TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY

Quản Trị Mạng

Giảng viên hướng dẫn: TS. Trần Hoàng Hải

Viện Công nghệ thông tin và Truyền thông

2018

Dương Văn Công – 20150429

Đinh Đắc Cường – 2015
 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY

Đề tài: Tìm hiểu về các lỗ hổng bảo mật với dịch vụ web

Viện Công nghệ thông tin và Truyền thông

2018
 Tổng quan về dịch vụ web

World Wide Web

 Ra đời năm 1990
 Hệ thống các siêu văn bản trình bày bằng ngôn ngữ
HTML được liên kết với nhau
 Cho phép truy cập đến nhiều dạng tài nguyên thông
tin khác nhau (văn bản, hình ảnh, âm thanh, video...)
qua URL (Uniform Resource Location) và URI
(Uniform Resource Identifier)
 Hiện đã trở thành nền tảng (Web-based service)

5/21/2019 Quản trị mạng 3

 Kiến trúc chung của các dịch vụ web

Người dùng thao tác với

các tài nguyên khác
thông qua dịch vụ web

5/21/2019 Quản trị mạng 4

 Lỗ hổng bảo mật dịch vụ web

 Injection
 Broken authentication
 Sensitive Data Exposure
 XML External Entities (XXE)
 Broken Access Control
 Security Misconfiguration
 Cross-Site Scripting(XSS)

5/21/2019 Quản trị mạng 5

 Injection

 Lỗi nhúng mã là tập hợp các lỗ hổng bảo mật xảy ra

khi dữ liệu đáng ngờ được chèn vào ứng dụng dưới
dạng lệnh hay truy vấn.
 Các cuộc tấn công mã nhúng đã biết như: SQL, OS,
XXE và LDAP, phổ biến nhất là SQLi
 Nguy cơ:
 Truy cập dữ liệu bất hợp pháp
 Thêm, sửa, xóa dữ liệu vào database

5/21/2019 Quản trị mạng 6

 Injection

 Cách phòng chống:

 Kiểm tra tính hợp lệ của biến
 Làm sạch đầu vào (input sanitization): Xác định
các ký tự đặc biệt không nên xuất hiện
 không cho các hàm có quá nhiều quyền thực thi
nếu có thể và phân tách tham số cần thiết từ giá trị
đầu vào

5/21/2019 Quản trị mạng 7

 Broken authentication

 Nguyên nhân: những đoạn kiểm tra danh tính và

quản lý phiên làm việc của người dùng được làm qua
loa không đúng cách.
 Kẻ tấn công có thể ăn cắp mật mã, mã phiên làm
việc, giả mạo danh tính người dùng, truy cập trái
phép vào tài nguyên nội bộ, thực hiện các hành vi
nâng quyền quản trị…

5/21/2019 Quản trị mạng 8

 Broken authentication

 Cách phòng chống:

 Thực hiện xác thực đa yếu tố để ngăn chặn tự
động nhồi nhét thông tin
 Thực hiện kiểm tra mật khẩu yếu

5/21/2019 Quản trị mạng 9

 Sensitive Data Exposure

 Nguyên nhân: các dữ liệu nhạy cảm được lưu trữ

không an toàn
 Nguy cơ:
 Kẻ tấn công ăn cắp được thông tin có giá trị

5/21/2019 Quản trị mạng 10

 Sensitive Data Exposure

 Cách phòng chống:

 Xác định những dữ liệu nhạy cảm theo luật bảo
mật, yêu cầu về quy định, hoặc nhu cầu kinh
doanh.
 Đảm bảo mã hóa tất cả dữ liệu nhạy cảm
 Không lưu trữ dữ liệu nhạy cảm không cần
thiết. Hủy bỏ nó càng sớm càng tốt

5/21/2019 Quản trị mạng 11

 XML External Entities (XXE)

 Nguyên nhân: đầu vào XML chứa tham chiếu đến

một thực thể bên ngoài được xử lý bởi trình phân tích
cú pháp XML được cấu hình yếu
 Nguy cơ:
 Kẻ tấn công có thể khai báo một entity để đọc nội
dung của file bất kỳ trong hệ thống
 Lộ dữ liệu bí mật
 Từ chối dịch vụ
 Giả mạo yêu cầu phía máy chủ

5/21/2019 Quản trị mạng 12

 XML External Entities (XXE)

 Cách phòng chống:

 Thực hiện việc xác thực, lọc, hoặc khử trùng đầu
vào phía máy chủ tích cực
 Xác minh rằng chức năng tải lên tệp tin XML
hoặc XSL

5/21/2019 Quản trị mạng 13

 Broken Access Control

 Nguyên nhân:
 Các nhà phát triển thường bị bế tắc trong việc kiểm soát
truy cập phù hợp với các quy tắc đặt ra.
 Nguy cơ:
 Kẻ tấn công có thể khai thác và truy cập các chức năng
hoặc dữ liệu trái phép.

5/21/2019 Quản trị mạng 14

 Broken Access Control

 Cách phòng chống:

 Đăng nhập kiểm soát truy cập thất bại, cảnh báo
quản trị viên khi thích hợp
 Thực hiện cơ chế kiểm soát truy cập một lần

5/21/2019 Quản trị mạng 15

 Security Misconfiguration

 Nguyên nhân:
 Do cấu hình an ninh lỏng lẻo tại các tầng kiến trúc
của web
 Nguy cơ
 Kẻ tấn công khai thác các lỗ hổng chưa được vá
hoặc truy cập tài khoản mặc định
 Truy cập trái phép vào dữ liệu và chức năng của
hệ thống

5/21/2019 Quản trị mạng 16

 Security Misconfiguration

 Cách phòng chống:

 Kiến trúc ứng dụng phân đoạn cung cấp sự tách
biệt an toàn và hiệu quả giữa các thành phần
 Gửi các chỉ thị bảo mật tới khách hang
 xem xét và cập nhật các cấu hình phù hợp với tất
cả các ghi chú bảo mật, cập nhật và bản vá lỗi

5/21/2019 Quản trị mạng 17

 Cross-Site Scripting(XSS)

 Kẻ tấn công chèn những đoạn script độc hại (thông

thường là Javascript hoặc HTML) vào website và
sẽ được thực thi ở phía người dùng
 Nguy cơ:
 Đánh cắp cookies/session
 Thực hiện truy vấn có hại cho người dùng
 Phát tán mã độc

5/21/2019 Quản trị mạng 18

 Cross-Site Scripting(XSS)

 Cách phòng chống:

 Không bao giờ thêm dữ liệu vào CSDL mà không
kiểm tra tính hợp lệ và sử dụng bộ lọc
 Không cho phép các ký tự đặc biệt

5/21/2019 Quản trị mạng 19

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY

THANKS FOR WATCHING

Viện Công nghệ thông tin và Truyền thông

2018

Nguyễn Trọng Khiêm – 20152010

Nguyễn Văn Dư – 20150733