TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP. HCM
KHOA KINH TẾ
MÔN HỌC: BẢO MẬT THƯƠNG MẠI ĐIỆN TỬ
BÁO CÁO
WEB APPLICATION ANALYSIS
GVHD:
Nguyễn Phan Anh Huy
SVTH:
Thân Lưu Luyến
17126033
Phan Thị Quỳnh Trang
17126067
Trương Thùy Quyên
17126051
Trần Long Phi
17126048
Hà Hữu Khương
16126029
Lớp thứ 2 – Tiết 7,8,9
Tp. Hồ Chí Minh, tháng 12 năm 2019
1
BẢNG PHÂN CÔNG NHIỆM VỤ
ST
T
1
Nhiệm vụ
Thực hiện
Kết quả
Phụ trách mở đầu, kết luận, chương 2.
Thân Lưu Luyến
Hoàn thành
2
Phụ trách chương 1, chỉnh sửa.
Phan Thị Quỳnh Trang
Hoàn thành
3
Phụ trách chương 1.
Trương Thùy Quyên
Hoàn thành
4
Phụ trách chương 3.
Trần Long Phi
Hoàn thành
5
Phụ trách chương 3.
Hà Hữu Khương
Hoàn thành
2
ĐIỂM: …….
NHẬN XÉT:
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
…………………………………………………………………………………....
GV CHẤM ĐIỂM
NGUYỄN PHAN ANH HUY
3
MỤC LỤC
Mở đầu........................................................................................................................... 4
1. Lý do chọn đề tài.................................................................................................4
2. Mục tiêu nghiên cứu............................................................................................4
2.1.
Phương pháp nghiên cứu...............................................................................4
2.2.
Bố cục...........................................................................................................4
CHƯƠNG I. TÌM HIỂU VỀ BẢO MẬT MẠNG VÀ BẢO MẬT THƯƠNG MẠI
ĐIỆN TỬ TRONG NHỮNG NĂM GẦN ĐÂY............................................................5
1.1.
Tình hình bảo mật mạng trong những năm gần đây.........................................5
1.1.1.
Khái niệm về bảo mật mạng:.....................................................................5
1.1.2.
Những mối đe dọa hàng đầu đối với bảo mật mạng:..................................5
1.2.
Tình hình bảo mật thương mại điện tử trong những năm gần đây....................9
1.2.1.
Vấn đề về bảo mật sự riêng tư.................................................................10
1.2.2.
Một số mối đe dọa đối với bảo mật thương mại điện tử hàng đầu...........10
1.3. Giải pháp cho bảo mật mạng nói chung và bảo mật thương mại điện tử nói
riêng ………………………………………………………………………………..12
1.3.1.
Nguyên lý thiết kế hệ thống bảo mật:......................................................12
1.3.2.
Các giải pháp đảm bảo an ninh mạng......................................................12
CHƯƠNG II. DVWA (DAMN VULNERABLE WEB APPLICATION)...................21
2.1. Giới thiệu...........................................................................................................21
2.2. Môi trường cài đặt.............................................................................................21
2.3. Các lỗ hỗng trong DVWA.................................................................................22
2.4. Các mức độ bảo mật trong DVWA....................................................................23
CHƯƠNG III. TÌM HIỂU VỀ WEB APPLICATION ANALYSIS............................24
3.1. Khái niệm..........................................................................................................24
3.2. Cách hoạt động của web application.................................................................24
3.3. Lợi ích của Web application..............................................................................24
3.4. Các cơng cụ trong web application analysis......................................................25
3.4.1. Burp suite....................................................................................................25
3.4.2. Commix.......................................................................................................36
3.4.3. Httrack.........................................................................................................48
3.4.4. Paros............................................................................................................ 52
4
3.4.5. Skipfish.......................................................................................................53
3.4.6. Owasp-zap...................................................................................................54
3.4.7. Sqlmap........................................................................................................58
3.4.8. Webscarab...................................................................................................60
3.4.9. Wpscan........................................................................................................60
KẾT LUẬN.................................................................................................................61
TÀI LIỆU THAM KHẢO...........................................................................................62
5
Mở đầu
1. Lý do chọn đề tài
Mạng (Internet) ngày càng phổ biến và quan trọng trong đời sống của con
người, ngày càng có nhiều ứng dụng, hình thức kinh doanh và các hoạt động như quản
lý tài chính, kinh doanh, giáo dục… dựa trên nền tảng này ra đời và phát triển. Điển
hình trong đó là hình thức kinh doanh online (thương mại điện tử) ngày càng có vị thế
trong thói quen sử dụng của con người. Và người dùng thường cung cấp những thơng
tin riêng tư thậm chí cơ mật cho những ứng dụng hay các trang web này như: số điện
thoại, địa chỉ nhà, số tài khoản…Vì thế tấn cơng mạng nói chung và tấn cơng các trang
web nói riêng ngày càng nhiều và tạo nên sự hoang mang, lo sợ trong lòng người sử
dụng cũng như thiệt hại đến với các nhà kinh doanh trên nền tảng Internet này.
Cho nên, nhóm đã lựa chọn đề tài nghiên cứu và báo cáo về “Tình hình bảo mật
mạng và bảo mật thương mại điện tử trong những năm gần đây. Tìm hiểu về Web
Application Analysis (Kali Linux)” nhằm cung cấp những thông tin về bảo mật mạng
và TMĐT, đồng thời bổ sung kiến thức về các công cụ dùng để bảo mật trang web để
người dùng có thể phịng tránh những lỗi logic trong quá trình tạo web.
2. Mục tiêu nghiên cứu
Bài báo cáo này sẽ dựa trên các thông tin về bảo mật mạng và bảo mật TMĐT
để tìm ra các biện pháp bảo vệ những vụ tấn cơng của hacker. Đồng thời tìm hiểu các
cơng cụ trong Web Application Analysis để phát hiện, dị tìm các lỗ hổng trong một
trang web mà hacker hay sử dụng lỗ hổng đó để tấn cơng.
2.1.
Phương pháp nghiên cứu
Trong bài báo cáo này, nhóm chúng em sẽ dùng các phương pháp nghiên cứu
thực tiễn kết hợp nghiên cứu tài liệu đối với bảo mật mạng và bảo mật thương mại
điện tử để tìm hiểu các nguy cơ, mối đe dọa và đưa ra các biện pháp ngăn chặn.
Đối với Web Application Analysis, nhóm sử dụng phương pháp thực nghiệm và
tiến hành thực thi các công cụ trong Web Application Analysis.
2.2.
Bố cục
Bài báo cáo tập trung giải quyết các vấn đề sau:
1. Tìm hiểu về bảo mật mạng và bảo mật điện tử trong những năm gần đây
2. Giới thiệu về DVWA (Damn Vulnerable Web Application)
3. Tìm hiểu về Web Application Analysis
6
CHƯƠNG I. TÌM HIỂU VỀ BẢO MẬT MẠNG VÀ BẢO MẬT THƯƠNG MẠI
ĐIỆN TỬ TRONG NHỮNG NĂM GẦN ĐÂY
1.1.
Tình hình bảo mật mạng trong những năm gần đây
1.1.1. Khái niệm về bảo mật mạng:
Bảo mật mạng là sự bảo vệ hệ thống mạng nhằm tránh bị truy cập, sử dụng, tiết
lộ, gián đoạn sửa đổi hoặc phá hoại trái phép nhằm đảm bảo tính tồn vẹn, tính bảo
mật của thơng tin tổ chức, doanh nghiệp. Hoặc cũng có thể hiểu đơn giản q trình
thực hiện các biện pháp phịng chống những lỗ hổng về bảo mật hoặc virus có trong
các phần mềm, ứng dụng, website, server, dữ liệu,… nhằm bảo vệ cơ sở hạ tầng mạng.
1.1.2. Những mối đe dọa hàng đầu đối với bảo mật mạng:
Công ty nghiên cứu và tư vấn doanh nghiệp Gartner (Mỹ) dự báo rằng, chi phí
cho an tồn thơng tin trên tồn thế giới sẽ vượt quá 124 tỷ USD vào năm 2019. Việc
hiểu được hiện trạng an toàn mạng là điều quan trọng để bảo vệ tổ chức, doanh nghiệp
khỏi sự phát triển liên tục của các cuộc tấn công mạng. Các chuyên gia an tồn mạng
của cơng ty giải pháp an tồn mạng Infradata (trụ sở chính tại Hà Lan) đã đưa ra 5
nguy cơ đe dọa an toàn mạng hàng đầu năm 2019.
1.1.2.1.
Tấn công chuỗi cung ứng khi cập nhật phần mềm:
Nhiều ngành công nghiệp đã chứng kiến sự gia tăng các vụ tấn công chuỗi cung
ứng trong năm 2017 và 2018. Trong năm 2017, hãng bảo mật Symantec đã quan sát
được số lượng tấn công tăng 200% so với năm 2016. Trung bình mỗi tháng trong năm
2017 xảy ra 01 cuộc tấn công chuỗi cung ứng, so với 04 cuộc tấn công mỗi năm trong
những năm trước.
Tấn công chuỗi cung ứng khi cập nhật phần mềm là mối đe dọa mạng đang bắt
đầu nổi lên, bởi số lượng lây nhiễm mã độc khi cập nhật phần mềm có thể phát triển
nhanh chóng và khơng dễ được phát hiện. Những kẻ tấn công thường nhắm mục tiêu
vào các khu vực hoặc lĩnh vực cụ thể, ví dụ như các cuộc tấn công mã độc
Petya/NotPetya.
7
Kiểu tấn công này được thực hiện bằng cách cài mã độc vào gói phần mềm hợp
pháp tại vị trí phân phối thơng thường của nó, có thể xảy ra trong quá trình sản xuất
của nhà cung cấp phần mềm, tại vị trí lưu trữ của bên thứ ba hoặc thông qua chuyển
hướng dữ liệu.
Trong nhiều năm, Diễn đàn An tồn thơng tin (Information Security Forum –
ISF) đã đưa ra cảnh báo về lỗ hổng trong chuỗi cung ứng. Các thơng tin có giá trị và
nhạy cảm thường được chia sẻ với các nhà cung cấp. Khi các thông tin đó được chia
sẻ, thì sẽ mất sự kiểm sốt trực tiếp, dẫn đến việc tăng nguy cơ xâm phạm tính bảo
mật, tính tồn vẹn hoặc tính sẵn sàng của thơng tin.
Năm 2019, các tổ chức sẽ cần tập trung vào những điểm yếu nhất trong chuỗi
cung ứng cập nhật phần mềm của họ. Khơng phải mọi xâm phạm an tồn đều có thể
được ngăn chặn trước, nhưng các nhà cung cấp và chuyên gia an toàn mạng cần phải
chủ động. Áp dụng các quy trình mạnh mẽ, có thể mở rộng và lặp lại để có sự đảm bảo
an tồn phù hợp với các rủi ro mà tổ chức đang đối mặt. Các tổ chức phải áp dụng giải
pháp quản lý rủi ro thơng tin chuỗi cung ứng hiện có trong quy trình quản lý nhà cung
cấp và mua sắm thiết bị.
Việc phịng tránh các cuộc tấn cơng chuỗi cung ứng khi cập nhật phần mềm là
một cơng việc khó khăn. Tuy nhiên, thực hiện các bước sau sẽ giúp hạn chế các cuộc
tấn công:
-
Một là, Kiểm tra các bản cập nhật mới, kể cả những phiên bản hợp pháp, trong
môi trường thử nghiệm nhỏ hoặc trên sandbox để phát hiện các hành vi đáng ngờ.
-
Hai là, Giám sát hành vi và hoạt động trên một hệ thống giúp xác định các hành vi
không mong muốn và cho phép ngăn chặn một ứng dụng đáng ngờ trước khi thiệt
hại xảy ra.
-
Ba là, Phát hiện các thay đổi không mong muốn trong quy trình cập nhật phần
mềm bằng cách ln theo dõi trang web của nhà sản xuất gói phần mềm.
1.1.2.2.
Tấn công lừa đảo:
Hệ thống chống tấn công lừa đảo của Kaspersky đã được kích hoạt 246.231.645
lần trong năm 2017, hơn 91 triệu lần so với năm 2016. Với 76% doanh nghiệp báo cáo
đã từng là nạn nhân của tấn công lừa đảo trong năm 2018, thì khơng đáng ngạc nhiên
8
khi nhiều nhà quản lý CNTT ghi nhận các cuộc tấn cơng lừa đảo là mối đe dọa an tồn
mạng lớn nhất hiện nay của họ.
Tấn công lừa đảo là một loại tấn công kỹ nghệ xã hội được thiết kế để đánh cắp
thông tin đăng nhập của người dùng, thơng tin thẻ tín dụng và các loại thơng tin cá
nhân, kinh doanh hoặc tài chính khác. Những cuộc tấn cơng này có thể đến từ một
nguồn trơng có vẻ đáng tin cậy, như mạo danh các trang web, tổ chức ngân hàng phổ
biến và đáng tin, hoặc từ các liên hệ cá nhân, nên các cuộc tấn công này ngày càng trở
nên tiên tiến hơn và hiệu quả hơn.
Việc nhập thông tin đăng nhập, nhấp vào liên kết hoặc trả lời email lừa đảo với
nội dung chứa các chi tiết tài chính, thơng tin sẽ được gửi trực tiếp đến nguồn độc hại.
Phịng tránh những cuộc tấn cơng này là một thách thức lớn. Nâng cao nhận thức
bằng việc triển khai các chương trình nhận thức khơng gian mạng là một phương thức
để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo. Bên cạnh đó,
triển khai đánh giá nhận thức về các mối đe dọa khơng gian mạng có thể là một bước
khởi điểm tốt, nhằm tìm hiểu được mức độ cảnh giác của người dùng đối với các thủ
đoạn tấn công lừa đảo.
1.1.2.3.
Mã độc tống tiền
Theo Gartner, mã độc tống tiền là một trong những mối đe dọa lớn nhất ảnh
hưởng đến các doanh nghiệp trong hai năm qua. Nó khai thác các lỗ hổng cơ bản bao
gồm thiếu phân đoạn mạng và thiếu sao lưu.
Với trung bình khoảng 4.000 cuộc tấn công mã độc tống tiền xảy ra mỗi ngày và
ước tính rằng vào cuối năm 2019, cứ mỗi 14 giây sẽ có một cuộc tấn cơng mã độc tống
tiền vào các doanh nghiệp, thì việc xây dựng phịng thủ chống lại mã độc tống tiền là
ưu tiên hàng đầu. Mã độc tống tiền có khả năng làm mất dữ liệu của cơng ty vĩnh viễn,
vì có thể lây nhiễm đến các dữ liệu mã hóa và các hệ thống cơ sở dữ liệu được bảo vệ,
cũng như xóa hoặc làm hỏng các tập tin, trừ khi nạn nhân trả tiền chuộc.
Để chống lại loại phần mềm độc hại này, cần đào tạo, huấn luyện nhân viên, kết
hợp với việc sử dụng các giải pháp bảo vệ điểm cuối hiện đại. Thay vì sử dụng các hệ
thống chống virus truyền thống, có thể sử dụng giải pháp bảo vệ điểm cuối dựa trên
9
điện toán đám mây. Các tổ chức cần đưa ra các chiến lược phục hồi, khôi phục sau khi
bị tấn công mã độc tống tiền và lưu trữ dữ liệu tại nhiều nơi.
1.1.2.4.
Tấn cơng có chủ đích APT
Tấn cơng có chủ đích APT là chiến dịch tấn cơng mà tin tặc sử dụng những kỹ
thuật nâng cao nhắm vào mục tiêu cụ thể. Các mục tiêu thường được lựa chọn là các tổ
chức doanh nghiệp lớn, cơ quan an ninh, chính phủ. Mã độc có thể tồn tại trong mạng
trong một khoảng thời gian nhất định, đánh cắp các loại thơng tin nhạy cảm khác nhau
như thơng tin tài chính, thông tin đăng nhập, các sáng chế và các thông tin tối mật,
quan trọng của tổ chức.
Tấn công APT thâm nhập thông qua tệp, email, mạng hoặc lỗ hổng ứng dụng,
sau đó chèn mã độc vào mạng của tổ chức. Mạng đó được coi là bị xâm phạm, nhưng
chưa bị vi phạm vì chưa được phát hiện.
Bằng cách lấy cắp thơng tin đăng nhập, tấn cơng APT có thể lây nhiễm các phần
sâu hơn của mạng hoặc hệ thống, xâm phạm đến dữ liệu và có thể lây nhiễm sang các
mạng được kết nối với nhau. Các bằng chứng của tấn cơng APT có thể được xóa bỏ
bởi tin tặc, trong khi đó mạng vẫn đang bị xâm phạm. Tin tặc có thể quay lại mạng bất
cứ lúc nào để tiếp tục xâm phạm dữ liệu.
Mặc dù loại tấn công này rất khó phát hiện, nhưng các hệ thống phịng chống tấn
cơng APT và phân đoạn mạng thơng minh có thể giúp khám phá hành vi hoặc hoạt
động bất thường trong mạng. Các biện pháp an toàn mạng truyền thống như phịng thủ
chun sâu, tường lửa và chống virus khơng thể bảo vệ chống lại tấn công APT, khiến
các tổ chức dễ bị vi phạm dữ liệu.
1.1.2.5.
Tấn công botnet IoT từ chối dịch vụ phân tán (DDoS)
Mạng của các thiết bị IoT bị xâm phạm có thể được điều khiển từ xa và được sử
dụng để khởi chạy các cuộc tấn cơng trên quy mơ lớn, có thể bao gồm hàng triệu thiết
bị và máy tính, tạo ra các mạng botnet vô cùng mạnh mẽ. Loại tấn công này trở nên
phổ biến bởi tấn công botnet Mirai.
Các botnet được điều khiển bởi các mạng C&C. Tin tặc điều khiển các mạng
C&C này, từ đó có thể lợi dụng để khởi chạy các cuộc tấn công DDoS.
10
Với việc sử dụng thiết bị IoT đang gia tăng nhanh chóng trong thế giới kết nối
ngày nay, mối đe dọa tấn công DDoS của botnet cũng tăng lên như vậy. Do nhiều thiết
bị IoT thiếu các biện pháp bảo mật tích hợp, nên chúng đang được “tuyển mộ” vào các
mạng botnet và được sử dụng để khởi chạy các cuộc tấn cơng DDoS. Với botnet Mirai
vẫn cịn tương đối mới, thì cần đáng lưu ý là một số mạng botnet phụ vẫn đang hoạt
động. Tin tặc đang bắt đầu khởi động các cuộc tấn công botnet DDoS tương tự, lợi
dụng các thiết bị IoT được bảo mật kém.
Với ngày càng nhiều các thiết bị IoT, thế hệ tấn công botnet DDoS mới này dự
báo số lượng các mối đe dọa và tiềm năng gây thiệt hại của chúng sẽ tăng lên trong
năm 2019. Đó là lý do tại sao việc giảm thiểu lưu lượng truy cập lớn bằng các giải
pháp phòng chống DDoS được coi là một ưu tiên chính để bảo đảm an tồn mạng
trong những năm tới
1.2.
Tình hình bảo mật thương mại điện tử trong những năm gần đây
Các nhà bán lẻ không thể thành công chỉ với một mơ hình chính thống và phải
nắm lấy phương pháp omnichannel (mơ hình bán đa kênh) để thúc đẩy tăng trưởng và
doanh thu đồng thời cải thiện sự tham gia của khách hàng. Trong một cuộc đua để trở
thành một cửa hàng tiện lợi và dễ tiếp cận nhất, các nhà bán lẻ trực tuyến đã phát triển
nhiều con đường để người tiêu dùng mua sắm trực tuyến. Thông qua các trang web,
phương tiện truyền thông xã hội và ứng dụng điện thoại, người tiêu dùng có thể mua
hàng trực tuyến mọi lúc mọi nơi trở nên dễ dàng hơn bao giờ hết. Tuy nhiên, việc cung
cấp cho khách hàng nhiều cách hơn để tương tác với doanh nghiệp của bạn cũng có
nghĩa là nhiều cơ hội hơn cho các tác nhân đe dọa để khai thác các quy trình và thủ tục
tại chỗ.
Từ đó các nhà bán lẻ trực tuyến là mục tiêu sinh lợi cho các cuộc tấn công mạng.
Nghiên cứu cho thấy, năm 2018, tội phạm bán lẻ kiếm được 777.877 đô la cho mỗi 1
tỷ đô la doanh thu. Báo cáo bảo mật TrustwaveGlobal năm 2019 cho thấy tỷ lệ lớn
nhất trong các sự cố mạng năm ngoái liên quan đến ngành bán lẻ. Các tác nhân đe dọa
đang tấn cơng từ mọi phía, từ Thương mại điện tử nền tảng cho tài khoản khách hàng.
Ngồi ra, có một sự thay đổi đáng chú ý khỏi các cuộc tấn công thông qua các máy
11
ATM và hệ thống điểm bán hàng (PoS), hướng tới các cuộc tấn công chống lại các
ứng dụng thương mại điện tử.
Những cuộc tấn cơng có thể dẫn đến việc đánh cắp tài sản trí tuệ hoặc dữ liệu tài
chính và dữ liệu của khách hàng từ đó gây tổn thất cả về tài chính lẫn tổn hại danh
tiếng của thương hiệu. Dưới đây là những vấn đề về bảo mật mà ngành thương mại
điện tử đang gặp phải nhiều nhất:
1.2.1. Vấn đề về bảo mật sự riêng tư
Sự riêng tư bị xâm phạm là một trong những vấn đề phức tạp nhất mà các doanh
nghiệp thương mại điện tử phải đối mặt. Nếu không bảo mật quyền riêng tư tốt cho
khách hàng, các hacker có thể thu thập thơng tin website, dữ liệu nhân viên, khách
hàng và lấy trộm. Và gần đây nhất vào cuối tháng 3 năm 2017, một số vụ đánh cắp tài
khoản của khách hàng đã diễn ra khi các hacker mạo danh là bên thứ 3 và mua hàng tại
website thương mại điện tử Amazon, hoặc trường hợp tương tự của Ebay.
Hiện tại, bất kỳ rủi ro nào cũng có thể xảy ra dưới hình thức giao dịch thương
mại điện tử nằm trong tay nhà cung cấp. Ví dụ: PayPal, Amazon, tiki, lazada hoặc các
cơng ty thẻ tín dụng.
Có một thực tế rằng, người tiêu dùng trực tuyến đều biết rằng nhiều trang web
đang thu thập và lưu trữ thông tin cá nhân của họ. Đơi khi họ sợ hãi vì nếu dữ liệu cá
nhân của họ bị rơi vào tay kẻ xấu, họ có thể bị mạo danh và có thể bị mất tiền trong
giao dịch, mất tiền trong thẻ ngân hàng, thẻ tín dụng.
1.2.2. Một số mối đe dọa đối với bảo mật thương mại điện tử hàng đầu
Thương mại điện tử xuất hiện và tồn tại nhờ vào mạng, Internet cho nên những
mối đe dọa về bảo mật mạng cũng chính là mối đe dọa đến bảo mật thương mại điện
tử, và nổi bật nhất là tấn công từ chối dịch vụ phân tán (DDoS) và tấn công lừa đảo
(Phishing).
1.2.2.1.
Tấn công từ chối dịch vụ phân tán (DDoS):
Các cuộc tấn công (DoS) là một vấn đề nghiêm trọng mà các doanh nghiệp, tổ
chức, ngành TMĐT đã và đang phải đối mặt hàng ngày. Nạn nhân của các vụ tấn công
12
này là nhằm vào những đối tượng trên mà SecurityBox vừa nói ngay trên. Chúng chỉ
nhằm vào những tổ chức lớn có nhiều tiền.
Khi bị tấn cơng DoS, hàng loạt các yêu cầu về giao dịch, dịch vụ đều bị từ chối,
Và trong thời gian ngắn, mạng trở nên chậm đến ” nghẹt thở” và người dùng khó lịng
có thể truy cập vào website đó hoặc khó tiếp tục giao dịch tiếp.
1.2.2.2.
Tấn cơng lừa đảo (Phishing):
Phishing là hình thức lừa đảo mà hacker thiết lập một trang web giống như một
bản sao của trang web thương mại điện tử, website gốc và sau đó ăn cắp dữ liệu bí mật
từ cá nhân hoặc tổ chức. Một khi các thông tin xác thực cá nhân của nạn nhân được
xác thực khi người dùng gõ vào, hacker có thể sử dụng thơng tin này để lấy cắp danh
tính của họ.
Hacker có thể truy cập thông qua các lỗ hổng bảo mật trong các giao diện quản lý
từ xa của trang web. Khi website đã bị tấn công, hacker sẽ thay đổi website làm cho
trang web khơng thể sử dụng được sau đó.
Qua nhiều năm, hình thức tấn cơng phishing lừa đảo này đã ảnh hưởng tiêu cực
đến sự tin tưởng và mối quan hệ giữa khách hàng và nhà cung cấp trực tuyến.
Trong tương lai, ngành công nghiệp liên quan đến thương mại điện tử đang phải
đối mặt với thách thức khó lường về các vấn đề bảo mật thương mại điện tử, an tồn
thơng tin. Các tội phạm cyber đang trở nên ngày càng có tay nghề cao trong những vụ
lừa đảo và bất kỳ lúc nào sự tấn công đều có thể xảy ra.
Các doanh nghiệp trực tuyến phải thực hiện những chính sách bảo mật cùng với
các quy trình mã hố và xác thực mạnh mẽ để có thể đứng vững trước những sự cố về
bảo mật, an ninh mạng. Bên cạnh đó, doanh nghiệp, cơng ty TMĐT cần sử dụng dịch
vụ an ninh mạng, dịch vụ bảo mật thường xun để bảo vệ tồn diện cho website của
mình.
Đó là 3 thách thức hiện tại của ngành TMĐT và các tổ chức, doanh nghiệp.
Chúng ta rất khó nói trước được trong tương lai các lỗ hổng, các vấn đề bảo mật trong
thương mại điện tử (TMĐT) sẽ như thế nào.
13
Từ đó ta có thể thấy được cách bảo vệ tốt nhất trang thương mại điện tử vẫn là
nâng cao bảo mật và cảnh giác với những cách tấn công
1.3.
Giải pháp cho bảo mật mạng nói chung và bảo mật thương mại điện tử nói
riêng
1.3.1. Nguyên lý thiết kế hệ thống bảo mật:
An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:
Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều
sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ
được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để
phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó
chỉ bó hẹp trong tầng hoặc lớp đó thơi và không thể ảnh hưởng sang các tầng hay lớp
khác.
Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ
hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu
như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự
của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính
sách phịng vệ là vơ nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều
sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời
sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ
thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm cơng
cụ “đánh hơi”, phản ứng phịng vệ chủ động, Anti-virus để lọc virus…v.v
Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng
nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005
EAL4, ICSA Firewall và VPN, FIPS-140…
1.3.2. Các giải pháp đảm bảo an ninh mạng
1.3.2.1.
Công nghệ tường lửa (Firewall):
Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và
mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm.
Phần cứng có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã
độc, ngăn chặn tốt giao thức ở tầng mạng trong mô hình tham chiếu TCP/IP.
14
Phần mềm rất linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong
mơ hình TCP/IP.
Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các
kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công
phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ
từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải
và dẫn tới ngừng phục vụ.
Nhưng hacker cũng khơng dừng tại đó, chúng có thể vượt qua hệ thống tường
lửal tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao
thức tầng ứng dụng chúng có thể lại đạt được mục đích. Chính vì thế triển khai hệ
thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho tồn mạng.
Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống cịn lại vẫn kiểm sốt
được.
Ví dụ giải pháp thiết kế hệ thống tường lửa thường đa tầng, nó bao gồm ít nhất 2
tầng chính sau: tường lửa trước và tường lửa sau:
15
1.3.2.2.
Công nghệ phát hiện và ngăn chặn xăm nhập mạng IDS/IPS
Một, Hệ thống phát hiện xâm nhập (Intrusion Detect System – IDS):
Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở
mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy
nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
Hai, hệ thống ngăn chặn xâm nhập (Intrusion Prevent System – IPS):
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng
mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
-
Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và
ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm
soát truy nhập.
-
Các tấn cơng từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng
các thuật toán dựa trên cơ sở “ngưỡng”.
-
Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức
ứng dụng và chữ kí.
-
Những tấn cơng q tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài
nguyên dựa trên cơ sở ngưỡng.
Thành phần trong IPS:
-
Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng
(NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua
chúng đều được sao chép và chuyển lên lớp trên.
-
Modul phát hiện tấn công:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn cơng.
Có 2 phương pháp phát hiện các cuộc tấn cơng xâm nhập.
16
Dị tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt
động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện
giống các mẫu tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn cơng nhanh và chính xác, khơng đưa ra các
cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác
định các lỗ hổng bảo mật trong hệ thống của mình.
Nhược điểm: Khơng phát hiện được các tấn cơng khơng có trong mẫu, các tấn
cơng mới. Do đó hệ thống phải ln cập nhật các mẫu tấn cơng mới.
- Modul phản ứng:
Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập thì modul phát hiện tấn cơng sẽ
gửi tín hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt
Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra
các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ
thống phòng thủ bị động.
- Một số kĩ thuật ngăn chặn:
Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset
thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được
bắt đầu lại và cuộc tấn cơng bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công;
phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như
DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp
nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành
công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra
các thơng báo hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng
và có chính sách quản lí mềm.
Những hạn chế của IDS/IPS:
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng
chỉ có khả năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn cơng
này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
17
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có
thể nhận biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên
tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
1.3.2.3.
Công nghệ LAN ảo (VLAN)
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá
được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. VLAN
là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng
độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo
chức năng nhóm.
VLAN là một nhóm các thiết bị mạng khơng giới hạn theo vị trí vật lý hoặc theo
LAN switch mà chúng tham gia kết nối vào.
VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng
dụng của một tổ chức chứ khơng phụ thuộc vào vị trí vật lý hay kết nối vật lý trong
mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được
đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.
Ưu điểm:
18
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ
không theo vật lý nữa. Nhờ đó những cơng việc sau thực hiện dễ dàng hơn:
Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình
VLAN khác nhau cho từng cổng, do đó dẽ dàng kết nối thêm các máy tính với các
VLAN.
Tiết kiệm băng thơng của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn
(là một vùng quản bá). Khi một gói tin buảng bả, nó sẽ được truyền đi chỉ trong một
LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết
kiệm băng thông đường truyền.
Ứng dụng của VLAN:
Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn
phịng. Việc chia VLAN thành các phân hệ khác nhau giúp khả năng bảo mật, quản lý
và hiệu năng đạt kết quả cao nhất.
1.3.2.4.
Nhóm giải pháp về quy hoạch, thiết kế:
Thiết kế cơ sở hạ tầng theo mơ hình SOA
19
Kiến trúc SOA gồm có ba lớp:
Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết
các khối chức năng theo kiến trúc phân tầng, có trật tự.
Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số
kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có
thể sử dụng trên mạng.
Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và
nghiệp vụ. Các ứng dụng này kết hợp .với các dịch vụ tương tác cung cấp ở lớp dưới
sẽ giúp triển khai nhanh và hiệu quả.
Ưu điểm:
Cho phép hướng sự tập trung vào xây dựng các tính năng nghiệp vụ trong q
trình phát triển phần mềm;
Giảm thiểu chi phí trong q trình phát triển;
Giảm thiểu yêu cầu về đào tạo và kỹ năng;
Chi phí bảo trì thấp;
20
Chu trình phát triển phần mềm nhanh chóng hơn.
1.3.2.5.
Phương thức thiết kế phân lớp – Hierarchical:
Hierarchical là Một mạng là gồm nhiều mạng LAN trong một hoặc nhiều toà
nhà, tất cả các kết nối thường nằm trong một khu vực địa lý. Thơng thường các
Campus gồm có Ethernet, Wireless LAN, Gigabit Ethernet, FDDI (Fiber Distributed
Data Interface). Được thiết kế theo các tầng, khu vực khác nhau; trên mỗi tầng, mỗi
khu vực được triển khai các thiết bị, các chính sách mạng tương ứng.
Khu vực LAN
Từ mơ hình trên ta cũng thấy được rằng khu vực này được thiết kế theo tầng.
Tầng lõi, tầng phân tán, tầng truy xuất vừa đảm bảo tính dự phịng đường truyền, lưu
lượng mạng được phân bố đều, toàn mạng được chia thành nhiều phân đoạn để dễ
dàng kiểm soát và bảo mật.
Khu vực kết nối WAN
Đây là vùng cung cấp các kết nối ra môi trường Internet và các cơ quan thành
viên, đối tác. Tại đây phải đảm bảo tính sẵn sàng cao và tính dự phịng đường truyền.
Vì vậy hệ thống cân bằng tải và dự phòng đường truyền WAN cần được triển khai.
Khu vực các máy chủ public
21
Khu vực này thường được biết đến với tên là vùng phi quân sự (DMZdemilitarized zone) có nghĩa rằng tại khu vực này được hệ thống tường lửa kiểm soát
vào ra các máy chủ rất chặt chẽ nhằm ngăn chặn các cuộc tấn công của Hacker, người
dùng trong LAN…
-
Ưu điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp
với mơi trường đào tạo và nghiên cứu ở các trường đại học và cao đẳng, doanh
nghiệp lớn.
-
Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản
trị hệ thống chuyên nghiệp.
22
CHƯƠNG II. DVWA (DAMN VULNERABLE WEB APPLICATION)
2.1. Giới thiệu
DVWA là một ứng dụng mã nguồn PHP/MySQL tập hợp sẵn các lỗi logic về bảo
mật ứng dụng web trong mã nguồn PHP. Lỗi logic khi lập trình có thể á dụng đối với
các loại ngơn ngữ lập trình nhằm giảm thiểu khả năng tạo ra lỗ hổng bảo mật từ tư duy
lập trình chưa cẩn thận. Mục tiêu chính của DVWA đó là tạo ra một mơi trường thực
hành hacking/pentest hợp pháp. Giúp cho các nhà phát triển ứng dụng web hiểu hơn về
hoạt động lập trình an tồn và bảo mật hơn. Bên cạnh đó DVWA cũng cung cấp cho
các thầy cô/học sinh phương pháp học và thực hành tấn công khai thác lỗi bảo mật ứng
dụng web ở mức cơ bản và nâng cao
2.2. Môi trường cài đặt
23
DVWA là ứng dụng mã nguồn PHP và cơ sỡ dữ liệu MySQL, nên có thể cài đặt
lên Linux hoặc Windows để có thể thực hành nhanh chóng. Hoặc có thể cài đặt lên thệ
thống web server LAMP/LEMP trên CentOS/Ubuntu để thực hành.
2.3. Các lỗ hỗng trong DVWA
Khi thực hành với DVWA, sẽ có những nhóm lỗ hổng bảo mật như sau:
-
Brute Force
-
Command Execution
-
Cross Site Request Forgery (CSRF)
-
File Inclusion
-
SQL Injection
-
Insecure File Upload
-
Cross Site Scripting (XSS)
-
Easter eggs
24
2.4. Các mức độ bảo mật trong DVWA
-
High: level này gần như là level dùng để so sánh mã nguồn có lỗ hổng ở
mức low và medium với mã nguồn đã được tối ưu ở mức an toàn bảo mật.
-
Medium: mức độ này cung cấp nội dung logic code đã fix lỗ hổng cơ bản ở
level low.
-
Low: mức độ thấp nhất trong level bảo mật mà DVWA cung cấp. Với mứ
độ này thì mã nguồn PHP gần như phơi bày khả năng khai thác lỗ hổng qua
tư duy laapk trình chưa bao quát về bảo mật.
25