S0808J g8 bảo mật web server ngày 22 tháng1 năm 2011
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.32 MB, 17 trang )
Bảo Mật Web Server
Thực hiện : Bùi Vân Nam
Giáo viên hướng dẫn : Vũ Quý Hòa
NỘI DUNG TRÌNH BÀY
Web
server
Giao
thức SSL
Tệp
tin .htaccess
Một
số phương thức tấn công web server
Các giải pháp cần thiết bảo mật web server
Kết Luận
Web Server
Máy chủ có dung lượng lớn, tốc độ cao dùng để lưu trữ thông tin như một
ngân hàng dữ liệu, chứa website cùng những thông tin liên quan khác.
Có địa chỉ IP hoặc tên miền.
Khi máy tính của bạn kết nối đến một Web Server và gửi đến yêu cầu truy
cập các thông tin từ một trang Web nào đó, Web Server Software sẽ nhận
yêu cầu và gửi lại cho bạn những thông tin mà bạn mong muốn
Client mở trình duyệt kết nối đến WebServer
và yêu cầu một trang
Server gửi trả một trang theo
yêu cầu của client
Web Server
Phân
loại Web Server
Apache Web Server
Web
Server
IIS Web Server
Giao thức SSL
SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử
dụng làm việc với các trang Web ở chế độ an toàn.
SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
Xác thực: Đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia
của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác
thực của người sử dụng.
Mã hoá: Đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để
loại trừ việc nghe trộm những thông tin “nhạy cảm” khi nó được truyền qua
Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những
người khác ngoài người gửi và người nhận.
Toàn vẹn dữ liệu: Đảm bảo thông tin không bị sai lệch và nó phải thể hiện
chính xác thông tin gốc gửi đến.
Giao thức SSL
Cấu trúc của SSL và giao thức SSL
Tệp tin .htaccess
.htaccess là một tệp tin cấu hình đặc biệt, có dấu chấm "." đằng trước tên tập tin,
cho phép bạn thay đổi cách hoạt động của máy chủ Apache ở cấp thư mục.
Công dụng: phổ biến nhất vẫn là redirect, đặt pass cho cấp thư mục, bảo vệ
ngăn không cho ăn cắp tài nguyên, block IP .v..v.Tuy nhiên cơ bản nhất, tập tin
htaccess làm ẩn đi cấu trúc thư mục (khi không có file index), tránh được tình
trạng săm soi cấu trúc site nhằm bảo mật.
.htaccess chỉ có tác dụng đối với những tập tin ngang hàng (trong cùng thư mục
với nó) hoặc thư mục con. Với thư mục nó chỉ có tác dụng trong thư mục chứa
nó và [separator]thư mục con còn vô tác dụng với thư mục mẹ (parent
directory).
Một số phương thức tấn công
web server
A. SQL injection
SQL là gì ?
Là kiểu tấn công mà hacker sẽ “tiêm” các câu truy vấn SQL ( Structured
Query Language ) độc hại vào website. Hậu quả các cuộc tấn công SQL
injecton này có thể khiến cho CSDL của các website thay đổi, bị xóa hoặc bị
đánh cắp. Nguy hiểm hơn là lợi dụng lỗ hổng này mà hacker sẽ chiếm quyền
kiểm soát toàn bộ máy chủ.
Một truy vấn thông thường tới website
Hệ thống tồn tại lỗ hổng SQL Injection
Hệ thống không tồn tại lỗ hổng SQL Injection
Phòng chống SQL injection
•
Ta cần thực hiện việc cấu hình phân quyền chặt chẽ đối với
các tài khoản.
•
Cần loại bỏ các bảng, thành phần và tài khoản không cần thiết
trong hệ thống.
•
Tắt tất cả các thông báo lỗi không cần thiết của web server.
•
Cần bật các chế độ ghi log đầy đủ
•
Cần thường xuyên theo dõi và cập nhật phiên bản cho web
server
B. Local attacking
Phòng chống
• safe mode: off -> on
• Disable functions:
system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status,
proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual,
openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source
Mod security
• Zend Code :IonCube;phpcipher
• Antivirus program
.
C.Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn
những người dùng hợp lệ được sử dụng một dịch vụ nào đó.
Có năm kiểu tấn công cơ bản sau đây:
Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa
cứng hoặc thời gian xử lý
Phá vỡ các thông tin cấu hình như thông tin định tuyến
Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên
TCP.
Phá vỡ các thành phần vật lý của mạng máy tính
Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng
và nạn nhân dẫn đến việc liên lạc giữa hai bên không được thông
suốt.
Biểu đồ tấn công từ chối dịch vụ
Phòng
chống
Phòng ngừa các điểm yếu của ứng dụng
Phòng ngừa việc tuyển mộ zombie
Ngăn ngừa kênh phát động tấn công sử
dụng công cụ
Ngăn chặn tấn công trên băng thông
Ngăn chặn tấn công qua syn
Các giải pháp cần thiết bảo mật web
server
Sử dụng mod_security
Cài đặt firewall
Cập nhật phiên bản mới
Secure Web Server
(HTTPS)
Web
Server
Backup (Sao lưu
định kỳ)
Không cài đặt mặc định
Kết Luận
Việc kiện toàn bảo mật cho một web server liên quan đến
nhiều thủ thuật ở nhiều mức độ khác nhau. Chúng ta phải xác định
rõ chức năng cần thiết nào của server sẽ được sử dụng như : Web
server có thể truy cập từ Internet và chỉ những trang web tĩnh (hay
web động) sẽ được phục vụ, server hỗ trợ tên miền cho cơ chế
dịch vụ ảo, các trang web đã ấn định chỉ có thể truy cập từ các
cụm IP addresses hoặc người dùng (khai báo căn bản), server sẽ
tường trình trọn bộ các thỉnh cầu (bao gồm những thông tin về các
web browsers)
THANK YOU!
