Báo cáo Ứng dụng biểu thức chính quy trong bảo mật web (Phần 1)

Nội dung text: Báo cáo Ứng dụng biểu thức chính quy trong bảo mật web (Phần 1)

1. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH BÁO CÁO TỔNG KẾT ĐỀ TÀI KH&CN CẤP TRƯỜNG ỨNG DỤNG BIỂU THỨC CHÍNH QUY TRONG BẢO MẬT WEB S K C 0 0 0 2 8 1 MÃ SỐ: T2011 - 97 S K C 0 0 3 3 9 2 THÀNH PHỐ HỒ CHÍ MINH, 2011
2. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC SƢ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH BÁO CÁO TỔNG KẾT ĐỀ TÀI KH&CN CẤP TRƢỜNG ỨNG DỤNG BIỂU THỨC CHÍNH QUY TRONG BẢO MẬT WEB Mã số: T2011-97 Chủ nhiệm đề tài: GVC Ths. NGUYỄN MINH ĐẠO TP. HCM, 11/2011
3. TRƢỜNG ĐẠI HỌC SƢ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO TỔNG KẾT ĐỀ TÀI KH&CN CẤP TRƢỜNG ỨNG DỤNG BIỂU THỨC CHÍNH QUY TRONG BẢO MẬT WEB Mã số: T2011-97 Chủ nhiệm đề tài: GVC ThS. NGUYỄN MINH ĐẠO Thành viên đề tài: GVC ThS. NGUYỄN MINH ĐẠO TP. HCM, 11/2011
4. MỤC LỤC PHẦN MỞ ĐẦU 10 1. Tính cấp thiết của đề tài 1 2. Đặt vấn đề 2 3. Giải quyết vấn đề 2 4. Mục Tiêu đề tài 2 PHẦN THỨ 1: TÌM HIỂU VỀ CƠ SỞ LÝ THUYẾT BẢO MẬT 3 CHƢƠNG 1: TỔNG QUAN VỀ TÌNH HÌNH AN NINH MẠNG 3 1.1. NHỮNG ĐẶC ĐIỂM VÀ XU HƢỚNG AN NINH MẠNG 3 1.1.1. Đặc điểm tình hình an ninh mạng trong những năm gần đây 3 1.1.2. Những xu hƣớng và thách thức an toàn mạng 4 1.1.3. Những vấn đề về các lỗ hổng của Website 6 1.2. VẤN ĐỀ BẢO MẬT WEBSITE 8 CHƢƠNG 2: LÝ THUYẾT VỀ WEBSITE VÀ BẢO MẬT WEBSITE 10 2.1. WEB SERVER 10 2.1.1. Webserver là gì? 10 2.1.2. Cơ chế hoạt động của Webserver 11 2.2. WEB APPLICATION 17 2.2.1. Web application là gì? 17 2.2.2. Cấu trúc Web Application? 17 2.2.3. Các ứng dụng Web và lợi ích? 18 2.3. CÁC LỖ HỔNG WEB 21 2.3.1. Cross-Site Scripting (XSS) 21
5. 2.3.1.1. Cross-Site Scripting là gì ? 21 2.3.1.3. Khai thác lỗi XSS 24 2.3.1.4. Cách phát hiện XSS: 2Error! Bookmark not defined. 2.3.1.5. Các biện pháp ngăn ngừa XSS 27 2.3.2. Session hijacking (Bắt cóc phiên nối): 28 2.3.2.1. Session hijacking tại lớp mạng (TCP Session hijacking): 28 2.3.2.2. Session hijacking: 29 2.3.2.3. Session ID 29 2.3.2.4. Cookie? 29 2.3.3. SQL Injection : 30 2.3.3.1. SQL Injection là gì? 30 2.3.3.2 Hoạt động của SQL Injection 31 2.3.3.3 Dò tìm lỗ hổng SQL injection trên Web 32 2.3.3.4 Tại sao „or 1=1 có thể by pass 32 2.3.3.5 Nhận data qua „database using ODBC error message‟ 33 2.3.3.6 Thu thập các dữ liệu quan trọng 34 2.3.3.7 Ngăn chặn lỗi SQL Injection 35 2.3.4. Web Shell 35 2.3.4.1. Giới thiệu về Shell 35 2.3.4.2. Cách hoạt động của Shell 36 2.3.4.3. Chức năng của Shell 36 2.3.4.4. Dùng shell để tấn công (Local Attack) 36 2.3.5. Path Traversal 40 2.3.5.1. Path Traversal là gì? 40 2.3.5.2. Khai thác Path Traversal 40 2.3.5.3 Phòng chống Path Traversal 42 2.3.6. Tấn công từ chối dịch vụ (Dos &DDoS) 43 CHƢƠNG 3: TỔNG QUAN VỀ MODSECURITY 45
6. 3.1. TỔNG QUAN TƢỜNG LỬA ỨNG DỤNG 45 3.1.1. Tổng quan về tƣờng lửa và ứng dụng của tƣờng lửa 45 3.1.2.1. Công nghệ Proxy services 46 3.1.2.2. Công nghệ máy chủ ủy quyền chuyên biệt 47 3.1.2.3. Công nghệ hỗn hợp 47 3.2. MODSECURITY 48 3.2.1. Giới thiệu chung về Modsecurity 48 3.2.2.Các tính năng và vai trò của Modsecurity 49 3.2.2.1. Lọc (Filter), phân tích và ghi nhật ký (log) luồng dữ liệu HTTP 49 3.2.2.2.Giám sát theo thời gian thực và phát hiện tấn công 51 3.2.2.3.Phòng chống tấn công và vá lỗi 51 3.2.2.4. Tính linh hoạt của Ruler engine (lọc) 52 3.2.2.5. Phát triển các mẫu nhúng 52 3.2.2.6.Triển khai mạng cơ bản 52 3.2.3.Cách thức hoạt động của Modsecurity 53 3.2.4.Kiến trúc thành phần của modsecurity 53 3.2.4.1. Modsecurity core rule 53 3.2.4.1.1. Tổng quan về Core rule 53 1.2.4.1.2. Nội dung Core rule 53 1.2.4.1.3. Cấu trúc của Core rule 53 3.2.4.2.1 Secrule Engine 54 3.2.4.2.2 SecAction 55 3.2.4.2.3. SecRule 55 3.2.4.2.4 Các biến trong Rules 56 3.2.4.2.5 SecArgumentSeparator 57 3.2.4.2.6 SecAuditEngine 58 3.2.4.2.7 SecAuditLog 58 3.2.4.2.8 SecAuditLogParts 58 3.2.4.2.9 SecAuditLogRelevantStatus 59
7. 3.2.4.2.10 SecAuditLogStorageDir 59 3.2.4.2.11 SecAuditLogType 60 3.2.4.3. Các pha xử lý 60 3.2.4.3.1. Phase Request Headers 60 3.2.4.3.2. Phase Request body 61 3.2.4.3.3. Phase Response headers 61 3.2.4.3.4. Phase Response body 61 3.2.4.3.5. Phase Logging 61 3.2.4.4 Các biến (Variables) 62 3.2.4.5 Các hàm chuyển đổi 65 3.2.4.6. Hành động (Action) 66 3.2.4.6.1. Primary Actions 66 3.2.4.6.2. Secondary Actions 67 3.2.4.6.3. Flow Action 68 3.2.4.6.4. Default Action 69 3.2.4.7 Logging 69 3.2.5. Xây dựng một số Rules phát hiện và phòng chống tấn công nguy hiểm 72 3.2.5.1. HTML Tags 72 3.2.5.2. SQL Injection 72 3.2.5.3. XSS Attack 73 3.2.5.4. Command Excution and file disclosure 73 3.2.5.5. Bad User-Agent 73 PHẦN THỨ 2: CƠ SỞ THỰC HÀNH XÂY DỰNG MODSECURITY TRÊN WEB SERVER APACHE 75 CHƢƠNG 4: CÀI ĐẶT VÀ SỬ DỤNG MODSECURITY TRÊN WEBSERVER APACHE 75 4.1. CÁC MÔ HÌNH BẢO MẬT 75
8. 4.1.1. NON – DMZ 75 4.1.2. DMZ 78 4.1.3. Mô hình triển khai thực tế 80 4.2. CÀI ĐẶT 81 4.2.1. Cài đặt Apache2 81 4.2.2. Cài đặt PHP5 83 4.2.3. Cài đặt MySQL 86 4.2.4. Cài đặt Modsecurity 88 4.2.5. Cấu hình cho Modsecurity 95 TỔNG KẾT VÀ ĐÁNH GIÁ 98 TÀI LIỆU THAM KHẢO 99
9. MỤC LỤC BẢNG Bảng 1- Cấu hình các thành phần trong triển khai 80