Tải bản đầy đủ (.pdf) (81 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Phương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.94 MB, 81 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH
GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG
THÔNG TIN ĐIỆN TỬ.

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI - 2016


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH
GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG
THÔNG TIN ĐIỆN TỬ.
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ:

0

60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT


(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TSKH HOÀNG ĐĂNG HẢI

HÀ NỘI - 2016


i

LỜI CAM ĐOAN
Tôi xin cam đoan, luận văn này là công trình nghiên cứu khoa học thực thụ của
cá nhân, được thực hiện dưới sự hướng dẫn khoa học của PGS.TSKH Hoàng Đăng
Hải.
Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong luận văn là
trung thực và chưa được công bố dưới bất kỳ hình thức nào.
Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình.
TÁC GIẢ LUẬN VĂN

Đào Hương Giang


ii

LỜI CÁM ƠN
Trước hết tôi xin bày tỏ sự cảm ơn đặc biệt tới PGS.TSKH Hoàng Đăng Hải
đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và
trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt
nghiệp.
Tôi xin cảm ơn các thầy cô trong Khoa Công nghệ thông tin, Khoa Quốc tế và
Đào tạo sau đại học – Học viện Công nghệ Bưu chính Viễn thông đã giúp đỡ và

truyền đạt kiến thức cho tôi trong suốt thời gian học tập và nghiên cứu tại trường.
Tôi xin cảm ơn các cấp lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã
chia sẻ, giúp đỡ và tạo điều kiện cho tôi hoàn thành luận văn này
Hà Nội, tháng 06 năm 2016

Đào Hương Giang


iii

MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... i
LỜI CÁM ƠN ……………………………………………………………………..ii
DANH MỤC TỪ VIẾT TẮT .................................................................................... vi
DANH MỤC CÁC BẢNG BIỂU ............................................................................ vii
DANH MỤC CÁC HÌNH VẼ................................................................................. viii
MỞ ĐẦU……... ..........................................................................................................1
CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN
THÔNG TIN CỦA CỔNG TTĐT ..............................................................................5
1.1

Khái quát về cấu trúc Cổng TTĐT. ...............................................................5
Tổng quan về Cổng TTĐT ......................................................................5
Cấu trúc Cổng TTĐT...............................................................................6

1.2

Tổng hợp dữ liệu về bảo mật của Cổng TTĐT, các loại điểm yếu................9
Tổng hợp dữ liệu về bảo mật của Cổng TTĐT .......................................9
Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT ..................10


1.3

Một số phương pháp thu thập thông tin về điểm yếu ..................................13
Phương pháp Footprinting .....................................................................13
Phương pháp Scanning ..........................................................................14

1.4

Xây dựng mô hình thu thập thông tin về điểm yếu......................................14
Mô hình chung dùng để thu thập thông tin về điểm yếu. ......................14

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp
Footprinting .......................................................................................................15
Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp Scanning
………………………………………………………………………...16
1.5

Phương pháp phân loại thông tin về điểm yếu.............................................16

Nhóm điểm yếu về sai sót trong nhập liệu (Injection; SQL injection, OS
injection hay LDAP injection…) ......................................................................16
Nhóm các điểm yếu về xác thực và quản lý phiên ................................17
Nhóm điểm yếu về kiểm duyệt nội dung đầu vào (Cross-Site Scripting
(XSS)) ………………………………………………………………………...18
Nhóm các điểm yếu phổ biến khác .......................................................19
Nhóm điểm yếu thuộc dạng Malware cổng thông tin ...........................19
1.6

Kết luận chương 1 ........................................................................................19



iv

CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN
CỦA CỔNG TTĐT ...................................................................................................21
2.1 Nghiên cứu, phân tích một số mô hình đánh giá điểm yếu ATTT ..............21
Mô hình đánh giá điểm yếu ATTT theo OWASP .................................21
Mô hình đánh giá điểm yếu ATTT tại các quốc gia trên thế giới ........21
2.2 Nghiên cứu, phân tích một số phương pháp đánh giá điểm yếu an toàn thông
tin của Cổng TTĐT. ..............................................................................................24
Phương pháp Black Box ........................................................................28
Phương pháp White Box .......................................................................28
2.3 Nghiên cứu, phân tích một số công cụ phần mềm cho thu thập thông tin, đánh
giá điểm yếu/ lỗ hổng bảo mật của Cổng TTĐT ..................................................33
Công cụ Acunetix WVS ........................................................................33
Công cụ OWASP Webscarab ................................................................34
Công cụ OWASP ZAP ..........................................................................34
Công cụ Burp Suite ...............................................................................35
Công cụ N-Stalker .................................................................................35
Công cụ Sandcat ....................................................................................36
Công cụ Kali linux.................................................................................36
2.4 Xây dựng mô hình đánh giá, các tiêu chí đánh giá, đưa ra phương pháp đánh
giá phù hợp với Cổng TTĐT . ...............................................................................38
Mô hình đánh giá ...................................................................................38
Các tiêu chí đánh giá .............................................................................43
2.5

Kết luận chương 2 ........................................................................................46


CHƯƠNG 3: THỬ NGHIỆM THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM
YẾU AN TOÀN THÔNG TIN CỦA MỘT CỔNG TTĐT. .....................................48
3.1 Khái quát về các đặc trưng kỹ thuật của Cổng TTĐT đánh giá ..................48
Giới thiệu về Cổng TTĐT .....................................................................48
Mô hình tổng quan.................................................................................48
Kiến trúc hệ thống .................................................................................49
Giao diện ...............................................................................................50
3.2

Xây dựng kịch bản thử nghiệm, các bài kiểm thử. ......................................50
Kịch bản thử nghiệm .............................................................................50
Các bài đo kiểm thử ...............................................................................51

3.3

Các bước thử nghiệm ...................................................................................64


v

3.4

Đánh giá thử nghiệm. ...................................................................................65
Kết quả thử nghiệm ...............................................................................65
Phân tích, đánh giá kết quả ....................................................................66

3.5

Kết luận chương 3 ........................................................................................67


KẾT LUẬN…………… ...........................................................................................68
Kết quả đạt được ...................................................................................................68
Hạn chế ..................................................................................................................69
Hướng phát triển tiếp theo ....................................................................................69
TÀI LIỆU THAM KHẢO .........................................................................................70


vi

DANH MỤC TỪ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

ATTT

An toàn thông tin.

CSRF

Cross Site Request Forgery

Kiểm tra giả mạo yêu cầu

DoS

Denial of Service


Tấn công từ chối dịch vụ

OWASP

The Open Web Application Dự án mở về bảo mật ứng dụng
Security Project

Web

SQL

Structured Query Language

Ngôn ngữ truy vấn cấu trúc

SSL

Secure Sockets Layer

Bảo mật tầng Socket

TCP/IP

Transmission

Control Bộ giao thức liên mạng

Protocol/ Internet Protocol
TLS


Transport Layer Security

Bảo mật tầng truyền tải

TTĐT

Thông tin điện tử.

TT&TT

Thông tin và truyền thông

URL

Uniform Resource Locator

Định vị Tài nguyên thống nhất
(hay đường dẫn nguồn tài nguyên
trên Internet

XSS

Cross-Site Scripting

Tấn công chèn mã độc


vii

DANH MỤC CÁC BẢNG BIỂU

Bảng 1- 1: Top các đơn vị được gửi cảnh báo nhiều nhất .................................................... 9
Bảng 2- 1: Các tiêu chí, chỉ tiêu và phương pháp đánh giá mức độ an toàn bảo mật của các
cổng thông tin điện tử………………………………………………………………………………25
Bảng 2- 2: Các modun trong từng bước đánh giá ATTT ..................................................... 39


viii

DANH MỤC CÁC HÌNH VẼ
Hình 1- 1: Các tính năng cơ bản của Cổng TTĐT ................................................................ 6
Hình 1- 2: Mô hình cổng TTĐT được dùng trong khối cơ quan hành chính Nhà nước ........ 7
Hình 1- 3: Cấu trúc Cổng TTĐT ........................................................................................... 7
Hình 1- 4: Mô hình chung khi thu thập thông tin về điểm yếu ............................................ 14
Hình 1- 5: Mô hình khai thác lỗi SQL Injection .................................................................. 17
Hình 1- 6: Mô hình khai thác lỗi về xác thực và quản lý phiên ........................................... 18
Hình 1- 7: Mô hình khai thác XSS ....................................................................................... 18
Hình 1- 8: Quá trình gửi và nhận kết quả của VirusTotal .................................................. 19
Hình 2- 1: Mô hình kiểm định ATTT của Mỹ………………………………………………22
Hình 2- 2: Mô hình ATTT của Pháp .................................................................................... 22
Hình 2- 3: Mô hình đánh giá ATTT của Anh ....................................................................... 23
Hình 2- 4: Mô hình đánh giá ATTT của Đức ...................................................................... 23
Hình 2- 5: Mô hình đánh giá ATTT của Hàn Quốc ............................................................. 24
Hình 2- 6: Sơ đồ mô tả các phương pháp đánh giá an toàn bảo mật Website .................... 27
Hình 2- 7: Sơ đồ hướng tấn công và mức độ ảnh hưởng của các tác nhân ........................ 43
Hình 3- 1: Mô hình tổng quan xây dựng Cổng TTĐT………………………………………….49
Hình 3- 2: Mô hình kiến trúc xây dựng Cổng TTĐT ........................................................... 49
Hình 3- 3: Giao diện Cổng TTĐT Học viện Công nghệ Bưu chính Viễn thông .................. 50
Hình 3- 4: Cách thức hoạt động của tấn công CRLF .......................................................... 56
Hình 3- 5: Xác thực người dùng khi truy cập vào ứng dụng ............................................... 58
Hình 3- 6: Vượt qua việc xác thực người dùng ................................................................... 58

Hình 3- 7: Giao diện trang add_reg ................................................................................... 60
Hình 3- 8: Tấn công Reflected or non-persistent không liên tục ......................................... 62
Hình 3- 9: Tấn công Stored or persistent vulnerability ....................................................... 62
Hình 3- 10: Tấn công DOM based or local XSS ................................................................. 63
Hình 3- 11: Nhập địa chỉ IP của Cổng TTĐT Học viện để rà quét ..................................... 64
Hình 3- 12: Quá trình rà quét Cổng TTĐT ......................................................................... 65
Hình 3- 13: Kết quả rà quét cổng TTĐT Học viện qua 3 lần quét ...................................... 65
Hình 3- 14: Tỉ lệ phân bổ các lỗi rà quét ............................................................................ 66


1

MỞ ĐẦU
Những năm gần đây đã xảy ra hàng loạt các cuộc tấn công Cổng TTĐT trên
toàn thế giới, từ việc thay đổi thông tin, hình ảnh đến việc làm sập các trang mạng.
Việc tấn công một Cổng TTĐT đã trở nên khá dễ dàng với những kẻ tấn công, trong
khi việc phát hiện, phòng ngừa, ngăn chặn từ phía quản trị mạng, quản trị Cổng TTĐT
còn lỏng lẻo, nhất là đối với các cơ quan, tổ chức Nhà nước.
Hầu hết các cơ quan, tổ chức Nhà nước đều đã xây dựng Cổng TTĐT. Cổng
thông tin này thực chết như một giao diện Web duy nhất của cơ quan, tổ chức phục
vụ cho việc tra cứu thông tin, gửi nhận email, điều hành tác nghiệp nội bộ… của tổ
chức thông qua mạng máy tính. Nói một cách khác, Cổng TTĐT là một trang web,
xuất phát từ đó người sử dụng có thể dễ dàng truy xuất đến các trang web nội bộ và
các dịch vụ thông tin khác của cơ quan, tổ chức trên mạng máy tính.
Thực tế cho thấy việc bảo mật Cổng TTĐT ở các cơ quan chính phủ hiện nay
đang còn tồn tại những yếu kém, vấn đề an toàn bảo mật chưa được quan tâm đúng
mức. Có thể thấy có rất nhiều lý do khiến cho tình trạng bảo mật thông tin còn yếu
kém ở Việt Nam nói chung và ở các tổ chức/ cơ quan nhà nước nói riêng. Dưới đây
là một số lý do chính:
Thứ nhất: Nguồn nhân lực công nghệ thông tin mỏng, đặc biệt là chưa có hoặc

rất ít đơn vị có chuyên viên bảo mật phụ trách riêng
Thứ hai: Sự nhận thức hạn chế về an toàn bảo mật của người sử dụng
Thứ ba: Chỉ coi trọng việc đăng tin và truy cập được đến Cổng TTĐT, chưa
coi trọng đến việc phát hiện và phòng ngừa điểm yếu của cổng
Thứ tư: Không rà quét thường xuyên các lỗ hổng bảo mật của Cổng TTĐT và
hạ tầng công nghệ thông tin của đơn vị
Thứ năm: Không cập nhật thường xuyên các bản vá lỗi cho Cổng TTĐT, cho
hệ thống thông tin của đơn vị
Việc đánh giá điểm yếu của Cổng TTĐT sẽ giúp các đơn vị có thể hiểu được
mức độ an toàn của Cổng TTĐT của mình, nhận thấy tầm quan trọng của việc phải
đảm bảo an toàn thông tin cho Cổng TTĐT từ đó các dữ liệu quan trọng mới có thể


2

được an toàn. Qua đó, đơn vị sẽ có ý thức hơn trong việc đảm bảo ATTT cho Cổng,
tăng cường các biện pháp an ninh và khả năng của đội ngũ quản trị viên. Hiện nay,
các quốc gia phát triển trên thế giới đều đã ý thức được vấn đề này, và ngày càng đầu
tư vào việc đánh giá mức độ an toàn của Cổng TTĐT. Tuy vậy, thì hầu hết các doanh
nghiệp, cơ quan, tổ chức tại Việt Nam chưa có các biện pháp đánh giá điểm yếu Cổng
TTĐT hoặc có nhưng mà chưa đầy đủ.
Để đánh giá được điểm yếu Cổng TTĐT, việc trước tiên là cần thu thập thông
tin. Những khó khăn đặt ra là: thu thập thông tin gì, thu thập bằng cách nào, các bước
thu thập như thế nào, sử dụng công cụ nào là tốt nhất… để có thể thu thập được thông
tin nhiều nhất.
Sau khi thu thập được thông tin, việc tiếp theo là phân loại thông tin về điểm
yếu. Việc phân loại cũng cần phải được thực hện và xem xét một cách có hệ thống.
Đây cũng chính là khó khăn tiếp theo của người thực hiện. Hiện tại, chưa có một bộ
tài liệu hay hướng dẫn chuẩn nào về việc phân loại thông tin điểm yếu dành cho Cổng
TTĐT. Chính vì vậy, một nhu cầu thực tế đặt ra là cần có phương pháp thu thập và

phân loại điểm yếu phù hợp cho Cổng TTĐT
Trên cơ sở thông tin đã thu thập và phân loại thông tin về điểm yếu, việc tiếp
theo là đánh giá điểm yếu ATTT cho Cổng TTĐT dựa theo các tiêu chí đánh giá. Các
tổ chức tiêu chuẩn thế giới đã đưa ra một số bộ tiêu chí chung cho đánh giá ATTT
như: ISO/IEC 15408, bộ tiêu chí OSWAP cho ứng dụng Web, các bộ tiêu chí của một
số quốc gia tự xây dựng khác. Tuy nhiên, qua nghiên cứu tìm hiểu, học viện chưa
thấy có đề xuất một bộ tiêu chí cụ thể nào cho đánh giá điểm yếu đối với Cổng TTĐT.
Chính vì vậy, việc xây dựng một bộ tiêu chí để đánh giá điểm yếu Cổng TTĐT là hết
sức cần thiết.
Chính vì những lý do trên, và nhận thấy việc cần thiết phải đảm bảo ATTT cho
Cổng TTĐT, học viên chọn đề tài “Phương pháp thu thập, phân loại và đánh giá
điểm yếu an toàn thông tin của cổng Thông tin điện tử”
Các trọng tâm nghiên cứu đặt ra đối với luận văn là:


3

Thứ nhất: Nghiên cứu về cấu trúc Cổng TTĐT, vấn đề bảo mật Cổng TTĐT,
các loại điểm yếu phổ biến trên các Cổng TTĐT
Thứ hai: Nghiên cứu, phân tích phương pháp thu thập, phân loại điểm
yếu ATTT của Cổng TTĐT. Đưa ra phương pháp phù hợp để thu thập, phân loại
điểm yếu ATTT.
Thứ ba: Nghiên cứu, phân tích một số mô hình, phương pháp, công cụ phần
mềm cho thu thập thông tin, đánh giá điểm yếu ATTT của Cổng TTĐT. Xây dựng
mô hình và các tiêu chí đánh giá điểm yếu phù hợp.
Thứ tư: Xây dựng một tập điểm yếu, tiêu chí đánh giá, các kịch bản thử
nghiệm, các bài đo kiểm thử và thực hiện thử nghiệm đánh giá một Cổng TTĐT.
Phạm vi của bài luận văn: Nghiên cứu về các điểm yếu an toàn thông tin của
Cổng TTĐT, phương pháp thu thập, phân loại điểm yếu và đánh giá điểm yếu an toàn
thông tin của Cổng TTĐT, xây dựng các bài đo, kịch bản thử nghiệm đánh giá điểm

yếu ATTT cho một Cổng TTĐT cụ thể.
Luận văn sử dụng các phương pháp nghiên cứu sau đây:
-

Phương pháp nghiên cứu lý thuyết: tổng hợp, thu thập, nghiên cứu tài liệu về an
toàn thông tin, các điểm yếu gây mất an toàn thông tin trên Cổng TTĐT hiện nay.
Các phương pháp thu thập, phân loại và đánh giá điểm yếu phổ biến hiện nay trên
thế giới và tại Việt Nam.

-

Phương pháp thực nghiệm: Trên cơ sở lý thuyết đưa ra hệ thống các bài đo để
đánh giá điểm yếu của Cổng TTĐTvà áp dụng đánh giá cho một Cổng TTĐT
thực tế tại Việt Nam hiện nay.
Nội dung của luận văn được trình bày trong các phần chính như sau:
Chương 1 trình bày phương pháp thu thập, phân loại điểm yếu an toàn thông tin
của Cổng TTĐT
Chương 2 nghiên cứu, phân tích phương pháp đánh giá điểm yếu an toàn thông
tin của Cổng TTĐT, một số công cụ phần mềm cho thu thập thông tin, đánh giá
điểm yếu của Cổng TTĐT, xây dựng mô hình đánh giá, các tiêu chí đánh giá.


4

Chương 3 thực hiện thử nghiệm thu thập, phân loại và đánh giá điểm yếu an toàn
thông tin của một Cổng TTĐT cụ thể. Kết quả cụ thể trong chương 3 là xây dựng
được các kịch bản thử nghiệm, các bài đo kiểm thử điểm yếu ATTT cho Cổng
TTĐT.



5

CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI
ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT
Chương 1 luận văn tập trung nghiên cứu về các phương pháp thu thập thông
tin về điểm yếu của Cổng TTĐT, dựa vào đó để xây dựng mô hình thu thập và phương
pháp phân loại điểm yếu.
1.1 Khái quát về cấu trúc Cổng TTĐT.

Tổng quan về Cổng TTĐT
Cổng Thông tin điện tử (Cổng TTĐT) được hiểu như một trang web mà từ đó
người sử dụng có thể dễ dàng truy xuất các trang web và các thông tin dịch vụ khác
trên mạng máy tính. Cổng TTĐT khởi đầu thường dùng cho các trang web khổng lồ
như Yahoo, Lycos,…Trong phạm vi của luận văn, khái niệm Cổng TTĐT được định
nghĩa như sau: Cổng Thông tin điện tử là điểm truy cập tập trung và duy nhất, tích
hợp các kênh thông tin, các dịch vụ và ứng dụng, phân phối tới người sử dụng thông
qua một phương thức thống nhất và đơn giản trên nền tảng Web [2]
Lợi ích lớn nhất mà Cổng TTĐT đem lại chính là tính tiện lợi, dễ sử dụng.
thay vì phải nhớ vô số các địa chỉ khác nhau cho các mục đích sử dụng khác nhau,
thì với một web như Cổng TTĐT người dùng chỉ cần nhớ địa chỉ của Cổng TTĐT
đó, ở đó nhà cung cấp dịch vụ đã tích hợp mọi thứ mà khách hàng cần. Ngày nay,
khái niệm Cổng TTĐT không chỉ sử dụng cho các trang web của các công ty truyền
thông lớn mà nó còn được áp dụng rộng rãi tại các doanh nghiệp, tổ chức của nhà
nước hoặc tư nhân, trường học hay là các cơ quan nhà nước cũng đều đã xây dựng
được Cổng TTĐT riêng.
Các loại Cổng TTĐT:
- Cổng thông tin công cộng (public portals)
- Cổng thông tin doanh nghiệp (Enterprise portals)
- Cổng giao dịch điện tử (Marketplace portals)
- Cổng thông tin ứng dụng chuyên biệt (Specialized portals)



6

Các tính năng cơ bản của Cổng TTĐT: Khả năng cá nhân hóa, tích hợp nhiều
loại thông tin, xuất bản thông tin, hỗ trợ nhiều môi trường hiển thị thông tin, khả năng
đăng nhập một lần, quản trị Cổng TTĐT và quản trị người dùng

Hình 1- 1: Các tính năng cơ bản của Cổng TTĐT

(Nguồn: Theo tạp chí Bưu chính viễn thông)

Cấu trúc Cổng TTĐT
Cổng TTĐT được thiết kế đặc biệt dành cho các cơ quan, tổ chức, doanh
nghiệp có nhu cầu phát triển hệ thống thông tin lớn trên môi trường web nhằm thực
hiện các giao tiếp trực tuyến và sử dụng Internet như một công cụ thiết yếu trong các
hoạt động cung cấp thông tin, giao tiếp, quản lý và điều hành.
Hiện nay, Cổng TTĐT được sử dụng rộng rãi tại khối các cơ quan hành chính
Nhà nước bao gồm các Bộ ngành, tỉnh/ thành phố, các sở ban ngành và các cơ quan
tổ chức trực thuộc Chính phủ. Ngoài ra, Cổng TTĐT đã mở rộng ra các doanh nghiệp
gồm các tổng công ty, các doanh nghiệp quy mô lớn, các tổ chức tài chính, ngân hàng,
trường học, bệnh viện và các tổ chức khác [2]


7

Hình 1- 2: Mô hình cổng TTĐT được dùng trong khối cơ quan hành chính Nhà
nước[2]

(Nguồn: voer.edu.vn)

Cấu trúc Cổng TTĐT bao gồm:

Hình 1- 3: Cấu trúc Cổng TTĐT [2]
(Nguồn: voer.edu.vn)
Các tính năng, ứng dụng và dịch vụ nền tảng
- Hệ thống quản trị và xuất bản nội dung (CMS)
- Khả năng tùy biến và cá nhân hóa (Customization/ Personalization)
- Đăng nhập một cửa (Single Sign On)
- Xuất bản thông tin (Content Sysdication)


8

- Tìm kiếm toàn văn nội dung thông tin (Full Text Search)
- Quản trị người dùng (Portal User Management)
- Hỗ trợ nhiều môi trường hiển thị thông tin (Multidevice Support)
- Khả năng tích hợp đa hệ thống (multi System Intergration)
- Khả năng mở rộng (Extensible)
- Khả năng bảo mật (Secutiry)
- Khả năng hỗ trợ đa ngữ (Multilingual)
Các ứng dụng, dịch vụ hành chính của Cổng TTĐT
- Thủ tục hành chính (Document Administration)
- Văn bản quy phạm pháp luật (Legal Text)
- Danh bạ các đơn vị hành chính (Directory)
- Hỏi đáp/ Tư vấn trực tuyến (QA)
- Dịch vụ hành chính công trực tuyến (Online Publication Services)
- Giao lưu trực tuyến (Online Conversation)
- Quản lý tư liệu, ấn phẩm điện tử (Document management)
Các ứng dụng, dịch vụ cộng tác của Cổng TTĐT
- Thư điện tử (Email)

- Diễn đàn thảo luận (Forum)
- Trò chuyện trực tuyến (Chat)
- Lịch làm việc (Calendar)
- Thăm dò dư luận (Survey)
- Gửi tin nhắn SMS (SMS Text Messenger)
Các ứng dụng, dịch vụ tiện ích của Cổng TTĐT
- Cấu trúc website (Site Map)
- Các câu hỏi thường gặp (FQA)
- Liên kết website (Web Links)
- Góp ý phản hồi (Feedback)
- Quản lý quảng cáo (Advertisement Management)
- Thư viện ảnh (Image Gallery)


9

- Thư viện đa phương tiện (Multimedia Library)
- Thống kê truy cập (Hit Counter)
- Thông tin thời tiết (Weather)
- Thông tin tỷ giá (Currency)
- Và nhiều ứng dụng, dịch vụ, tiện ích khác được phát triển theo yêu cầu, theo
đặc thù của đơn vị sử dụng Cổng TTĐT

1.2 Tổng hợp dữ liệu về bảo mật của Cổng TTĐT, các loại điểm yếu
Tổng hợp dữ liệu về bảo mật của Cổng TTĐT
Trong những năm gần đây, các công ty an ninh mạng trong và ngoài nước liên
tiếp đưa ra các cảnh báo về các cuộc tấn công mạng vào các Cổng TTĐT của các cơ
quan nhà nước. Điều này khiến cho chính phủ lo ngại về tình trạng mất an toàn thông
tin trong nước ngày càng cao[2]
Thực trạng bảo mật Cổng TTĐT tại các cơ quan nhà nước năm 2015:

Theo báo cáo của VNCERT về thực trạng bảo mật 2015: có tới 90% cơ quan,
tổ chức nhà nước phớt lờ cảnh báo về mức độ mất an toàn thông tin trên hệ thống
Cổng TTĐT thuộc cơ quan mình. VNCERT đã gửi rất nhiều cảnh báo đến các cơ
quan nhà nước nhưng chỉ một số ít đơn vị có phản hồi.
Chỉ riêng trong quý I/2015: có 365.644 lượt địa chỉ IP Việt Nam tham gia
mạng Botnet, tức đã nhiễm mã độc và sẵn sàng tấn công DDOS đến bất kỳ máy tính
nào trên thế giới. Trong các địa chỉ IP này, có 896 lượt địa chỉ IP là của các cơ quan
nhà nước.
Bảng 1- 1: Top các đơn vị được gửi cảnh báo nhiều nhất
STT

Cơ quan/ tổ chức

Lượt cảnh
báo

1.

Sở TT&TT Lai Châu

2317

2.

Bộ Giao thông Vận tải

777


10


3.

Sở TT&TT Hải Phòng

602

4.

Sở TT&TT Hà Tĩnh

518

5.

Sở TT&TT Lào Cai

439

6.

Sở TT&TT Nam Định

427

7.

Sở TT&TT Đồng Nai

407


8.

Sở TT&TT Điện Biên

403

9.

Sở TT&TT Khánh Hòa

374

10.

Sở TT&TT Cà Mau

349

Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: do lỗi của bản thân hệ
thống, do phần mềm cung cấp hoặc người quản lý yếu kém không hiểu sâu về các
dịch vụ cung cấp… Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau.
Có rất nhiều tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt, theo Bộ
quốc phòng Mỹ các loại lỗ hổng được phân làm 3 loại chính như sau:
Loại 1: Những lỗ hổng thuộc loại này cho phép kẻ tấn công thực hiện các hình
thức tấn công DoS. Với mức độ nguy hiểm thấp, chỉ ảnh hưởng đến chất lượng dịch

vụ, làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được
quyền truy cập bất hợp pháp.
Loại 2: Những lỗ hổng loại này thường cho phép người sử dụng có thêm các
quyền trên hệ thống mà không cần kiểm tra tính hợp lệ. Lỗ hổng này thường có trong
các ứng dụng, dịch vụ trên hệ thống, có mức độ nguy hiểm trung bình. Thông thường
những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được
quyền root không hợp lệ.


11

Loại 3: Những lỗ hổng thuộc dạng này cho phép người ngoài hệ thống có thể
truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống. Loại lỗ hổng
này có mức độ rất nguy hiểm đe dọa đến tính toàn vẹn và bảo mật thông tin của hệ
thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc
không kiểm soát được cấu hình mạng.
Một số lỗ hổng phổ biến trên Cổng TTĐT:
- Lỗi tràn bộ đệm (B-O)
- Lỗi không kiểm tra đầu vào (U-I)
- Các vấn đề với điều khiển truy cập (A-C)
- Các vấn đề với xác thực, ủy quyền hay mật mã (A-A-C) ….
Lỗi tràn bộ đệm: Lỗi tràn bộ đệm xảy ra khi một ứng dụng cố gắng ghi dữ
liệu vượt khỏi phạm vi bộ đệm (giới hạn cuối hoặc cả giới hạn đầu của bộ đệm). Lỗi
này có thể khiến ứng dụng ngừng hoạt động, gây mất dữ liệu hoặc thậm chí giúp kẻ
tấn công kiểm soát hệ thống và đệm chiếm một tỷ lệ lớn cho số các lỗi gây lỗ hổng
bảo mật. Không phải tất cả các lỗi tràn bộ đệm có thể bị khai thác bởi kẻ tấn công.
Các biện pháp phòng chống lỗi tràn bộ đệm:
- Kiểm tra mã nguồn bằng tay để tìm và vá các điểm có khả năng xảy ra lỗi
tràn bộ đệm;
- Sử dụng các công cụ phân tích mã tự động tìm các điểm có khả năng xảy ra

lỗi tràn bộ đệm;
- Đặt cơ chế không cho phép thực hiện mã trong Stack;
- Sử dụng các cơ chế bảo vệ Stack
Lỗi không kiểm tra đầu vào: Các dữ liệu đầu vào cần được kiểm tra để đảm
bảo đạt các yêu cầu về định dạng và kích thước
Các dạng dữ liệu nhập điển hình cần kiểm tra:
- Các trường dữ liệu text
- Các lệnh được truyền qua URL để kích hoạt chương trình
- Các tập tin âm thanh, hình ảnh, hoặc đồ họa do người dùng hoặc các tiến
trình khác cung cấp


12

- Các đối số đầu vào trong dòng lệnh
- Các dữ liệu từ mạng hoặc các nguồn không tin cậy
Các biện pháp phòng chống:
- Kiểm tra tất cả các dữ liệu đầu vào, đặc biệt dữ liệu nhập từ người dùng và
từ các nguồn không tin cậy;
- Kiểm tra định dạng và kích thước dữ liệu đầu vào;
- Kiểm tra sự hợp lý của nội dung dữ liệu;
- Tạo các bộ lọc để lọc bỏ các ký tự đặc biệt và các từ khóa của các ngôn ngữ
trong các trường hợp cần thiết mà kẻ tấn công có thể sử dụng
Các vấn đề với điều khiển truy cập: Nếu kiểm soát truy nhập bị lỗi, một
người dùng bình thường có thể đoạt quyền của người quản trị và toàn quyền truy nhập
vào hệ thống. Một kẻ tấn công có thể lợi dụng điểm yếu của hệ thống kiểm soát truy
nhập để truy nhập vào các tập tin trong hệ thống.
Phương pháp phòng chống:
- Không dùng tài khoản quản trị (Root hoặc Admin) để chạy các chương trình
ứng dụng;

- Luôn chạy các chương trình ứng dụng với quyền tối thiểu – vừa đủ để thực
thi các tác vụ;
- Kiểm soát chặt chẽ người dùng, xóa bỏ hoặc cấm truy nhập với những người
dùng ngầm định kiểu everyone, thực thi chính sách mật khẩu an toàn.
- Cấp quyền vừa đủ cho người dùng thực thi nhiệm vụ
Các vấn đề với xác thực, ủy quyền và mật mã
- Xác thực:
+ Mật khẩu được lưu dưới dạng rõ (plain text)  nguy cơ bị lộ mật khẩu rất
cao;
+ Sử dụng mật khẩu đơn giản, dễ đoán, hoặc dùng mật khẩu trong thời gian
dài;
+ Sử dụng cơ chế xác thực không đủ mạnh.
- Trao quyền: Cơ chế thực hiện trao quyền không đủ mạnh, dễ bị vượt qua.


13

- Các vấn đề với các hệ mật mã:
+ Sử dụng giải thuật mã hóa/giải mã yếu, lạc hậu (DES, MD4, MD5,...);
+ Sử dụng khóa mã hóa/giải mã yếu;
+ Các vấn đề trao đổi khóa bí mật;
+ Các vấn đề xác thực người gửi/người nhận;
+ Chi phí tính toán lớn (đặc biệt đối với các hệ mã hóa khóa công khai).
Các điểm yếu bảo mật khác: Các thao tác không an toàn với các tập tin:
- Thực hiện đọc/ghi tập tin lưu ở những nơi mà các người dùng khác cũng có
thể ghi tập tin đó;
- Không kiểm tra chính xác loại tập tin, định danh thiết bị, các links hoặc các
thuộc tính khác của tập tin trước khi sử dụng;
- Không kiểm tra mã trả về sau mỗi thao tác với tập tin.


1.3 Một số phương pháp thu thập thông tin về điểm yếu
Phương pháp Footprinting
Footprinting là bước đầu tiên trong các bước chuẩn bị cho một cuộc tấn công
mạng. Mục tiêu của phần Footprinting là thu thập cành nhiều thông tin về đối tượng
thì càng tốt, điều này đồng nghĩa với việc thu thập được càng nhiều thông tin về điểm
yếu thì càng tốt. [10]
Mục đích của Footpriting thì cần phải thu thập được các thông tin sau:
- Domain name:
+ Tìm kiếm thông tin về các Domain Name của tổ chức hay đơn vị đó
+ Phân tích và tìm kiếm Domain Name và các reacord của domain đó.
+ Các domain liên quan đến domain.
- IP Address:
+ Phát hiện các giải IP được tổ chức hay đơn vị đó sử dụng: IP Public, IP
Private.
+ IP của domain sử dụng
+ Các thông tin về IP bao gồm” ISP, vị trí, đường tới IP đó


14

+ Số lượng website hosting trên IP đó
- Website: Các IP hosting cho website, cấu trúc website, dowload website.
- Email Address: Email Tracke, tìm kiếm các email của domain hay tổ chức
đó, một vài kiến thức về Spam
- Tìm kiếm thông tin về con người hoặc tổ chức qua các trang mạng xã hội
- Google Hack: Sử dụng google để tìm kiếm các thông tin về tổ chức hay đơn
vị.

Phương pháp Scanning
Scanning là phương pháp rà quét và phát hiện các nguy cơ về điểm yếu, lỗ

hổng của đối tượng cần thu thập [10]
Vai trò của scan mạng: phát hiện Hosts Active trên mạng, Open Port,
Application/ services, OS, Vulnerability
Scan Open Port: Cấu tạo gói tin TCP, ý nghĩa của các flag trong gói TCP, các
dạng TCP Scan
Sử dụng các công cụ có sẵn trên mạng để Scan
Scan lỗ hổng và điểm yếu bảo mật
- Điểm yếu trên: network device, OS, Application, Services, Database,
Malware
- Điểm yếu bảo mật trên Web Server, Web Application

1.4 Xây dựng mô hình thu thập thông tin về điểm yếu
Mô hình chung dùng để thu thập thông tin về điểm yếu.

Hình 1- 4: Mô hình chung khi thu thập thông tin về điểm yếu


15

Việc thu thập thông tin về điểu yếu của trang web, tổ chức,… hiện nay được
thực hiện khá đơn giản như sau: Người thực hiện chỉ cần một máy tính cá nhân hoặc
PC có kết nối Internet. Máy tính sẽ được cài đặt các phần mềm, công cụ chuyên rà
quét website. Dựa vào kết quả report trả về của các công cụ, phần mềm đó người thực
hiện sẽ tiến hành phân loại thông tin về điểm yếu.

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp
Footprinting
Tìm kiếm phân tích về thông tin Domain Name của tổ chức:
- Sử dụng các công cụ đơn giản
+ Sử dụng lệnh Ping để biết IP của Domain name. Ngoài ra Ping còn có nhiều

options để người dùng lựa chọn.
+ Sử dụng Pathping, Traceroute để biết đường đi từ máy tính người dùng tới
máy đích và thời gian gói tin đi quan mỗi IP đó. Từ đó, có thể phân tích được một số
thông tin về IP, ISP, Location của Domain Name đó.
+ Sử dụng nslookup để biết số IP và các reacord được Public của Domain
Name đó.
+ Sử dụng các công cụ online: Sử dụng 2 website và
để xem xem các thông tin đăng ký của Domain như: email, ISP,…..
- Tìm kiếm phân tích các thông tin về giải IP của tổ chức
+ Sau khi sử dụng các công cụ như ping, tracer chúng ta có thể có được IP của
website cần khai thác. Từ thông tin IP đó, cần tìm kiếm các thông tin khác như: ISP,
Location và các thông tin khác liên quan tới IP đó.
+ Sử dụng các webdite chứa nhiều thông tin liên quan đến IP như

+ Tìm kiếm và phân tích xem IP đó đang Host tới những website nào.
- Tìm kiếm thông tin cơ bản về website: sử dụng công cụ Burpsuite để tạo một
Intercept Proxy và tiến hành truy cập vào trang web từ trình duyệt web đã thiết lập
proxy.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×