HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN 1

BÁO CÁO ĐÁNH GIÁ RỦI RO ĐỐI VỚI MỘT HỆ THỐNG WEB
SỬ DỤNG HỆ THỐNG ĐÁNH GIÁ NIST SP800-30

Giảng viên hướng dẫn: TS. Phạm Hoàng Duy

Nhóm 6
Sinh viên: Phạm Quang Huy
Nguyễn Anh Minh
Lê Văn Nam
Trần Viết Tuấn

Hà Nội, ngày 22 tháng 10 năm 2017


MỤC LỤC


I. Giới thiệu
1. Trang web: o
- Là một trang web cung cấp sách điện tử miễn phí về khoa h ọc

II.

III.

IV.

V.

như sinh học, vật lý, tin học,…
- Do Claudio Attaccalite, một người Italia tạo ra t ừ năm 2002.
- Mục tiêu của freescience.info là trở thành một th ư viện online
lớn về khoa học.
2. Mục đích của bài báo cáo
- Đánh giá các rủi ro đối với hệ thống web của freescience.info.
- Đề xuất một số giải pháp giảm thiểu rủi ro.
3. Phạm vi đánh giá
- Hệ thống web nhìn từ bên ngoài, coi nh ư là m ột hộp đen.
Cách tiếp cận đánh giá rủi ro
1. Phương pháp thu thập thông tin
- Công cụ: Acunetix Web Vulnerability Scanner
- Mẫu câu hỏi: Theo mẫu câu hỏi trong phụ lục A của NIST
SP800-30
2. Mô tả rủi ro
- Ma trận mức độ rủi ro: sử dụng ma trận 3x3
Mô tả đặc trưng hệ thống
1. Phần cứng
- Máy chủ hosting
2. Phần mềm
- Máy chủ web: Apache
- Hệ quản trị cơ sở dữ liệu: MySQL
- Ngôn ngữ lập trình: PHP 5.2.17
3. Dữ liệu
- Sách điện tử (chủ yếu dưới dạng file .pdf).
4. Người dùng
- Người dùng thông thường: không cần tạo tài khoản và đăng
nhập, có thể download sách điện tử tùy ý.
- Người dùng quản trị: cần đăng nhập, có thể upload sách.

Xác định mối đe dọa
1. Con người
- Tin tặc
2. Tự nhiên
- Thiên tai: động đất, sóng thần,… ở khu v ực đặt máy ch ủ hosting.
3. Môi trường
- Điện áp cung cấp không ổn định trong thời gian dài.
Kết quả đánh giá rủi ro
1. Xác định lỗ hổng


Lỗ hổng
Blind SQL Injection

Cross Site Scripting

Direcotory Traversal

SQL Injection
Apache http-only
Disclosure

Application Error
Message
AWStats Script

Cross Frame Scripting

OPTION Method is
enabled


Mô tả
Là một loại SQL Injection cho phép kẻ tấn
công gửi các câu truy vấn trả về kết quả
đúng hoặc sai dựa trên phản hồi của ứng
dụng. Điều này xảy ra khi ứng dụng web
được thiết kế để không trả về dữ liệu từ
các câu truy vấn SQL Injection, tuy nhiên
vẫn không ngăn chặn việc thực hiện các
câu truy vấn này.
Là một lỗ hổng cho phép kẻ tấn công gửi
các đoạn mã độc hại (của các ngôn ngữ
scrip được hỗ trợ trên trình duyệt web
như JavaScript) đến người dùng khác và
được trình duyệt web của họ thực hiện.
Là một lỗ hổng cho phép kẻ tấn công truy
nhập các thư mục và thực thi các lệnh hệ
thống bên ngoài thư mục gốc của máy chủ
web.
Là một lỗ hổng cho phép kẻ tấn công th ực
thi các câu lệnh SQL từ dữ liệu nhập vào
ứng dụng web.
Là một lỗ hổng cho phép kẻ tấn công lấy
được dữ liệu từ http-only cookie thông
qua việc xử lý các Bad Request của máy
chủ web Apache có phiên bản từ 2.0.21
trở xuống.
Là một lỗ hổng cho phép kẻ tấn công thu
thập thông tin về hệ thống từ các thông
điệp lỗi/cảnh báo do ứng dụng web trả

về.
Là một lỗ hổng cho phép kẻ tấn công thu
thập thông tin nhạy cảm về cấu trúc và
hoạt động của ứng dụng web thông qua
các báo cáo của công cụ AWStats trên
trang web.
Là một lỗ hổng cho phép kẻ tấn công
đánh cắp thông tin người dùng thông qua
việc sử dụng JavaScript để tải một trang
web hợp pháp lên một iframe nằm trong
trang web của kẻ tấn công.
Là một lỗ hổng cho phép kẻ tấn công biết
được các phương thức của HTTP được
máy chủ web cho phép thông qua việc sử
dụng phương thưc HTTP OPTION.


Session Cookie without Là một lỗ hổng cho phép kẻ tấn công sử
http-only flag set
dụng các ngôn ngữ script bên client để
đánh cắp cookie, do các cookie này có thể
được truy nhập bằng các ngôn ngữ script
bên client.
Session Cookie without Là một lỗ hổng cho phép kẻ tấn công
secure flag set
đánh cắp cookie trên đường truyền do
cookie không được trình duyệt gửi qua
kênh SSL/TLS an toàn.
TRACE Method is
Là một lỗ hổng cho phép kẻ tấn công truy

enabled
nhập vào các dữ liệu nhạy cảm như
cookie bằng phương thức HTTP TRACE
ngay cả khi cookie được đặt cờ http-only.
2.

3.

Phân tích kiểm soát
- Hầu như chưa có các biện pháp kiểm soát hiệu quả đối v ới các
lỗ hổng được liệt kê ở trên.
- Kiểm soát truy nhập các tính năng quản trị thông qua xác th ực
tài khoản người dùng quản trị.
- Ghi log và kiểm toán các truy nhập vào ứng dụng web.
Xác định mức độ chắc chắn
Lỗ hổng
Blind SQL Injection
Cross Site Scripting
Direcotory Traversal
SQL Injection
Apache http-only
Disclosure
Application Error
Message
AWStats Script
Cross Frame Scripting
OPTION Method is
enabled
Session Cookie without
http-only flag set

Session Cookie without
secure flag set
TRACE Method is
enabled

Mức độ chắc chắn
Cao
Cao
Cao
Cao
Cao
Cao
Cao
Cao
Cao
Cao
Cao
Cao


Các lỗ hổng trên đều dễ dàng bị kẻ tấn công khai thác, trong khi
ứng dụng web hiện tại chưa hề có các biện pháp bảo vệ.
Phân tích tác động
-

4.

Lỗ hổng
Blind SQL Injection
Cross Site Scripting

Direcotory Traversal
SQL Injection
Apache http-only
Disclosure
Application Error
Message
AWStats Script
Cross Frame Scripting
OPTION Method is
enabled
Session Cookie without
http-only flag set
Session Cookie without
secure flag set
TRACE Method is
enabled
5.

Mức độ tác động
Cao
Thấp
Cao
Cao
Trung bình
Trung bình
Thấp
Thấp
Thấp
Trung bình
Thấp

Trung bình

Xác định rủi ro
-

Sử dụng ma trận mức độ rủi ro 3x3:

-

Mức độ rủi ro:

Lỗ hổng
Blind SQL Injection
Cross Site Scripting

Mức độ rủi ro
Cao (100x1)
Thấp (10x1)


Direcotory Traversal
SQL Injection
Apache http-only
Disclosure
Application Error
Message
AWStats Script
Cross Frame Scripting
OPTION Method is
enabled

Session Cookie without
http-only flag set
Session Cookie without
secure flag set
TRACE Method is
enabled
6.

Cao (100x1)
Cao (100x1)
Trung bình (50x1)
Trung bình (50x1)
Thấp (10x1)
Thấp (10x1)
Thấp (10x1)
Trung bình (50x1)
Thấp (10x1)
Trung bình (50x1)

Khuyến nghị các biện pháp kiếm soát
Lỗ hổng
Blind SQL Injection
Cross Site Scripting
Direcotory Traversal
SQL Injection
Apache http-only
Disclosure
Application Error
Message
AWStats Script

Cross Frame Scripting

Biện pháp kiểm soát
Xây dựng bộ lọc dữ liệu đầu vào, loại bỏ
hoặc mã hóa các từ khóa, kí hiệu của ngôn
ngữ SQL.
Xây dựng bộ lọc dữ liệu đầu vào, loại bỏ
hoặc mã hóa các từ khóa, kí hiệu của ngôn
ngữ script như JavaScript.
Xây dựng bộ lọc dữ liệu đầu vào, loại bỏ
hoặc mã hóa các từ khóa, kí hiệu của các
câu lệnh hệ thống.
Xây dựng bộ lọc dữ liệu đầu vào, loại bỏ
hoặc mã hóa các từ khóa, kí hiệu của ngôn
ngữ SQL.
Nâng cấp máy chủ web lên phiên bản
Apache 2.2.22 trở lên.
Loại bỏ việc xuất ra các thông báo lỗi
bằng hàm error_reporting(0) của ngôn
ngữ PHP.
Hạn chế truy nhập đến chương trình này
bằng xác thực tài khoản quản trị.
Xây dựng bộ lọc dữ liệu đầu vào, loại bỏ
hoặc mã hóa các từ khóa, kí hiệu của ngôn
ngữ script như JavaScript.


OPTION Method is
enabled
Session Cookie without

http-only flag set
Session Cookie without
secure flag set
TRACE Method is
enabled
VI.

Vô hiệu hóa phương thức HTTP OPTION
trên máy chủ web.
Đặt cờ http-only cho các cookie, ít nhất là
cho session token.
Chấp nhận rủi ro của việc cookie không
được mã hóa trên đường truyền.
Vô hiệu hóa phương thức HTTP TRACE
trên máy chủ web.

Kết luận
- Ứng dụng web freescience.info hiện tại còn tồn tại r ất nhi ều l ỗ
hổng có thể dễ dàng bị khai thác bởi kẻ tấn công.
- Sau khi áp dụng các biện pháp kiểm soát được khuy ến ngh ị, có
thể hạn chế đến tối đa các rủi ro với chi phí tối thiểu.
- Tuy nhiên, đây là một ứng dụng cung cấp sách điện t ử miễn phí,
nên các rủi ro đối với người dùng là không cao. Có th ể chấp
nhận một số rủi ro tồn tại.