đức Kguyên

Trang 3

Trang 8

[1] Tìm hiểu các lễ hồng báo mật trong img dung web La: tim hiểu về 10 lỗ hỗng tiêu

biểu theo tổ chức OW ASP đánh giá vào năm 2017 (OWASP Top 10)

[2] Giải pháp WAF được dé xuất cần đạt được các nhiệm vụ sau:

-_ Giải pháp có thể ngăn chặn được tin tặc khai thác các lễ hồng tiêu biểu

- _ Giải pháp phải cho phép người quản trị có thể cầu hình chính sách một cách linh hoạt

-_ Giải pháp phải có khả năng triển khai và áp đựng vảo thực tế

3 Hướng tiếp cận và giải quyết

Đầu tiên học viên cần tim hiểu về danh sách các lỗ hẳng bảo mật tiên biểu theo tổ chức OWASP đánh giá Danh sách đánh giá cân được đảm bảo là mói nhật khi thực hiện đề tài

Để quá trình tìm hiểu được hiệu quả, việo cải đối một máy chủ web chứa các lỗ hẳng để có

sau khi triển khai WAF

Các nội dụng thực biện trong đề tài:

- Tim hiểu các lỗ hồng bảo mật trong ứng dung web (OWASP Top 10)

-_ Từm hiểu, cài đặt, thử nghiệm một máy chủ web chứa các lỗ hồng và một phan mém

mã nguồn mở W AI ModSecurity

- _ Xây đng bộ chính sách ngăn chặn khai thác các lễ hồng

- _ Thử nghiệm giải pháp bằng cách khai thác cáo lỗ

và sau khi triển khai W AE

4 Bồ cục của luận văn

ổng và so sảnh kết quả trước khi

Bé cục luận vấn được chữa thành 5 chương như sau

Chương 1: Mở đầu: Mô tả chỉ tiết vẻ mục tiêu, nhiệm vụ đê tải và hướng tiếp cận

Chương 2: Ứng dụng web và các lỗ hồng báo mật trong ứng dụng web : Nghiễn

cứu cơ số lý thuyết về ứng dụng web và các lỗ hổng bão mật trong ứng dung web theo đánh giả của tổ chức OWASP

Chương 3: Dé xual piai pháp Lường lửa ứng dụng web: Tìm hiểu và để xuất muội giải

pháp tưởng lửa ứng dụng wcb, bao gồm các nội dung: (1) Giới thiệu giải pháp, (2) Mô hình

Trang 9

ứng dụng web

cau tric

Trang 5

Trang 10

ứng dụng web

cau tric

Trang 5

Trang 11

DANH MỤC CÁC HÌNH VẼ

a

Hinh 2.2 Các tiêu chí đánh giả rủi ro lồ hong 12

Hinh 3.1 Các pha trong hoạt động của ModSecurity 23

Hinh 3.2 M6 hinh tich hop vao web server (embedded) +

Hình 3.3 Mô hình tich hop reverse proxy 37

Hình 3.4 Mô hình thử nghiệm 29

Hình 3.5 Máy chủ web OWASP Mutillidae 30

Hinh 5.1 Giao diện WAF-FLE 53

Trang 7

Trang 13

ứng dụng web

cau tric

Trang 5

Trang 14

a

Trang 7

Trang 15

ứng dụng web

cau tric

Trang 5

Trang 17

Trang 9

Trang 18

CHƯƠNG 1: MỞ ĐẦU

1 Lý do chọn dé tai

‘thy trang an toản thông tín tại Việt Nam ngảy cảng điễn biến phức tạp và nguy hiểm Các cuộc tắn công mạng cỏ quy mô, mức độ phức tạp và được chuẩn bị một cảch kỹ lưỡng Trong đó, các mục tiêu tân công đang đàn chuyển dịch từ các mnục tiêu cá nhân, sang các mục tiêu lá các tập đoản kinh tế lớn hay nghiệm trọng hơn là các hệ thông thông tin quan

trọng của các quốc gia Ilàng loạt các hệ thống website của các Ngân hàng lớn, doanh

nghiệp lớn đã bị tấn công gây thiệt bại đáng kể [19]

Thực tế với tỉnh hình hiện nay, các ứng dung web ngày một nhiễu Sự thay đối chóng

mặt của công nghệ đã giúp ứng đụng web được cải tiến nâng cao rât nhiễu, và vấn đẻ báo

mật cho ứng dụng web không ngừng tầng lên Một khi ứng đụng web bị rò rí lỗ hồng, các tun the sé dé dang chiếm quyền quân trị web, tmg dung va phần mềm của công ty Nguyên nhân dẫn đểi e ứng dụng web bị rò rỉ thông lim, cáo nguy cơ về lỗ hồng, là do các đoạn

mã lệnh, mã code không phủ hợp trong ứng dụng web Chỉ cân một lỗ hỗng, tín tặc cũng:

có thể xâm nhập và truy cập vào cơ số đữ liệu, thông lu và thực hiện các hành vị sai trái như đánh cấp, thay đổi, chỉnh sửa, ruã hóa đữ Hộu L11]

Dé déi phỏ với các nguy cơ rồi ro đỏ, có rất nhiễu công cụ, giải pháp được phát triển

độc tử tin tặc Các giải pháp dỏ được gọi là tưởng lửa ứng dung web (Web Application Firewall 1WAF) WAF lả một thiết bị phẩn cửng hoặc phần mềm được cài lên máy chủ

có chức năng theo dõi các thông tin được truyền qua giao thức hifp/https giữa trình duyệt của người đúng vả máy chủ web tại lớp 7 Một WAE có khá năng, thực thị các chính sách bảo mật đựa trên các đầu hiệu tắn công, các giao thức tiêu chuẩn và các lưu lượng truy cập

ác Úng dụng web khỏi cáo lỗi bao mal va od

ủng dựng web bắt thường, Dây là điều mả các tường lửa mạng khác không làm được

'Với mong muén phan tich va tim hiểu sâu hơn vẻ các lỗ hồng trong ứng đụng web cũng như phương thức hoạt động, khả năng ngăn chặn của WAT, học viên đã lựa chọn đẻ tải

*“Tìm biểu bài toán Web an toàn và để xuất giải pháp Firewall che cic ing dung Web” làm luận văn tốt nghiệp của mình

2 Nhiệm vụ đặt ra che dé tai

Nhiệm vụ của đề tải này là tìm hiểu cáo lễ hỏng bảo mật trong ứng dung web va dé xuat mội giải pháp WAT để báo vệ ứng đụng web khôi các lỗ hẳng bảo mật đó Trong đó:

Trang 8

Trang 20

LOI CAM DOAN

Tiọc viên

Trang 3

Trang 22

LOI CAM DOAN

Tiọc viên

Trang 3

Trang 23

LOI CAM DOAN

Tiọc viên

Trang 3

Trang 27

ứng dụng web

cau tric

Trang 5

Trang 28

a

Trang 7

Trang 29

a

Trang 7

Trang 30

LOI CAM DOAN

Tiọc viên

Trang 3

Trang 31

Trang 9

Trang 32

a

Trang 7

Trang 33

a

Trang 7

Trang 34

LOI CAM DOAN

Tiọc viên

Trang 3

Trang 35

Trang 9

Trang 36

ứng dụng web

cau tric

Trang 5

Trang 37