TỔNG QUAN
Tổng quan về an ninh thông tin mạng máy tính
Mạng Internet và các ứng dụng của nó được coi là một trong những phát minh vĩ đại của nhân loại, với website trở thành kênh thông tin hữu ích trong mọi lĩnh vực như doanh nghiệp, y tế, giáo dục và chính phủ Tuy nhiên, sự phát triển của các website cũng mang lại rủi ro lớn, đặc biệt là khi gặp phải các lỗ hổng an ninh Những lỗ hổng này có thể bị hacker lợi dụng, dẫn đến thiệt hại tài chính không thể đo đếm và tổn thất nghiêm trọng về uy tín của tổ chức Gần đây, vụ tấn công vào báo điện tử Vietnamnet đã gây xôn xao dư luận và để lại hậu quả nặng nề Hàng tháng, nhiều website tại Việt Nam, bao gồm cả ngân hàng và tổ chức giáo dục, cũng bị tấn công và chiếm quyền điều khiển, cho thấy tình trạng an ninh mạng đang trở nên cấp bách hơn bao giờ hết.
Theo số liệu từ tổ chức Zone-H, hàng năm có hàng triệu website bị tấn công deface, tức là bị thay đổi nội dung trang chủ Con số thực tế còn lớn hơn nhiều và đang gia tăng liên tục, cho thấy tình trạng an ninh website đang ở mức báo động.
Nhu cầu thực tế
Lỗ hổng an ninh website thường xuất phát từ giai đoạn lập trình, khi nhiều lập trình viên chỉ tập trung vào việc chương trình hoạt động đúng mà không chú trọng đến vấn đề an toàn Ngoài ra, các khâu vận hành, duy trì và quản trị website thường do những đơn vị thiếu kinh nghiệm về an ninh mạng thực hiện Do đó, việc nắm vững kiến thức về các lỗ hổng an ninh website là cực kỳ quan trọng.
LỖ HỔNG AN NINH WEBSITE
Tổng quan lỗ hổng an ninh website
Với sự phát triển nhanh chóng của công nghệ thông tin, phần mềm máy tính ngày càng trở nên phức tạp và chứa nhiều dòng mã hơn Do được viết bởi con người, việc xuất hiện lỗi lập trình là điều không thể tránh khỏi, và không lập trình viên nào có thể đảm bảo rằng mã nguồn hoàn toàn an toàn Những lỗi này tạo ra các lỗ hổng an ninh, là mục tiêu tấn công của hacker, có thể dẫn đến những tổn hại nghiêm trọng cho hệ thống.
Các website có thể gặp phải nhiều loại lỗ hổng an ninh, dẫn đến các kiểu tấn công khác nhau Hiện nay, một số lỗ hổng phổ biến đang tồn tại bao gồm:
Lỗi SQL Injection xảy ra khi website sử dụng trực tiếp giá trị từ người dùng trong câu truy vấn SQL mà không kiểm tra kỹ lưỡng Điều này cho phép kẻ tấn công chèn các ký tự đặc biệt, từ đó ngắt hoặc thay đổi câu truy vấn SQL, dẫn đến sai lệch trong hoạt động của hệ thống.
Lỗi XSS (Cross-Site Scripting) là một lỗ hổng bảo mật cho phép hacker chèn mã độc vào mã nguồn của trang web Qua đó, kẻ tấn công có thể lừa đảo quản trị viên, đánh cắp cookie và chiếm quyền kiểm soát phiên làm việc, từ đó đăng nhập và chiếm quyền điều khiển trang web.
Lỗi Directory Traversal xảy ra khi ứng dụng web cho phép người dùng nhập vào tên file mà không kiểm tra kỹ, dẫn đến việc hacker có thể truy cập và hiển thị các file nằm ngoài thư mục gốc của website Mặc dù các website thường được lưu trữ trong các thư mục đặc biệt và không thể truy cập vào các thư mục cấp cao hơn, nhưng việc thiếu kiểm soát trong việc hiển thị file có thể tạo ra lỗ hổng nghiêm trọng.
Lỗi CSRF (Cross Site Request Forgery) là một hình thức tấn công lợi dụng quyền chứng thực của người dùng trên một website Kỹ thuật này cho phép hacker thực hiện các thao tác yêu cầu chứng thực mà không cần sự đồng ý của người dùng, từ đó gây ra những rủi ro bảo mật nghiêm trọng.
Lỗi Padding Oracle Attack là một kỹ thuật tấn công kênh bên, cho phép kẻ tấn công giải mã ciphertext bằng cách thay đổi chuỗi mã hóa và dựa vào phản hồi về padding là đúng/sai Quá trình kiểm tra padding chỉ lộ ra một byte, từ đó tạo điều kiện cho việc thực hiện brute-force nhằm giải mã ciphertext và thậm chí mã hóa một plaintext bất kỳ.
Ngoài việc sử dụng phiên bản webserver cũ, các lỗ hổng bảo mật còn bao gồm cấu hình website không tối ưu, cho phép hacker khai thác vào webserver thay vì chỉ web application Điều này có thể dẫn đến việc tồn tại các file nhạy cảm như file mã nguồn và file backup, mà người dùng có thể truy cập từ bên ngoài.
Trong phạm vi luận văn, em xin phân tích chi tiết một số lỗ hổng phổ biến và nguy hiểm nhất hiện nay.
Một số lỗ hổng an ninh website phổ biến
SQL Injection là kỹ thuật khai thác lỗ hổng ở lớp dữ liệu của ứng dụng, xảy ra khi dữ liệu nhập từ người dùng chứa ký tự đặc biệt, làm thay đổi hoặc ngắt câu truy vấn SQL Hậu quả nghiêm trọng của lỗ hổng này cho phép kẻ tấn công thực hiện các thao tác như xóa, chỉnh sửa dữ liệu, chiếm quyền kiểm soát cơ sở dữ liệu và thậm chí là máy chủ mà ứng dụng đang chạy Lỗi này thường xuất hiện trên các ứng dụng web sử dụng hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle và DB2.
SQL Injection có thể đƣợc phân chia thành nhiều loại khác nhau, nhƣng bản chất gây ra lỗi thì có 3 dạng:
- Không lọc các ký tự “escape” – những ký tự có thể gây ngắt câu truy vấn SQL
- Kiểm soát không tốt “kiểu” của biến, ví dụ: một biến định kiểu số nhƣng nếu người dùng nhập 1 xâu thì vẫn được chấp nhận
- Lỗi do các hàm của hệ quản trị cơ sở dữ liệu
2.2.1.2.1 SQL Injection do không lọc các ký tự “escape”
Trong lập trình, ký tự thoát (escape character) là một loại ký tự đặc biệt, bao gồm các mã điều khiển và ký tự dùng để bắt đầu biến hoặc chuỗi.
Một số ký tự thoát và ý nghĩa của chúng:
Nếu các ký tự đặc biệt không được loại bỏ và được đưa trực tiếp vào câu truy vấn SQL, chúng có thể làm ngắt câu truy vấn, dẫn đến lỗi hoặc thay đổi cấu trúc của câu SQL.
SELECT * FROM sanpham WHERE id='$id'
Câu SQL được thiết kế để chọn tất cả bản ghi của một sản phẩm cụ thể trong bảng sanpham Tuy nhiên, nếu biến “id” bị thay đổi một cách phù hợp, câu truy vấn có thể thực hiện nhiều chức năng hơn so với mục đích ban đầu Ví dụ, người dùng có thể nhập giá trị khác cho biến “id” để lấy thông tin sản phẩm mong muốn.
Khi đó câu truy vấn SQL trở thành:
SELECT * FROM sanpham WHERE id='1' or '1'='1'
Trong một thủ tục xác nhận đăng nhập, đoạn mã trên yêu cầu ứng dụng phải chọn một sản phẩm phù hợp từ cơ sở dữ liệu, do mệnh đề "1"="1" luôn trả về kết quả "true".
Một số hệ quản trị cơ sở dữ liệu như SQL Server cho phép thực hiện nhiều câu truy vấn đồng thời trong một mệnh đề SQL Điều này tạo ra nguy cơ cho hacker thực hiện các truy vấn độc hại nếu ứng dụng gặp lỗi SQL Injection.
Ví dụ, cũng với đoạn mã trên, nếu biến id đƣợc nhập vào giá trị sau:
1';DROP TABLE sanpham; SELECT * FROM data WHERE id LIKE '%
Thì câu truy vấn SQL đƣợc tạo ra sẽ là:
SELECT * FROM sanpham WHERE id = '1';DROP TABLE sanpham; SELECT
* FROM DATA WHERE id LIKE '%';
Khi câu vấn trên đƣợc thực thi, toàn bộ bảng sanpham sẽ bị xóa khỏi cơ sở dữ liệu
2.2.1.2.2 SQL Injection do không kiểm soát tốt các biến
Lỗi SQL Injection có thể xảy ra khi không kiểm soát tốt kiểu dữ liệu của biến, đặc biệt là khi các trường số không được kiểm tra kỹ lưỡng Hacker có thể chèn ký tự đặc biệt vào câu truy vấn SQL thông qua các dấu nháy đơn hoặc nháy kép trong giá trị của biến Ví dụ, câu lệnh "SELECT * FROM data WHERE id = " + a_variable + ";" có thể trở thành mục tiêu nếu biến a_variable không được xác nhận là số.
Trường id trong ví dụ trên là kiểu số, và câu truy vấn được tạo ra nhằm mục đích lấy tất cả các bản ghi trong bảng Data có giá trị id khớp với giá trị mà người dùng đã cung cấp.
Tuy nhiên, trong thực tế, hacker có thể cung cấp lên 1 xâu thay cho 1 số:
Lúc đó câu truy vấn trở thành
SELECT * FROM DATA WHERE id=1;DROP TABLE users;
Khi thực hiện truy vấn này, toàn bộ bảng users sẽ bị xóa, điều này thường không được các lập trình viên dự tính trong quá trình thiết kế.
Lỗi SQL Injection có thể xảy ra không chỉ do sai sót của lập trình viên mà còn do các hàm built-in trong hệ quản trị cơ sở dữ liệu.
Trong một số phiên bản cũ của MySQL server, hàm built-in mysql_real_escape_string() không được viết tốt, dẫn đến việc hacker có thể chèn thêm truy vấn vào câu SQL, ngay cả khi các ký tự đặc biệt đã được lọc bỏ, thông qua việc sử dụng một số ký tự Unicode nguy hiểm.
2.2.1.3 Nguyên nhân gây ra lỗi SQL Injection Đa phần lỗi sql injection đều do từ người lập trình, những nguyên nhân có thể gây ra lỗi và dễ bị khai thác nhƣ :
Lỗi SQL injection xảy ra do không kiểm tra ký tự khi truy vấn, dẫn đến việc người dùng có thể thực hiện các truy vấn không mong muốn trên cơ sở dữ liệu của ứng dụng Việc thiếu mã kiểm tra dữ liệu đầu vào trong câu truy vấn SQL là nguyên nhân chính gây ra vấn đề này.
SELECT * FROM sanpham WHERE id = ' $id '
Câu lệnh này được thiết kế để truy xuất các bản ghi tên người dùng từ bảng người dùng Tuy nhiên, nếu biến $id được người dùng ác ý nhập không chính xác, nó có thể biến thành một câu truy vấn SQL với mục đích khác xa so với ý định ban đầu của tác giả mã.
- Xử lý không đúng kiểu
Lỗi SQL injection thường xảy ra do lập trình viên hoặc người dùng không xác định rõ ràng đầu vào dữ liệu, hoặc thiếu kiểm tra và lọc kiểu dữ liệu Vấn đề này thường gặp khi một trường số được sử dụng trong truy vấn SQL mà không có bước xác minh kiểu dữ liệu đầu vào từ người dùng.
SELECT * FROM data WHERE id = ' $id '
XÂY DỰNG HỆ THỐNG WEBSITE THỬ NGHIỆM
Môi trường thử nghiệm
Hệ thống website thử nghiệm các lỗ hổng SQL Injection, XSS, Directory Traversal, CSRF được xây dựng trên môi trường như sau:
- Hệ điều hành: Windows XP Professional SP2
- Cơ sở dữ liệu: MySQL 5.5.8
- Ngôn ngữ lập trình: PHP 5.3.5
- Công cụ truy cập cơ sở dữ liệu: PHP MyAdmin 3.3.9
Môi trường thử nghiệm được thiết lập bằng phần mềm WAMP Server 2.1e, một gói phần mềm tích hợp Apache, MySQL và PHP dành cho hệ điều hành Windows.
Hệ thống website thử nghiệm các lỗ hổng Padding Oracle đƣợc xây dựng trên môi trường như sau:
- Hệ điều hành: Windows XP Professional SP2
- Ngôn ngữ lập trình: NET 2.0, 3.5
Kịch bản thử nghiệm
Trang web thử nghiệm là một ứng dụng đơn giản được phát triển bằng ngôn ngữ PHP, có chức năng truy xuất và hiển thị thông tin về các loại điện thoại di động Dữ liệu về điện thoại di động được lưu trữ trong cơ sở dữ liệu MySQL, giúp quản lý thông tin một cách hiệu quả.
- Bước 1: Trong vai trò hacker, tiến hành truy cập trang web và dò tìm kiếm lỗ hổng SQL Injection
- Bước 2: Khai thác lỗ hổng SQL Injection và lấy các thông tin nhạy cảm trong cơ sở dữ liệu
- Bước 3: Trong vai trò người phát triển trang web, thực hiện khắc phục các lỗ hổng SQL Injection
- Bước 4: Thử lại khả năng khai thác lỗ hổng SQL Injection sau khi đã khắc phục lỗ hổng
Trang web thử nghiệm là một trang đơn giản viết bằng PHP nhằm hiển thị thông tin mà người dùng nhập vào
- Bước 1: Trong vai trò hacker, tiến hành truy cập trang web và dò tìm kiếm lỗ hổng XSS
Bước 2 trong quy trình khai thác lỗ hổng XSS là lừa người dùng nhấp vào một liên kết chứa script độc hại Khi script này được thực thi trên thiết bị của người dùng, kẻ tấn công có thể thực hiện nhiều hành vi nguy hiểm như đánh cắp cookie hoặc phát tán mã độc.
- Bước 3: Trong vai trò người phát triển trang web, thực hiện khắc phục các lỗ hổng XSS
- Bước 4: Thử lại khả năng khai thác lỗ hổng XSS sau khi đã khắc phục lỗ hổng
Trang web thử nghiệm là một trang đơn giản đƣợc viết bằng ngôn ngữ PHP nhằm hiển thị nội dung của các file
- Bước 1: Trong vai trò hacker, tiến hành truy cập trang web và dò tìm kiếm lỗ hổng Directory Traversal
- Bước 2: Khai thác lỗ hổng Directory Traversal và hiển thị nội dung các file nằm trên máy chủ web
- Bước 3: Trong vai trò người phát triển trang web, thực hiện khắc phục các lỗ hổng Directory Traversal
- Bước 4: Thử lại khả năng khai thác lỗ hổng Directory Traversal sau khi đã khắc phục lỗ hổng
Trang web thử nghiệm là một trang web quản trị thông tin đƣợc phát triển trên nền tảng GetSimple CMS
Để thực hiện kiểm tra bảo mật, bước đầu tiên là vào vai hacker và truy cập vào trang web để tìm kiếm lỗ hổng CSRF Vì trang web sử dụng nền tảng GetSimple CMS, bạn có thể dễ dàng tìm kiếm thông tin về các lỗ hổng đã được công bố trên Internet.
Để khai thác lỗ hổng CSRF, bước đầu tiên là lừa người dùng nhấp vào một liên kết độc hại Liên kết này có khả năng thực hiện các tác vụ như thêm, sửa hoặc xóa bài viết với quyền của người dùng mà họ không hề hay biết Sau khi người dùng nhấp vào liên kết, các hành động này sẽ được thực hiện tự động.
Trang web thử nghiệm được xây dựng bằng ngôn ngữ NET, bao gồm các thành phần WebResource.axd và ScriptResource.axd, nhằm mục đích hiển thị nội dung tài nguyên của trang web một cách hiệu quả.
- Bước 1: Trong vai trò hacker, tiến hành truy cập trang web và dò tìm kiếm lỗ hổng Padding Oracle
- Bước 2: Sử dụng một số công cụ để khai thác lỗ hổng Padding Oracle và hiển thị nội dung các file nhạy cảm nằm trên máy chủ web
- Bước 3: Trong vai trò người phát triển và quản trị trang web, thực hiện khắc phục các lỗ hổng Padding Oracle
- Bước 4: Thử lại khả năng khai thác lỗ hổng Padding Oracle sau khi đã khắc phục lỗ hổng.
Kết quả thử nghiệm
Trang web thử nghiệm là một nền tảng cơ bản, cung cấp thông tin chi tiết về các loại điện thoại di động Nó được xây dựng bằng ngôn ngữ PHP và kết nối với cơ sở dữ liệu MySQL để quản lý và truy xuất dữ liệu hiệu quả.
H nh 17 Trang web điện thoại di động
Tìm kiếm lỗ hổng SQL Injection bằng cách thay đổi nội dung các biến đầu vào, ví dụ biến id:
H nh 18 Thay đổi nội dung biến id
Tiến hành khai thác lỗ hổng SQL Injection, lấy đƣợc các thông tin nhạy cảm trong cơ sở dữ liệu:
H nh 19 Lấy được các thông tin tài kho n đăng nhập
Nguyên nhân gây ra lỗ hổng SQL Injection là do biến đầu vào không đƣợc xử lý kỹ càng, không đƣợc lọc các từ khóa nguy hiểm:
H nh 20 iến id không được xử lý kỹ càng
Sau khi xử lý biến đầu vào và lọc các từ khóa nguy hiểm bằng một số hàm trong PHP, chúng ta tiến hành thử nghiệm lại việc khai thác lỗ hổng SQL Injection.
H nh 21 Lọc các từ khóa nguy hiểm
Trang web thử nghiệm được xây dựng bằng PHP để hiển thị thông tin người dùng nhập vào, tương tự như một biểu mẫu thường dùng trong các chức năng tìm kiếm hiện nay.
H nh 23 Form nhập dữ liệu và hiển thị
Tìm kiếm lỗ hổng XSS bằng cách thay đổi giá trị các biến đầu vào bằng các dữ liệu đặc biệt:
Lỗ hổng XSS cho phép hacker thực thi các đoạn script độc hại trên máy người dùng bằng cách chèn mã vào liên kết Khi người dùng nhấp vào liên kết này, hacker có thể cài đặt mã độc và đánh cắp cookie của người dùng.
H nh 25 Chèn một trang web khác vào link để lừa người dùng
Lỗ hổng XSS xuất hiện do biến đầu vào không được xử lý cẩn thận và thiếu lọc các từ khóa nguy hiểm, tương tự như lỗ hổng SQL Injection.
H nh 26 iến name không được xử lý kỹ càng
Sau khi xử lý biến đầu vào, chúng ta sử dụng một số hàm PHP để lọc các từ khóa nguy hiểm và tiến hành kiểm tra lại lỗ hổng XSS.
H nh 27 Sử dụng hàm htmlentities để mã hóa biến đầu vào
H nh 28 Không khai thác được lỗ hổng XSS sau khi đã xử lý biến đầu vào
Trang web thử nghiệm là một trang đơn giản sử dụng hàm include của PHP để hiển thị các file nội dung thành phần:
H nh 29 Website thử nghiệm Directory Traversal
When a user clicks on a link like http://10.53.20.194/directory/index.php?file=football.php, the web server loads and displays the football.php page If the input variable 'file' is not properly sanitized, it can lead to a Directory Traversal vulnerability, allowing an attacker to manipulate this input to access other files on the system.
H nh 30 Hiển thị file boot.ini của hệ điều hành
Nguyên nhân gây ra lỗ hổng này là do biến đầu vào không đƣợc xử lý kỹ càng, không đƣợc lọc các ký tự nguy hiểm:
H nh 31 iến file không được xử lý kỹ càng
Sau khi xử lý biến đầu vào và lọc các từ khóa nguy hiểm bằng các hàm của PHP, chúng ta tiến hành thử nghiệm khai thác lỗ hổng Directory Traversal một lần nữa.
H nh 32 Lọc các ký tự nguy hiểm
H nh 33 Không khai thác được lỗ hổng Directory Traversal sau khi khắc phục
Website thử nghiệm đƣợc xây dựng trên nền tảng GetSimple CMS Đây là một nền tảng mở đƣợc viết bằng ngôn ngữ PHP
H nh 34 Trang web thử nghiệm CSRF
Các tính năng thêm, sửa, xóa trong hệ thống đã gặp lỗi CSRF do thiếu kiểm tra quyền thực thi Điều này cho phép hacker gửi một đường link cho quản trị website, trong đó ẩn chứa các chức năng nguy hiểm.
H nh 36 Đường link hacker lừa gửi cho qu n trị viên
Trong file HTML, các đường link để thêm, sửa, xóa bài viết của website được ẩn giấu bằng các điểm ảnh có kích thước bằng 0.
H nh 37 Nội dung ẩn bên trong file html
Nếu quản trị viên nhấp vào liên kết do hacker gửi, họ có thể vô tình kích hoạt các chức năng thêm, sửa, xóa nội dung trên website, dẫn đến việc website bị thay đổi một cách không mong muốn.
Để khắc phục lỗ hổng bảo mật do nội dung ban đầu của website bị xóa, cần bổ sung một biến token nhằm kiểm tra tính xác thực cho các chức năng thêm, sửa và xóa nội dung trước khi thực hiện.
Nội dung trang web thử nghiệm là một trang hiển thị thông tin về một ngân hàng đƣợc viết bằng ngôn ngữ NET:
H nh 39 Trang web ngân hàng thử nghiệm Padding Oracle
Thành phần WebResource và ScriptResource khi hiển thị phần Page Source:
H nh 41 Sử dụng ScriptResource để hiển thị một file tài nguyên trên máy chủ
Cấu hình Custom Errors trong file web.config đang đƣợc cấu hình Off:
Khai thác lỗ hổng Padding Oracle bằng các công cụ trên mạng, mã hóa đường dẫn tới các file trên máy chủ web, ví dụ file web.config:
H nh 43 Gửi truy vấn tới Webserver để phát hiện kh năng tồn tại lỗ hổng
H nh 44 Mã hóa các byte của chuỗi ký tự đường dẫn tới file web.config
H nh 45 Kết qu mã hóa cuối cùng xâu đường dẫn tới web.config
H nh 46 Nội dung file web.config với nhiều thông tin nhạy c m
H nh 47 Sửa lại cấu h nh file web.config là Remote Only
H nh 48 Không khai thác được lỗ hổng Padding Oracle sau khi đã khắc phục
