Tải bản đầy đủ (.pdf) (70 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Phát hiện tấn công website defacement

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.32 MB, 70 trang )

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN


Ngành Công nghệ thông tin

Giảng viên hướng dẫn:

TS. VŨ THỊ HƯƠNG GIANG

Viện:

Công nghệ thông tin và Truyền thông

HÀ NỘI, 2021


TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ
Phát hiện tấn công website defacement
NGUYỄN ANH TUẤN


Ngành Công nghệ thông tin

Giảng viên hướng dẫn:


TS. Vũ Thị Hương Giang

Viện:

Công nghệ thông tin và Truyền thông

HÀ NỘI, 2021

Chữ ký của GVHD


CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn: NGUYỄN ANH TUẤN.
Đề tài luận văn: Phát hiện tấn công website defacement.
Chun ngành: Mạng máy tính và an tồn thơng tin.
Mã số SV: CB180204.
Tác giả, Người hướng dẫn khoa học và Hội đồng chấm luận văn xác nhận
tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 29/04/2021
với các nội dung sau:
1. Đã rà soát lại chính tả, văn phịng trình bày, triển khai đầy đủ ý, khơng
trình bày dạng ý, gạch đầu dịng.
2. Viết lại phần tóm tắt luận văn
3. Chuyển nội dung các cơ chế phát hiện tấn cơng bằng biểu thức chính
quy trong mục 2.4. sang phần lý thuyết mục 1.3.1. (trang 13).
4. Sửa lại các biểu đồ và tham chiếu, diễn giải đầy đủ.
- Mơ hình giải pháp đề xuất (trang 24).
- Mơ hình cơ chế phát hiện thay đổi giao diện (trang 25).

- Mơ hình cơ chế xác định và cảnh báo tấn công thay đổi giao diện (trang
27).
- Mô hình triển khai (trang 34).
- Thiết kế chức năng quản trị viên (trang 35).
- Thiết kế chức năng giám sát (trang 36).
- Thiết kế chức năng xác định tấn công thay đổi giao diện (trang 37).
- Hoạt động của công cụ phân tích tập tin nhật ký (trang 38).
5. So sánh với các giải pháp khác (Mục 3.6 – Trang 57).
6. Viết lại phần Kết luận và hướng phát triển (trang 58).
Ngày 10 tháng 05 năm 2021
Giáo viên hướng dẫn

Tác giả luận văn

CHỦ TỊCH HỘI ĐỒNG


LỜI CẢM ƠN
Trong quá trình học tập, nghiên cứu và hoàn thiện luận văn, tác giả đã nhận
được sự động viên, khuyến khích và tạo điều kiện giúp đỡ nhiệt tình của các thầy
cơ giáo, cơ quan đồng nghiệp và gia đình.
Tác giả bày tỏ lịng biết ơn sâu sắc tới các thầy cô giáo Viện Công nghệ
Thông tin và Truyền thơng, Phịng Đào tạo – Bộ phận đào tạo sau đại học, Trường
Đại học Bách Khoa Hà Nội, và đặc biệt là các thầy cô giáo đã trực tiếp giảng dạy
các chun đề của tồn khóa học, và đã tạo điều kiện, đóng góp ý kiến cho tác giả
trong suốt q trình học tập và hồn thành luận văn thạc sĩ.
Tác giả xin cảm ơn chủ nhiệm đề tài “Nghiên cứu xây dựng hệ thống chuyển
đổi tiếng nói tiếng Việt sang văn bản và công cụ hỗ trợ tốc ký trong xử lý nghiệp
vụ chuyên môn” Mã số: 01C-07/02-2018-3, đã cho phép tham gia và sử dụng
những kết quả của đề tài để làm thực nghiệm trong luận văn này.

Đặc biệt, tác giả xin bày tỏ lòng biết ơn sâu sắc đến TS. Vũ Thị Hương
Giang, người đã trực tiếp hướng dẫn, tận tình chỉ bảo, giúp đỡ tác giả tiến hành
các hoạt động nghiên cứu để hoàn thành luận văn này.
Với thời gian nghiên cứu còn hạn chế, luận văn khơng tránh khỏi những
thiếu sót, tác giả rất mong nhận được các ý kiến đóng góp chân thành từ các thầy
cô giáo, cơ quan đồng nghiệp và bạn bè.
HỌC VIÊN

NGUYỄN ANH TUẤN


LỜI CAM ĐOAN
Tôi xin cam đoan luận văn thạc sĩ với đề tài: “PHÁT HIỆN TẤN CƠNG
WEBSITE DEFACEMENT” là cơng trình nghiên cứu của riêng tơi. Các kết quả
nghiên cứu trong luận văn là trung thực và chưa từng được cơng bố trong bất kỳ
một cơng trình nào khác. Trong q trình làm luận văn, tơi có tham khảo các tài
liệu khác nhau và đã ghi rõ nguồn của tài liệu tham khảo.
HỌC VIÊN

NGUYỄN ANH TUẤN


TÓM TẮT LUẬN VĂN THẠC SĨ
Đề tài: Phát hiện tấn cơng website defacement.
Tác giả luận văn: Nguyễn Anh Tuấn
Khóa: 18B
Người hướng dẫn: TS. Vũ Thị Hương Giang
Từ khóa (Keyword): attack detection, defacement, web monitoring, content
modification
Nội dung tóm tắt:

Tấn cơng thay đổi giao diện (website defacement) là việc sửa đổi trái phép
giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Kẻ tấn công, phá
hoại thay thế các thông tin của website gốc bằng các nội dung khác như các thơng
điệp chính trị, bơi nhọ, thêm nội dung nhạy cảm, thay đổi mô tả sản phẩm, v.v. gây
tổn hại nghiêm trọng đến uy tín của doanh nghiệp, làm gián đoạn truy cập website.
Những kẻ tấn công thường xâm nhập các trang web thông qua các lỗ hổng phổ
biến như local file inclusion, SQL injection, hay đoán mật khẩu nhằm chiếm quyền
truy cập, thực thi các mã độc hại. Trong bối cảnh đó, nghiên cứu và thử nghiệm
giải pháp tự động phát hiện tấn công thay đổi giao diện, làm rõ các nội dung đã bị
thay thế là một chủ đề cấp thiết.
Mục đích của đề tài là nghiên cứu các hình thức tấn cơng, áp dụng các cơ
chế, công cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mơ hình và cài đặt
thử nghiệm giải pháp phát hiện tấn công thay đổi giao diện website.
Các đóng góp chính của tác giả bao gồm:
1. Tổng hợp các khái niệm, phương thức tấn công thay đổi giao diện
website.
2. Thiết kế quy trình phát hiện tấn cơng thay đổi giao diện gồm các bước
chính: thu thập thơng tin website, phát hiện thay đổi, phân tích thay đổi, cảnh báo
tấn công.
3. Cài đặt thử nghiệm các module phục vụ giám sát thu thập thông tin
website, phát hiện thay đổi, lưu trữ được hình ảnh, thời gian thay đổi giao diện của
website.
4. Cài đặt thử nghiệm được một số luật phân tích thay đổi, xác định được
một số trường hợp phát hiện tấn công thay đổi giao diện.
5. Thử nghiệm giải pháp để giám sát, phát hiện tấn công trên hai đối tượng:
thứ nhất là website tin tức về môi trường nước của NAWAPI, thứ hai là website
Hệ thống hỗ trợ và quản lý biên bản cuộc họp tại UBND thành phố Hà Nội (đây là
một sản phẩm nghiên cứu của đề tài “Nghiên cứu xây dựng hệ thống chuyển đổi
tiếng nói tiếng Việt sang văn bản và cơng cụ hỗ trợ tốc ký trong xử lý nghiệp vụ
chuyên môn” Mã số: 01C-07/02-2018-3 do Trung tâm Tin học Công báo Thành

phố Hà Nội chủ trì).
Qua thử nghiệm các kịch bản thay đổi toàn bộ mã nguồn, chèn mã javascript
và thay đổi một phần giao diện, luận văn này đóng góp vào q trình giám sát các
website nói chung và kiểm thử, đánh giá kết quả nghiên cứu của đề tài 01C-07/022018-3 đã nêu trên.


MỤC LỤC
ĐẶT VẤN ĐỀ ....................................................................................................... 1
CHƯƠNG I. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN ............ 3
1.1. Hiện trạng tấn công thay đồi giao diện hiện nay ...................................... 3
1.1.1.

Tấn cơng thay đổi giao diện là gì? ................................................ 3

1.1.2.

Tình hình tấn công thay đổi giao diện hiện nay ............................. 5

1.2. Các hình thức tấn cơng thay đổi giao diện phổ biến ................................ 9
1.3. Các cơ chế, công cụ phát hiện, cảnh báo tấn công thay đổi giao diện ... 10
1.3.1.
Cơ chế phát hiện tấn công thay đổi giao diện từ kiểm tra sự xâm
nhập……. ..................................................................................................... 11
1.3.2.
Các cơ chế phát hiện dựa trên thay đổi nội dung, hình ảnh hiển thị
của website ................................................................................................... 18
1.3.3.
Một số công cụ giám sát và phát hiện tấn công thay đổi giao
diện……........................................................................................................ 21
1.4. Kết chương ............................................................................................. 22

Chương II. PHÂN TÍCH, THIẾT KẾ MƠ HÌNH GIẢI PHÁP PHÁT HIỆN TẤN
CƠNG THAY ĐỔI GIAO DIỆN ........................................................................ 23
2.1. Mơ tả bài tốn ......................................................................................... 23
2.2. Mơ hình giải pháp đề xuất ...................................................................... 23
2.3. Thiết kế cơ chế phát hiện thay đổi giao diện .......................................... 24
2.4. Thiết kế cơ chế xác định và cảnh báo tấn công thay đổi giao diện. ....... 26
2.5. Phân tích tập luật .................................................................................... 28
2.5.1.

Xác định tấn công thay đổi giao diện thủ công............................ 29

2.5.2.
Xác định tấn công thay đổi giao diện kết hợp giữa trường hợp
thay đổi và phân tích tập tin nhật ký ............................................................ 29
2.5.3.

Tổng hợp tập luật ......................................................................... 31

2.6. Kết chương ............................................................................................. 32
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MƠ HÌNH PHÁT
HIỆN TẤN CƠNG THAY ĐỔI GIAO DIỆN..................................................... 33
3.1. Mơ hình triển khai .................................................................................. 33
3.2. Thiết kế chức năng thực hiện các cơ chế trong công cụ giám sát .......... 34
3.2.1.

Chức năng quản trị viên ............................................................... 34

3.2.2.

Chức năng giám sát ..................................................................... 35


3.2.3.

Thiết kế chức năng xác định tấn công thay đổi giao diện............ 36

3.3. Cấu hình, cài đặt mơi trường thử nghiệm giám sát thu thập thông tin
website ............................................................................................................. 38


3.4. Thử nghiệm module giám sát thu thập thông tin website NAWAPI ..... 39
3.4.1.

Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn ....................... 39

3.4.2.

Kịch bản 2: Kịch bản chèn mã javascript .................................... 43

3.4.3.

Kịch bản 3: kịch bản thay đổi một phần giao diện ...................... 45

3.5. Thử nghiệm module giám sát thu thập thông tin Hệ thống hỗ trợ và quản
lý biên bản cuộc họp tại UBND thành phố Hà Nội. ........................................ 47
3.5.1.
Kịch bản 1: Kịch bản thay đổi toàn bộ mã nguồn trang đăng
nhập……. ...................................................................................................... 48
3.5.2.

Kịch bản 2: Kịch bản chèn mã javascript trang đăng nhập ........ 50


3.5.3.
Kịch bản 3: kịch bản thay đổi một phần giao diện trang đăng
nhập……. ...................................................................................................... 52
3.5.4.
Kịch bản 4: Kịch bản chèn mã javascript trên trang nội dung sau
đăng nhập. .................................................................................................... 54
3.6. So sánh với các giải pháp khác ............................................................... 56
3.7. Kết chương ............................................................................................. 56
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................... 57
TÀI LIỆU THAM KHẢO .................................................................................... 59


DANH MỤC HÌNH ẢNH

HÌNH 1. WEBSITE CỦA SÂN BAY TÂN SƠN NHẤT BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN ..................... 4
HÌNH 2. WEBSITE VIETNAMAIRLINES BỊ TẤN CƠNG THAY ĐỔI GIAO DIỆN ........................................ 4
HÌNH 3. SỐ LƯỢNG KẾT QUẢ BÁO CÁO WEBSITE BỊ TẤN CÔNG THAY ĐỔI GIAO DIỆN TRÊN
MIRROR-H ......................................................................................................................................... 6

HÌNH 4. BIỂU ĐỒ THỐNG KÊ TẤN CƠNG MẠNG TÍNH ĐẾN 7/2019 .................................................... 7
HÌNH 5. BIỂU ĐỒ THỐNG KÊ TẤN CƠNG MẠNG 4 THÁNG ĐẦU NĂM 2020 ....................................... 7
HÌNH 6. TOP 10 LỖ HỔNG VÀO ỨNG DỤNG WEB THEO CÔNG BỐ CỦA OWASP NĂM 2013 VÀ
2017 ................................................................................................................................................. 9
HÌNH 7. MƠ HÌNH GIẢI PHÁP ĐỀ XUẤT ............................................................................................... 23
HÌNH 8. MƠ HÌNH CƠ CHẾ PHÁT HIỆN THAY ĐỔI GIAO DIỆN .......................................................... 24
HÌNH 9. MƠ HÌNH CƠ CHẾ XÁC ĐỊNH VÀ CẢNH BÁO TẤN CƠNG THAY ĐỔI GIAO DIỆN ................ 26
HÌNH 10. THỐNG KÊ CÁC TRƯỜNG HỢP BỊ THAY ĐỔI ...................................................................... 29
HÌNH 11. TRƯỚC VÀ SAU THỬ NGHIỆM KỊCH BẢN TẤN CÔNG THAY ĐỔI TỒN BỘ WEBSITE ...... 29
HÌNH 12. MƠ HÌNH TRIỂN KHAI ........................................................................................................... 33

HÌNH 13. THIẾT KẾ CHỨC NĂNG QUẢN TRỊ VIÊN .............................................................................. 34
HÌNH 14. THIẾT KẾ CHỨC NĂNG GIÁM SÁT ........................................................................................ 35
HÌNH 15. THIẾT KẾ CHỨC NĂNG XÁC ĐỊNH TẤN CƠNG THAY ĐỔI GIAO DIỆN .............................. 36
HÌNH 16. HOẠT ĐỘNG CỦA CƠNG CỤ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................................. 37
HÌNH 17. CẤU HÌNH MÃ NGUỒN CƠNG CỤ ........................................................................................ 38
HÌNH 18. KHỞI CHẠY DỊCH VỤ GIÁM SÁT .......................................................................................... 39
HÌNH 19. ĐĂNG NHẬP VÀO WEBSITE QUẢN TRỊ................................................................................. 40
HÌNH 20. THÊM ĐỊA CHỈ URL CỦA WEBSITE CẦN GIÁM SÁT .......................................................... 40
HÌNH 21. NỘI DUNG THAY ĐỔI GIAO DIỆN ........................................................................................ 41
HÌNH 22. WEBSITE SAU KHI BỊ TẤN CƠNG ......................................................................................... 41
HÌNH 23. THƠNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 42
HÌNH 24. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC (00H39) VÀ SAU KHI BỊ THAY ĐỔI (00H50) ... 42
HÌNH 25. WEBSITE TIN TỨC SAU KHI BỊ TẤN CƠNG .......................................................................... 43
HÌNH 26. WEBSITE TIN TỨC SAU KHI TẮT THƠNG BÁO ..................................................................... 44
HÌNH 27. THƠNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ.................................................................. 44
HÌNH 28. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 45

HÌNH 29. WEBSITE SAU KHI BỊ TẤN CÔNG ......................................................................................... 46


HÌNH 30. THƠNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 46
HÌNH 31. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 47
HÌNH 32. MÃ NGUỒN NỘI DUNG THAY ĐỔI GIAO DIỆN ................................................................... 48
HÌNH 33. HÌNH ẢNH SAU KHI BỊ TẤN CƠNG ....................................................................................... 49
HÌNH 34. THƠNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 49
HÌNH 35. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU KHI BỊ THAY ĐỔI ................................... 49
HÌNH 36. HỆ THỐNG SAU KHI BỊ TẤN CƠNG CHÈN MÃ. ................................................................... 50
HÌNH 37. HỆ THỐNG SAU KHI TẮT THƠNG BÁO ................................................................................ 51
HÌNH 38. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 51

HÌNH 39. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 52

HÌNH 40. HỆ THỐNG SAU KHI BỊ TẤN CƠNG ...................................................................................... 53
HÌNH 41. THƠNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 53
HÌNH 42. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI MỘT PHẦN GIAO DIỆN ........ 54
HÌNH 43. HỆ THỐNG SAU ĐĂNG NHẬP KHI BỊ TẤN CÔNG CHÈN MÃ .............................................. 55
HÌNH 44. SAU KHI TẮT THƠNG BÁO .................................................................................................... 55
HÌNH 45. THÔNG BÁO XUẤT HIỆN TẠI TRANG QUẢN TRỊ ................................................................. 55
HÌNH 46. HÌNH ẢNH SO SÁNH, LƯU TRỮ TRƯỚC VÀ SAU THAY ĐỔI KỊCH BẢN CHÈN MÃ
JAVASCRIPT ................................................................................................................................... 56


DANH MỤC BẢNG BIỂU

BẢNG 1. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CÔNG XSS ................................... 14
BẢNG 2. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN TẤN CƠNG SQL INJECTION ................. 16
BẢNG 3. MỘT SỐ BIỂU THỨC CHÍNH QUY PHÁT HIỆN CÁC TẤN CÔNG DIRECTORY TRAVERSAL
................................................................................................................................ 18
BẢNG 4. KẾT HỢP WEBSITE BỊ THAY ĐỔI VÀ PHÂN TÍCH TẬP TIN NHẬT KÝ ............................. 30


ĐẶT VẤN ĐỀ
Thế giới đang bước vào cuộc cách mạng công nghiệp lần thứ tư với sự phát
triển bùng nổ của những cơng nghệ mang tính đột phá như trí tuệ nhân tạo (AI Artificial Inteligence), máy tính lượng tử (Quantum Computers), Internet của vạn
vật (IoT - Internet of Things), cơng nghệ điện tốn đám mây (Cloud Computing),
dữ liệu nhanh (Fast Data), dữ liệu lớn (Big Data), v.v. Bên cạnh đó chúng ta ln
phải đối mặt với các cuộc tấn cơng an ninh mạng từ các đối tượng có hành vi xấu,
thủ đoạn ngày càng tinh vi và hiện đại mà ngay cả những ông lớn trong ngành công
nghệ như Google, Apple, Facebook cũng thường xuyên bị tấn công. Do đó, cơng

tác bảo đảm an tồn, an ninh mạng, an ninh thông tin đang là một vấn đề cấp thiết
hiện nay.
Thực tế, tình trạng tấn cơng qua mạng giữa các quốc gia diễn ra ngày càng
nghiêm trọng, Việt Nam đang là quốc gia có tốc độ phát triển về cơng nghệ thông
tin nhanh nhất tại khu vực Đông Nam Á. Hàng loạt trang/ cổng thông tin điện tử
ra đời phục vụ cho nhu cầu của người dùng như: truyền tải tin tức, bán hàng, quảng
bá sản phẩm, quảng bá nhãn hiệu, giới thiệu công ty, v.v. Song song với sự phát
triển đó là các vấn đề về bảo mật, lợi dụng những lỗ hổng bảo mật từ hệ thống máy
chủ, lỗ hổng website để tấn công làm thay đổi giao diện, gián đoạn giao dịch, đánh
cắp dữ liệu, v.v. Trong đó, tấn cơng thay đổi giao diện (Deface) là cách thức tấn
công phổ biến, làm thay đổi giao diện, thay đổi nội dung, hình ảnh nhằm gây tổn
thất nghiệm trọng cho các đơn vị sở hữu như: tổn thất uy tín đơn vị/ cơng ty, làm
gián đoạn truy cập, đánh cắp dữ liệu khách hàng, thêm từ nội dung nhạy cảm, thay
đổi sản phẩm, v.v bằng mắt thường, rất khó có thể nắm bắt được những thay đổi
trên website một cách chi tiết, hoặc những vấn đề thay đổi liên quan đến mã nguồn
của website do tin tặc chèn vào. Những thay đổi có thể ảnh hưởng trực tiếp hoặc
gián tiếp đến website như: gây ngừng hoạt động, dữ liệu hiển thị sai, chuyển hướng
đến trang khác để thực hiện hành vi đánh cắp dữ liệu, thay đổi hình ảnh hoặc nội
dung bài viết. Hiện nay cũng đã có nhiều bộ công cụ hỗ trợ giám sát và phát hiện
tấn công này như Site24x7, VNCS, Nagios, v.v. Tuy nhiên các công cụ phát hiện
và giám sát an ninh, giám sát tấn công vào website, tấn công thay đổi giao diện
website cịn nhiều hạn chế như: hầu hết là các cơng cụ phải trả phí với giá thành
khá cao, cịn sử dụng cơng nghệ cũ khiến những kẻ tấn cơng có thể biết được cách
thức phát hiện để có thể vượt qua được sự phát hiện của bộ cơng cụ đó. Các lỗ
hổng, các cách thức tấn cơng mới có thể được cập nhật liên tục và hệ thống huấn
luyện để máy có thể học một cách nhanh chóng mà người quản trị thường sẽ bị
động đối với các cuộc tấn công này.
1



Xuất phát từ những lí do trên, đề tài “Phát hiện tấn công website
defacement” sẽ nghiên cứu các biện pháp để tiến hành xử lý các yêu cầu đã đề ra.
Mục đích của đề tài là nghiên cứu, áp dụng các hình thức tấn cơng, các cơ chế,
cơng cụ phục vụ phát hiện, cảnh báo để đề xuất xây dựng mơ hình và cài đặt thử
nghiệm giải pháp phát hiện khi có tấn cơng thay đổi giao diện website.
Nội dung của luận văn đề tài được cấu trúc như sau:
Chương I. TỔNG QUAN VỀ TÌNH TRẠNG TẤN CƠNG THAY ĐỔI
GIAO DIỆN
Tiến hành nghiên cứu tổng quan về tấn công thay đổi giao diện; các hình
thức, kỹ thuật tấn cơng thay đổi giao diện phổ biến; các cơ chế, công cụ phục vụ
phát hiện, cảnh báo tấn công thay đổi giao diện.
Chương II. PHÂN TÍCH, THIẾT KẾ MƠ HÌNH GIẢI PHÁP PHÁT
HIỆN VÀ GIÁM SÁT TẤN CÔNG THAY ĐỔI GIAO DIỆN
Với bài toán cụ thể, chương này sẽ tiến hành đề xuất xây dựng mơ hình,
phân tích thiết kế hệ thống để xây dựng các cơ chế giám sát và phát hiện tấn công
thay đổi giao diện.
Chương III. XÂY DỰNG VÀ CÀI ĐẶT THỬ NGHIỆM MƠ HÌNH
PHÁT HIỆN TẤN CƠNG THAY ĐỔI GIAO DIỆN
Từ đó mơ hình đã xây dựng, triển khai các chức năng, xây dựng kịch bản
và thử nghiệm để kiểm tra lại các kết quả lý thuyết đã nghiên cứu.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong các Thầy, Cơ và đồng nghiệp đóng góp ý
kiến xây dựng.
Xin chân thành cảm ơn !

2


CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG THAY ĐỔI GIAO DIỆN
Hiện nay các website ngày phổ biến và đa dạng chức năng và được sử dụng

rộng rãi bởi các cá nhân, cơ quan, tổ chức. Cũng chính vì lý do trên thì website là
một trong những mục tiêu hướng đến trước tiên nếu hacker muốn đánh cắp thông
tin, tấn công một hệ thống của tổ chức, cơ quan nào đó. Có nhiều hình thức để có
thể tấn cơng một website trong đó có tấn cơng thay đổi giao diện. Trong chương
này sẽ tìm hiểu về tấn cơng thay đổi giao diện website, kỹ thuật phát hiện tấn công
thay đổi giao diện, một số công cụ giám sát và cảnh báo an ninh cho website.

1.1.

Hiện trạng tấn công thay đồi giao diện hiện nay

1.1.1. Tấn công thay đổi giao diện là gì?
Defacement (bơi nhọ) là hành vi phá hoại hình ảnh của một ai, một thứ, một
đơn vị nào đó. Tấn công thay đổi giao diện (website defacement) là việc sửa đổi
trái phép giao diện (cấu trúc, nội dung văn bản, hình ảnh, v.v) của website. Với
hình thức tấn cơng này, kẻ tấn công, phá hoại thay thế các thông tin của website
gốc bằng các nội dung khác như các thông điệp chính trị, bơi nhọ, thêm nội dung
nhạy cảm, thay đổi mô tả sản phẩm gây tổn hại nghiêm trọng đến uy tín của doanh
nghiệp, làm gián đoạn truy cập website. Nói cách khác, khi người dùng truy cập
vào địa chỉ của trang web đó thì giao diện của một trang web khác hoặc nội dung
khác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà tin
tặc muốn truyền tải.
Một số ví dụ đơn giản để chúng ta dễ hình dung:
Hình 1 là bằng chứng vụ website Tân Sơn Nhất vào 8/3/2017, một tin tặc
đã đăng nội dung cảnh báo về lỗ hổng tồn tại trong website này sau khi hack thành
công. Tin tặc này khẳng định “Tơi có thể rooted rồi hack cả server nhưng tơi khơng
làm thế. Vui lịng nhắn tin. Và tơi khơng hề đụng chạm gì tới database ngoại trừ
up shell và up index.”

3



Hình 1. Website của sân bay Tân Sơn Nhất bị tấn công thay đổi giao diện
Chiều ngày 29/7, website của Tổng công ty Hàng không Việt Nam bị tấn
công thay đổi giao diện (deface). Sự cố này diễn ra trong khoảng 30 phút, sau đó
trang trở lại hoạt động bình thường. Trong thời gian trên, trang
vietnamairlines.com hiển thị nội dung liên quan đến nhóm 1937CN Team, cùng
với đó là những lời tun bố xun tạc về tình hình biển Đơng giữa Việt Nam,
Trung Quốc và Philippines. Hình 2 là hình ảnh website này tại thời điểm bị tấn
cơng.

Hình 2. Website vietnamairlines bị tấn công thay đổi giao diện

4


Có nhiều lý do để tấn cơng deface nhưng tựu chung lại một số lí do chính
sau:


Thể hiện quan điểm chính trị hay tơn giáo là một trong các lý do. Có

những tin tặc tấn cơng những trang web chính phủ, web về tơn giáo tín ngưỡng và
lan truyền thơng điệp chống đối của mình.

Tấn cơng thay đổi giao diện đơn giản là để cho vui. Có những người
muốn làm việc tốt khi tìm ra lỗ hổng, có thể khai thác và tấn công thay đổi giao
diện website sẽ báo cho quản trị viên để có thể khắc phục. Và cũng có những người
muốn khẳng định, thể hiện, chứng tỏ bản thân, rất dễ bắt gặp những thông điệp
kiểu như “hacked by...” của những người này.


Việc một website bị tấn công thay đổi giao diện sẽ chỉ gây thiệt hại tới
uy tín của tổ chức, hay cá nhân sở hữu trang web đó và sẽ khơng gây tổn thất lớn
tới hệ thống, dữ liệu của máy chủ. Tuy nhiên, đôi khi sẽ có tin tặc tấn cơng một
website nhằm đánh lạc hướng, che đậy cho hành vi phá hoại lên máy chủ (như là
tải mã độc và thực thi nó trên máy chủ nạn nhân).
Như vậy, tấn công thay đổi giao diện còn là tiền đề cho các cuộc tấn công
khác với mức độ nghiêm trọng hơn đối với máy chủ và người dùng như lừa đảo,
nặc danh, phát tán mã độc hay xóa các file cần thiết khỏi máy chủ.

1.1.2. Tình hình tấn cơng thay đổi giao diện hiện nay
Gần đây việc phát hiện các tấn công thay đổi giao diện website là một chủ
đề nghiên cứu vẫn còn chưa được nhận nhiều sự quan tâm của giới khoa học và
cộng đồng trong khi số lượng các cuộc tấn công ngày càng tăng. Thống kê trên
một số trang website thơng báo website bị tấn cơng như zone-h.org tính đến thời
điểm 7/4/2021 số lượng thông báo website bị tấn công là 14.519.063 như Hình 3.
Một nền tảng khác cũng giống như zone-h là mirror-h.org cũng có thơng báo
website bị tấn công thay đổi giao diện. Cùng thời điểm với zone-h thì trên trang
mirror-h có 2.286.182 kết quả báo cáo.

5


Hình 3. Số lượng kết quả báo cáo website bị tấn công thay đổi giao diện trên
mirror-h
Theo thống kê của Bộ Thông tin và Truyền thông, trong năm 2018 đã có
10220 cuộc tấn cơng mạng vào Việt Nam bao gồm 3198 cuộc tấn công thay đổi
giao diện. Trong 6 tháng đầu năm 2019 số lượng ghi nhận được là 3159 cuộc tấn
công vào hệ thống thông tin của Việt Nam, giảm 2684 cuộc tấn công so với năm
20181.

Theo báo cáo của Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam
– VNCERT ghi nhận 6219 cuộc tấn công mạng vào 7 tháng đầu năm 2019 được
thể hiện trong Hình 4. Trong số này thì có 2155 cuộc tấn cơng phishing, 3824 tấn
công thay đổi giao diện và 240 tấn công cài mã độc2.

VIR, “Security World 2019: security for banking and state management,” [Online]. Available:
[Accessed 22 02 2020].
2
MIC, “Vietnam suffers over 6,200 cyber attacks in seven months,” [Online]. Available:
[Accessed 20 03 2020].
1

6


Hình 4. Biểu đồ thống kê tấn cơng mạng tính đến 7/2019
Cũng theo báo cáo của Bộ Thông tin và Truyền thơng đã có 1056 cuộc tấn
cơng mạng vào hệ thống thông tin của Việt Nam trong bốn tháng đầu năm 2020
được thể hiện cụ thể trong Hình 5. Cụ thể có 553 cuộc tấn cơng phishing, 280 cuộc
tấn cơng thay đổi giao diện, 223 tấn công cài mã độc, giảm 51,4% so với cùng kỳ
năm 2019. Riêng trong tháng 3 năm 2020 đã có 43 vụ tấn cơng phishing, 89 vụ tấn
công thay đổi giao diện và 71 cuộc tấn cơng liên quan đến mã độc3.

Hình 5. Biểu đồ thống kê tấn công mạng 4 tháng đầu năm 2020

3

vietnamnews, “Cyber attacks drop 51% in the first four months,” [Online]. Available:
/>[Accessed 09 05 2020].


7


Theo như thống kê của Sucuri trong báo cáo “2019 Website Threat
Research Report” thì trong năm 2019 họ thống kê rằng có 60% các trang web dễ
bị tấn cơng, tăng 4% so với năm 2018. Trong đó họ nhận thấy rằng 5,76% là tấn
công thay đổi giao diện4.
Riêng trong tháng 8/2020, theo thống kê của Cục An tồn thơng tin
(ATTT)5, Bộ TT&TT, đơn vị này đã ghi nhận, cảnh báo và hướng dẫn xử lý 517
sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam (199 cuộc Phishing,
160 cuộc Deface, 158 cuộc Malware), giảm 0,77% so với tháng 7/2020 và có phần
giảm nhẹ liên tục trong 3 tháng gần đây. Tuy nhiên, sự theo nhận định của Cục
ATTT, do các đối tượng tấn công mạng vẫn lợi dụng sự quan tâm của toàn xã hội
đối với các vấn đề về Covid trong nước và trên thế giới, cũng như tình hình tổ chức
đại hội Đảng, bầu cử Hội đồng nhân dân các cấp để tăng cường phát tán, lây nhiễm
mã độc nên số cuộc tấn công được ghi nhận, phát hiện vẫn ở mức cao ở Việt Nam.
Bên cạnh đó, theo số liệu từ Cục CNTT và Dữ liệu tài nguyên môi trường6,
số liệu thống kê quý II và nửa đầu quý III về các trường hợp tấn công vào trang/
cổng thông tin điện tử của Việt Nam như sau:
- Trong tháng 4/2020, có 203 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 43 trường hợp tấn cơng thay đổi giao diện, 104
trường hợp tấn công lừa đảo (Phishing), 56 trường hợp tấn công cài cắm mã độc.
- Trong tháng 5/2020, có 96 trường hợp tấn cơng vào trang/cổng thơng tin
điện tử của Việt Nam, trong đó: 22 trường hợp tấn công thay đổi giao diện, 11
trường hợp tấn công lừa đảo (Phishing), 63 trường hợp tấn công cài cắm mã độc.
- Trong tháng 6/2020, có 540 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 55 trường hợp tấn cơng thay đổi giao diện, 377
trường hợp tấn công lừa đảo (Phishing), 108 trường hợp tấn cơng cài cắm mã độc.
- Trong tháng 7/2020, có 640 trường hợp tấn công vào trang/cổng thông tin
điện tử của Việt Nam, trong đó: 155 trường hợp tấn cơng thay đổi giao diện, 370

trường hợp tấn công lừa đảo (Phishing), 115 trường hợp tấn công cài cắm mã độc.
- Trong tháng 8/2020, có 358 trường hợp tấn cơng vào trang/cổng thơng tin
điện tử của Việt Nam, trong đó: 52 trường hợp tấn công thay đổi giao diện, 129
trường hợp tấn công lừa đảo (Phishing), 177 trường hợp tấn công cài cắm mã độc.
Mặc dù các cuộc tấn công thay đổi giao diện có thể gây ra hậu quả nghiêm
trọng, nhưng trong một nghiên cứu của Bartoli cho thấy nhiều đơn vị quản lý
website vẫn phản ứng chậm với các cuộc tấn công với thời gian phản hồi trung

4

Sucuri, "2019 Website Threat Research Report," Sucuri, 2020.

5

/> />
6

8


bình lên đến 72 giờ. Hơn nữa trong nghiên cứu của họ cho thấy chỉ có 24% website
bị thay đổi giao diện được khơi phục trong vịng một ngày, khoảng 50% khơi phục
trong tuần đầu tiên, trong đó có tới 37% các website phải tới tận hai tuần[1]. Từ
đó một hệ thống cần thiết cần phải nhận biết các dấu hiệu tấn cơng và có phản hồi
nhanh chóng để tiến hành các khơi phục cần thiết.
Nhìn chung các phương thức bảo vệ, phát hiện và khơi phục cịn chưa được
áp dụng rộng rãi. Chính vì vậy cần những hệ thống có chức năng phát hiện và cảnh
báo đến quản trị viên website một cách nhanh chóng và chính xác hơn.

1.2.


Các hình thức tấn cơng thay đổi giao diện phổ biến
Có nhiều nguyên nhân dẫn tới website bị tấn công thay đổi giao diện. Nhưng

nguyên nhân chủ yêu vẫn là webserver tồn tại nhiều lỗ hổng giúp kẻ tấn cơng có
thể thay đổi nội dung của website hoặc thêm file lên máy chủ web này. Thậm chí
một website vẫn có thể bị tấn công thay đổi giao diện mặc dù website đó khơng
tồn tại lỗ hổng, nhưng do nó được hosting trên máy chủ bị tấn công chiếm quyền
điều khiển. Những lỗ hổng trên ứng dụng web tồn tại rất nhiều. OWASP (Open
Web Application Security Project) là 1 dự án mở về bảo mật ứng dụng web. Hàng
năm OWASP sẽ công bố Top 10 lỗ hổng web có mức độ nguy hiểm cao nhất để
cảnh báo các nguy cơ bị tấn cơng vào ứng dụng web, giúp người quản trị có biện
pháp phát hiện và vá những lỗ hổng còn tồn tại trong hệ thống. Hình 6 dưới đây là
hai cơng bố của OWASP gần đây nhất.

Hình 6. Top 10 lỗ hổng vào ứng dụng web theo công bố của OWASP
năm 2013 và 20177
Để có thể tấn cơng thay đổi giao diện website có rất nhiều cách nhưng nhìn
chung đều là do việc tấn công và khai thác từ các lỗ hổng bảo mật . Các lỗ hổng
trên các website hay trên các máy chủ host website có thể bị khai thác để thực hiện
7

/>
9


các cuộc tấn công thay đổi giao diện thường là: File inclusion, SQL, XSS, mật
khẩu yếu, hệ hiều hành chạy trên server tồn tại lỗ hổng do không được cập nhật
thường xuyên. Dưới đây là một số chi tiết về các lỗ hổng:
Lỗ hổng chèn mã SQL Injection: Là lỗ hổng phổ biến trong tấn công

website, SQLi luôn nằm trong top đầu của 10 lỗ hổng trong tấn công vào các ứng
dụng web được thống kê trên OWASP (Open Web Application Security Project).
Đây là một kỹ thuật cho phép kẻ tấn công chèn mã SQL vào dữ liệu được gửi đến
máy để máy chủ thực thi các câu lệnh với mã SQL một cách bất hợp pháp. Mục
đích chính của việc này đối với các cuộc tấn công thay đổi giao diện thường là
thay đổi dữ liệu website được lưu trong cơ sở dữ liệu như các bài viết, title hoặc
chiếm quyền điều khiển toàn bộ website.
Lỗ hổng XSS – Cross Site Scripting: Cũng là một trong những lỗ hổng nằm
trong top 10 của OWASP. Là dạng lỗ hổng giúp kẻ tấn công chèn những đoạn
script độc hại (thông thường là Java Script) vào website và sẽ được thực thi ở phía
người dùng. Ví dụ tin tặc có thể chèn vào các form tìm kiếm, trên url, form bình
luận. Khi các script này được thực thi, website người dùng truy cập vào có thể bị
thay đổi giao diện xuất hiện những form nhập thông tin nhạy cảm giả mạo do tin
tặc viết ra hoặc bị chuyển hướng đến một website độc hại mà tin tặc đã dựng sẵn.
Lỗ hổng File Inclusion: Lỗ hổng này cho phép tin tặc có thể thực thi các file
chứa mã tấn công từ xa hoặc cục bộ (RFI - LFI). Lỗ hổng này thường xuất hiện do
cơ chế kiểm tra đường dẫn và tên file thiếu an toàn. Khi thực hiện các file này, nội
dung của trang web bị tấn cơng có thể bị thay đổi.
Lỗ hổng mật khẩu yếu và không cập nhật phần mềm: Việc đặt mật khẩu
yếu có thể dẫn đến việc tin tặc có thể đốn ra mật khẩu của tài khoản admin hoặc
thơng qua brute force để tìm ra mật khẩu này với mục đích chiếm quyền truy cập
tài khoản admin để thực hiện các hành vi thay đổi. Việc khơng cập nhật phần mềm
liên tục có thể dẫn đến máy chủ web hoặc hệ điều hành chạy trên máy chủ tồn tại
các lỗ hổng dẫn đến website có nguy cơ bị tấn công thay đổi giao diện do tồn tại
nhiều lỗ hổng nghiêm trọng tồn tại trong các phiên bản cũ của phần mềm.

1.3.

Các cơ chế, công cụ phát hiện, cảnh báo tấn cơng thay đổi giao diện


Phịng chống tấn công thay đổi giao diện website luôn là một chủ đề được
các tổ chức, cá nhân hoạt động trên mạng internet quan tâm. Khơng có giải pháp
phần mềm hoặc phần cứng nào đảm bảo an toàn tuyệt đối cho các website chống
lại các cuộc tấn công thay đổi giao diện, nhưng vẫn cần những phương pháp, cách
10


làm giúp ngăn chặn, giảm thiểu sự cố liên quan đến tấn công thay đổi giao diện
website. Dễ dàng nhận thấy thực hiện hành vi tấn cơng có thể có nhiều bước thực
hiện nhưng chỉ cần chúng ta phát hiện và chặn đứng kịp thời thì cuộc tấn cơng đó
coi như thất bại.

1.3.1. Cơ chế phát hiện tấn công thay đổi giao diện từ kiểm tra sự xâm nhập
Các tin tặc luôn cố gắng khai thác các lỗ hổng không được vá đúng cách.
Một số lỗ hổng phổ biến được biết như: sử dụng các cổng mở kết nối với máy chủ
mà không đăng nhập, thực thi mã độc trên các kết nối hợp pháp, sử dụng lỗi tràn
bộ đệm để chèn các mã độc vào trong hệ thống. Việc kiểm tra thâm nhập và kiểm
tra thường xuyên rất hữu ích trong việc đánh giá tính bảo mật của cơ sở hạ tầng
thông tin (hệ điều hành, lỗi dịch vụ và ứng dụng, cấu hình khơng phù hợp hoặc
hành vi của người dùng cuối có rủi ro, v.v) để phát hiện sự tấn công và bảo vệ hệ
thông tốt hơn.
Một ví dụ điển hình là các cuộc tấn cơng SQL liên quan đến việc sử dụng
các câu lệnh SQL được chèn vào các trường nhập dữ liệu để ảnh hưởng đến việc
thực hiện các câu lệnh SQL được xác định trước. Với các câu lệnh SQL được sửa
đổi, kẻ tấn cơng có thể can thiệp vào dữ liệu hiện có, hủy dữ liệu trong hệ thống
hoặc thậm chí trích xuất toàn bộ cơ sở dữ liệu của hệ thống.
Nhiều ứng dụng web lấy đầu vào của người dùng từ một biểu mẫu và đầu
vào của người dùng được đưa trực tiếp vào câu lệnh SQL trong ứng dụng Web.
Dưới đây là một ví dụ, theo đó kẻ tấn cơng có thể dễ dàng đăng nhập email, dẫn
đến một cuộc tấn công SQL injection.

$result = $mysqli->query(‘SELECT email, userid FROM members WHERE
email = “‘.$email.’”)’;
Thay vì sử dụng đoạn mã trên có thể dễ dàng ngăn chặn điều này bằng cách
sử dụng các biến ràng buộc với phương thức câu lệnh đã chuẩn bị; hầu hết các thư
viện đều cho phép liên kết các đầu vào với các biến trong một câu lệnh SQL, như
trong ví dụ PHP này.
$stmt = $mysqli->prepare(“SELECT email, userid FROM members WHERE
email = ?;”);
$stmt->bind_param(“s”, $email);
$stmt->execute();
Phương thức này hoạt động vì các giá trị tham số được kết hợp với câu lệnh
được biên dịch, không phải là chuỗi SQL. Bằng cách chỉ định tham số (sử dụng
dấu ?), Báo cho cơng cụ cơ sở dữ liệu những gì cần lọc. Do đó, để phát hiện dấu
hiệu về sự tấn cơng này có thể cần xác nhận đầu vào:
11


-

Các ký tự: ví dụ chữ cái trong một trường số?

-

Whitelisting: ví dụ: / [a-zA-Z0-9] {0,20} /, tập hợp các giá trị có thể
(nếu có)

-

Kiểm tra độ dài: ví dụ: 10 chữ số cho trường năm 4 chữ số?


Khi một kẻ tấn công thực hiện các tấn công vào ứng dụng web thì chúng sẽ
đẹ trình các dữ liệu tương ứng với các tấn công. Và đương nhiên, tập tin nhật ký
của chúng ta sẽ lưu lại điều đó. Để tìm kiếm các tấn cơng trên trong tập tin nhật
ký, chúng ta sẽ dựa vào các biểu thức chính quy để có thể nhận diện một cách
nhanh chóng.
Các web server như Apache và IIS thường tạo ra các thông điệp đăng nhập
(logging message) mặc định trong đặc tả Common Log Format (CLF). Các tập tin
CLF log chứa một dòng riêng biệt cho mỗi yêu cầu HTTP. Một dòng gồm nhiều
thẻ ngăn cách bởi khoảng trắng, nó mang những thơng tin sau:
Host Ident Authuser Date Request Status Bytes
➢ Host: Chứa tên miền đầy đủ của client, hoặc địa chỉ IP của nó.
➢ Ident: Nếu chỉ thị IdentityCheck được kích hoạt và các máy client chạy
ident, thì đây là thơng tin nhận dạng báo cáo của các client.
➢ Authuser: Nếu các URL được yêu cầu cần xác thực thành công Basic
HTTP, sau đó tên người sử dụng là giá trị của ký hiệu này.





Date: Ngày và thời gian yêu cầu.
Request: Dòng yêu cầu từ client, được đặt trong dấu ngoặc kép (“”).
Status: Các mã trạng thái HTTP gồm 3 chữ số được trả lại cho client.
Byte: Số byte trong đối tượng trả lại cho client, bao gồm tất cả các
HTTP header.

Ví dụ đoạn mã sau:
54.36.150.162
[09/Jul/2020:13:00:58
+0700]

"GET
/lawis/server.php/wells/well/249 HTTP/1.1" 200 22757 "-" "Mozilla/5.0
(compatible; AhrefsBot/6.1; + />Trong đó:


54.36.150.162: địa chỉ IP của client



[09/Jul/2020:13:00:58 +0700]: thời gian mà các máy chủ xử lý xong
u cầu.



"GET /lawis/server.php/wells/well/249 HTTP/1.1": Dịng yêu cầu từ
client được đặt trong dấu ngoặc kép. Trong đó GET là phương thức
client lấy dữ liệu.
12




200: Đây là mã trạng thái mà các máy chủ sẽ gửi lại cho client.



22757: kích thước của đối tượng trả lại cho client, khơng bao gồm các
response header.




Mozilla/5.0: phiên bản trình duyệt.

Lợi ích lớn nhất của tập tin nhật ký là tính sẵn có tương đối đơn giản và
phân tích nội dung của chúng. Máy chủ web như Apache mặc định phải cho phép
ghi nhật ký. Các ứng dụng thường thực hiện ghi nhật ký để đảm bảo truy xuất
nguồn gốc của các hành động của chúng. Các phương pháp phân tích tập tin nhật
ký thủ cơng và phát hiện tấn công theo dấu hiệu luôn là các phương pháp hiệu quả
về mặt kết quả, tuy nhiên sẽ mất rất nhiều thời gian và cơng sức để phân tích tập
tin nhật ký, vì nó thường chứa rất rất nhiều dịng nhật ký. Vì vậy có thể lựa chọn
Regular expression trong phân tích tập tin nhật ký tự động.
Biểu thức chính quy (regular expression, viết tắt là regexp, regex hay regxp)
là một chuỗi miêu tả một bộ các chuỗi khác, theo những quy tắc cú pháp nhất định.
Biểu thức chính quy thường được dùng trong các trình biên tập văn bản và các tiện
ích tìm kiếm và xử lý văn bản dựa trên các mẫu được quy định.
a. Cơ chế phát hiện tấn công thay đổi giao diện là loại tấn công Cross Site
Scripting (XSS)
Lỗi XSS xảy ra khi ứng dụng web nhận các dữ liệu độc hại và chuyển nó
đến trình duyệt cho người dùng mà khơng xác nhận lại dữ liệu đó có hợp lệ hay
khơng. Kiểu tấn công này cho phép kẻ tấn công thực thi các đoạn mã độc trong
trình duyệt của nạn nhân và có thể cướp phiên người dùng hoặc chuyển hướng
người dùng đến các trang độc hại khác. Các cuộc tấn công XSS hoạt động bằng
cách nhúng thẻ script vào các yêu cầu url/http và thực thi trên trình duyệt của người
dùng. Ví dụ một cuộc tấn công đơn giản chứa thẻ HTML thường được sử dụng là
<script> alert ('XSS') </script>. Cách phát hiện đơn giản là phát hiện những thẻ
javascript trên. Từ cách tiếp cận đó, ta có thể phát hiện bằng cách tìm kiếm tất cả
các biểu thức có thể có có thể kích hoạt javascript hoặc các mã hoạt động khác.
Một số thẻ HTML điển hình là javascript, vbscript, expression, applet, meta, xml,
blink, link, style, script, embed, object, iframe, frame, frameset, ilayer, layer,
bgsound, title, base hoặc mã hoặc liên quan đến trình xử lý sự kiện Javascript như

onabort, onactivate, onafterprint, onafterupdate, onsubmit, onunload, v.v.
Để phát hiện các tấn công XSS, Bảng 1 thống kê một số biểu thức chính
quy có thể sử dụng để tìm kiếm các thẻ HTML làm dấu hiệu nhận biết[3]8:

8

/>
13


Bảng 1. Một số biểu thức chính quy phát hiện tấn cơng XSS
STT

Biểu thức chính quy

Ý nghĩa
Phát hiện các nỗ
lược phá vỡ cấu

1

(?:"[^"]*[^-]?>)|(?:[^\w\s]\s*\/>)|(?:>")

trúc HTML bằng
tấn công khoảng
trắng.

2

(?:[+\/]\s*name[\W\d]*[)+])|(?:;\W*url\s*=)|(?:[^\w\s\/?:

>]\s*(?:location|referrer|name)\s*[^\/\w\s-])

Phát hiện các cuộc
tấn công chứa url-,
name-, JSON.
Phát hiện các cuộc

3

(?:\W\s*hash\s*[^\w\s-])|(?:\w+=\W*[^,]*,[^\s(]\s*\()|(?:\
?"[^\s"]":)|(?:(?
tấn công chứa hàm
băm, sử dụng setter
và làm quá tải
thuộc tính.
Phát hiện xss độc
lập thơng qua hàm
with (), vịng lặp
chung và chuyển
đổi biểu thức chính
quy thành chuỗi

4

(?:with\s*\(\s*.+\s*\)\s*\w+\s*\()|(?:(?:do|while|for)\s*\([
^)]*\)\s*\{)|(?:\/[\w\s]*\[\W*\w)

5


(?:\/\w*\s*\)\s*\()|(?:\([\w\s]+\([\w\s]+\)[\w\s]+\))|(?:(?Phát hiện các hàm
?:mozilla\/\d\.\d\s))\([^)[]+\[[^\]]+\][^)]*\))|(?:[^\s!][{([][^
JavaScript tự thực
({[]+[{([][^}\])]+[}\])][\s+",\d]*[}\])])|(?:"\)?\]\W*\[)|(?:=
thi
\s*[^\s:;]+\s*[{([][^}\])]+[}\])];)

6

Phát hiện chức
(?:#@~\^\w+)|(?:\w+script:|@import[^\w]|;base64|base64
năng mã hóa và
,)|(?:\w\s*\([\w\s]+,[\w\s]+,[\w\s]+,[\w\s]+,[\w\s]+,[\w\s]
đóng gói VBSCript
+\)
/ JScript

7

([^*\s\w,.\/?+-]\s*)?(?s)dialog|showhelp|infinity|isnan|isnull|iterator|msgbox|ex Phát hiện các
ecuteglobal|expression|prompt|write(?:ln)?|confirm|dialog phương thức script
|urn|(?:un)?eval|exec|execscript|tostring|status|execute|wi
ndow|unescape|navigate|jquery|getscript|extend|prototype
)(?(1)[^\w%"]|(?:\s*[^@\s\w%",.:\/+\-]))

điển hình

14



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×