Tóm tắt luận văn thạc sĩ: Nghiên cứu kiểm thử bảo mật website

Chia sẻ: Nguyen Vang | Ngày: | Loại File: PDF | Số trang:25

Thêm vào BST

Báo xấu

131
lượt xem 40
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Rà xuyên qua một số trang web đã bị TQ tấn công, nhận thấy đa số là những trang web chạy trên hệ thống quá cũ và không được cập nhật những bản vá cần thiết. Những hệ thống như thế này cực kỳ dễ bị tấn công bởi vì các phương pháp tấn công, thậm chí những công cụ tấn công đã được công bố rộng rãi trên mạng.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tóm tắt luận văn thạc sĩ: Nghiên cứu kiểm thử bảo mật website

1 B GIÁO D C VÀ ĐÀO T O Đ I H C ĐÀ N NG ĐINH TH THIÊN ANH NGHIÊN C U KI M TH B O M T WEBSITE` Chuyên ngành : KHOA H C MÁY TÍNH Mã s : 60.48.01 TÓM T T LU N VĂN TH C SĨ K THU T Đà N ng - Năm 2011
2 Công trình ñư c hoàn thành t i Đ I H C ĐÀ N NG Ngư i hư ng d n khoa h c: TS Nguy n Thanh Bình Ph n bi n 1 : PGS.TS. Phan Huy Khánh Ph n bi n 2 : PGS.TS. Lê M nh Th nh Lu n văn ñã ñư c b o v t i H i ñ ng ch m Lu n văn t t nghi p th c sĩ k thu t h p t i Đ i h c Đà N ng vào ngày 18 tháng 6 năm 2011. Có th tìm hi u lu n văn t i: • Trung tâm Thông tin - H c li u, Đ i h c Đà N ng • Trung tâm H c li u, Đ i h c Đà N ng.
3 M Đ U 1. LÝ DO CH N Đ TÀI V i nh ng nghiên c u sinh theo ñu i quá trình h c t p lên cao n a, vi c kh i ñ u l a ch n m t ñ tài th c s là r t quan tr ng. Nó ph i là ñ tài m i, có hư ng m r ng chuyên sâu hay ti p c n m t v n ñ ñã có theo m t hư ng khác t t hơn cái ñã có, ñ c bi t là kh năng áp d ng th c t và ñem l i thi t th c trong cu c s ng. Chính nh ng lý do trên mà tôi m nh d n ch n ñ tài: “Nghiên c u ki m th b o m t website”. 2. M C TIÊU VÀ NHI M V NGHIÊN C U Nghiên c u các v n ñ chung v các l i b o m t, ti p ñ n là các l i b o m t liên quan ñ n các ng d ng web. Trên cơ s ñó, xây d ng m t quy trình ki m th b o m t nh m m c ñích ng d ng ki m tra các l i b o m t trên các ng d ng web. 3. Đ I TƯ NG VÀ PH M VI NGHIÊN C U 3.1. Đ i tư ng nghiên c u - Tìm hi u chung v b o m t, gi i thi u m t s ki u t n công ph bi n hi n nay như DDos, SQLinjection, XSS. - Gi i thi u m t s công c h tr trong vi c tìm ra các l i b o m t như: Acunetix Web Vulnerability Scanner, Snort, NetCap, Power Injector 1.2. - Tìm hi u chung v các phương pháp ki m th b o m t. - Đ ra quy trình ki m th b o m t nh m ng d ng vào các website. - Các lu n văn t t nghi p cao h c.
4 3.2. Ph m vi nghiên c u Ki m th các l i b o m t web, t ñó ñ xu t xây d ng quy trình ki m th b o m t nh m ng d ng ki m th các l i b o m t web ñ i v i các ng d ng web ñã hoàn thi n. 4. PHƯƠNG PHÁP NGHIÊN C U - Nghiên c u t ng quan v các l i b o m t. - Nghiên c u nh ng l i b o m t nh hư ng ñ n ng d ng web hi n nay. - Nghiên c u các quy trình, công c ki m tra l i b o m t web ñã phát tri n và ñ xu t quy trình m i. 5. K T QU D KI N - Tìm hi u ñư c m t cách t ng quan v ki m th b o m t. - Đưa ra danh sách các phương pháp t n công ph bi n hi n nay và các gi i pháp nh m h n ch s phá ho i c a m i phương pháp t n công. - Xây d ng thành công quy trình ki m th b o m t website ng d ng vào website www.lat.com.vn. - Là m t tài li u có ch t lư ng ñóng góp vào quy trình ñ m b o ch t lư ng cho s n ph m., giúp các nhà phát tri n website hoàn thi n hơn s n ph m c a mình. 6. Ý NGHĨA KHOA H C VÀ Ý NGHĨA TH C TI N C A LU N VĂN 6.1. Ý nghĩa khoa h c Lu n văn không ch trình bày ng n g n nhưng ñ y ñ các v n ñ chung v các l i b o m t, mà còn ñi sâu vào xây d ng quy trình ki m th b o m t nh m ng d ng ki m th các l i b o m t web ñ i v i các ng d ng web ñã hoàn thi n.
5 6.2. Ý nghĩa th c ti n Sau khi th c hi n nghiên c u ki m th các l i b o m t trên ng d ng web, s góp ph n giúp ngư i phát tri n ng d ng web có th ki m tra ng d ng c a mình có b m c ph i nh ng l i b o m t nào hay không. T ñó, giúp ngư i phát tri n ng d ng s có nh ng bi n pháp c th ñ gi i quy t l i k p th i. 7. B C C C A LU N VĂN Báo cáo lu n văn ñư c t ch c thành 3 chương CHƯƠNG 1 - T NG QUAN V B O M T WEBSITE 1.1. T NG QUAN V B O M T B o m t là s th a hi p gi a b o m t và ch c năng / kh năng s d ng. N u b o m t c a h th ng quá ch t ch , nó s tr nên r t khó s d ng ho c khó ho t ñ ng m t cách hi u qu . N u b o m t quá ñơn gi n, h th ng d b t n công và xâm nh p. Ki m th b o m t Web, trong nghĩa truy n th ng, là ki m th hi u qu s b o v toàn b h th ng Web. Nó yêu c u k t h p nhi u ki n th c v các công ngh b o m t, công ngh m ng, l p trình, và kinh nghi m th c t v thâm nh p các h th ng m ng. H u h t các ki m th viên ph n m m không có lo i ki n th c này. Tuy nhiên, chúng ta nên hi u các v n ñ v b o m t sao cho chúng ta hi u ñư c các công vi c chúng ta nên làm và các công vi c nên ñư c th c hi n b i các chuyên gia khác. 1.2. M C ĐÍCH C A B O M T Ph thu c vào các yêu c u c a m i h th ng, m i h th ng có nh ng m c ñích khác nhau, nhưng chúng ñ u có ñi m chung là: Đ m b o s an toàn d li u cho h th ng và b o v các tài nguyên
6 trên m ng trư c s t n công nh m phá v h th ng ho c s d ng trái phép các tài nguyên c a m t s ngư i có ch ý x u. 1.3. TH NG KÊ TÌNH TR NG B O M T HI N NAY 1.3.1. T ng h p thông tin t các trang ñi n t Vi t Nam 1.3.2. Thông tin t Zone-H.org 1.3.3. Thông tin t WebAppSec.org 1.3.4. Thông tin t Osvdb.org 1.4. M T S PHƯƠNG PHÁP T N CÔNG PH BI N HI N NAY 1.4.1. T n công SqlInjection 1.4.2. T n công Cross Site Scripting 1.4.3. T n công DOS 1.5. M T S PHƯƠNG PHÁP T N CÔNG PH BI N HI N NAY 1.5.1. Công c Acunetix Web Vulnerability Scanner 1.5.2. Công c Snort 1.5.3. Công c Netcat 1.5.4. Công c SQL Power Injection 1.2 CHƯƠNG 2 – KI M TH B OM T 2.1. GI I THI U V KI M TH PH N M M Ki m th ph n m m ñư c ñ nh nghĩa theo nhi u ngu n khác nhau, dư i ñây m t s ñ nh nghĩa ph bi n hi n nay Ki m th ph n m m là quá trình kh o sát m t h th ng hay thành ph n dư i nh ng ñi u ki n xác ñ nh, quan sát và ghi l i các k t qu , và ñánh giá m t khía c nh nào ñó c a h th ng hay thành ph n ñó
7 Ki m th ph n m m là quá trình th c thi m t chương trình v i m c ñích tìm l i. Ki m th ph n m m là ho t ñ ng kh o sát th c ti n s n ph m hay d ch v ph n m m trong ñúng môi trư ng chúng d ñ nh s ñư c tri n khai nh m cung c p cho ngư i có l i ích liên quan nh ng thông tin v ch t lư ng c a s n ph m hay d ch v s ph n m m y. M c ñích c a ki m th ph n m m là tìm ra các l i hay khi m khuy t ph n m m nh m ñ m b o hi u qu ho t ñ ng t i ưu c a ph n m m trong nhi u ngành khác nhau. 2.2. KI M TH B OM T 2.2.1. M c ñích V i tư cách là ki m th viên, là t p trung ki m th b o m t c a Website và ng d ng Web m c ng d ng. Đi u ñó có nghĩa là chúng ta tìm ki m các l h ng và rò r thông tin gây nên ch y u do l p trình và do c u hình sai các trình ch Web và các trình ch ng d ng khác. 2.2.2. Trách nhi m c a ki m th b o m t Ki m th b o m t liên quan ñ n trách nhi m c a nhi u ngu n khác nhau sau ñây: - Nhà ñ nh nghĩa chính sách (policymaker), ñ nh nghĩa các yêu c u b o m t nh m tăng ñ tin c y c a ngư i s d ng và nhà s n xu t v b o m t h th ng. - Ngư i qu n tr m ng, thi t k và cài ñ t các bi n pháp b o m t nh m cung c p b o m t m c ho t ñ ng. - L p trình viên ph n m m, ch u trách nhi m ki m th h th ng nh m phát hi n các l i ch c năng, tương tác c u hình và kh năng tương thích khi h liên quan ñ n cài ñ t b o m t (ch y u
8 m c ng d ng và có th m c ho t ñ ng), phát hi n các v n ñ do l i thi t k b o m t. - Các chuyên gia và nhà tư v n b o m t, giúp ki m th và duy trì các chương trình b o m t cũng như x lý các l h ng b o m t. Thông thư ng, nhóm ngư i này v n trư c ñây là nh ng k t n công. Nh ng k t n công cũ, là nh ng ngư i có nhi u kinh nghi m, ch u trách nhi m ñi u khi n các ki m th xâm nh p trư c khi tri n khai m t h th ng. Tr khi t ch c c a chúng tôi không có m t chuyên gia ñ th c hi n ki m th xâm nh p, không nên ñ m t ki m th viên và l p trình viên ch u trách nhi m này. 2.2.3. Nh ng ưu di m trong ki m th b o m t - Ki m th b o m t là ki m th ch ñ ng, không b ñ ng. - Các l i không ñư c x lý là các kho báu ñ xác ñ nh các l h ng b o m t. - Các giao di n d li u vào là các kho báu ñ chèn l i vào nh m xác ñ nh các l i b o m t. + Hãy xem xét m i d li u vào không h p l có th x y ra phía trình khách. + Hãy xem xét m i d li u vào không h p l có th x y ra phía trình ch . - T p trung trên các ñi u ki n d li u vào mà ñó d li u ñư c chuy n t mi n không tin c y vào mi n tin c y. - Thi t k các ca ki m th v i s nh n m nh trên các biên gi a các mi n tin c y và không tin c y. - Tìm ki m các l i cho phép ngư i s d ng th c thi chương trình trên máy ch . - Tìm ki m các l i cho phép ngư i s d ng t i chương trình trên máy ch .
9 - Tìm ki m các l i cho phép ngư i s d ng thay ñ i nâng cao quy n truy c p. - Luôn ý th c r ng ng d ng thư ng x lý sai m t s d li u x u ñ n t phía trình khách không tin c y. - Tìm ki m d li u vào mà có th tr nên th c thi ñư c (ví d : khi d li u vào tr nên d li u ra). 2.3. CÁC LO I KI M TH B OM T 2.3.1. Ki m th yêu c u và thi t k B t kỳ h th ng nào cũng ñư c xây d ng t m t t p h p các yêu c u. Đôi khi nh ng yêu c u này ñư c vi t m t cách rõ ràng, nhưng thư ng chúng là nh ng phát bi u m p m không ñư c ñ nh nghĩa rõ ràng. Ví d , có th có phát bi u “ ng d ng ph i an toàn”. Nhưng “an toàn” nghĩa là gì và nên ph i dành bao nhiêu công s c và th i gian ñ làm cho s n ph m an toàn. 2.3.2. Ki m th mã ngu n Phương pháp ki m tra ñ b o m t c a ng d ng thông qua mã ngu n c a ng d ng. Phương pháp ki m th này ch y u dùng ñ xác ñ nh s an toàn c a thu t toán ñư c dùng trong ng d ng, xác ñ nguy cơ r r thông tin, nguy cơ b t n công chi m quy n ki m soát thông qua mã ngu n. Phương pháp này thư ng ng d ng k thu t ki m th h p tr ng. 2.3.3. Ki m th các thi t l p c a trình duy t Các thi t l p c a trình duy t có th ñư c cài ñ t trong các trình duy t như Mozilla FireFox và Microsoft Internet Explorer cho phép gi i h n truy c p ñ n các n i dung internet có th gây h i. Ngư i s d ng s thư ng có các ch nh s a các thi t l p này. Hơn n a, có m t s thay ñ i l n phía ngư i s d ng v kh năng làm ch các thi t l p này. Nh ng ngư i s d ng Web ngày càng ñư c ñào t o
10 nhi u hơn cách s d ng các thi t l p ñ b o v chính h . V i tư cách là m t ñ i phát tri n Website hay ng d ng Web, chúng ta không th b t bu c ngư i s d ng ch p nh n các thi t l p m c ñ nh. Vì v y, chúng ta c n ph i ki m th nhi u s k t h p c a các thi t l p. 2.3.4. Ki m th b c tư ng l a C n nh c l i r ng nhóm ki m th ph n m m không ch u trách nhi m ki m th s hi u qu c a các tư ng l a và s c u hình chúng. Ki m th tư ng l a nh m nh n bi t các hi u ng v ch c năng ñư c t o ra b i s chuy n d li u qua các m ng khác nhau. M t s m ng riêng và m t s khác công c ng.
11 2.4. QUY TRÌNH KI M TH B O M T WEBSITE 2.4.1. Quy trình ki m th th công Hình 2.4: Quy trình ki m th th công
12 2.4.2. Quy trình ki m th b o m t ñ xu t Hình 2.5: Quy trình ki m th b o m t ñ xu t
13 2.4.2.1. Mô hình ki m th b o m t phân tích và thi t k Hình 2.6: Mô hình ki m th b o m t phân tích và thi t k
14 2.4.2.2. Mô hình ki m th mã ngu n t ñ ng Hình 2.7: Mô hình ki m th b o m t mã ngu n t ñ ng
15 CHƯƠNG 3 - NG D NG KI M TH B OM T 3.1. GI I THI U WEBSITE WWW.LAT.COM.VN Website LAT ñư c thành l p năm 2009 v i ñ i ngũ sáng t o và năng ñ ng, website LAT ra ñ i mong mu n s mang l i cho khách hàng nh ng gì t t ñ p nh t, nh ng d ch v hoàn h o nh t. LAT g m có nh ng d ch v cơ b n sau: 1. Thi t k và xây d ng website cho doanh nghi p. 2. Tư v n xây d ng h th ng thông tin, tin h c hóa cho doanh nghi p. 3. Tư v n xây d ng và thi t k h th ng. 4. Xây d ng các s n ph m ph n m m như: H th ng qu n lý nhân s , ch m công, ti n lương, gi i pháp qu n lý bán hàng, gi i pháp qu n lý khách s n, nhà hàng,.. 5. Đào t o ngu n nhân l c công ngh thông tin, ch y u là phát tri n ph n m m. 6. Đào t o chuyên viên công ngh thông tin, so n giáo trình ñi n t ... cho các trư ng ñ i h c và cao ñ ng.
16 3.2. YÊU C U CH C NĂNG C A WEBSITE WWW.LAT.COM.VN B ng 3.1: B ng n i dung yêu c u ch c năng website www.lat.com.vn
17 3.3. BI U Đ CA S D NG 3.3.1. Bi u ñ ca s d ng trư c khi ñăng nh p vào h th ng Hình 3.1: Bi u ñ ca s d ng trư c khi ñăng nh p vào h th ng 3.3.2. Bi u ñ ca s d ng sau khi ñăng nh p vào h th ng Hình 3.2: Bi u ñ ca s d ng sau khi ñăng nh p vào h th ng
18 - Bi u ñ ca s d ng 2.6. Qu n lý d án ñã làm Hình 3.3: Bi u ñ ca s d ng qu n lý d án ñã làm - Bi u ñ ca s d ng 2.7. Qu n lý tài li u Hình 3.4: Bi u ñ ca s d ng qu n lý tài li u
19 - Bi u ñ ca s d ng 2.8. Qu n lý ngư i dùng Hình 3.5: Bi u ñ ca s d ng qu n lý ngư i dùng 3.4. TH C HI N CÁC CA KI M TH Sau khi có ñư c danh sách các yêu c u và bi u ñ ca s d ng, chúng tôi s ti n hành th c thi ki m th website LAT. Trong ph n th c thi ki m th này chúng tôi ti n hành th c thi ki m th theo hai phương pháp ki m th . Phương pháp th nh t là th c hi n th công, phương pháp này ch y u s ki m th các ch c năng c a website LAT. Phương pháp th hai là th c thi ki m th b o m t b ng công c “Acunetix Web Vulnerability Scanner” , phương pháp này s t p trung vào ki m th các l i b o m t c a website LAT.
20 3.4.1. Th c hi n ki m th th công 3.4.2. Th c hi n ki m th b ng công c Acunetix Web Vulnerability Scanner 3.5. ĐÁNH GIÁ V M C Đ B O M T WEBSITE WWW.LAT.COM.VN 3.5.1. K t qu ki m th th công B ng 3.6: B ng ñánh giá k t qu th công T Tên ch c S ca S ca ki m S ca ki m T l thành công T năng ki m th thành th chưa th c công thành công thi 1 Đăng nh p 4 3 1 75% 2 D án ñã 23 13 10 57% làm 3 Tài li u 15 10 5 67% 4 Ngư i dùng 14 7 7 50% - T ng trư ng h p ki m th th c thi : 56 - T ng s trư ng h p thành công : 33 - T ng s trư ng h p th t b i : 23 K t lu n chung k t qu ki m th th công - Qua s li u các ca ki m th thành công và th t b i trên ta có th th y ñư c t l các ca ki m th thành công chi m 59 %, t l các ki m th th t b i là 41 %. - T l ca ki m th th t b i là 41% cũng ñ ng nghĩa v i vi c t l l i sau khi quét b ng tay là 41%, ñây là t l l i l n.