Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.2 MB, 63 trang )

BỘ CÔNG THƢƠNG
TRƢỜNG CAO ĐẲNG CÔNG NGHIỆP VÀ THƢƠNG MẠI

GIÁO TRÌNH
MƠ ĐUN: BẢO MẬT WEB VÀ CƠ SỞ DỮ LIỆU
NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH
TRÌNH ĐỘ: CAO ĐẲNG NGHỀ
(Ban hành kèm theo Quyết định số: /QĐ-CDCN&TM ngày tháng năm 2018
của Hiệu trưởng Trường Cao đẳng Công nghiệp và Thương Mại

Vĩnh phúc, năm 2018

Tên mô đun: Bảo mật Website và cơ sở dữ liệu
Mã số mô đun: MDCC13030191
Thời gian thực hiện mô đun: 75h (Lý thuyết:15; Thực hành: 57; Kiểm tra: 3)
I. Vị trí, tính chất của mơ đun:
- Vị trí của mơ đun: Mơ đun này giúp ngƣời học có các kiến thức, kỹ năng về
kiểm tra và thực hiện phòng chống sự tấn cơng vào Website và CSDL trên máy
chủ.
- Tính chất của mô đun: là mô đun chuyên môn bắt buộc.
II. Mục tiêu mơ đun:
+ Kiến thức:
- Trình bày đƣợc các trƣờng hợp phổ biến gây mất an ninh, an tồn
Website và CSDL.
- Trình bày đƣợc các phƣơng pháp bảo mật website và CSDL
+ Kỹ năng:
- Tổ chức thực hiện tấn công để kiểm tra bảo mật của website
- Áp dụng các kỹ thuật phịng chống tấn cơng Website
- Sao lƣu và phục hồi dữ liệu Website và CSDL
+ Về năng lực tự chủ và trách nhiệm: Ngƣời học có thái độ đúng đắn cẩn thận,

chủ động trong việc lĩnh hội kiến thức
III. Nội dung mô đun:
1. Nội dung tổng quát và phân phối thời gian:
Thời gian (giờ)
TT

1

Nội dung mô đun

Kiểm
Thực
tra*
Tổng Lý
hành
(LT
số
thuyết Bài
hoặcT
tập
H)

Bài 1: Một số kỹ thuật tấn công và bảo
50
mật Website
2
Bài 2: Bảo mật CSDL
25
Tổng cộng
75

10

38

2

5
15

19
57

1
3

MỤC LỤC
BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE ............................ 1
1. 1. MỘT SỐ PHƢƠNG PHÁP TẤN CÔNG WEBSITE: SQL INJECTION, XSS,
DDOS, PHISING, COOKIE THEFT, VIRUSES AND MALICIOUS CODE,.. ........... 1
1.1.1

SQL injection ..................................................................................................... 1

1.1.2

TẤN CÔNG XSS (CROSS-SITE SCRIPTING) ................................................. 2

1.1.3 DDOS ................................................................................................................... 4

1.1.4 BOTNET LÀ GÌ? .................................................................................................. 5
1.1.5 Phòng Chống Dos - Ddos - Botnet ......................................................................... 6
1.1.6 PHISHING. ........................................................................................................... 8
1.1.5 COOKIE THEFT................................................................................................. 13
1.2 CÀI KALI LINUX ..................................................................................................... 23
1.2.1 CÀI KALI LINUX TRÊN VMWARE WORKSTATION TỪ BẢN ẢO HÓA
FULL ........................................................................................................................... 23
1.2.2 CÀI ĐẶT KALI LINUX TRÊN MÁY ẢO VM WARE TỪ FILE ISO ............... 28
1.3 KIỂM TRA BẢO MẬT VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG ........................... 45
________________________________________________________________ ................. 51
BÀI 2 : TẤN CÔNG VÀ BẢO MẬT CSDL ...................................................................... 51
2.1 CÁC PHƢƠNG PHÁP TẤN CÔNG, KHAI THÁC TRÁI PHÉP CSDL .................... 51
2.1.1Tổng quan về SQL Injection ..................................................................................... 51
Khái niệm .................................................................................................................... 51
Nguyên nhân ................................................................................................................ 51
Tính nguy hiểm của tấn công SQL Injection ................................................................. 52
2.1.2 Phân loại các kiểu tấn công SQL Injection ............................................................... 52
In-band SQLi ............................................................................................................... 52
Inferential SQLi (Blind SQLi) ...................................................................................... 54
Out-of-band SQLi ........................................................................................................ 55
2.2 BẢO MẬT, AN TOÀN CSDL ................................................................................... 55

BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE
1. 1. MỘT SỐ PHƢƠNG PHÁP TẤN CÔNG WEBSITE: SQL
INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES
AND MALICIOUS CODE,..
1.1.1 SQL injection
* Khái niệm:
SQL injection là kĩ thuật cho phép các kẻ tấn công thực hiện các lệnh thực

thi SQL bất hợp pháp (mà ngƣời phát triển không lƣờng trƣớc đƣợc), bằng cách
lợi dụng các lỗ hổng bảo mật từ dữ liệu nhập vào của các ứng dụng.
* Cách thức hoạt động của Sql injection

Lỗi Sql injection thƣờng xảy ra do sự thiếu kiểm tra dữ liệu truyền
vào, điều này gây ra những tác động khơng mong muốn ngồi mục đích chính
của câu truy vấn. Ta hãy xem xét câu truy vấn sau:
Selected_user = "SELECT * FROM users WHERE name = '" + userName + "';"
Ta thấy rằng, mục đích chính của câu truy vấn này là lục tìm trong
bảng users những dịng dữ liệu nào mà trƣờng name có giá trị bằng với tham số
userName đã truyền vào.

Thoạt nhìn thì câu truy vấn này là đúng cấu trúc và không có bất cứ
vấn đề gì, thế nhƣng ta hãy thử phân tích một tình huống sau đây: giả sử ngƣời
gọi câu truy vấn này truyền vào tham số userName có giá trị:


a' or 't'='t
Nhƣ vậy câu truy vấn của ta có đƣợc hiểu nhƣ sau:
SELECT * FROM users WHERE name = 'a' or 't'='t';
Câu truy vấn trên có ý nghĩa là gì? Mệnh đề WHERE của câu truy vấn trên ln
đúng, lí do là vì „t‟=‟t‟ ln cho ra giá trị đúng. Nhƣ vậy, thay vì trả về kết quả
của 1 dòng dữ liệu mong muốn, câu truy vấn này trả về kết quả là toàn bộ dữ
liệu của bảng users.
Nguyên nhân chính của việc truy vấn sai này chính là do dữ liệu
của tham số truyền vào. Hãy tƣởng tƣợng rằng toàn bộ dữ liệu này bị sử dụng
nhằm mục đích khơng tốt, hậu quả thật khó lƣờng phải không nào?


1

* Các trƣờng hợp thƣờng bị tấn công Sql injection
Bất cứ thao tác nào của ứng dụng có thực hiện truy vấn tới cơ sở dữ
liệu đều có thể bị lợi dụng để tấn công Sql injection. Các thao tác cơ bản với
CSDL là: select, insert, update đều có thể bị tấn cơng. Có thể kể ra vài thao tác
phổ biến có thể tấn cơng nhƣ:

Kiểm tra đăng nhập ứng dụng.

Thao tác lƣu comment của user xuống DB.

Thao tác truy vấn thơng tin user.

…


* Cách phịng tránh lỗi Sql injection
Nhƣ đã phân tích ở trên: điểm để tấn cơng chính là tham số truyền
vào câu truy vấn. Do vậy phải thực hiện các biện pháp phòng chống để đảm bảo
việc kiểm tra dữ liệu truyền vào không thể gây ra sai lệch khi thực hiện truy vấn.

Giải pháp cho việc kiểm tra này là sử dụng “chuỗi escape”. Khi
thực hiện escape một chuỗi, tức là mã hố các kí tự đặc biệt của chuỗi (nhƣ kí tự
„, &, |, …) để nó khơng cịn đƣợc hiểu là 1 kí tự đặc biệt nữa. Mỗi ngơn ngữ lập
trình đều cung cấp các hàm để thực hiện escape chuỗi, với PHP ta sẽ sử dụng
hàm mysqli_real_escape_string() hoặc cũng có thể dùng addslashes() để thực
hiện điều này.

Ví dụ về hàm addslashes(): kí tự nháy kép lúc này khơng cịn đƣợc

hiểu là kí tự điểu khiển nữa.


1
2

$str = addslashes('What does "yolo" mean?');
//$str = 'What does \"yolo\" mean?'

1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING)
* Khái niệm
XSS là một kĩ thuật tấn cơng, trong đó kẻ tấn công sẽ chèn các
đoạn mã client-script độc (thƣờng là javascript hoặc HTML) vào trang web, các
đoạn mã này sẽ đƣợc thực thi khi ngƣời dùng truy cập và load trang có chứa mã
độc.

Khác với Sql injection nơi mà mã độc đƣợc thực thi ở server, XSS
là một dạng tấn công trong đó mã độc đƣợc thực thi ở máy client. Bởi vì mã độc
đƣợc chứa ở server nhƣng lại đƣợc thực thi ở client, do đó kĩ thuật này đƣợc gọi
là “cross-site” là vì vậy.


2

* Cách thức hoạt động của XSS
Có thể chia XSS thành 2 loại: Stored-XSS và Reflected-XSS. Cả 2
đều là đƣa những đoạn mã độc tới máy client để thực thi, cụ thể là việc hiển thị
các nội dung đƣợc sinh ra trong quá trình trang web hoạt động, tuy nhiên cách
thức có đơi chút khác biệt nhƣ sau:



* Stored-XSS
Loại tấn công XSS này lợi dụng các lỗ hổng bảo mật của trang web
để lƣu trữ các đoạn mã độc trên server, mỗi khi ngƣời dùng tải trang về thì các
đoạn mã độc này sẽ đƣợc thực thi. Điển hình nhất của loại tấn công này là lợi
dụng các điểm chứa dữ liệu nhập vào từ ngƣời dùng nhƣ: các ô comment trong
trang blog, các ô điền nội dung của thông tin tài khoản công khai, …

Giả sử trang web của chúng ta có ơ nhập nội dung comment nhƣ
sau:


 Cài đặt và sử dụng Kali Linux
 Kiểm tra bảo mật và các biện pháp phịng chống tấn cơng
Thay vì nhập comment nhƣ bình thƣờng, kẻ tấn cơng sẽ chèn mã độc, ví dụ nhƣ
đoạn script sau:
1

<script>alert("XSS");</script>

Khi đó, nếu một ngƣời dùng khác truy cập vào trang web này, đoạn script sẽ
đƣợc kích hoạt, và kết quả của nó nhƣ sau:

3

Trên đây chỉ là 1 ví dụ đơn giản về kĩ thuật tấn công XSS, tất nhiên
là kẻ tấn công hồn tồn có thể chèn vào các đoạn mã nguy hiểm hơn để khai
thác thông tin của ngƣời dùng. Ta thấy rằng, mặc dù đoạn mã độc này đƣợc lƣu

ở server, nhƣng nó lại đƣợc thực thi tại máy tính của client, do đó nó đƣợc gọi là
stored-XSS.


*

Reflected-XSS

Ở kĩ thuật tấn công này, mã độc đƣợc gắn trực tiếp vào link trang
web, một khi bạn truy cập vào đƣờng link có chứa mã độc, thì đoạn mã độc sẽ
đƣợc thực thi.
 Giả sử ta có link trang web sau:


xyz.abc.vn/xss/reflected/index?qid=alert(„XSS‟);
Nếu nhƣ trang web này dùng giá trị của tham số qid để hiển
thị, thì khi truy cập vào đƣờng link này, ta sẽ bị lỗi XSS.


* CÁC PHÒNG TRÁNH XSS
Nhƣ đã đề cập ở trên, mấu chốt của kĩ thuật tấn công này
nằm ở chỗ hiển thị các nội dung được nhập vào ở client, do vậy để phịng tránh
thì ta sẽ kiểm sốt chặt chẽ các nơi có thể hiển thị nội dung.

Cũng tƣơng tự nhƣ cách phòng chống Sql injection, mỗi khi
nhận vào dữ liệu, ta sẽ thực hiện kiểm tra và mã hố các kí tự đặc biệt và các kí
tự điều khiển có nguy cơ gây hại cho chƣơng trình. Khi đó những kí tự đặc biệt
sẽ đƣợc biến đổi một cách tƣơng tự nhƣ sau:


xe tải của nhà xe "Dos" nối đi dài bất tận chạy chiếm hết cả con đƣờng khiến
khơng ai có thể lƣu thông đƣợc nữa. Nhận thấy sự cố ý phá hoại đến từ nhà xe
"Dos" công ty của bạn đã đặt biển cấm đối với mọi xe của "Dos" bằng cách đó
là Ban IP của Attacker.
Thì đối với Ddos Attacker đó thể tấn cơng từ nhiều luồng, nhiều địa chỉ khác
nhau cũng nhƣ sử dụng nhiều xe, đi tới từ nhiều hƣớng nên rất khó xác định
đƣợc xuất phát từ đâu. Vậy làm sao mà Attacker có thể sử dụng nhiều IP nhƣ thế
trong cùng lúc để thực hiện hành vi của mình ? Có khác nhiều cách khác nhau
nhƣ sử dụng server ảo, thay đổi IP liên tục qua các proxy và Botnet.
1.1.4 BOTNET LÀ GÌ?
BotNet là thuật ngữ viết ngắn của "Bots Network". Chỉ mạng lƣới các
máy tính nhiễm mã độc (Bots/Zombie) và bị chi phối bởi một máy tính khác.
Mạng lƣới Botnet càng lớn thì độ nguy hiểm càng cao. Có những mạng lƣới
Botnet có thể liên đến hàng ngàn hoặc trăm ngàn máy zombie Hiện nay có 2
hình thức cấu trúc mạng lƣới Botnet là client/server botnet model và peer-topeer botnet model.
Client/server botnet model

5

Với mơ hình này các máy bot/zombie kết nối với máy chủ hoặc cụm máy
chủ thơng qua tên mình hoặc kênh IRC để nhận lệnh của Botmaster. Mơ hình
này thƣờng phổ biến và dễ dàng sử dụng hơn.
Các máy zombie thƣờng bị chi phối ngầm mà ngƣời sử dụng máy zombie
khơng hay biết hoặc rất khó nhận ra. Thơng qua sự chi phối của Botmaster
ngƣời điều khiển của thể phát tán các mã độc khác để tạo ra một mạng lƣới
Botnet càng lớn mạnh. Phƣơng thức phát tán thƣờng thấy nhất là ẩn các mã độc
vào các các phần mềm miễn phí quen thuộc rồi rồi phát tán link tải trên internet.
Botmaster có thể điều khiển máy zombie thực hiện nhiều yêu cầu khác
nhau cho nhiều mục đích khác nhau của Attacker bao gồm cả Ddos. Ngƣời sử

dụng có thể điều khiển các máy bot tấn công vào web server thông qua giao diện
điều khiển đặc biệt của họ, lập tức các máy bot đang online trong mạng lƣới dù
có ở khắp thế giới cùng lúc truy cập đến trang mục tiêu.
Mơ hình ngày cũng có một nhƣợc điểm, do các máy bị nhiễm mã độc điều
kết nối tới 1 máy chủ duy nhất nên có thể tìm ra đƣợc máy chủ ngày trong q
trình phân tích mã độc. Chỉ cần máy chỉ bị phá hủy và ngƣng hoạt động thì các
máy bots cũng khơng cịn.
Peer-to-peer botnet model
Mơ hình Bonet kết nối ngang hàng. Mơ hình này đƣợc sinh ra để khắc
phục điểm yếu của client/server ở trên. Thay vì kết nối tập trung vào một máy
chủ thì các máy bots kết nối ngang hàng và chia sẻ với nhau. Thêm chức năng
điều khiển vào mỗi máy bots để các máy này có thể dễ dàng giao tiếp, chia sẻ và
điều khiển lẫn nhau nhằm mục đích cản trở nỗ lực tìm ra máy chủ.
Trong cấu trúc này máy chủ lẫn máy bots đều chỉ có thể kết nối qua các
nút lân cận để truyền dữ liệu cho nhau. Để duy trì ổn định cấu trúc này các máy
đều có một danh sách các máy tin cậy để kết nối với nhau. Mơ hình này nguy
hiểm hơn rất nhiều so với client/server, rất khó khăn để tìm ra nguồn gốc ngăn
để ngăn chặn và phá hủy hoàn toàn bởi mỗi máy trong mạng lƣới điều có khả
năng là máy điều khiển.
Nhƣng mơ hình này lại lộ ra một nhƣợc điểm vì chức năng điều khiển ở
mỗi máy bots nên ngƣời tạo ra chúng có khả năng mất quyền kiểm sốt. Để hạn
chế điều này các mã độc này thƣờng đƣợc mã hóa rất kỹ lƣỡng.
1.1.5 Phịng Chống Dos - Ddos - Botnet
Đối với phịng chống Ddos thì hiện tại chƣa có cách phịng chống triệt để
rõ ràng nào hiện nay. Vì đây là kiểu tấn cơng chủ động nhƣ đã nêu ở trên, vì thế
6

để bảo mật website cần phải có kế hoạch cụ thể. LP Tech sẽ giới thiệu một số
cách phòng chống Ddos và Botnet nhƣ sau:

Định tuyến hố đen (black hole)
Đây là cách làm khá phổ biến đối với các quản trị viên trong làm bảo mật
website. Khi phát hiện lƣợng lớn các truy cập bất thƣờng, các truy cập sẽ đƣợc
chuyển vào đây mất kể là truy cập bình thƣờng hay ác ý, nhằm giảm thiểu thiệt
hại cho máy chủ. Hiện nay các nhà cung cấp dịch vụ internet ISP đang cung cấp
dịch vụ này. Tuy nhiên để thiết lập cần tốn khá nhiều thời gian và thiết bị.
Giới hạn truy cập
Tự thiết lập số lƣợng truy cập cho máy chủ, website trong cùng một lúc.
Cách này nhằm ổn định kết nối với cho những ngƣời đang sử dụng hệ thống khi
xảy ra tấn công. Sau khi đạt đƣợc số lƣợng giới hạn truy cập cho phép thì mọi
truy cập sau đó đều bị chặn lại và phải chờ. Tuy nhiên biện pháp này cũng có
những rủi ro nhất định, nhất là đối với website đang làm SEO, Nếu bạn đang
chạy Dịch Vụ SEO mà chặn hay giới hạn truy cập thì quả là nguy hiểm đấy.
Chặn IP
Ngăn chặn các IP đáng ngờ đang truy cập liên tục vào website của bạn.
Đối với Dos thì cách này tuy đơn giản nhƣng rất hiệu quả. Cách này đƣợc sử
dụng hầu hết ở các trang web PHP bằng cách cấu hình ở file .htaccess Ở ví dụ
mình cũng đã nhắc tới. Tuy nhiên việc chặn IP bằng phần mềm cũng có góp
phần vào việc bảo mật website khỏi tấn công DDOS nhƣng đó chỉ có thể chặn
các cuộc tấn cơng nhẹ mà thơi.
Các cuộc tấn cơng lớn thì để Bảo mật website tốt cần phải ngăn chặn các
Request ở Layer đầu tiên, chứ nếu vào tới các server là đã vào đến Layer-7 theo
Mơ Hình OSI rồi, việc này sẽ giảm hiệu quả bảo mật website.
Sử dụng Firewall
Đây là khái niệm rất quen thuộc với chúng ta khi làm bảo mật website.
Tƣờng lửa hoạt động nhƣ một rào chắn và lọc các kết nối khơng an tồn cả 2
chiều ra và vào hệ thống. Nó có thể giúp lọc ra các truy cập bị nghi ngờ là bots
đang tấn công giúp hạn chế nguồn tài nguyên tiêu hao và ổn định chất lƣợng
ngƣời dùng bên trong.
Sử dụng Cloudflare

Dịch vụ Cloudflare là một DNS trung gian giúp điều phối lƣợng truy cập
vào máy chủ. Thay vì truy cập trực tiếp thơng quan DNS thì ngƣời dùng truy
cập thơng qua máy chủ DNS của Cloudflare. Đây cũng là một hình thức bảo mật
website hiệu quả, tuy nhiên nếu sử dụng gói miễn phí thì có khá nhiều vấn đề
nhƣ thời gian Down-Time và tốc độ cũng bị ảnh hƣởng.
7

Máy chủ Cloudflare sẽ điều tiết lƣợng truy cập vào website của bạn và lọc
các kết nối độc hại. Bên cạnh đó Cloudflare cịn giúp tăng tốc độ tải trang bằng
cách lƣu lại cache và nén các CSS, hình ảnh của web và lƣu lại trên máy chủ của
Cloudflare.
Đối với ngƣời dùng
Để tránh bị kẻ gian lợi dụng đánh cắp thơng tin, phát tán mã độc và vơ
tình trở thành zombie trong một mạng BotNet nào đó, ngƣời dùng cần lƣu ý các
vấn đề bảo mật website nhƣ sau:
 Không mở những tập tin không rõ nguồn gốc.
 Không nên sử dụng cái phần mềm lậu, path crack.
 Không mở nhử tập tin tự động tải xuống mà mình khơng mong
muốn.
 Khi tải phần mềm nào đó hãy chú ý đến tên miền của trang web
có phải là trang chủ của phần mềm mà mình muốn tải hay
khơng.
 Thường xun cập nhật những bản vá lỗi của hệ điều đang
dùng
 Cập nhật phần mềm diệt antivirus
 Không sử dụng các phần mềm diệt virus khơng rõ nguồn gốc vì
rất có thể bản thân nó là virus/mã độc

1.1.6 PHISHING.

* PHISHING LÀ GÌ?

8

Phishing (Tấn cơng giả mạo) là hình thức tấn cơng mạng mà kẻ tấn công
giả mạo thành một đơn vị uy tín để lừa đảo ngƣời dùng cung cấp thơng tin cá
nhân cho chúng.
Thông thƣờng, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch
trực tuyến, ví điện tử, các cơng ty thẻ tín dụng để lừa ngƣời dùng chia sẻ các
thông tin nhạy cảm nhƣ: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch,
thẻ tín dụng và các thông tin quý giá khác.
Phƣơng thức tấn công này thƣờng đƣợc tin tặc thực hiện thông qua email
và tin nhắn. Ngƣời dùng khi mở email và click vào đƣờng link giả mạo sẽ đƣợc
yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có đƣợc thơng tin ngay tức khắc.
Phƣơng thức phishing đƣợc biết đến lần đầu tiên vào năm 1987. Nguồn
gốc của từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông
tin) và phreaking (trò lừa đảo sử dụng điện thoại của ngƣời khác khơng trả phí).
Do sự giống nhau giữa việc “câu cá” và “câu thông tin ngƣời dùng”, nên thuật
ngữ Phishing ra đời.
* CÁC PHƢƠNG THỨC TẤN CƠNG PHISHING
Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công
Phishing.
Giả mạo email
Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo
email. Tin tặc sẽ gửi email cho ngƣời dùng dƣới danh nghĩa một đơn vị/tổ chức
uy tín, dụ ngƣời dùng click vào đƣờng link dẫn tới một website giả mạo và “mắc
câu”.
9

Những email giả mạo thƣờng rất giống với email chính chủ, chỉ khác một
vài chi tiết nhỏ, khiến cho nhiều ngƣời dùng nhầm lẫn và trở thành nạn nhân của
cuộc tấn công.
Để làm cho nội dung email giống thật nhất có thể, kẻ tấn cơng ln cố
gắng “ngụy trang” bằng nhiều yếu tố:









Địa chỉ ngƣời gửi (VD: địa chỉ đúng là thì
địa chỉ giả mạo có thể là )
Chèn Logo chính thức của tổ chức để tăng độ tin cậy
Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font
chữ,…)
Sử dụng kĩ thuật giả mạo đƣờng dẫn (link) để lừa ngƣời dùng (VD: text
là vietcombank.com.vnnhƣng khi click vào lại điều hƣớng
tới vietconbank.com.vn)
Sử dụng hình ảnh thƣơng hiệu của các tổ chức trong email giả mạo để
tăng độ tin cậy.

Mánh
khóe tinh vi của kẻ tấn công Phishing khiến nạn nhân dễ dàng tin tƣởng và đăng
nhập.

10

GIẢ MẠO WEBSITE
Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả
một Landing page chứ không phải toàn bộ website. Trang đƣợc làm giả thƣờng
là trang đăng nhập để cƣớp thông tin của nạn nhân. Kỹ thuật làm giả website có
một số đặc điểm sau:





Thiết kế giống tới 99% so với website gốc
Đƣờng link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật)
vs redit.com (giả); google.com vs gugle.com; microsoft.com vs mircoso
ft.com hoặc verify-microsoft.com.
Ln có những thơng điệp khuyến khích ngƣời dùng nhập thơng tin cá
nhân vào website (call-to-action).

VƢỢT QUA CÁC BỘ LỌC PHISHING
Hiện nay, các nhà cung cấp dịch vụ email nhƣ Google hay Microsoft đều
có những bộ lọc email spam/phishing để bảo vệ ngƣời dùng. Tuy nhiên những
bộ lọc này hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát
hiện xem email đó có phải phishing hay khơng. Hiểu đƣợc điều này, những kẻ
tấn công đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới.
Chúng thƣờng sử dụng ảnh hoặc video để truyền tải thông điệp lừa đảo thay vì
dùng text nhƣ trƣớc đây. Ngƣời dùng cần tuyệt đối cảnh giác với những nội
dung này.
* CÁCH PHÒNG CHỐNG PHISHING

ĐỐI VỚI CÁ NHÂN
Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet,
thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lƣu ý những điểm sau
:







Cảnh giác với các email có xu hướng thúc giục bạn nhập thơng tin
nhạy cảm. Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn
nên kiểm tra kỹ càng. VD: bạn mới mua sắm online, đột nhiên có email
từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thơng tin thẻ
đã dùng để thanh tốn. Có tin đƣợc không ?!
Không click vào bất kỳ đƣờng link nào đƣợc gửi qua email nếu bạn
không chắc chắn 100% an tồn.
Khơng bao giờ gửi thơng tin bí mật qua email.
Không trả lời những thƣ lừa đảo. Những kẻ gian lận thƣờng gửi cho
bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử
11





dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các
cuộc gọi của họ khơng bao giờ có thể đƣợc truy tìm.

Sử dụng Tƣờng lửa và phần mềm diệt virus. Hãy nhớ luôn cập nhật
phiên bản mới nhất của các phần mềm này.
Hãy chuyển tiếp các thƣ rác đến Bạn cũng có thể gửi
email tới Tổ chức này giúp chống lại
các phishing khác.

ĐỐI VỚI CÁC TỔ CHỨC, DOANH NGHIỆP









Training cho nhân viên để tăng kiến thức sử dụng internet an toàn.
Thƣờng xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả
mạo
Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng
dịch vụ Gmail miễn phí vì dễ bị giả mạo.
Triển khai bộ lọc SPAM để phịng tránh thƣ rác, lừa đảo
Ln cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật
có thể bị kẻ tấn cơng lợi dụng.
Chủ động bảo mật các thông tin nhạy cảm, quan trọng. Xem thêm Giải
pháp bảo mật thông tin cho doanh nghiệp.

* CÁCH XÁC ĐỊNH MỘT EMAIL LỪA ĐẢO

Thoạt nhìn, email giả mạo trơng khơng khác gì “chính chủ”

Đây là một số cụm từ thƣờng gặp nếu bạn nhận đƣợc một email hay tin nhắn là
lừa đảo
12

“Xác thực tài khoản của bạn” / “Verify your account” – Các website hợp
pháp sẽ không bao giớ bắt bạn gửi password, tên tài khoản hay bất cứ thông tin
cá nhân nào của bạn qua email.
“Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng
hoạt động” / “If you don’t respond within 48 hours, your account will be
closed.” – Đây là một tin nhắn truyền tải một thông điệp cấp bách để bạn trả lời
ngay mà không cần suy nghĩ
“Dear Valued Customer.” / “Kinh thƣa quí khách hàng” – Những tin nhắn
từ các email lừa đảo thƣờng xuyên gửi đi với số lƣợng lớn và thƣờng sẽ không
chứa first name và last name của bạn.
“Nhấp chuột vào link bên dƣới để truy cập đến tài khoản của bạn” / “Click
the link below to gain access to your account.” –Các thơng điệp HTML có thể
chứa các liên kết hay các form nhập liệu mà bạn có thể điền các thông tin vào
giống nhƣ khi các form trên một website. Những đƣờng dẫn đó có thể chứa tất
cả hoặc một phần thông tin của các công ty thực sự và thƣờng “đeo mặt nạ”, có
nghĩa là các đƣờng dẫn mà bạn thấy không đƣa bạn đến website mà bạn nghĩ,
ngƣợc lại nó sẽ đƣa bạn đến những website lừa đảo.
* CÁC CƠNG CỤ HỮU ÍCH GIÚP PHỊNG CHỐNG PHISHING:






SpoofGuard: là một plugin trình duyệt tƣơng thích với Microsoft

Internet Explorer. SpoofGuard đặt một “cảnh báo” trên thanh công cụ
của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vơ
tình vào trang web giả mạo Phishing. Nếu bạn cố nhập các thông tin
nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lƣu dữ liệu
của bạn và cảnh báo bạn.
Anti-phishing Domain Advisor: bản chất là một toolbar (thanh công
cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công
ty Panda Security.
Netcraft Anti-phishing Extension: Netcraft là một đơn vị uy tín cung
cấp các dịch vụ bảo mật bao gồm nhiều dịch vụ. Trong số đó, tiện ích
mở rộng chống Phishing của Netcraft đƣợc đánh giá khá cao với nhiều
tính năng cảnh báo thông minh.

1.1.5 COOKIE THEFT
13

Cookies giúp cho trải nghiệm lướt web của bạn thuận lợi và nhanh
chóng hơn. Nhưng nếu xét về khía cạnh bảo mật, cookies có thể làm rị rỉ một
số thơng tin của bạn. Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải
nghiệm duyệt web nhanh chóng vừa có thể giữ an tồn bảo mật cho các thơng
tin quan trọng của mình.
Bạn đã bao giờ thắc mắc tại sao các quảng cáo Google có thể quảng cáo
đúng sản phẩm mà bạn đang định mua, tại sao các trang web luôn đƣợc đăng
nhập sẵn tên bạn dù bạn chỉ đăng nhập đúng một lần? Vâng đó chính là cơ chế
hoạt động của cookies trên trình duyệt web của bạn.
Cookie lƣu trữ thông tin duyệt web, chẳng hạn nhƣ các tùy chọn cho trang
web hoặc thông tin hồ sơ của bạn. Nhờ đó, trình duyệt sẽ cung cấp những thơng
tin phù hợp nhất cho bạn, từ quảng cáo đến những thơng tin lƣớt web đăng nhập.
Có thể nói cookies sẽ giúp cho trải nghiệm lƣớt web của bạn thuận lợi và nhanh

chóng hơn.

Nhƣng nếu xét về khía cạnh bảo mật, cookies có thể làm rị rỉ một số
thơng tin của bạn. Bởi nếu hacker có thể lấy đƣợc những cookies này, hacker
hồn tồn có thể biết đƣợc thói quen, lịch sử duyệt web và dựa vào đó tấn cơng
bạn.
Thƣờng thì cookies sẽ đƣợc lƣu trữ trên máy tính của bạn cho đến khi
chúng hết hạn hoặc bạn xóa chúng. Thời gian lƣu trữ của chúng từ khoảng 30
ngày đến 60 ngày. Với lƣợng thời gian này, hacker hồn tồn có thể lấy đƣợc
nhiều thông tin từ bạn.

14

Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web
nhanh chóng vừa có thể giữ an tồn bảo mật cho các thơng tin quan trọng của
mình.
Bạn có thể quản lý cookies ngay trên trình duyệt web của mình, chính là
xóa những đoạn cookies định kỳ hoặc thiết lập cho trình duyệt tự động làm điều
đó cho bạn và giữ thông tin của bạn luôn đƣợc bảo mật.
Đối với trình duyệt Google Chrome
Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và
chọn Cài đặt >> Hiển thị cài đặt nâng cao… >> Cài đặt nội dung.

Trong phần Cookies, chọn Chỉ lƣu dữ liệu trên máy cho đến khi bạn thoát trình
duyệt của mình.
Chọn Chặn dữ liệu trang Web và cookied của bên thứ ba.
15

Quản lý cookies trên trình duyệt Mozilla Firefox
Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và chọn
Cài đặt.

Chọn Privacy (thiết lập Bảo mật) ở menu bên trái.
Dƣới mục History, chọn Use custom settings for history trong mục xổ
xuống, sau đó nhấn chọn Never by Accept third-party cookies.
Và đánh vào ô Keep until to I close Firefox.
Có một vấn đề bạn nên lƣu ý: Khi bạn xóa Cookies trên trình duyệt Web,
bạn cũng hủy luôn cả lệnh “Remember me” (Ghi nhớ tôi) mà bạn đã từng chọn –
kèm theo các thiết lập lƣu trữ đăng nhập bạn đã lƣu khi đăng nhập bằng bảo mật
2 lớp. Có thể điều này khiến bạn cảm thấy rất phiền, nhƣng rõ ràng để đƣợc bảo
mật thì cái giá này khơng hề mắc tẹo nào.
Ngồi ra, để tăng tính bảo mật an tồn thơng tin cá nhân, bạn nên sử dụng
một giải pháp bảo mật nhƣ phần mềm bảo mật Kaspersky Internet Security 2017
có tích hợp tính năng vừa diệt virus vừa phát hiện và kịp thời ngăn chặn các
trang web có dấu hiệu ngấm ngầm theo dấu thơng tin dữ liệu cá nhân của bạn
trên trình duyệt web.
VIRUSES AND MALICIOUS CODE

* Mã độc là gì? Tổng quan về mã độc
Mã độc hay “Malicious software” là một loại phần mềm đƣợc tạo ra và
chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống
hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính tồn vẹn và
tính sẵn sàng của máy tính nạn nhân.
Mã độc đƣợc phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm,
phá hoại: virus, worm, trojan, rootkit…

16

Mọi ngƣời hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực
tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu
đơn thuần cũng là một dạng mã độc nhƣng sự khác biệt ở chỗ virus máy tính có
khả năng tự lây lan.
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phƣơng
pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các
loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp
lẫn nhau để hiệu quả tấn công là cao nhất.
Sau đây, tơi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính:
chức năng, đối tƣợng lây nhiễm, đặc trƣng của mã độc.
Xem thêm: một số công cụ kiểm tra mã độc website được chuyên gia tin dùng
* LOẠI MÃ ĐỘC PHỔ BIẾN
BOOT VIRUS
Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặc
master boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa các dữ liệu
để khởi động hệ thống, nạp các phân vùng.
Boot virus đƣợc thực thi trƣớc khi hệ điều hành đƣợc nạp lên. Vì vậy, nó
hồn tồn độc lập với hệ điều hành. B-virus có nhƣợc điểm là khó viết do khơng
thể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thƣớc virus
bị hạn chế bởi kích thƣớc của các sector (mỗi sector chỉ có 512 byte).
Ngày nay gần nhƣ khơng cịn thấy sự xuất hiện của Boot Virus do đặc điểm lây
lan chậm và không phù hợp với thời đại Internet.

17

MACRO VIRUS
Đây là loại virus đặc biệt tấn công vào chƣơng trình trong bộ Microsoft
Office của Microsoft: Word, Excel, Powerpoint. Macro là tính năng hỗ trợ trong

bộ cơng cụ văn phòng Microsoft Office cho phép ngƣời sử dụng lƣu lại các công
việc cần thực hiện lại nhiều lần. Thực tế hiện nay cho thấy virus macro gần nhƣ
đã “tuyệt chủng”.

Mặc định Macros bị vơ hiệu hóa trong các file tải về của Microsoft Office
SCRIPTING VIRUS
Scripting virus là loại virus đƣợc viết bằng các ngôn ngữ script (kịch bản)
nhƣ VBScript, JavaScript, Batch script. Những loại virus này thƣờng có đặc
điểm dễ viết, dễ cài đặt. Chúng thƣờng tự lây lan sang các file script khác, thay
18

đổi nội dung cả các file html để thêm các thông tin quảng cáo, chèn banner …
Đây cũng là một loại virus phát triển nhanh chóng nhờ sự phổ biến của Internet.
Xem thêm: case study phân tích mã độc tống tiền Ransomware
FILE VIRUS
Virus này chuyên lây vào các file thực thi (ví dụ file có phần mở rộng
.com, .exe, .dll) một đoạn mã để khi file đƣợc thực thi, đoạn mã virus sẽ đƣợc
kích hoạt trƣớc và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm.
Loại virus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do
phải xử lý cắt bỏ, chỉnh sửa file bị nhiễm.
File Virus có nhƣợc điểm là chỉ lây vào một số định dạng file nhất định và phụ
thuộc vào hệ điều hành.
F-Virus vẫn tồn tại tới ngày nay với những biến thể ngày càng trở nên nguy
hiểm, phức tạp hơn.
TROJAN HORSE – NGỰA THÀNH TƠ ROA
Tên của loại virus này đƣợc lấy theo một điển tích cổ. Trong cuộc chiến
với ngƣời Tơ-roa, các chiến binh Hy Lạp sau nhiều ngày không thể chiếm đƣợc
thành đã nghĩ ra một kế, giảng hòa rồi tặng ngƣời dân thành Tơ-roa một con
ngựa gỗ khổng lồ. Sau khi ngựa gỗ đƣợc đƣa vào thành, đêm đến các chiến binh

Hy Lạp từ trong ngựa gỗ chui ra đánh chiếm thành.

Đây cũng chính là cách mà các Trojan horse (gọi tắt là Trojan) áp dụng:
các đoạn mã của Trojan đƣợc “che giấu” trong các loại virus khác hoặc trong
các phần mềm máy tính thơng thƣờng để bí mật xâm nhập vào máy nạn nhân.
Khi tới thời điểm thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cá
19

nhân, mật khẩu, điều khiển máy tính nạn nhân … Bản chất của Trojan là không
tự lây lan mà phải sử dụng phần mềm khác để phát tán.
Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau:
BackDoor, Adware và Spyware.
BACKDOOR
Phần mềm BackDoor (cửa sau) là một dạng Trojan khi thâm nhập vào
máy tính nạn nhân sẽ mở ra một cổng dịch vụ cho phép kẻ tấn công điều khiển
các hoạt động ở máy nạn nhân.

Kẻ tấn cơng có thể cài các phần mềm BackDoor lên nhiều máy tính khác
nhau thành một mạng lƣới các máy bị điều khiển – Bot Net – rồi thực hiện các
vụ tấn công từ chối dịch vụ (DoS – Denial of Service).
Xem thêm: 12 loại tấn công DDoS
ADWARE VÀ SPYWARE
Đây là loại Trojan khi xâm nhập vào máy tính với mục đích quảng cáo
hoặc “gián điệp”. Chúng đƣa ra các quảng cáo, mở ra các trang web, thay đổi
trang mặc định của trình duyệt (home page) … gây khó chịu cho ngƣời sử dụng.
Các phần mềm này cài đặt các phần mềm ghi lại thao tác bàn phím (key logger),
ăn cắp mật khẩu và thông tin cá nhân …
WORM – SÂU MÁY TÍNH
Cùng với các loại mã độc máy tính nhƣ Trojan, WannaCry, Worm (sâu

máy tính) là loại virus phát triển và lây lan mạnh mẽ nhất hiện nay nhờ mạng
Internet.

20

Vào thời điểm ban đầu, Worm đƣợc tạo ra chỉ với mục đích phát tán qua
thƣ điện tử – email. Khi lây vào máy tính, chúng thực hiện tìm kiếm các sổ địa
chỉ, danh sách email trên máy nạn nhân rồi giả mạo các email để gửi bản thân
chúng tới các địa chỉ thu thập đƣợc.
Các email do worm tạo ra thƣờng có nội dung “giật gân”, hoặc “hấp dẫn”,
hoặc trích dẫn một email nào đó ở máy nạn nhân để ngụy trang. Điều này khiến
các email giả mạo trở nên “thật” hơn và ngƣời nhận dễ bị đánh lừa hơn. Nhờ
những email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp
số nhân.
Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiện
nay còn sử dụng phƣơng pháp lân lan qua ổ USB. Thiết bị nhớ USB đã trở nên
phổ biến trên tồn thế giới do lợi thế kích thƣớc nhỏ, cơ động và trở thành
phƣơng tiện lây lan lý tƣởng cho Worm.
Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đƣa
thêm vào Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành
“bạn đồng hành” của những phần mềm độc hại khác nhƣ BackDoor, Adware…
ROOTKIT
Rootkit ra đời sau các loại virus khác, nhƣng rootkit lại đƣợc coi là một
trong những loại virus nguy hiểm nhất.
Bản thân rootkit không thực sự là virus, đây là phần mềm hoặc một nhóm các
phần mềm máy tính đƣợc giải pháp để can thiệp sâu vào hệ thống máy tính
(nhân của hệ điều hành hoặc thậm chí là phần cứng của máy tính) với mục tiêu
che giấu bản thân nó và các loại phần mềm độc hại khác.

21

Với sự xuất hiện của rootkit, các phần mềm độc hại nhƣ trở nên “vơ hình”
trƣớc những cơng cụ thơng thƣờng thậm chí vơ hình cả với các phần mềm diệt
virus. Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều
trƣớc sự bảo vệ của rootkit – vốn đƣợc trang bị nhiều kĩ thuật mới hiện đại.
Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhƣng kể từ lần xuất hiện
“chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở
nên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc
hại khác.

BOTNET
Là những máy tính bị nhiễm virus và điều khiển bởi Hacker thông qua
Trojan, virus… Hacker lợi dụng sức mạnh của những máy tính bị nhiễm virus
để thực hiện các hành vi tấn công, phá hoại, ăn cắp thông tin. Thiệt hại do
Botnet gây ra thƣờng rất lớn.

Kiến trúc mạng botnet
BIẾN THỂ
22

Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về