ii
LỜI CAM ĐOAN
Để hoàn thành luận văn đúng thời gian quy định đáp ứng đƣợc yêu cầu đề ra,
tôi đã cố gng nghiên cu, hc tp làm vic trong thi gian cho phép. Tôi đã
tham kho mt s tài liệu đã nêu trong phần “Tài liệu tham khảo” không h sao
chép ni dung t bt k luận văn hay bất k mt công trình nghiên cu nào khác.
Tôi xin cam đoan những lời khai trên là đúng, mọi thông tin sai lch tôi xin hoàn
toàn chu trách nhim trƣớc Hi đng.
Hà Ni, ngày 28 tháng 9 năm 2016
Ngƣời cam đoan
Nguyn Thanh Long
iii
MC LC
TRANG BÌA PH
LỜI CAM ĐOAN ............................................................................................................ii
MC LC ...................................................................................................................... iii
DANH MC HÌNH V ................................................................................................... v
DANH MC CÁC T VIT TT ...............................................................................vii
M ĐẨU ...................................................................................................................... viii
CHƢƠNG 1 CÁC K THUT KHAI THÁC L HNG BO MT NG
DNG WEB .................................................................................................................... 1
1.1. Tng quan v nguy cơ, rủi ro và tác đng ca các tn công ................... 1
1.1.1. Khái nim ng dng web ................................................................. 1
1.1.2. Vấn đề bo mt ng dng web ......................................................... 2
1.1.3. Danh sách ri ro bo mt cho các ng dng web OWASP Top 10 . 3
1.2. Các k thut tn công ph biến ............................................................... 4
1.3. Các k thut đ phát hiện và ngăn chặn tn công ................................... 6
1.3.1. S phát trin ca nhn dng tn công ng dng web ...................... 6
1.3.2. Các phƣơng pháp nhận dng tn công ng dng web ..................... 7
CHƢƠNG 2 XÂY DNG GII PHÁP PHÁT HIỆN NGĂN CHN TN
CÔNG KHAI THÁC L HNG BO MT NG DNG WEB ............................... 11
2.1. Tng quan mô hình và chc năng ca WAF ........................................ 11
2.1.1. Tng quan v WAF ........................................................................ 11
2.1.2. Các mô hình trin khai WAF ......................................................... 18
2.1.3. Các phiên bn mã WAF mã ngun m ph biến ........................... 20
2.2. Module Modsecurity đ phát hiện và ngăn chặn .................................. 21
2.2.1. Gii thiu v ModSecurity ............................................................. 21
2.2.2. Các mô hình trin khai ModSecurity ............................................. 24
2.2.3. Core Rule Set (CRS) ...................................................................... 25
iv
2.3. Module qun tr h thng ...................................................................... 31
2.3.1. Mô t yêu cu ................................................................................. 31
2.3.2. Mô hình thiết kế ............................................................................. 32
2.3.3. Mô t các chức năng ...................................................................... 32
CHƢƠNG 3 – TRIN KHAI VÀ TH NGHİỆM GII PHÁP ................................... 35
3.1. Mô hình trin khai ca gii pháp .......................................................... 35
3.1.1. Mô hình các thành phn ca gii pháp ........................................... 35
3.1.2. Các bƣớc cài đặt ............................................................................. 36
3.2. Mu d liệu và phƣơng án thử nghim ................................................. 37
3.2.1. Phƣơng án thử nghim ................................................................... 37
3.2.2. Website cha các l hng bo mt (DVWA) ................................ 39
3.2.3. Phn mm quét l hng bo mt Acunetix .................................... 42
3.3. Kết qu th nghim ............................................................................... 44
3.3.1. Kết qu quét lỗi khi chƣa dùng WAF ............................................ 44
3.3.2. Kết qu khi trin khai WAF bo v ............................................... 45
KT LUN VÀ KIN NGH........................................................................................ 50
TÀI LIU THAM KHO .............................................................................................. 51
PH LC ....................................................................................................................... 52
v
DANH MC HÌNH V
Hình 1.1: Mô hình hoạt động ng dng web ................................................................... 2
Hình 1.2: Mô hình chi tiết hot đng ng dng web ....................................................... 2
Hình 1.3: Các k thut nhn dng tn công ng dng web ............................................. 8
Hình 2.1: Mô hình network-based WAF ....................................................................... 12
Hình 2.2: Mô hình host-based WAF .............................................................................. 12
Hình 2.3: Mô hình quan h các sn phm WAF ........................................................... 13
Hình 2.4: Mô hình trin khai Reverse Proxy ................................................................. 18
Hình 2.5: Mô hình trin khai Out of band ................................................................ 19
Hình 2.6: Mô hình trin khai Embedded-mode ............................................................. 19
Hình 2.7: Mô hình trin khai Internet Host/Cloud ......................................................... 20
Hình 2.8: Apache Request Cycle ................................................................................... 23
Hình 2.9: Trin khai ModSecurity dng Reverse Proxy ................................................ 25
Hình 2.10: Sơ đ x lý chc năng cu hình ................................................................... 33
Hình 2.11: Sơ đ x lý chc năng giám sát ................................................................... 33
Hình 3.1: Mô hình trin khai gii pháp WAF ................................................................ 35
Hình 3.2: Mô hình x lý request t ngƣời dùng ca gii pháp WAF ............................ 36
Hình 3.3: Mô hình trin khai th nghim gii pháp WAF ............................................. 38
Hình 3.4: Ví d khai thác li SQL Injection .................................................................. 40
Hình 3.5: Ví d khai thác li XSS.................................................................................. 40
Hình 3.6: Ví d khai thác li Command Injection ......................................................... 41
Hình 3.7: Ví d khai thác li File Include ...................................................................... 41
Hình 3.8: Kết qu quét li t Acunetix khi website chƣa đƣc bo v ......................... 45
Hình 3.9: Kết qu quét li t Acunetix khi website đã đƣợc bo v ............................. 46
Hình 3.10: Request tn công b h thống WAF ngăn chặn ............................................ 46
Hình 3.11: Thông tin request tn công b chn trong log .............................................. 47
vi
Hình 3.12: Thông tin request tn công trên trang qun tr ............................................. 47
Hình 3.12: Thông tin chi tiết ca request tn công trên trang qun tr .......................... 47
Hình 3.13: Chức năng báo cáo các request tn công ..................................................... 48
Hình 3.14: Chức năng báo cáo thông kê ........................................................................ 48
Hình 3.15: Chức năng báo cáo thông kê thoại loi tn công ......................................... 49
Hình 3.16: Chức năng báo cáo số ng các request tn công ...................................... 49
vii
DANH MC CÁC T VIT TT
T viết tt
Tiếng Anh
Tiếng Vit
HTTP
Hypertext Transfer Protocol
Giao thc truyn tải siêu văn bn
HIDS
Host-based intrusion
detection system
H thng phát hin xâm nhp trên
máy ch
NIDS
Network intrusion detection
system
H thng phát hin xâm nhp trên
mng
IDS
Intrusion detection system
H thng phát hin xâm nhp
WAF
Web application firewall
ng la n dng web
OWASP
Open Web Application
Security Project
D án m v bo mt ng dng
Web
DVWA
Damn Vulnerable Website
Application
ng dng web cha các l hng
bo mt
viii
M ĐẨU
1. Lý do chọn đề tài
Trong những m vừa qua, tình hình an ninh mng quc tế trong nƣớc
nhiu biến động. Cùng vi s gia tăng của các hình thc ti phm mi, trên thế gii
đã nhiều công trình nghiên cu tính ng dụng cao, đƣc áp dng trên quy
rng ln nhm chng li ti phm trc tuyến. Vit Nam, tình hình an ninh mng
cũng nhiều din biến phc tạp. Trong nƣớc ngày càng xut hin hàng lot tn
công ch đích nhằm vào mt s quan quan trọng, hàng loạt đối tƣợng b bt
gi ti làm gi th ATM, tn công t chi dch vụ…Ngoài ra cũng sự xut
hin nhiu loại mã độc mi ngày càng tinh vi nguy him. Tt c các hình thc ti
phạm gia tăng gây ra nhng tn tht không nh v mt tài chính và uy tín ca cho t
chc, doanh nghip.
Hình thc tn công tn công khai thác l hng web đang một hình thc tn
công ph biến ngày càng tăng mạnh hin nay trên Internet. T các l hng khai
thác đƣợc, k tn công th khai thác đƣợc các d liu trong h thng hoc thm
chí leo thang chiếm quyền điều khin. Mt website ca t chức khi đƣợc đƣa lên
internet luôn có th tr thành mc tiêu ca nhng k tn công nhm ti. Các website
mc li tr thành ca ngõ cho k tn công xâm nhp vào h thng ca t chc.
vy, luận văn y s nghiên cu các k thut khai thác l hng website ph
biến gii pháp phòng chng, c th hóa các nghiên cứu đó vào ng dng c th
và th nghim trong thc tế.
2. Lch s nghiên cu
Năm 2009, tác giả Jim Beechey ca SANS Technologhy Institute công b báo
cáo “Web Application Firewalls: Defense in Depth for Your Web Infrastructure” về
các gii pháp triển khai tƣờng la ng dụng web để bo v website.
Năm 2012, tác giả Ivan Ristic, thuc công ty Qualys, công b báo cáo “Protocol-
Level Evasion of Web Application Firewallsvề vic y dng gii pháp ng la
ng dng web dùng Apache ModSecuriy để đảo bo các yêu cu theo chun PCI.
Năm 2016, tác giả Vladimir Ivanov đã công bố nghiên cu Web Application
Firewalls: Attacking detection logic mechanisms về các k thuật ngăn chặn ca
waf, các k thut k tấn công dùng để t qua ti hi tho Black hat USA 2016.
ix
3. Mục đích nghiên cứu
- Nghiên cu các gii pháp nhn dạng, ngăn chặn tn công ng dng web.
- Nghiên cu v giải pháp tƣởng la cho ng dng web (WAF)
- Nghiên cu v gii pháp waf s dng ModSecurity kết hp tp lut
CoreRuleSet
- Xây dng giải pháp tƣờng la chng tn công khai thác l hng bo mt
ng dng web dùng Apache ModSecurity, kết hp h thng qun tr,
theo dõi tp trung.
4. Đối tƣợng và phm vi nghiên cu
- Tìm hiểu cơ bản v các l hng bo mt ng dng WAF.
- Nghiên cu lý thuyết và mô hình trin khai h thng WAFs.
- Tìm hiu các mô hình nhn dng tn công ng dng web.
5. Tóm tt luận văn
Toàn b ni dung ca Luận văn đƣợc chia thành 03 chƣơng nhƣ sau:
Chƣơng 1: Các k thut khai thác l hng bo mt ng dng web
Chƣơng 2: Xây dng gii pháp phát hiệnngăn chặn tn công thác l hng
bo mt ng dng web
Chƣơng 3: Triển khai và th nghim gii pháp
6. Phƣơng pháp nghiên cứu
- S dng các thông tin, tài liu trên trang web OWASP (Open Web
Application Security Project) đ nghiên cu thuyết hình trin
khai h thng WAFs.
- S dng tài liệu “Modsecurity Handbook complete guide to securing
your Web applications” của Ivan Ristic đ nghiên cu v ModSecurity.
- Xây dng gii pháp WAF và th nghim.