BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG

HỌC PHẦN: AN TỒN PHẦN MỀM
ĐỀ TÀI: TÌM HIỂU VỀ TƯỜNG LỬA ỨNG DỤNG WEB (WEB
APPLICATION FIREWALLS) VÀ MODSECURITY
GIẢNG VIÊN HƯỚNG DẪN:

TS. ĐỖ XUÂN CHỢ

Các thành viên:
Phùng Chí Cơng
Nguyễn Văn Hịa
Nguyễn Thành Nam
Nguyễn Ngọc Q

B16DCAT018
B16DCAT059
B16DCAT111
B16DCAT133

HÀ NỘI, 2020

1


MỤC LỤC

PHÂN CƠNG CƠNG VIỆC
Phùng Chí Cơng: Tổng quan về tiêu chuẩn Owasp top ten, tìm hiểu vài trị của
tường lửa

Nguyễn Thành Nam: Web Application Firewall (Tổng quan và công dụng).
Tìm hiểu về modSecurity và vai trị của rule trong modSecurity.
Nguyễn Ngọc Quý: Tìm hiểu cơ chế về ModSecurity, tìm hiểu rule và vai trị
của rule, tích hợp vào modsecurity vào xampp.
Nguyễn Văn Hịa: Demo Set up server ubuntu, tích hợp Modsecurity để phòng
chống SQL Injection và XSS Reflected vào apache2 của server ubuntu.Viết luật
cho modsecurity

2


LỜI MỞ ĐẦU
Tường lửa ứng dụng web không được phổ biến như tường lửa mạng, nhưng
nó đã được đề cập đến trong các tin tức, bài báo và hội thảo bảo mật hiện nay.
Các doanh nghiệp đã chấp nhận sử dụng cơng nghệ này bởi vì nó nâng cao an
tồn web một cách đáng kể. Nhưng cấu hình, triển khai và duy trì cơng nghệ
mới này khơng hề đơn giản. Để triển khai chúng thành công, bạn cần phải hiểu
rõ các hoạt động của ứng dụng một cách đầy đủ và cấu hình các quy tắc tường
lửa một cách cẩn thận. Hơn nữa, chi phí để mua được sản phẩm thương mại rất
là đắt đỏ, chúng tơi khuyến khích bắt đầu sử dụng các sản phẩm mã nguồn mở,
chẳng hạn ModSecurity, do đó bạn có thể đưa ra quyết định, nếu giải pháp này
là thích hợp với ngân sách và môi trường của bạn.
Trong bài giới thiệu này, Modsecurity sẽ đực sử dụng để minh họa làm thế
nào bảo mật ứng dụng web sử dụng WAF. Modsecurity bảo vệ các ứng dụng
web từ nhiều cuộc tấn công và cho phép giám sát lưu lượng HTTP với sự can
thiệp không nhiều của cơ sở hạ tầng hiện có. Nó là một module mã nguồn mở
của ứng dụng máy chủ web Apache và nó đã được bảo trì bởi SpiderLabs,
Trustwave. Từ khi nó là một sản phẩm mã nguồn mở, nó mặc nhiên là miễn phí
và nhiều người dùng sử dụng đã góp phần cải thiện và duy trì sản phẩm này.


3


CHƯƠNG 1: TỔNG QUAN VỀ TIÊU CHUẨN
OWASP TOP TEN
OWASP (Open Web Application Security Project) là một dự án phi lợi
nhuận, tập trung vào việc cải thiện tính bảo mật của ứng dụng web. Thành viên
của dự án là các cá nhân, tổ chức, chuyên gia… cùng đóng góp các mã nguồn,
công cụ hỗ trợ kiểm tra lỗ hổng ứng dụng web.
Năm 2010, cộng đồng OWASP xuất bản tài liệu “Tài liệu hướng dẫn
kiểm tra ứng dụng Web” phiên bản 3(OWASP Testing Guide v3:
OWASP_Testing_Project). Tài liệu liệt kê và
phân nhóm các lỗ hổng bảo mật đã được biết đến trong ứng dụng web. Đông
thời nội dung của tài liệu này mô tả các dự án mà cộng đồng này phát triển, bao
gồm dự án WAF Mod Security.
OWASP phân loại lỗ hổng thành 10 nhóm chính:
1.1. A1-Injection
Nhóm này bao gồm các lỗ hổng như SQL Injection, OS command Injection,
LDAP Injection,… các lỗ hổng trong nhóm này cho phép hacker truy cập hoặc
chèn các kí tự giả vào hệ thống qua các câu truy vấn dữ liệu.
Ta có ví dụ như sau: Có một form đăng nhập

Và đoạn code server xử lý của bạn :

4


Nếu như người dùng khơng đăng nhập bình thường mà thêm vào dấu “,” hoặc
dấu “.” Thì đoạn code sẽ bị lỗi ngay. Hoặc họ có thể sửa thành câu truy vấn luôn
luôn đúng như sau:


Các phần dễ bị tấn cơng:
-Form đăng nhập
-Form tìm kiếm
-Form nhận xét
-Liên kết của website

5


1.2. A2-Cross Site Scripting (XSS)
XSS xuất hiện khi 1 ứng dụng web cho phép người dùng nhập các dữ kiệu vào
mà không thông qua kiểm duyệt nội dung, những dữ liệu này sẽ tương tác trực
tiếp những người dùng khác cùng sử dụng website. Nguy cơ tạo ra là hacker có
thể chèn các mã kịch bản như HTML, Javascript,… nhắm ăn cắp Session
Cookie, thay đổi giao diện hoặc chuyển hướng đến trang có mã độc khác.

Chi tiết các bước được miêu tả như sau:

6


Ví dụ : Một người đăng một đoạn script đơn giản như sau :

Lúc đó sau khi nhấn nút Search thì script được nhập sẽ được thực hiện:

7


Như các bạn đã thấy lệnh search đã được thực thi. Điều này cho thấy lỗ hổng

XSS là khá rõ ràng
1.3. A3-Broken Authenitication and Session Management
Phân nhóm này liệt kê các nguy cơ về chức năng xác thực và quản lí phiên
(session management) trong ứng dựng web. Thơng thường, các chức năng này
không được triển khai tốt, cho phép hacker vượt qua cơ chế kiểm duyệt người
dùng

8


1.4. A4-Insecure Direct Object References
Nguy cơ trong nhóm này thường được gặp trong các trường hợp các lập trình
viên sử dụng tham chiếu đến đến một tập tin, thư mục hoặc các truy vấn
database trong mã nguồn. Nếu các tham chiếu này khơng được quản lí chặt chẽ
thì việc truy cập dữ liệu trái phép từ bên ngoài là rất nguy hiểm.
Ví dụ : Trong file ta có thể tìm được một đoạn code như sau :

Thay vì sử dụng đối tượng current_user lấy giá trị ID người dùng từ phiên của
người dùng và thường có khả năng chống giả mạo, ID người dùng được lấy từ
tham số yêu cầu (id người dùng trong URL RESTful). Ngoài ra, ngay cả trong
phiên, User ID phải đủ ngẫu nhiên và các phiên được lưu trữ theo cách liên tục
(ActiveRcord) so với sử dụng lược đồ phiên xác thực được mã hóa Base64 /
HMAC.
1.5. A5-Cross Site Request Forgery (CSRF)
Một cuộc tấn công CSRF yêu cầu một người dùng đã đăng nhập. Tiếp theo,
hacker sẽ chèn các mã kịch bản đã được dựng sẵn vào nội dung trang web nhắm
thực thi một hành động bất hợp pháp với quyền của người dùng đã đăng nhập.
Một ví dụ cho thấy hacker có thể hack từ một tệp PHP như sau:

9



Khi người dùng ấn vào xem nguồn họ sẽ thấy rằng một nhập ẩn danh được đặt
tên là 34. Sau đó họ tạo một biểu mẫu của riêng mình gửi các Post yêu cầu với
nhiều id khác nhau đến www.your-domain.com/delete/user để xóa tất cả
người dùng khỏi hệ thống của bạn. Máy chủ web sẽ chấp nhận yêu cầu mặc dù
không đúng miền riêng của nó

Tệ hơn nữa hình ảnh trong e-mail/trang web sẽ tự động gọi:

1.6. A6-Security Misconfiguration
Các yêu cầu về bảo mật ứng dụng web cũng bao gồm việc cấu hình và triển khai
hệ thống, ứng dụng webserver (Apache, Nginx, Tenginx,…), cơ sở dữ liệu
(MySQL, Oracle,…), hệ điều hành (Linuxm Windows). Tất cả công việc thiết
lập môi trường cho ứng dụng web hoạt động cấn được lên kế hoạch theo dõi,
kiểm tra, cập nhật thường xuyên nhằm giảm thiểu nguy cơ hệ thống bị khai
thác.

10


1.7. A7-Insecure Cryptographic Storage
Rất nhiều ứng dụng web không quan tâm đên việc bảo vệ dữ liệu nhạy cảm như
thông tin thẻ tín dụng, SSN và các thơng tin xác thực. Việc hacker thu thập dữ
liệu nhạy cảm không được mã hóa (encrypt) hoặc băm (hash) sẽ tạo ra mối nguy
hiểm lớn cho những website cho phép giao dịch thông qua thuong mại điện tử
1.8. A8- Failure to Restrict URL Access
Hầu hết các ứng dụng thông thường thực hiện kiểm sốt việc truy cập thơng qua
URL (thơng qua cơ chế Rewrite). Việc giới hạn quyền truy cập vào các tập tin,
rhuw mục nhạy cảm là cần thiết. trong một số tình huống, việc kiểm sốt này

khơng được quản lí đầy đủ tạo nguy cơ xâm nhập trái phép vào ứng dụng (ví dụ:
thư việc fckditor thường có thể truy cập trực tiếp không cần xác thực).
1.9. A9-Insufficient Transport Layer Protection
Thông tin xác thực được truyền qua môi trường mạng truyền dẫn không bảo mật
sẽ tạo ra nguy cơ dữ liệu bị nghe len. Việc này cũng tương tự nếu như ứng dụng

11


sử dụng các chứng chỉ số (certificate) với các khóa yếu (weak key), thuật tốn
mã hóa yếu (weak algorithms) hoặc chứng chỉ đã hết hạn sử dụng (exprired)
1.10. A10-Unvalidated Redirects and Forwards
Các ứng dụng web thường chuyển hướng người dùng đến những trang web
hoặc URL khác nhau. Hacker có thể lợi dụng cơ chế này để chuyển hướng
người dùng đến nhứng website chứa phầm mềm độc hại hoặc trang đăng nhập
giả.

Dự dán OWASP ModSecurity Core Rule Set (CRS) sử dụng bản quyền ASL v2.
Các tập rule trong CRS được phân loại theo tiêu chuẩn OWASP để có thể bảo
vệ máy chủ web theo từng loại tấn công. Các rule này hoạt động tốt với phiên
bản ModSecurity 2.5 trở lên.

12


CHƯƠNG 2: WEB APPLICATION FIREWALLS
2.1.

Giới thiệu tổng quan về web application firewalls
Tường lửa ứng dụng web ( web application firewalls – web ) được thiết


kể để bảo vệ web application tránh khỏi các lỗi bảo mật và các cuộc tấn công từ
hacker. WAF như là một cái khiên, như là một cái lá chắn để bảo vệ web
application chạy trên giao thức HTTP ( giao thức khơng an tồn).
WAF được đặt ở phía trước của web application, nó sẽ giám sát các hoạt
động ứng dụng và cảnh bảo hoặc block traffic nếu phát hiện ra nguy hiểm. Mục
đích là để nắm bắt các cuộc tấn công vào ứng dụng web như là : SQL injection,
xss,…
Trong những năm gần đây, xu hướng tấn công vào ứng dụng web đang
ngày càng trở nên phổ biến. Các kỹ thuật tấn công được sử dụng chủ yếu là:
cross-site scripting, SQL injection, và nhiều các kỹ thuật khác… tất cả các kỹ
thuật này đều nhắm vào lớp ứng dụng trong mơ hình OSI. Các lỗ hổng trong
ứng dụng web chủ yếu xảy ra do người lập trình khơng kiểm tra kỹ các tham số
hay ký tự do người dùng nhập vào để tương tác với ứng dụng web. Để khắc
phục các lỗi trên ứng dụng web, người lập trình cần hiểu và viết được các đoạn
mã ở mức độ bảo mật nhất, tuy nhiên việc viết đoạn mã sao cho “bảo mật” nhất
thường khó thực hiện, bởi các lẽ sau: Thứ nhất, các đơn vị lập trình thường
khơng có hoặc thiếu đội ngũ chun trách về việc kiểm tra và sửa lỗi bảo mật
mã nguồn ứng dụng. Thứ hai, đơi khi áp lực phải hồn thành ứng dụng web
trong thời gian nhanh khiến cho các ứng dụng web được đưa vào vận hành mà
không qua các khâu kiểm thử. Thứ ba, việc dùng các công cụ kiểm tra lỗi web
tự động đôi khi cũng không tìm ra hết các lỗi khi được thực hiện bằng tay. Do
vậy, việc bảo mật một ứng dụng web đó là một q trình phịng thủ theo chiều
sâu bao gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và
có một đội ngủ chuyên trách vấn đề bảo mật riêng cho web.
13


Tường lửa ứng dụng web (Web Application Firewall – WAF) là một giải
pháp nhằm bảo vệ cho ứng dụng web tránh khỏi các lỗi bảo mật nói trên. WAF

là một thiết bị phần cứng hoặc phần mềm được cài lên máy chủ có chức năng
theo dõi các thơng tin được truyền qua giao thức http/https giữa trình duyệt của
người dùng và máy chủ web tại lớp 7. Một WAF có khả năng thực thi các chính
sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu
lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng
khác không làm được.

Hình 2. 1 Mơ hình một hệ thống tường lửa ứng dụng Web (WAF)

14


2.2.

Mơ hình bảo mật negative và positive
WAFs so sánh dấu hiệu của 1 cuộc tấn cơng với chính sách an toàn của

ứng dụng cho ứng dụng web đang được bảo vệ để cảnh báo hoặc ngăn chặn sự
vi phạm đó.
WAF có thể dùng theo 1 trong 2 mơ hình negative hoặc positive để phát
triển các chính sách bảo mật cho một ứng dụng .
Mơ hình Positive(whitelist) chỉ cho phép các lưu lượng hợp lệ được định
nghĩa sẵn đi qua và chặn tất cả các lưu lượng cịn lại. Mơ hình Negative sẽ cho
phép tất cả các lưu lượng vượt qua và chỉ chặn các lưu lượng được mà WAF cho
là nguy hại. Đơi khi cũng có các WAF cung cấp cả 2 mơ hình trên, tuy nhiên
thơng thường WAF chỉ cung cấp 1 trong 2 mơ hình. Với mơ hình Postitive thì
địi hỏi nhiều cấu hình và tùy chỉnh, cịn mơ hình Negative chủ yếu dựa vào khả
năng học hỏi và phân tích hành vi của lưu lượng mạng.

Tóm lại :

Mơ hình positive:
•
•
•

Bạn cho phép lưu lượng hợp lệ đi qua, tất cả lưu lượng còn lại chị chặn
Ưu điểm: Độ bảo mật, an toàn cao hơn Negative.
Khuyết điểm: Yêu cầu phải có sẵn danh sách hợp lệ (Whilelisting) để
khơng nhầm lẫn trong việc chặn những người truy cập hợp pháp.

Mơ hình negative:
•

Bạn chủ động chẵn những lưu lượng bất hợp pháp, tất cả lưu lượng cịn

•

lại cho phép đi qua.
Ưu điểm: dễ dàng triển khai, thực hiện trong hấu hết trường hợp
Khuyết điểm: Dễ dàng bị tấn công khi người dùng bất hợp pháp khơng

•

có trong danh sách bị chặn
15


2.3.

Mơ hình triển khai

WAF có thể hoạt động ở các mơ hình riêng biệt, dưới đây là một số mơ

hình:
Reverse Proxy: đây là chức năng được sử dụng phổ biến khi triển khai
WAF. Trong mơ hình này, WAF giám sát tất cả các lưu lượng đi đến ứng dụng
web, sau đó thay vì cho các địa chỉ IP bên ngồi gửi yêu cầu trực tiếp đến máy
chủ web thì WAF đứng ra làm trung gian để gửi các yêu cầu này đến máy chủ
web thay cho trình duyệt gốc rồi gửi trả lại kết quả cho các địa chỉ IP kia. Mơ
hình này có nhược điểm là tạo ra độ trễ khi kết nối từ trình duyệt đến ứng dụng
web.

Hình 2. 2 Reverse Proxy
Layer 2 Brigde: Ở mơ hình này, WAF đứng giữa tường lửa mạng và máy
chủ web, nhưng hoạt động giống như một thiết bị Switch ở lớp 2. Mơ hình này
giúp mạng hoạt động với hiệu năng cao và mạng thay đổi khơng đáng kể, tuy
nhiên nó lại không thể cung cấp các dịch vụ cao cấp khác mà các mơ hình WAF
khác có thể.

16


Hình 2. 3 Layer 2 Brigde

Out-of-Band: Ở mơ hình này, WAF không trực tiếp đứng giữa tường lửa
mạng và mày chủ web như 2 mơ hình kia nữa. Nó sẽ nhận được một bản copy
của các lưu lượng đi đến ứng dụng web thông qua cổng giám sát trên thiết bị
mạng. Nhược điểm của mơ hình này là khả năng block traffic cịn rất hạn chế do
nó chỉ gửi cái gói tin TCP- reset để làm gián đoạn traffic.

Hình 2. 4 Out-of-Band

Server Resident: là một phần mềm được cài đặt trong máy chủ web. Nó
có thể hoạt động như là một ứng dụng độc lập hoặc như là một web server plugin.

17


Hình 2. 5 Server Resident
Internet Hosted / Cloud : đây là một mơ hình mới tuy nhiên nó càng
ngày càng trở lên phổ biến. Mơ hình này sử dụng cơng nghệ điện toán đám mây
để thực hiện các giải pháp WAF. Nó hoạt động giống như tùy chọn proxy ngược
– public DNS được cấu hình để trỏ tới nhà cung cấp đám mây, sau đó tạo một
kết nối khác với thuộc tính web.

Hình 2. 6 Internet Hosted / Cloud

18


2.4.
2.4.1.

Công dụng của WAF
Bảo vệ ứng dụng
Cách tốt nhất để bảo mật một ứng dụng là phát triển nó bằng cách khơn

ngoan, đó là sử dụng vịng đời phát triển ứng dụng (SDLC). trong SDLC một
vấn đề bảo mật càng được phát hiện sớm thì chi phí giải quyết càng rẻ hơn.
Ngược lại, vấn đề bảo mật càng bị phát hiện muộn hơn thì chi phí giải quyết
càng cao hơn - trường hợp xấu nhất là một lỗ hổng bảo mật được tìm thấy khi
ứng dụng đang hoạt động. WAF có thể giảm thời gian và chi phí để khắc phục

nguy cơ lỗ hổng trực tiếp.

Hình 2. 7 Vịng đời phát triển ứng dụng (SDLC)

19


2.4.2.

Bảo vệ ứng dụng đã lỗi thời và COTS (Protecting legacy & COTS
application)

Nói chung, các cơng ty có quyền truy cập vào mã nguồn của các ứng dụng được
chính cơng ty đó phát triển. Mặc dù việc tự phát triển ứng dụng là rất đắt đỏ,
nhưng cơng ty có thể tự khắc phục lỗ hổng bảo mật bằng cách sửa mã nguồn.
Nếu ứng dụng là "chương trình đóng gói sẵn " (commercial off the shelf COTS) hoặc ứng dụng lỗi thời thì khả năng của cơng ty để giải quyết các vấn đề
trong mã nguồn có thể là từ rất ít cho đến không thể. Đối với các ứng dụng lỗi
thời, cơng ty đó có thể khơng cịn có developers cho ứng dụng hoặc thậm chí
khơng có developers nào biết cách viết code bằng ngôn ngữ mà ứng dụng ban
đầu được phát triển. Đối với một ứng dụng COTS, công ty có thể để tiết lộ vấn
đề cho bên thứ ba, nhưng dưới quyền kiểm soát của nhà cung cấp. “Với việc
giảm quyền truy cập vào ứng dụng web - và tùy thuộc vào tầm quan trọng và
phức tạp của nó - thì những lợi ích xuất phát từ việc sử dụng WAF tăng nhanh.
Sử dụng WAF thường xuyên sẽ dẫn đến hạn chế những vấn đề phát sinh cho
mức độ an ninh cần thiết.
2.4.3.

Quản lí lỗ hổng
Việc bảo vệ là một phần khơng thể thiếu trong q trình quản lý các lỗ


hổng. Theo Nicolett, "việc bảo vệ nên được sử dụng để bảo vệ tài sản dễ bị tổn
thương cho đến khi giảm thiểu hoàn thành" (2005, tr. 5). Khi một lỗ hổng được
phát hiện trong một ứng dụng, một chữ ký WAF có thể được tạo ra để chặn các
cuộc tấn cơng chống lại nó. Cho dù ứng dụng được phát triển trong nhà hay là
một ứng dụng COTS, điều này bảo vệ nó trong khi mã dễ bị tổn thương được cố
định hoặc một tổ chức chờ một nhà cung cấp cung cấp bản cập nhật. Điều này
được gọi là bản vá ảo.

20


Hình 2. 8 Quá trình quản lý lỗ hổng bảo mật
2.4.4.

Compliance sự tuân thủ
"Sự Tuân thủ" là một lý do lớn cho việc WAFs được sử dụng. Tiêu chuẩn

bảo mật dữ liệu thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật thông tin cho
các tổ chức xử lý thông tin chủ thẻ cho thẻ ghi nợ và thẻ tín dụng. Được xác
định bởi Hội đồng tiêu chuẩn bảo mật PCI (SSC), tiêu chuẩn được tạo ra để tăng
kiểm soát xung quanh dữ liệu của chủ thẻ nhằm giảm gian lận thẻ tín dụng do
tiếp xúc với dữ liệu đó. Các tổ chức chấp nhận, lưu trữ, xử lý hoặc truyền dữ
liệu thẻ tín dụng phải tuân thủ PCI DSS. PCI DSS phiên bản 1.2 có thêm WAF
như là một sự thay thế cho đweb application vulnerability assessments trong
năm 2008. Hiện tại ở trong phiên bản 3, PCI DSS requirement 6.6 cho biết
(2013, trang 59):
Đối với các ứng dụng web công khai, giải quyết các mối đe dọa và lỗ
hổng mới và đảm bảo các ứng dụng này được bảo vệ khỏi các cuộc tấn công đã
biết bằng một trong các phương pháp sau:


21


•

Xem xét các ứng dụng web công khai thông qua các công cụ hoặc
phương pháp đánh giá bảo mật thủ cơng hoặc tự động, ít nhất là hàng

•

năm hoặc sau khi có bất kỳ thay đổi nào.
Cài đặt giải pháp kỹ thuật tự động phát hiện và ngăn chặn các cuộc tấn
cơng dựa trên web (ví dụ: tường lửa ứng dụng web - WAF) trước các ứng

2.4.5.

dụng web công khai, để liên tục kiểm tra tất cả lưu lượng truy cập.
Phát hiện xâm nhập và sự cố
WAF có thể hoạt động như "thiết bị cảm biến" trong cơ sở hạ tầng giám

sát an ninh. WAF thu thập dữ liệu và cảnh báo về lưu lượng nguy hiểm tiềm
tàng để phân tích trong quy trình "phát hiện xâm nhập và xử lý sự cố", như
trong hình dưới. Những cảnh báo và logs từ WAF có thể được gửi đến hệ thống
quản lý sự cố bảo mật (SIEM) để phối hợp hoạt động với những "thiêt bị cảm
biết khác", và sau đó sẽ tăng cường khả năng giám sát của WAF trong các lưu
lượng truy cập web. hơn các loại "cảm biến" khác, WAF cho khả năng hiển thị
tối ưu nhất của các lưu lượng truy cập web và các cuộc tấn cơng tiềm tàng đối
với trang web. Hiện nay có rất nhiều rủi ro tiềm tàng trên internet, chính vì vậy
WAF có thể là "giám sát an ninh" quan trọng nhất mà một cơng ty có thể triển
khai.


22


Hình 2. 9 Quá trình Phát hiện xâm nhập và xử lý sự cố
2.5.

Các sản phẩm và giải pháp WAF phổ biến hiện nay giành cho website
ModSecurity: Đây là phần mềm nguồn mở có thể hoạt động như một

module trong máy chủ Apache hoặc là một thành phần độc lập. ModSecurity sử
dụng biểu thức chính quy trong việc bảo vệ máy chủ web từ các cuộc tấn công
được xác định trước dựa theo các dấu hiệu hoặc các cuộc tấn cơng bất thường
khác. Bên cạnh đó, ModSecurity cũng có khả năng lọc các siêu ký tự do người
dùng chèn vào ứng dụng web.
URLScan: Đây là một sản phẩm của Microsoft dành riêng cho các máy
chủ web IIS. URL scan không chỉ bảo vệ máy chủ IIS 6 khỏi các điểm yếu từ
các phiên bản cũ hơn mà còn cung cấp thêm các biện pháp bảo vệ khác như lọc
dữ liệu mã hóa trên URL hoặc lọc các siêu ký tự do người dùng chèn vào để
chống lại các loại tấn công như XSS, SQL Injection,…
WebKnight: Đây cũng là 1 sản phẩm dành cho các máy chủ web IIS.

23


CHƯƠNG 3: TÌM HIỂU VỀ MOD SECURITY
3.1. Giới thiệu
ModSecurity là một web application firewall(WAF) được Ivan Ristic phát
triển dành cho Apache Web Server. Giống như những firewall thơng thường
khác, nó lọc những lưu lượng dữ liệu vào và ra để có thể quyết định chặn lại

những lưu lượng mà nó nghi ngờ là độc hại dựa theo tập lệnh nó định nghĩa. Nó
cịn có nhiều tính năng vượt trội khác như : HTTP transaction logging và
content injection…
Các luật được tạo và chỉnh sửa sử dụng một định dạng văn bản đơn giản,
nó làm cho việc viết rules trở nên đơn giản hơn. Một khi đã quen với cú pháp
của ModSecurity, chúng ta có thể nhanh chóng viết được những rules để block
một exploit mới hoặc ngăn chặn một lỗ hổng.
Có thể hình dung ModSecurity như là một trạm trung gian giữa HTTP
request và httpd (dịch vụ web server). Khi phát hiện ra một cuộc tấn công,
những chi tiết về vụ tấn công sẽ được lưu vào log file hoặc một email có thể
được gửi tới người quản trị viên để báo hiệu có một cuộc tấn cơng xảy ra trên hệ
thống.
ModSecurity cho phép bạn bảo vệ server của mình thơng qua việc viết
các luật nhằm bao phủ một dải các viễn cảnh tấn cơng có thể. Do đó,
ModSecurity là một lớp bổ sung có thể giúp bạn bảo vệ theo một cách không
cần bản vá.

24


Hình 3. 1 ModSecurity đặt trước web server
ModSecurity giải quyết các vấn đề tầm nhìn : nó giúp bạn nhìn thấy lưu
lượng web của mình. Đó là chìa khóa trong security : mỗi khi bạn có thế nhìn
thấy HTTP traffic, bạn có thể phân tích nó trong thời gian thực, record nó khi
cần thiết và phàn ứng lại với các sự kiện. Điểm nổi bật ở đây là bạn có thể làm
tất cả mà khơng tác động gì tới các ứng dụng web. Thậm chí tốt hơn, nó cịn có
thể áp dụng với bất kì ứng dụng nào, ngay cả khi bạn không thể truy được vào
source code.

25